Previsioni sulle minacce per il 2022 di Trellix

Nel 2021 ransomware, stati, social media e la diffusione del telelavoro hanno fatto notizia, dimostrando che i criminali informatici continuano a essere all'altezza della sfida in ogni circostanza. Aggirano le difese sotto gli occhi dei team di sicurezza e ogni attacco di successo aumenta la loro fiducia, spingendoli ad essere sempre più audaci e a creare emulatori.

Abbiamo constatato l'impatto della loro determinazione e il loro successo li sta chiaramente incoraggiando a spingere sull’acceleratore. In effetti, la richiesta media di riscatto è aumentata da 5.000 dollari nel 2018 a circa 200.000 dollari nel 2020. Questo sbalorditivo salto del 3.900% in soli due anni dimostra la capacità di creare danni ogni volta che un attacco ha successo. Dopotutto, sembra logico voler continuare a raccogliere i frutti del proprio lavoro.

Questo successo è dovuto soprattutto alla grande capacità di adattamento. In altre parole, la perseveranza paga. I criminali informatici agiscono come un'entità vivente con notevole tenacia, sapendo che le aziende faranno tutto il possibile per preservare la continuità aziendale.

“Nell'ultimo anno, i criminali informatici hanno adattato in modo rapido ed efficace le loro strategie di attacco, dal ransomware agli attacchi sponsorizzati dallo stato. E questa tendenza dovrebbe continuare nel 2022,” afferma Raj Samani, capo analista e ricercatore di Trellix. “Man mano che il panorama delle minacce si evolve e la pandemia continua ad avere un impatto, è fondamentale che le aziende tengano il passo con le tendenze della sicurezza informatica in modo da essere proattive e agire per proteggere le loro informazioni.”

Per superare in astuzia i criminali informatici e invertire la tendenza di aumento degli attacchi e delle violazioni anno dopo anno, la sicurezza deve imparare dalle loro tattiche rimanendo sempre attiva e adattabile per stare al passo. Di seguito, ingegneri e architetti della sicurezza esperti di Trellix spiegano perché questo cambiamento di mentalità e approccio è essenziale nel 2022.

Lazarus ti invita a unirti alla sua lista di amici

Gli stati sfrutteranno i social media per prendere di mira un maggior numero di dipendenti aziendali
di Raj Samani

Amiamo i social media. Dalle faide tra pop star e critici professionisti, a un canale aperto che offre l'accesso ai migliori lavori del settore.

Ma indovina un po?

I criminali informatici lo sanno e sfruttano la nostra propensione ad accettare connessioni o richieste di amicizia da persone che non abbiamo mai incontrato nella speranza di raggiungere i prossimi mille follower.

È così che alcuni dirigenti sono stati presi di mira da alcuni gruppi di criminali informatici con promesse di lavoro. E perché no? In effetti, è il metodo più efficace per aggirare i tradizionali controlli di sicurezza e comunicare direttamente con i propri obiettivi all'interno delle aziende che li interessano. Allo stesso modo, i messaggi diretti sono stati utilizzati da alcuni gruppi per assumere il controllo degli account degli influencer per promuovere i propri messaggi.

Questo approccio non è nuovo ed è comune quasi quanto i canali di comunicazione alternativi. Dopotutto, è necessario un lavoro di ricerca per stabilire un contatto con il proprio obiettivo e la creazione di profili falsi richiede uno sforzo maggiore rispetto alla ricerca di un canale di comunicazione aperto da qualche parte su Internet. Detto questo, prendere di mira persone specifiche si è dimostrato molto efficace e prevediamo che l'uso di questo vettore potrebbe espandersi non solo tra i gruppi di spionaggio informatico, ma anche tra gli altri criminali informatici che cercano di infiltrarsi nelle aziende a proprio vantaggio.

Offerte di lavoro: criminali informatici con benefici

Gli Stati intensificheranno le loro offensive assumendo criminali informatici
di Christiaan Beek

Incentrato sulla threat intelligence strategica, il nostro team non solo monitora le attività dannose, ma analizza e monitora anche le informazioni provenienti da una varietà di fonti pubbliche per comprendere meglio l'attività delle minacce in tutto il mondo, compreso il collegamento sempre più frequente tra le operazioni dei criminali informatici e quelle sponsorizzate dallo stato.

