I FortiGuard Labs di Fortinet lanciano l’allarme perché prevedono la convergenza dei metodi Advanced Persistent Threat con la criminalità informatica. Dalla rapida evoluzione degli attacchi resi possibili dal Cybercrime-as-a-Service (CaaS), agli exploit su obiettivi non tradizionali come i dispositivi edge o ai mondi virtuali. Il volume, la varietà e la portata delle minacce informatiche terranno i team che si occupano di sicurezza informatica in massima allerta per tutto il 2023 e oltre.
Cybercrime e Advanced Persistent Threat
Derek Manky, Chief Security Strategist e VP Global Threat Intelligence, FortiGuard Labs “Con la convergenza della criminalità informatica con i metodi delle Advanced Persistent Threat, i criminali informatici stanno trovando il modo di armare in modo massiccio nuove tecnologie per causare maggiori danni e interruzioni. Non si limitano a prendere di mira la superficie di attacco tradizionale. Ma operano anche all’esterno che all’interno degli ambienti di rete.
Allo stesso tempo, il crimine informatico dedica più tempo alla ricognizione con l’obiettivo di eludere il rilevamento, l’intelligence e i controlli delle organizzazioni. Tutto ciò significa che il rischio informatico continua a crescere. I CISO devono essere agili e metodici quanto i loro avversari. Le organizzazioni saranno in grado di proteggersi al meglio da questi attacchi se adotteranno una piattaforma di sicurezza informatica che integri reti, endpoint e cloud. Così da consentire un’intelligence automatizzata e operativa sulle minacce, unita a funzionalità avanzate di rilevamento e risposta di tipo behaviour-based”.
Dato il successo che i criminali informatici hanno avuto nell’utilizzo del Ransomware-as-a-Service (RaaS), si può prevedere che sul dark web sarà reso disponibile un numero crescente di vettori di attacco as-a-service. In modo da consentire una significativa espansione del Cybercrime-as-a-Service. Oltre alla vendita di ransomware e ad altre offerte di Malware-as-a-Service, emergeranno nuovi servizi “à la carte”.
Un’anteprima di ciò che accadrà con il CaaS
Il CaaS rappresenta un modello di business interessante per i malintenzionati. Per i criminali informatici esperti la creazione e la vendita di portafogli di attacchi as-a-service offre un guadagno semplice, rapido e ripetibile. In futuro, le offerte CaaS su abbonamento potrebbero potenzialmente fornire ulteriori entrate. I criminali informatici, inoltre, inizieranno a sfruttare nuovi vettori di attacco, quali i deepfake. Proponendo l’acquisto di video e registrazioni audio e dei relativi algoritmi in modo sempre più ampio.
Attenzione a quei due: cybercrime e Advanced Persistent Threat
Una delle metodologie più importanti da adottare per difendersi dal crimine informatico e dalle sue tecniche di attacco è rappresentato dalla formazione e dal training alla consapevolezza dell’importanza della sicurezza informatica. Molte organizzazioni offrono programmi di formazione sulla sicurezza di base per i dipendenti. Dovrebbero però considerare l’aggiunta di nuovi moduli che forniscano informazioni sull’individuazione di metodologie di attacco più evolute.
2 Attacchi più efficaci con la “Reconnaissance-as-a-Service”
Un altro aspetto di come la natura organizzata della criminalità informatica consentirà strategie di attacco più efficaci riguarda il futuro della ricognizione. Man mano che gli attacchi diventano più mirati, gli attori delle minacce assumeranno probabilmente dei “detective” sul dark web per raccogliere informazioni su un particolare obiettivo prima di lanciare un attacco.
Importante: bloccare gli attacchi
Al pari delle informazioni che si possono ottenere assumendo un investigatore privato, le offerte di Reconnaissance-as-a-Service possono fornire progetti di attacco che includono lo schema di sicurezza di un’organizzazione. Oltre al personale chiave che si occupa della sicurezza informatica, il numero di server di cui dispone, le vulnerabilità esterne note e persino le credenziali compromesse disponibili per la vendita, o altro ancora.
Tutto questo può essere d’aiuto a un criminale informatico nel condurre un attacco altamente mirato ed efficace. La presenza di attacchi alimentati dai modelli CaaS implica l’importanza di bloccare gli avversari nella fase iniziale dei loro attacchi, ovvero durante la fase di ricognizione. La cybersecurity deception unita a un servizio di Digital Risk Protection (DRP), può aiutare le organizzazioni a conoscere il nemico e a ottenere un vantaggio, “ingannando” i criminali informatici per contrastare non solo i RaaS, ma anche i CaaS nella fase di ricognizione.
