In un ecosistema cybercriminale estremamente fluido non possono essere le aziende a irrigidirsi. Sarà uno sguardo largo a renderle davvero capaci di difendersi? Di certo, una lettura più olistica dei fenomeni aiuterà, a fronte di un quadro che continua a peggiorare, sia in termini di aumento della velocità degli attacchi (il tempo di evasione è diminuito a soli 62 minuti dagli 84 dell’anno precedente) che di crescita numerica degli avversari.
La decima edizione del rapporto annuale di Crowdstrike, Crowdstrike Global Threat Report 2024, non offre spunti consolatori ma al tempo stesso invita le imprese a concentrarsi più sulle dinamiche di fondo che sulle buzzword del momento.
Un esempio per tutti? L’utilizzo dell’AI generativa. Resta un tema di forte interesse, costituisce un tool che abbassa le barriere di ingresso al fine di realizzare operazioni più sofisticate ma, è il report ad affermarlo, è ancora difficile valutarne con sicurezza l’effettiva portata di utilizzo.
A non poter essere sottovalutata, invece, è la crescita dei nuovi avversari sulla ribalta internazionale e al contempo l’evoluzione degli attaccanti, come dimostra il caso di quelli che mirano al cloud: diventano sempre più consapevoli e sfruttano talora tecnologie di frontiera per colpire meglio.
Lo stato dell’arte
Nel corso del 2023, CrowdStrike CAO (Counter Adversary Operations, ndr) ha tracciato 34 nuovi avversari, incluso uno a trazione egiziana – prende la denominazione di Watchful Sphinx- portando il numero totale di attori schedati a 232. Oltre 130 sono invece i cluster operativi volti ad attività dannose rilevati su scala globale.
Sarebbe sbagliato però osservarli a compartimenti stagni (eCrime, attori supportati da Stati-nazione, hacktivisti), come conferma a ZeroUno Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike. “Per noi è fondamentale cercare di fare attribuzione degli attacchi quando possibile, perché riteniamo che il comportamento di questi attaccanti sia in qualche modo replicato e replicabile. Capire gli indicatori di attacco che lasciano è fondamentale per difendersi e proteggersi. I panorami di distribuzione vedono chiaramente una maggioranza di gruppi criminali venire dall’est dell’Europa o del mondo (Russia, Cina, India, Turchia) molto forti nel furto di credenziali. Ma pensiamo all’ecosistema criminale come un ambito con delle specializzazioni, in cui individuiamo tre principali aree: gruppi criminali che danno servizi agli attaccanti; gruppi che danno la distribuzione dell’attacco; gruppi che aiutano nella monetizzazione”.
Proprio come in un’azienda o in un’organizzazione criminale, anche i gruppi di pirati informatici usano sistemi di affiliazione.
“Per noi l’attribuzione è molto utile anche quando si parla di threat intelligence” prosegue Livrieri. “Sapere che uno specifico gruppo criminale sta facendo un’intrusione interattiva in un settore finanziario in Nord America spinge poi a declinare il caso, a parità di soggetto, anche nel contesto italiano, per capire come rendere operativa l’informazione nel quotidiano. Ecco, quindi, l’importanza della nostra mappatura e dei dati”.
Crescono ancora le intrusioni interattive
La confusione sotto il cielo è grande, posto che distinguere i comportamenti malevoli da quelli leciti diventa sempre più difficile. Il rapporto conferma infatti che a rendere particolarmente allarmanti le minacce informatiche attuali è proprio la loro natura di intrusioni interattive o hands on. Non a caso, infatti, spicca in tal senso un marcato aumento (+60%) su base annua. Il settore tecnologico, a livello globale, è stato quello preso di mira più frequentemente dalle attività di intrusione interattiva, seguito da telecomunicazioni e finanza.
Ma se il report evidenzia un aumento degli avversari specializzati nell’utilizzo di credenziali e identità rubate, da quali attori in particolare bisognerà guardarsi le spalle? Per tutto il 2023, ad esempio, il Russia-Nexus FANCY BEAR ha condotto regolari campagne di raccolta credenziali. A contraddistinguersi per l’uso di phishing tramite SMS e di vishing (phishing vocale) anche l’attaccante Scattered Spider.
“Ci riguardano tutti e tutti dappertutto – sottolinea il manager- perché l’ecosistema è estremamente fluido e gli attaccanti parlano continuamente fra loro. L’esempio di Scattered Spider, distintosi per attacchi in modalità avanzata alle infrastrutture cloud (ha rappresentato, afferma il report, il 29% dei casi totali – ndr) è un tipo di attacco che poi è stato chiaramente replicato e copiato anche in infrastrutture italiane ed europee. Questi attaccanti fanno scuola e fanno letteratura. Questo non significa che improvvisamente infrastrutture come AWS, Azure e Google Cloud siano diventate meno sicure, ma è lo sguardo dell’attaccante che sta andando lì”.
Per quanto riguarda invece gli attori, dallo scoppio della guerra russo-ucraina c’è stata una convergenza dei gruppi e-crime e nation state per quanto riguarda le finalità. I governi e gli attacchi filo governativi si sono avvalsi, fenomeno che sta continuando ancora oggi, di gruppi criminali per effettuare attacchi con funzionalità politica. “All’inizio della guerra russo ucraina il Gruppo Conti, che si dice che sia stato dismesso praticamente nella sua totalità, fu assoldato dal governo russo per effettuare attacchi di tipo informatico sulle infrastrutture ucraine. In seguito, si sono registrati anche casi di attacchi diretti all’Italia e ai governi filo-Kiev” sottolinea Livrieri.