In molti casi si crea una start-up e tutta una serie di società di comodo o società “tecnologiche” esistenti vengono coinvolte in operazioni dirette e controllate dalle agenzie di intelligence dei paesi interessati.

Nel maggio 2021, ad esempio, il governo degli Stati Uniti ha incriminato quattro cittadini cinesi che lavoravano per società di proprietà dello Stato cinese. Queste società di facciata hanno consentito agli hacker di creare malware e attaccare obiettivi interessanti per ottenere informazioni aziendali, segreti commerciali e informazioni su tecnologie sensibili.

Queste tattiche non sono applicate solo dalla Cina, ma anche da altri stati come Russia, Corea del Nord e Iran. Assumono hacker per operazioni mirate, chiudendo un occhio sulle loro altre attività purché non danneggino gli interessi del loro paese.

Mentre in passato famiglie specifiche di malware erano collegate a gruppi di criminali informatici sponsorizzati dallo stato, le linee di demarcazione sono molto più sfocate quando gli hacker vengono assunti per scrivere il codice ed eseguire queste operazioni.

La violazione iniziale, ottenuta utilizzando tattiche e strumenti tradizionali, potrebbe essere simile alle “ordinarie” operazioni di criminalità informatica, ma è importante monitorare ciò che accade dopo e agire rapidamente. Con la previsione che i criminali informatici e gli hacker sponsorizzati dallo stato si uniranno gradualmente nel 2022, le aziende farebbero bene a monitorare la loro visibilità e imparare dalle tattiche e dalle operazioni implementate dai malintenzionati che prendono di mira il loro settore.

Lotta d'influenza tra gli operatori di ransomware

Come i gruppi autonomi di criminali informatici cambieranno l'equilibrio di potere all'interno dell'ecosistema RaaS
di John Fokker

Per diversi anni, gli attacchi ransomware hanno fatto notizia e sono stati pubblicizzati come le minacce informatiche più devastanti. Il modello RaaS (Ransomware-as-a-Service) dell'epoca ha aperto la strada a criminali poco qualificati che si è tradotto in un aumento del numero delle violazioni e maggiori profitti.

Per molto tempo, gli amministratori e gli sviluppatori RaaS sono stati visti come obiettivi principali e gli affiliati sono stati trascurati perché considerati meno capaci. Questa situazione, combinata con l'assenza di interruzioni nell'ecosistema RaaS, ha creato un ambiente in cui questi affiliati meno qualificati hanno potuto affinare le proprie capacità per diventare criminali informatici esperti in grado di sviluppare e implementare i propri ransomware.

In risposta all'attacco contro Colonial Pipeline, i forum dei criminali informatici più attivi hanno vietato agli operatori di ransomware di promuovere i loro prodotti. Adesso, i gruppi RaaS non hanno più una piattaforma di terze parti su cui possono reclutare attivamente, mostrare il loro grado di anzianità, offrire un deposito di garanzia, far testare i loro codici binari da moderatori o risolvere controversie. Questa mancanza di visibilità rende più difficile per i gruppi RaaS stabilire o mantenere credibilità e complica per gli sviluppatori RaaS mantenere la loro posizione dominante nei mercati clandestini.

Questi eventi minano la loro posizione di fiducia. Il ransomware ha generato miliardi di dollari negli ultimi anni ed è solo questione di tempo prima che alcune persone che sentono di non ottenere la loro giusta quota mostrino il loro disappunto.

I primi segnali di questo fenomeno sono già visibili, come descritto nel nostro post sul blog dedicato al gruppo Groove, un gruppo di criminali informatici che si è allontanato dai tradizionali RaaS per specializzarsi in attacchi CNE (Computer Network Exploitation), esfiltrazione di dati sensibili e, se promettono di essere redditizie, collaborazioni con un operatore di ransomware per crittografare la rete aziendale.

Nel 2022, ci si aspetta che emergano nuovi gruppi di criminali informatici autonomi che sposteranno gli equilibri di potere all'interno dell'ecosistema RaaS da quelli che controllano i ransomware a quelli che controllano le reti delle vittime.

