Fossero solo più frequenti la situazione degli attacchi informatici sarebbe quasi gestibile solo potenziando le strategie già messe in atto e integrando tecnologie sempre più innovative man mano che vengono sviluppate, ma non è così. Alle soglie del 2022 ci si trova di fronte ad uno scenario di cybercrime sempre più variegato e che evolve a grande velocità. Tranne qualche eccezione, nessuno ha i fondi e il tempo per imbastire piani di protezione che coprano ogni possibile minaccia, è quindi necessario riconoscere quelle più probabili e pericolose per la propria organizzazione e focalizzare le risorse, in modo mirato, intelligente e strategico. È questo che Mandiant suggerisce di fare offrendo le proprie previsioni per i mesi a venire in cui vecchi e nuovi nemici si divideranno le vittime sfoggiando nuove tattiche e tecnologie.
Ransomware as a service evoluti e OT cyber attack protagonisti nel 2022
Ormai mainstream, il ransomware nel 2022 continuerà comunque a spaventare per via delle sue importanti e insidiose evoluzioni che lo rendono quasi un nemico ogni volta nuovo da affrontare. Mandiant ha individuate le dinamiche che ci si può aspettare di veder proseguire in futuro a partire dalla sempre più marcata focalizzazione sul guadagno che deve essere immediato e abbondante. È con questo criterio che la maggior parte degli hacker selezionano infatti le vittime, “fanno un vero e proprio scouting sul fatturato” spiega Gabriele Zanoni, Consultant Country Manager di Mandiant Italy, mettendo subito in chiaro che “a meno che non ci sia una rivoluzione tecnologica o che i governi non entrino a gamba tesa, il ransomware continuerà per molto perché favorito dai pagamenti in bitcoin e semplice da attuare”.
Per andare a colpo sicuro, gli attaccanti non si limitano più a cifrare i dati ma utilizzano più leve di ricatto pubblicando le informazioni rubate, avvisando l’intera filiera della vittima rispetto alla violazione attuata e arrivando perfino a raggiungere i dipendenti scontenti per ottenere insights preziosi in cambio di una percentuale del bottino.
Più sofisticati e “diabolici”, quindi, ma anche più difficili da tracciare per via della divisione dei compiti presente nel nuovo modello di ransomware as a service. Zanoni parla di “un panorama frammentato, in cui c’è chi compromette le credenziali aziendali, chi crea il malware, chi compra entrambi per poi attaccare le aziende – spiega – sono pagati a percentuale e litigano tra loro creando un ulteriore disagio alla vittima rendendo meno certo che a seguito di un pagamento i patti vengano rispettati”.
Il ransomware si conferma protagonista, ma non incontrastato: nelle previsioni per il 2022 di Mandiant infatti compare una nuova minaccia, il “Low sophistication OT attack”. Nel mirino ci sono gli impianti industriali e le loro tecnologie OT, gli aggressori in questo caso sono alle prime armi e stanno studiando la situazione ma, secondo Mandiant, “hanno capito che se attaccano le aziende con molti macchinari hanno una leva di ricatto maggiore perché bloccano la produzione, possono causare danni ingenti e persino minacciare vite umane, aumentando così le pressioni a cui sono sottoposte le organizzazioni nel pagare un riscatto”. La poca esperienza degli attaccanti viene compensata dagli scarsi livelli di protezione e di sensibilità del settore, non abituato ad essere vittima e proprio questo renderà gli attacchi all’OT un trend significativo nel 2022.
Deepfake e cyber outsourcing, Cina e Russia: tante e diverse minacce all’orizzonte
In secondo piano, ma non così tanto da poter essere trascurati, ci sono anche altri fenomeni che Mandiant ha identificato come pericoli in arrivo. Ecco i più imminenti
- Deepfake: oggi gli aggressori accedono facilmente a questa tecnologia e creano messaggi vocali per affinare attacchi di tipo BEC ( business email compromise), approfittando della quasi totale ingenuità dei più, ma anche per bypassare la multi factor authentication basata su sistemi di riconoscimento vocale o per rendere il social engineering più credibile.
