Stormshield svela le minacce e le possibili evoluzioni dei prossimi mesi; gli esperti tracciano gli scenari più verosimili in materia di cybersecurity.
Phishing multilivello – Fattori di vulnerabilità emersi nel 2019
Numerosi produttori di software e soluzioni di cybersecurity confermano che nel 2019 il fenomeno del phishing ha guadagnato notevole terreno rispetto ad altri vettori d’attacco. I metodi impiegati presenterebbero un crescente livello di sofisticazione, con pagine di errore 404 falsificate, siti manipolati indicizzati da Google e casi di campagne di phishing che invitavano l’impiegato ad accedere ad un sito con le proprie credenziali aziendali per compilare un formulario di autovalutazione del rendimento professionale.
Tra il 2017 e il 2018 le ricerche associate alla parola “deepfake” si sono moltiplicate per 1.000 sul motore di ricerca Google, una minaccia diventata tangibile concretamente solo nel 2019. Lo scorso settembre, una società inglese è stata vittima di una truffa ai danni del suo amministratore delegato: un dipendente ha versato 200.000 sterline a favore di un fornitore ungherese pensando che il CEO lo avesse autorizzato telefonicamente. In realtà si trattava di un deepfake realizzato a partire da una registrazione vocale.
Un altro esempio è un video pubblicato a novembre in cui Donald Trump annunciava la fine dell’epidemia di AIDS nel mondo. Un deepfake realizzato dall’associazione francese Solidarité Sida per mettere sotto i riflettori l’esatto contrario. Impegno lodevole, mezzi inappropriati. Oltre a questi casi, Google ha comunicato di voler accelerare la distribuzione di Duplex, un’intelligenza artificiale che effettua chiamate in modo autonomo. Il 2020 sarà quindi l’anno dell’ingegneria sociale in versione deepfake?
Possibili scenari nel 2020
L’inserimento dei deepfake a corredo dell’arsenale dei pirati informatici rappresenta un ulteriore sfida in termini di prevenzione e sicurezza. La maggior parte degli esperti sottolinea la complessità di questa minaccia. A fronte della crescente accessibilità degli strumenti di progettazione dei malware è molto probabile che il 2020 vedrà un aumento delle campagne di phishing basate su deepfake.
Questa tecnica sarà anche una delle più sorvegliate nel 2020, in particolare in vista delle elezioni presidenziali americane a novembre. Ma non solo. L’impiego di deepfake audio come parte di una campagna di phishing o di spear-phishing atta ad indurre gli addetti a cliccare su un file infetto da ransomware su indicazione di un membro della direzione che ne anticipa l’invio richiedendone la lettura immediata, é uno scenario tutt’altro che inconsistente.
Ipotizzabili anche formule di “deepfake-as-a-service”, un contributo concreto alla diffusione di una minaccia che Forrester conferma essere sempre più grave. Il noto istituto di ricerca profetizza per il 2020 danni per 250 milioni di dollari ascrivibili ad attacchi con deepfake.
Tuttavia i costi per la realizzazione di un deepfake credibile, molto superiori alla spesa necessaria per produrre un “semplice” ransomware, potrebbero ridurre l’impatto della prevista esplosione dei deepfake-as-a-service. Tutto ciò suggerisce che il 2020 potrebbe essere l’anno del phishing multilivello, con campagne semplici che sfruttano tecniche già note ai danni di destinatari sprovveduti, e campagne più complesse, che, per ingannare i più esperti utilizzano tecnologie e strumenti di nuova generazione più alla portata di criminali informatici che dispongono di maggiori mezzi, come quelli di uno Stato, o di singoli specialisti indipendenti.
I malware di domani all’opera già oggi – fattori di vulnerabilità emersi nel 2019
Il crimine informatico si sta diffondendo su larga scala. Questo é quanto ha dichiarato Guillaume Poupard, direttore generale Associazione nazionale francese per la Sicurezza dei Sistemi Informativi (ANSSI) ripercorrendo gli sviluppi nel 2019. Anno che ha visto di fatto la propagazione di attacchi informatici complessi ad alto impatto, condotti contro importanti reti televisive (p.es. la francese M6), ospedali, siti industriali e alla diffusione di malware come LockerGoga e Ruyk. La portata della cybercriminalità su larga scala, spesso supportata dagli Stati, é stata chiara ai più al più tardi nel marzo 2019 in occasione dell’attacco condotto dagli Stati Uniti contro una centrale elettrica venezuelana.
Nel novembre 2019, uno studio ha rivelato che alcune vulnerabilità e falle informatiche vengono sfruttate da oltre dieci anni e ancora oggi dagli aggressori informatici. In alcuni casi, le aziende interessate conoscono le vulnerabilità insite nei propri sistemi, ma non hanno i mezzi per sostituire le applicazioni a rischio.
Questo scenario si incontra di frequente nel settore sanitario, che si avvale di applicazioni che girano solo su sistemi operativi obsoleti. Anche nel settore industriale si usano spesso componenti informatiche obsolete per lo stesso motivo, il che aumenta il rischio di essere colpiti da un attacco “installato” diversi anni fa. C’è quindi da chiedersi se il potenziale nocivo delle vulnerabilità si incrementa col passare del tempo. Il 2020 ci fornirà le risposte.
Possibili scenari nel 2020
Come nel caso dei virus presenti nel corpo umano in forma latente per anni, alcuni vettori di attacco sono già stati installati anni orsono in sistemi informatici sensibili. È quindi facile ipotizzare scenari in cui determinati settori chiave (salute, alimentazione, energia) potrebbero essere stati infettati con malware rimasto inattivo per anni e altrettanto facile ipotizzarne le conseguenze catastrofiche.