Ransomware per principianti

Gli operatori meno qualificati non dovranno piegarsi di fronte al potere associato al modello RaaS
di Raj Samani

L'ecosistema RaaS (Ransomware-as-a-Service) si è evoluto attraverso l'utilizzo di affiliati, ovvero intermediari che collaborano con gli sviluppatori per ottenere una quota dei profitti. Sebbene questa struttura si sia consolidata durante l'ascesa di GandCrab, stiamo vedendo emergere tensioni in questo matrimonio tutt’altro che perfetto.

Storicamente, gli sviluppatori di ransomware erano i maestri del gioco, poiché potevano scegliere essi stessi gli affiliati che partecipavano alle loro operazioni, arrivando al punto di organizzare “colloqui di lavoro” per determinare le competenze tecniche dei potenziali partner. Grazie all'ingresso di nuovi attori nel mercato, riteniamo che gli affiliati più talentuosi possano ora offrire i propri servizi al miglior offerente per ottenere una quota maggiore dei profitti, e forse richiedere un maggiore controllo nelle operazioni.

Ad esempio, l'introduzione dell'enumerazione di Active Directory nel ransomware DarkSide potrebbe essere intesa a rimuovere la dipendenza dalla competenza tecnica degli affiliati. Queste modifiche segnalano un potenziale ritorno ai primi tempi del ransomware, come dimostra la crescente domanda di operatori meno qualificati che si affidano alle competenze codificate dagli sviluppatori nel ransomware.

Funzionerà? Francamente, sarà difficile replicare l'esperienza tecnica di un penetration tester esperto e forse, ma solo forse, l'impatto non sarà così grande come nei casi recenti.

Tieni d'occhio le API

Il traffico 5G e IoT tra applicazioni e servizi basati su API li renderanno obiettivi sempre più redditizi
di Arnab Roy

I criminali informatici prestano molta attenzione alle statistiche e alle tendenze negli ambienti aziendali per identificare servizi e applicazioni con un potenziale di rischio maggiore. Le applicazioni cloud, indipendentemente dalla loro forma (SaaS, PaaS o IaaS), hanno trasformato il modo in cui le API sono progettate, utilizzate e gestite dagli sviluppatori di software, sia in uno scenario B2B che B2C. La portata e la popolarità di alcune di queste applicazioni cloud, così come la ricchezza di dati e le funzionalità mission-critical che in genere si nascondono dietro queste API, le rendono obiettivi redditizi per i criminali informatici. Anche la natura connessa delle API introduce potenzialmente ulteriori rischi per le aziende, poiché diventano un vettore di ingresso per attacchi alle supply chain più grandi.

Ecco alcuni dei principali rischi che prevediamo: 1. Configurazione errata delle API 2. Sfruttamento dei moderni meccanismi di autenticazione 3. Evoluzione degli attacchi malware tradizionali per sfruttare ulteriormente le API cloud 4. Abuso delle API per lanciare attacchi ai dati aziendali 5. L'uso delle API per l'infrastruttura definita dal software è sinonimo anche di un potenziale abuso.

Per gli sviluppatori, la creazione di un modello di minacce efficace per le loro API e l'implementazione di un meccanismo di controllo degli accessi Zero Trust dovrebbe essere una priorità, insieme a sistemi di sicurezza efficaci per una registrazione e una telemetria di sicurezza efficaci, per una risposta agli incidenti e il rilevamento di usi dannosi più efficienti.

Il dirottamento dei container delle applicazioni

L'utilizzo esteso dei container porterà all’acquisizione del controllo delle risorse degli endpoint
di Mo Cashman

I container sono oggi la piattaforma di riferimento per le moderne applicazioni cloud. Le aziende vedono vantaggi come portabilità, efficienza e velocità che possono ridurre i tempi di implementazione e gestione delle applicazioni che promuovono l'innovazione aziendale. Tuttavia, il maggiore utilizzo di container aumenta la superficie di attacco di un'azienda. Quali tecniche dovrebbero essere monitorate e quali gruppi sono a rischio quando si tratta di container? Lo sfruttamento delle applicazioni pubbliche (MITRE T1190) è una tecnica comune utilizzata dai gruppi ATP e di ransomware. La CSA (Cloud Security Alliance) ha identificato diversi gruppi di rischio relativi ai container, inclusi Immagine, Orchestrator, Registro, Container, Sistema operativo host e Hardware.

