Crescita continua e in continuità, quella delle minacce informatiche, con trend fluidi, capaci di aggiornarsi tempestivamente, e altri evergreen che funzionano in ogni contesto. Anche in quello di un imprevedibile conflitto geopolitico.
Questa è la fotografia del cybercrime scattata da Cisco, basandosi sui set di telemetria raccolti da Talos. Un’immagine articolata in cui non emergono prepotentemente nuove tendenze ma si conferma il sospetto che “il diavolo si nasconda nei dettagli”.
Dai tool dual-use alle USB: non si abbandona ciò che funziona
Una tipologia di strumenti che da sempre aiuta i criminali informatici a sfuggire ai monitoraggi è quella dei dual-use tool. Sono legittimamente utilizzati anche dai team di sicurezza offensivi e, garantendo l’anonimato, rendono quasi impossibile l’attribuzione di un attacco a un particolare gruppo.
Le TTP che fanno leva sui dual-use tool, nel 2022, mostrano una grande varietà. Il più amato nel mondo del cybercrime è stato inizialmente Cobalt Strike, con un + 10% di avvistamenti già da gennaio.
Le contromisure difensive intraprese hanno poi spinto l’uso di altri framework offensivi come Brute Ratel e Silver. Il primo, progettato per evitare il rilevamento da parte di EDR e antivirus, è diventato particolarmente preoccupante da quando il toolkit è stato violato e condiviso gratuitamente su diversi forum di cyber criminali. Silver nel 2022 ha concentrato la sua pericolosità a marzo, supportando un attacco ransomware Conti che sfruttava Log4j per l’accesso iniziale.
Nel report Cisco spuntano quest’anno anche due nuovi framework offensivi chiamati “Manjusaka” e “Alchimist“. Entrambi eseguibili autonomamente, basati su GoLang, e facilmente distribuibili, sono stati utilizzati in oltre il 50% dei casi per l’accesso e la raccolta di credenziali.
Altri strumenti, non nuovi, ma che hanno comunque conquistato un ruolo di primo piano nello scenario di cybersecurity 2022 sono i LoLBin. Funzioni legittime, ma anche molto utilizzate in combinazione con malware, per aumentare le possibilità di non essere individuati. In questa categoria, spicca PowerShell, a cui sono legate 4 delle 25 firme di BP più attive, soprattutto nell’installazione di adware, nel download di miner di criptovalute o nello sfruttamento di vulnerabilità software. Il 75% delle operazioni di ransomware osservate sono però associate a PsExec di Microsoft.
A far apparire il report Cisco “quasi vintage” è il dato relativo all’aumento degli attacchi USB riportati. Hanno confermato la loro efficacia nel trasmettere infezioni malware e i criminali informatici nel 2022 hanno continuato a utilizzarle. Questo ha favorito alcune famiglie di malware (Sality e PlugX) e attirato l’attenzione di gruppi APT come Transparent Tribe (Pakistan) e Lazarus Group (Corea del Nord).
Quel dinamismo tra player ransomware che disorienta
I ransomware hanno rappresentato nel 2022 un quinto delle minacce rilevate, mostrando un curioso calo nel secondo trimestre, un momento di “distrazione” per via della guerra tra Russia e Ucraina. Gli autori di questo genere di attacchi hanno preferito cogliere le nuove opportunità geopolitiche con un dinamismo a cui è necessario abituarsi.
In questo panorama, infatti, non esistono più né silos né iter standard: tutto è in continua evoluzione. Il quadro registrato da Cisco mostra l’emergere di nuovi gruppi di ransomware-as-a-service (RaaS) e il re-branding di quelli esistenti. In comune, una forte preferenza per il settore dell’istruzione, il principale bersaglio verticale nel 2022.
Il gruppo RaaS più attivo è stato LockBit, con oltre il 20% del numero totale di post di vittime del dark web, mentre Hive è stata la principale famiglia di ransomware osservata, seguita da Vice Society e Conti. Cessate le attività e quasi totalmente scomparso a giugno, quest’ultimo sembrerebbe essere tornato in scena come Black Basta.
Il dinamismo della “community” ransomware non si spiega solo con le entrate e le uscite di vari player. Al suo interno esiste una perenne condizione di attrito, acuita nel 2022 dal conflitto che ha obbligato ogni membro a schierarsi pro-Russia o pro-Ucraina. C’è in corso anche una sempre più feroce competizione tra RaaS per garantirsi i migliori talenti. Anche nel dark web scarseggiano competenze medio alte, spesso cercate anche nelle community open source.
Gli attacchi “comodi” di metà anno, attesi anche nel 2023
Il fermento nel mondo ransomware non farà che intensificarsi nel 2023, secondo Cisco, proprio come il già alto numero di minacce commodity malware rilevate (20%). Non personalizzati, “a buon mercato”, facili da reperire anche gratuitamente: questi attacchi hanno costituito la maggiore minaccia per la sicurezza informatica fra aprile a giugno. Non chiedendo grosse cifre, non fanno notizia ma possono creare danni ingenti, penetrando in tutti i settori e in qualsiasi area geografica.
I più attivi del 2022 – Qakbot, Emotet, IcedID e Trickbot – sono tutti “ex” trojan bancari, oggi così sofisticati da saper sfruttare catene di attacco multifase ed evolvere in continuazione. Al momento operano con funzioni modulari per garantire flessibilità e agilità a chi li utilizza, combinandoli con strumenti open source e malware di nuova generazione.
Qakbot nel corso dell’anno ha arricchito la propria gamma di strumenti con “esche” di social engineering, link e allegati di file, incorporando anche nuovi payload, come Black Basta e Brute Rate. Emotet ha alternato picchi episodici di attività e periodi di inattività dopo il suo smantellamento del 2021, segnalando che non intende ritirarsi definitivamente. Icedid ha continuato a prendere di mira il settore finanziario, rubando dati, ma si è ampliata la gamma di TTP con cui si è presentato. Trickbot ha diminuito la sua attività nel corso dell’anno, ma nessuno crede in una sua definitiva scomparsa. Storicamente è sempre riemerso a sorpresa, ed è ciò che potrebbe accadere anche nel 2023. L’ennesima possibilità di cui tener conto in uno scenario di cyber minacce che non presenta più categorie rigide e trend indiscutibili. È diventato anch’esso fluido e ricco di incertezze e imprevisti, sia per chi attacca, sia per chi cerca di difendersi.