Cosa succederebbe se, nel cuore della notte, tutti gli impianti produttivi di una grossa multinazionale dislocati in tutto il mondo venissero contemporaneamente bloccati? Risalire al problema e risolverlo durerebbe settimane. La produzione si fermerebbe e tutte le merci deperibili verrebbero gettate via. Un’immagine apocalittica al telegiornale e un disastro finanziario certo. La fonte probabile di un incidente di questo tipo? Una campagna di phishing condotta con successo anni prima potrebbe aver infettato varie reti aziendali tramite un malware dormiente. Propagatosi localmente su terminali che utilizzano ancora vecchie versioni di Windows, questo malware viene attivato da remoto. Poiché è già presente su tutti i terminali, non è nemmeno d’aiuto scollegare i cavi in caso di emergenza. Schermo nero per tutti!
Generalizzazione degli attacchi informatici rivolti alle aziende agroalimentari – fattori di vulnerabilità emersi nel 2019
Nell’aprile del 2019, il colosso francese Fleury Michon ha pagato a caro prezzo un riuscito attacco informatico, vedendosi costretto a bloccare le sue attività per cinque giorni. A dicembre 2019, il marchio italiano di prodotti alimentari Fratelli Beretta e successivamente quello belga della birra Busch sono stati a loro volta bloccati dal ransomware Maze.
L’industria alimentare sembra più che mai nell’occhio del ciclone e suscita le brame di criminali informatici di ogni genere. Parallelamente, la sensibilizzazione pubblica sulla composizione degli alimenti è in aumento e i consumatori stanno diventando sempre più esigenti. Un dato su tutti: il 92% degli utenti della App Yuka, attualmente disponibile in inglese, francese e spagnolo, non acquista prodotti che presentano valutazioni negative riguardo all’impatto dell’alimento o del prodotto cosmetico sulla salute dell’acquirente (cit. Julie Chapon, fondatrice della start-up produttrice della App su Forbes, edizione francese).
Possibili scenari nel 2020
Un settore ipersensibile, una catena di produzione in gran parte automatizzata e una promessa di qualità che rappresenta uno dei pilastri del settore: abbiamo tutti gli elementi perché l’industria alimentare continui a essere un settore ad alto rischio per gli anni a venire.
Che si tratti di attacchi perpetrati da Stati (in risposta a un conflitto aperto) o da terroristi informatici (per indurre alcune fasce della popolazione ad alimentarsi con prodotti dannosi per la salute), è molto probabile che nel 2020 assisteremo ad incursioni informatiche ancora più frequenti contro i principali protagonisti del settore alimentare.
E si schiudono così gli scenari peggiori: un attacco mirato alla programmazione dell’una o dell’altra macchina oppure che attivi l’esercizio a vuoto di componenti industriali per causarne l’usura prematura. Lo scopo? Sabotaggio mirato di impianti industriali. In che modo? Con la cara vecchia chiavetta USB o tramite una campagna di phishing per infettare un computer e poi diffondersi attraverso la rete.
Alcuni colossi hanno già preso in considerazione questo scenario e hanno implementato protezioni efficaci (ad esempio tramite la segmentazione delle reti), proteggendo così il loro business. Invece le aziende del settore di dimensioni medie e piccole risultano più vulnerabili a questo tipo di attacco informatico, rischiando significative perdite economiche e un impatto catastrofico sull’immagine del marchio.
Il grande ritorno degli hacktivisti – Fattori di vulnerabilità emergenti nel 2019
Se dal 2015 gli attacchi ad opera degli hacktivisti degli sono diminuiti del 95%, le recenti notizie di cronaca presentano un crescente numero di cause da difendere: dalla denuncia dell’inerzia del Primo Ministro australiano di fronte agli incendi alle rivolte di Hong Kong contro il governo cinese, passando dalla protesta in Francia contro il progetto di integrazione del riconoscimento facciale nei servizi pubblici, dove nel dicembre 2019 alcune piattaforme della pubblica amministrazione sono state oggetto di attacchi DDoS, che le hanno rese inaccessibili per diverse ore. Un mese prima, nel novembre 2019, l’hacker Phineas Fisher aveva lanciato la sua battaglia personale contro le compagnie petrolifere e le istituzioni capitaliste.
Possibili scenari nel 2020
E se il 2020 vedesse il grande ritorno degli attacchi degli hacktivisti su larga scala, facendo eco alla proliferazione dei movimenti sociali? È probabile che un nuovo genere di attivisti (scioperanti-hacktivisti) possa usare il proprio talento per diffondere messaggi politici. Di fronte a un disaccordo tra i sindacati, e piuttosto che irrompere negli uffici, perché non bloccarli a livello informatico? Anziché bloccare fisicamente le porte delle rimesse degli autobus, perché non disattivare le sbarre da remoto? E per le linee automatiche della metropolitana ancora in funzione, una rapida visita alla rete informatica potrebbe completare l’opera.
Applicare gli stessi meccanismi a determinati organi di stampa o a luoghi simbolo del potere amplificherebbe la voce dei manifestanti e la visibilità delle loro azioni. Ma non solo. Visti i recenti attacchi all’industria agroalimentare, nulla osta all’ipotesi che gruppi di hacker manipolino impianti per la lavorazione dei prodotti alimentari, con l’intento di eliminare tutta la carne da alcuni piatti pronti refrigerati a supporto della causa vegana o che si procurino accesso a piattaforme della grande distribuzione per recapitare beni di consumo quotidiano ai bisognosi, alla stregua di un “Robin Hood 2.0”.