Ecco alcuni dei principali gruppi di rischio che riteniamo saranno soggetti a un maggiore sfruttamento in futuro: 1. Orchestratore: aumento degli attacchi contro il livello di orchestrazione, come Kubernetes e l’API correlata, sfruttando principalmente le configurazioni errate. 2. Immagine o registro: utilizzo crescente di immagini dannose o backdoor, a causa di controlli di vulnerabilità insufficienti. 3. Container: aumento degli attacchi alle applicazioni vulnerabili. Il maggiore sfruttamento nel 2022 delle suddette vulnerabilità potrebbe portare al dirottamento delle risorse degli endpoint da parte del malware di cryptomining, all'insediamento a lungo termine di altre risorse, al furto di dati, alla creazione di minacce a lungo termine e alla fuga di container verso i sistemi host.

Queste inevitabili minacce zero-day

Il tempo necessario per trasformare le vulnerabilità in exploit funzionanti si misurerà in ore e non c'è niente da fare... tranne applicare una patch
di Fred House

Il 2021 viene già considerato uno degli anni peggiori mai registrati per il volume di vulnerabilità zero-day sfruttate negli ambienti del mondo reale. La grandezza di questi exploit, la diversità delle applicazioni prese di mira, ma anche le conseguenze per le aziende sono state notevoli. Guardando al 2022, riteniamo che questi fattori porteranno a un'accelerazione della velocità di risposta delle aziende.

Quando nel 2020 è emerso che circa 17.000 clienti SolarWinds erano stati compromessi e un'altra quarantina erano stati successivamente presi di mira, molti sono rimasti scioccati dall’entità della violazione. Purtroppo, l'anno 2021 è stato segnato da un aumento significativo del volume degli attacchi e da tempi di risposta che non sono incoraggianti per le aziende. Un esempio: due settimane dopo il rilascio di una patch per ProxyLogon, Microsoft ha riferito che 30.000 server Exchange erano ancora vulnerabili (secondo stime meno ottimistiche, la cifra sarebbe pari a 60.000).

Un secondo evento ha poi colpito Exchange nel corso dell'anno sotto forma di ProxyShell. In agosto, una presentazione alla conferenza Black Hat che illustrava in dettaglio le vulnerabilità di Exchange Server è stata seguita il giorno successivo dalla pubblicazione di un PoC che sfruttava queste vulnerabilità, che erano state tutte corrette da Microsoft diversi mesi prima, ad aprile/maggio. L'analisi dei dati acquisiti da Shodan una settimana dopo il rilascio del PoC ha concluso che più di 30.000 server Exchange erano ancora vulnerabili, evidenziando al contempo che i dati potrebbero aver sotto rappresentato l'entità del problema (in quanto Shodan non aveva avuto il tempo di analizzare Internet nel suo complesso). Riassumendo: correzione in primavera, sfruttamento in autunno.

Quali conclusioni possiamo trarre? Ci si può aspettare che criminali informatici e ricercatori di sicurezza continueranno ad affilare le loro armi fino a quando il tempo di risposta sarà così breve che exploit funzionali e PoC saranno disponibili entro poche ore dalla divulgazione della vulnerabilità. D'altra parte, il peggioramento delle conseguenze di una violazione porterà probabilmente a una maggiore diligenza nella gestione degli asset e delle patch. Che si tratti dell’identificazione delle risorse accessibili pubblicamente o dell'implementazione rapida delle patch nonostante la potenziale interruzione dell'attività, le aziende si adopereranno per ridurre al minimo i tempi di applicazione delle patch. Gli exploit ad alto impatto non scompariranno, ma la loro portata diminuirà man mano che le aziende riconosceranno che una migliore protezione può essere ottenuta con una sicurezza che può imparare e adattarsi più velocemente e più efficacemente dei criminali informatici che tentano di infiltrarsi.