Alex Hinchliffe, Threat Intelligence Analyst di Unit 42, Palo Alto Networks, fa una panoramica sia degli attacchi 2019 che delle prossime tendenze.
Nel 2019 abbiamo osservato un significativo aumento nel numero di container vulnerabili agli attacchi e prevediamo questo trend prosegua nel 2020. Gli aggressori continueranno a far evolvere il modo in cui colpiscono le imprese sfruttando il cloud, dato che sono sempre più numerose le organizzazioni che adottano questa tecnologia. Anche se i container non sono esposti ad attacchi informatici, i sistemi possono comunque essere attaccati attraverso vulnerabilità dei software e dei sistemi operativi tradizionali.
Le vulnerabilità delle app e dei software nel cloud aumenteranno; la scoperta del primo worm di cryptojacking che si diffonde nei container in Docker Engine (Community Edition) identificato da Unit 42 ne è un esempio.
In aggiunta, gli attacchi ransomware continueranno a proliferare nel 2020 e potrebbero diventare ancora più pericolosi. Nel 2019 abbiamo notato l’emergere di nuove figure che non si limitano a vendere ransomware e ransomware-as-a-service, ma creano anche dei tutorial sui ransomware. L’anno scorso avevamo anticipato la crescita di ransomware post-intrusion in grado di compromettere intere organizzazioni e quindi ottenere grandi riscatti. Durante l’anno abbiamo registrato l’ascesa in Europa della famiglia malware LockerGoga.
I ricercatori Unit 42 hanno analizzato quasi 10.700 campioni unici di malware scritti in linguaggio Go. Sulla base dei timestamp, ottenuti e analizzati in luglio, questo tipo di attacchi è aumentato costantemente nel corso del 2019. In aggiunta, il 92% dei campioni identificati erano compatibili con sistemi operativi Windows, confermando così che i developer di malware Go si concentrano particolarmente su questo sistema. Ma nonostante i malware Go non abbiano ancora catturato l’interesse degli sviluppatori di malware, prevediamo un aumento della popolarità di questo tipo di minacce il prossimo anno. È importante sottolineare che Unit 42 ha già rilevato minacce informatiche scritte in linguaggio Go da parte di nazioni-stato e ritiene che questo avvenga al fine dir cambiare l’aspetto del loro codice malware quando viene analizzato dai software di sicurezza.
Aggiornamenti sugli attacchi di gruppo
PKPLUG
Dopo tre anni di ricerche, a ottobre Unit 42 ha pubblicato il profilo di una serie di campagne di spionaggio informatico in tutta l’Asia, sfruttando un mix di malware pubblici e personalizzati. Il gruppo di attori (o gruppi, non è ancora possibile determinare se sia il lavoro di un singolo gruppo di lavoro) PKPLUG ha condotto attività nel sud-est asiatico, in particolare Myanmar, Taiwan, Vietnam e Indonesia, ma anche in Tibet, Xinjiang e Mongolia prendendo di mira i dispositivi Android con malware di spionaggio e i tradizionali obiettivi Windows utilizzando malware come PlugX e Poison Ivy, così come malware precedentemente non documentati, Farseer, esponendo i sistemi delle vittime ad attività backdoor.
xHunt
Tra maggio e giugno 2019, Unit 42 ha rilevato strumenti precedentemente sconosciuti utilizzati per il targeting delle organizzazioni di trasporto e di spedizione con sede in Kuwait, una delle varianti di questi tool era stata già individuata a luglio 2018. Nel mese di settembre, abbiamo notato come questi strumenti mostrano potenziali sovrapposizioni con le campagne OilRig ISMAgent, che si rivolgono alle organizzazioni che operano nel settore dei trasporti e delle spedizioni in Medio Oriente. Continueremo a seguire molto da vicino questa attività per determinare il più possibile i gruppi a rischio. Gli strumenti utilizzati nelle campagne xHunt avevano molteplici tecniche di comando e controllo (C2), tra cui una nuova capacità di creare bozze di email per comunicare con l’attore della minaccia senza dover inviare l’email, rendendo potenzialmente più difficile l’individuazione del meccanismo di comunicazione.
BabyShark
A febbraio, i ricercatori di Unit 42 hanno identificato e pubblicato un report sulle email di spear phishing inviate a novembre 2018 contenenti un nuovo malware che condivide l’infrastruttura con i playbook associati alle campagne nordcoreane. Il malware, che abbiamo chiamato ‘BabyShark’, estrae le informazioni del sistema verso il suo server C2 dopo averlo infettato e non lo abbandona in attesa di ulteriori istruzioni da parte dell’operatore.
Mirai
Sono numerose le varianti di Mirai, la famosa botnet Iot/Linux, rilevate nel 2019. Unit 42 ha scoperto una nuova variante a gennaio che colpisce i sistemi aziendali di presentazione e visualizzazione wireless; un’altra, individuata a febbraio, per nuovi processori e architetture, e otto nuovi exploit implementati a giugno per raggiungere una gamma più ampia di dispositivi IoT. Questi device continuano a essere un obiettivo popolare per gli hacker, soprattutto perché la consapevolezza della sicurezza dell’internet degli oggetti non è così diffusa, e il numero di dispositivi IoT continuerà a crescere nel 2020, soprattutto con lo sviluppo del 5G.