- Cyber outsourcing: grazie alla collaborazione tra vendor, commercial contractor, fornitori di malware e freelance si avverte un miglioramento delle performance di attacco in termini di quantità, qualità e capacità di adattarsi ma i governi hanno iniziato a identificare e rendere noti i nomi dei singoli anelli della catena, etichettandoli come nemici e sperando che ciò faccia da deterrente.
- Cloud: l’impennata di adozioni, a seguito della pandemia, ha portato ad un incremento forte anche degli attacchi mirati a questo asset in cui la responsabilità della sicurezza è condivisa e proprio dal frequente mismatching tra task del provider e del cliente si creano numerose vulnerabilità
- IOT: non è tanto la proliferazione di questo tipo di device nei più diversi settori quanto il fatto che siano progettati per avere vita breve e quindi poca protetti che porta alla creazione di “voragini di vulnerabilità” previsti in forte aumento nei prossimi mesi
Oltre a questi nascenti trend, Mandiant suggerisce di tener d’occhio anche quegli Stati che si contendono i titoli di giornale a tema cybersecurity: Russia, Cina, Iran e Nord Corea. Seppur sempre più aggressivo, l’Iran resta focalizzato sull’area attorno ai propri confini attaccando aziende e organizzazioni che operano lì anche solo a fini di sabotaggio. Spaventa relativamente i Paesi Europei come anche il Nord Corea che, a seguito dell’embargo, agisce solo per avere un ritorno economico, spesso attaccando anche realtà impegnate nella lotta contro il Covid-19.
Nel 2022 resterà un Paese molto attivo e pericoloso la Russia, secondo Mandiant, con i suoi attacchi di spionaggio mirati contro i Paesi della Nato senza però smettere di bloccare centrali di energia elettrica e di danneggiare la supply chain come nel “lungo e silenzioso” caso SolarWinds. Affianco alla Russia, la Cina tornerà protagonista “rumorosa”: “la loro politica cyber segue il piano quinquennale di sviluppo, ha rallentato perché c’è stata una riorganizzazione – spiega Zanoni – nel 2022 riprenderanno supportando la Belt and Road initiative e puntando molto sul settore marittimo e sui porti con l’aiuto di contractor”.
Poco budget, tanti nemici: ai CISO italiani serve una scala di priorità
Russia e Cina sono anche per l’Italia i Paesi che preoccupano maggiormente per eventuali azioni di cyber spionaggio che però resteranno di bassa o moderata frequenza e intensità. Anche nel panorama nazionale prevarranno gli attacchi ransomware mirati al guadagno, sempre più numerosi e dannosi, mentre quelli di information technology o di attivismo non meritano la stessa attenzione.
Senza illudersi di essere fuori dalle mire degli hacker, come Italia è corretto sapere di essere al quarto posto nella classifica dei Paesi più attaccati stilata da Mandiant analizzando i dati pubblici presi dagli annunci di vendita di database rubati durante attacchi ransomware. Spiccano UK e Francia mentre la Germania come terza è vicina all’Italia, a seguire ci sono gli altri “in un ordine che si basa sulla ricchezza ma anche sulla vicinanza politica e culturale alla Russia” precisa Zanoni. Allo stesso modo la classifica per settori estratta dagli stessi dati, è basata non solo sul possibile introito che ogni verticale promette ma anche sulla sua capacità di proteggersi. Per ora in Europa il più preso di mira sembrerebbe il manufacturing – con molti asset industriali e di rete esposti – seguito da servizi legali e professionali, retail, costruzioni & engineering e Finance.
Dietro agli attacchi aziendali da parte dei criminali, Mandiant ha rilevato “un forte e crescente impegno nello studio dei business dei diversi settori per comprendere come fare danni strategici e farsi pagare tanto e velocemente”. Allo stesso modo dovrebbe funzionare per le potenziali vittime a cui servirebbe comprendere come giocano le proprie carte gli aggressori, quando e perché. Come fa infatti notare molto pragmaticamente Zanoni, “i budget per la sicurezza non sono infiniti, serve conoscere i nemici per capire le priorità e sviluppare servizi mirati”.