Per quanto riguarda la Cina, c’è una lettura sul fronte della proprietà intellettuale, ma anche il tema dello sfruttamento delle relazioni di trust tra i vari vendor e i vari servizi, con l’utilizzo di malware o di attacchi mirati alla supply chain, estremamente potenti e distruttivi. “Quando si utilizza un attacco che va a minare la fiducia del fornitore si riesce a raggiungere un numero molto ampio di destinatari. Come nell’esempio dell’attacco StellarParticle, si va a colpire l’aggiornamento software che le aziende utilizzano. Ricevo un aggiornamento sulla macchina e il pacchetto che scarico è malevolo, ma non ho (a monte – ndr) una sensazione di pericolo. Nel report citiamo il caso che vede protagonisti Jackpot Panda e Cascade Panda, che hanno utilizzato terze parti per effettuare attacchi di tipo actor in the middle” prosegue il manager di CrowdStrike.
Nonostante siano note le due modalità principali con cui vengono condotti questi attacchi, passando dalla compromissione della catena di fornitura del software o dallo sfruttamento dell’accesso di chi fornisce servizi IT, le aziende continuano a subire: come mai fanno ancora fatica a difendersi?
“Le aziende sono molto distribuite, molto integrate. Spesso non ci sono regole molto chiare nella scelta dei fornitori di terze parti. Capire le caratteristiche che i fornitori dovrebbero avere è un lavoro molto oneroso e importante che le aziende dovrebbero fare, ma non tutte lo fanno” spiega Livrieri
Tra i fattori di continuità che emergono nel report, anche l’aumento degli attacchi alla nuvola. Il rapporto indica infatti che le intrusioni nel cloud crescono complessivamente del 75%, mentre il numero di gruppi criminali con delle specializzazioni negli attacchi cloud è aumentato del 110% rispetto all’anno precedente.
Se l’artificial intelligence fa il lavoro sporco
Ma l’attacco alle infrastrutture cloud costituisce anche un angolo di osservazione privilegiato di altri fenomeni. Un esempio? Il report cita il caso Indrik Spider, protagonista di un’esfiltrazione di credenziali dal servizio cloud-based Azure Key Vault. Nell’ambito dell’interazione con Azure Portal, Indrik Spider ha visitato ChatGPT al fine di colmare lacune conoscitive, “presumibilmente per capire come navigare in Azure”.
Un altro aspetto di cui preoccuparsi guardando all’AI generativa, quindi, mentre più lontani appaiono gli scenari in cui gli attaccanti arrivano a sviluppare propri modelli o strumenti di intelligenza artificiale generativa. In questo caso, a scoraggiare, incide anche il tema dei costi.
Tuttavia, per il manager di Crowdstrike, il tema dell’impatto dell’Ai generativa ai fini dei cyberattacchi va guardato con attenzione ma, al momento, con un’attitudine più laica. “Quello di Indrik Spider è un caso molto interessante” conferma Livrieri. “Effettivamente si capisce che gli stessi attaccanti utilizzano l’AI generativa per avere più know how e conoscenze. In questo senso l’intelligenza artificiale generativa è un supporto che consente ai gruppi criminali, anche di più basso livello, di effettuare attacchi sofisticati. Questa può essere una prima chiave di lettura. Nei nostri laboratori abbiamo anche fatto dei test per provare a chiedere all’AI generativa di generare tool malevoli. Nei primi 3, 4, 5 tentativi, su richiesta esplicita, risponde che non è possibile”.
“Poi siamo riusciti, più per esercizio accademico che altro, a generare dei codici che facevano obfuscation e facevano attività malevole” prosegue. “Quindi, dove è che l’AI generativa può funzionare molto bene? Nella creazione di attività di script per attività massive. Sicuramente, contribuirà sempre di più ad aumentare la velocità dell’attacco. Sul fronte di una modellizzazione dell’AI generativa da parte degli attaccanti, si tratterebbe di una tendenza veramente molto pericolosa. Attualmente, il livello dell’AI generativa sugli attacchi è ancora medio-basso. Se invece si popolasse questo modello con un know how di livello molto più ampio, gli attacchi diventerebbero molto più sofisticati e più veloci. Chi potrebbe sfruttare di più questo approccio? I cosiddetti gruppi spider (specializzati in attacchi ransomware – ndr) sono quelli più interessati per motivi di profittabilità”.
Nel 2023, l’azienda ha lanciato CrowdStrike Counter Adversary Operations, unificando CrowdStrike Falcon®Intelligence e CrowdStrike® Falcon OverWatch™. “Averli unificati ci dà molta velocità nell’attribuzione, nella verifica di attacchi o indicatori di attacco che vediamo su un cliente e che possiamo in modalità veloce replicare su tutto il nostro install base. Chiaramente i team di entrambi – uno più teorico, estremamente avanzato, che studiava l’ecosistema degli avversari, e l’altro che verificava il day by day- parlavano continuamente anche prima. Al di là dei tecnicismi, l’outcome è proteggere in modalità più efficace, più diffusa, rispetto alla superficie d’attacco. Parliamo di protezione del perimetro aziendale ovunque esso si declini” conclude Luca Nilo Livrieri.