3) Il riciclaggio di denaro si trasforma in Money Laundering-as-a-Service (LaaS)
Per crescere, le organizzazioni criminali informatiche impiegano i cosiddetti “money mule” che, consapevolmente o inconsapevolmente, vengono utilizzati per contribuire al riciclaggio di denaro. Per evitare di essere scoperti, il trasferimento di denaro avviene in genere attraverso servizi di bonifico bancario anonimo o attraverso scambi di criptovalute. La creazione di campagne di reclutamento di money mule ha sempre richiesto molto tempo.
Cybercrime e Advanced Persistent Threat, attenzione a quei due
I criminali informatici inizieranno presto a utilizzare il machine learning (ML) per il reclutamento. Il che li aiuterà a identificare meglio i potenziali muli riducendo al contempo il tempo necessario per il reclutamento. Le campagne manuali saranno sostituite da servizi automatizzati, che sposteranno il denaro attraverso diversi livelli di scambio di criptovalute, rendendo così il processo più veloce e più difficile da rintracciare.
Il riciclaggio di denaro as-a-service (LaaS) potrebbe diventare rapidamente mainstream come parte del crescente portafoglio CaaS. Per le organizzazioni o gli individui che dovessero cadere vittime di questo tipo di crimine informatico, il passaggio all’automazione significa che il riciclaggio di denaro sarà più difficile da rintracciare, riducendo le possibilità di recuperare quanto sottratto.
Indizi sui metodi futuri
Guardare all’esterno di un’organizzazione per trovare indizi sui futuri metodi di attacco sarà più importante che mai, per prepararsi prima che gli attacchi abbiano luogo. I servizi DRP sono fondamentali per valutare la superficie di attacco vista dagli attori delle minacce esterne, per individuare e risolvere i problemi di sicurezza e per ottenere informazioni contestuali sulle minacce attuali e imminenti prima che avvenga un attacco.
4) Le città virtuali e i mondi online rappresentano nuove superfici di attacco per la criminalità informatica
Il metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e le città virtuali sono tra le prime a fare la comparsa in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato.
5) La commoditizzazione del malware Wiper consentirà attacchi più distruttivi
Il malware Wiper è tornato in auge nel 2022, con l’introduzione di nuove varianti di questo metodo di attacco vecchio di dieci anni. Secondo il Global Threat Landscape report del primo semestre 2022, redatto dai FortiGuard Labs, il malware di tipo “disk-wiping” è cresciuto in concomitanza con la guerra in Ucraina, ma è stato rilevato anche in altri 24 Paesi, non solo in Europa. La sua crescita è allarmante perché potrebbe essere solo l’inizio di qualcosa di più distruttivo.
Il malware wiper
Al di là dell’attuale realtà degli attori delle minacce che combinano un worm informatico con un malware wiper per ottenere il massimo impatto, la preoccupazione per il futuro è la commoditizzazione del malware wiper per i criminali informatici. Il malware che potrebbe essere stato sviluppato e distribuito da attori governativi potrebbe essere rilevato e riutilizzato da gruppi criminali e utilizzato nell’ambito del modello CaaS. Data la sua ampia disponibilità, il malware wiper potrebbe causare una distruzione massiccia in un breve periodo di tempo. Per questo motivo, il tempo di rilevamento e la velocità con cui i team di sicurezza possono rimediare sono fondamentali.
Utilizzare l’AI contro cybercrime e Advanced Persistent Threat
L’utilizzo di inline sandboxing con AI è un buon punto di partenza per proteggersi dalle minacce ransomware e dai malware wiper più sofisticati. Consente una protezione in tempo reale contro gli attacchi in evoluzione. Perché può garantire che solo i file benigni vengano recapitati agli endpoint, se integrato con una piattaforma di sicurezza informatica.
Cosa significano questi trend di attacco per i professionisti della sicurezza informatica
Il mondo del crimine informatico e i metodi di attacco dei malintenzionati in generale continuano a crescere a grande velocità. La buona notizia è che molte delle tattiche utilizzate per eseguire questi attacchi sono già note, il che consente ai team di sicurezza di proteggersi meglio da questi attacchi. Le soluzioni di sicurezza dovrebbero essere rafforzate con il machine learning (ML) e l’intelligenza artificiale (AI), in modo da poter rilevare i modelli di attacco e bloccare le minacce in tempo reale.
Tuttavia, un insieme di soluzioni di sicurezza specifiche non è efficace nel panorama odierno. Una piattaforma di sicurezza informatica di tipo mesh, ampia, integrata e automatizzata, è essenziale per ridurre la complessità e aumentare la resilienza della sicurezza. Può consentire un’integrazione più stretta, una migliore visibilità e una risposta più rapida, coordinata ed efficace alle minacce in tutto il perimetro della rete.