Technological neutrality e threat intelligence: così Mandiant rende le potenziali vittime più confident
Nella sua “veste aggiornata” dopo l’abbandono del nome FireEye, Mandiant è proprio su questo che agisce supportando le aziende con le informazioni su attaccanti, strategie, tecniche e geografie per sviluppare soluzioni professionali mirate, perché “tante sono le minacce ma per ogni singolo cliente ce ne sono solo alcune davvero rilevanti” spiega Zanoni.
Una delle particolarità con cui l’azienda si presenta anche sul mercato italiano è l’approccio completamente agnostico dal punto di vista della tecnologia, derivante dalla consapevolezza che “ormai tutti i clienti hanno adottato un buon parco di soluzioni tecnologiche per difendere perimetro, posta e dispositivi: quello che fa la differenza sono le competenze delle persone e dei partner e la threat intelligence”. Ad affermarlo è il Country Manager Italy di Mandiant Giancarlo Marengo spiegando come nei prossimi mesi sul nostro territorio questa azienda leader della cybersecurity “declinerà gli obiettivi della global corporation erogando soluzioni e servizi secondo tale modalità non solo per alzare il livello di sicurezza dei clienti ma per far sì che siano più confidenti della loro capacità di risposta a un evento, al di là della tecnologia implementata”.
Con il proprio agnosticismo tecnologico, Mandiant mira ad essere sempre più coinvolta dai clienti nei processi e nella stesura di piani pluriennali di cybersecurity e di sviluppare, a livello di business partnership, collaborazioni più trasparenti con system integrator e società di SOC esterni che mirano a ridurre i tempi di analisi dei log a beneficio ai loro clienti.
Ascoltando i CISO, il team italiano si è fatto un’idea delle priorità per il 2022, anno in cui le preoccupazioni saranno rivolte soprattutto a ransomware e frodi. “Nel secondo caso si tratta di attacchi contro la supply chain molto sofisticati ma spesso ancora troppo poco considerati – spiega Marengo – gli hacker entrano nell’ambiente della vittima e vi restano attivandosi solo in caso di segnalazioni di trasferimenti di denaro. Mettono in campo accurate strategie di impersonificazione per dirottare altrove somme di denaro destinate al cliente, per proteggersi serve una soluzione di threat intelligence che in base agli episodi già noti aiuti il cliente a rispondere e ridurre l’impatto e il danno economico”.
Ciò che in generale però i CISO italiani chiedono secondo Mandiant è un cyber defense center basato su tre elementi: competenze, per migliorare la capacità di threat hunting, minori tempi di analisi log, per supportare chi opera in un SOC, e tanta attività di intelligence.
Mandiant risponde con i suoi tre pillar: Expertise (oltre 200mila ore all’anno di incident response su oltre 1000 casistiche), Threat Intelligence (300 analisti in 26 nazioni) e Tecnologia (7,6 milioni di ore uomo risparmiate in 12 mesi grazie a intelligenza artificiale e machine learning) operando nel 99% dei casi da remoto con tempi di risposta dalle 2 alle 4 ore per ridurre rischi e danni. Come? Con interventi sia emergenziali che strategici.
“In caso di potenziale data breach, se ingaggiati per investigazione, agiamo con il gruppo di incident response rilasciando un report dettagliato con informazioni su ciò che è stato trovato e indicazioni per evitare che in futuro si ripeta l’attacco – spiega Marengo – ma effettuiamo anche attività preventiva e strategica per ragionare su possibili soluzioni di threat intelligence e su come riduzione il tempo speso per le analisi dei log. Servono infatti soluzioni che fanno lo screening di tutto quello che avviene e selezionano solo gli elementi che possono rappresentare un rischio per un certo tipo di azienda e di mercato, per permettere alle risorse umane all’interno dei SOC di concentrarsi solo sui rischi più importanti”.
