Chi nel 2020 pensava di avere a che fare solo con il Coronavirus, ha preso un bel granchio! Sfruttando l’epidemia in corso, ben altre “infezioni” si sono diffuse enormemente e silenziosamente, entrando nelle vite di milioni di lavoratori e di altrettante aziende: si tratta dei “virus informatici”.
La definizione è certo impropria, poiché in questo campo gli attacchi possono avvenire anche attraverso tipologie diverse di programmi dannosi. Tuttavia, il termine generico “virus” ci è utile per sottolineare lo stretto legame in atto tra la pandemia da Sars-CoV-2 e l’evoluzione delle minacce informatiche. Relazione che per molte aziende e utenti privati non è affatto scontata e della quale è bene essere consapevoli.
Quale legame può esserci tra il flagello che sta colpendo l’intero Pianeta e i cyber attack? E da cosa dovranno difendersi le organizzazioni aziendali e produttive nei prossimi mesi?
Per avere risposte certe e previsioni circostanziate sul panorama delle minacce informatiche per il 2021, abbiamo incontrato un esperto in Cyber Security: Giampaolo Dedola, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Come il Coronavirus ha cambiato lo scenario del cyber crime
“Dal punto di vista dell’espansione del cybercrime e della sofisticazione dei software dannosi – spiega Dedola – il Covid ha avuto un’importanza fondamentale. Le stime degli attacchi subiti dalle aziende nel corso dell’anno appena concluso ci permettono di affermare che i gruppi criminali hanno largamente sfruttato il tema del Coronavirus. Continueranno a farlo nel 2021 sull’onda dello sviluppo dei vaccini”.
Grazie al Covid, gli attaccanti hanno trovato nuovo terreno fertile. Frodi, phishing e malware generici sono aumentati esponenzialmente durante il lockdown e si è osservata anche una sofisticazione progressiva degli attacchi e dell’organizzazione tra gruppi criminali.
“Le ragioni di questi macro-trend sono diverse: innanzitutto la digitalizzazione ha aumentato l’esposizione degli utenti in rete, specialmente nei momenti di restrizione dei movimenti”, inizia ad argomentare Dedola.
Il lockdown, come sappiamo, ha spinto in avanti l’e-commerce, la navigazione tra siti di informazione, l’utilizzo dei social network, le videochiamate per mantenere le relazioni personali, ecc… moltissimi utenti, spesso non particolarmente tecnologici, hanno esposto il fianco al cybercrime.
“Per il 2021, allora, è prevista una presenza costante di minacce della tipologia banking trojan, poiché una più vasta platea di utenti ha preso confidenza con gli strumenti online. Carte di credito e accesso ai conti bancari, soprattutto in ambito mobile, saranno a rischio, se non adeguatamente protetti. Impattante si è rivelato anche l’incremento dello smartworking: l’aumento del numero di sistemi esposti dalle aziende ha determinato una parallela crescita di attacchi ai network appliance, dispositivi nel perimetro aziendale che permettono di comunicare da remoto con l’l’interno dell’azienda. Noi del GReAT di Kaspersky – specifica Dedola – abbiamo osservato un chiaro incremento di tentativi di accesso abusivo ai sistemi di gestione remota, come i server RDP ((Remote Desktop Protocol). Ciò dimostra che gli attaccanti hanno interesse ad accedere a quei sistemi, per poi penetrare nella rete aziendale”.
“Ramsonware mirati”, temibili protagonisti nel 2021
Apparentemente slegati dal Covid, ma estremamente utilizzati proprio in concomitanza dell’epidemia, gli attacchi ransomware mirati rappresentano il fenomeno di questi ultimi anni. Comparsi nel 2016, hanno già goduto di diversi sviluppi e sofisticazioni. Ultima evoluzione: “ransomware con doppia estorsione”, in circolazione da gennaio 2020.
Si tratta di un sistema in due fasi: inizialmente gli attaccanti compromettono l’infrastruttura del target e prendono il controllo del sistema e rubano una grande quantità di dati sensibili.
In un secondo momento cifrano i dati e minacciano di pubblicare i dati sottratti nel caso non venga pagata la somma richiesta. La minaccia sulla quale fanno leva è la pubblicazione del nome dell’azienda e dei dati rubati. “Questa modalità di doppio attacco si è rivelata redditizia per i gruppi criminali, quindi certamente proseguirà”, assicura il ricercatore, che prosegue: “Nel corso del 2020, infatti, abbiamo osservato che i gruppi specializzati in attacchi ransomware mirati hanno sfruttato minacce generiche per penetrare nelle aziende prese di mira. Nello specifico, sappiamo che i criminali informatici che si occupano dell’infezione massiva di sistemi tramite minacce generiche, rivendono poi i dati sottratti e l’accesso ai sistemi a soggetti terzi. Tra questi ci sono i gruppi dediti agli attacchi ‘targeted ransomware’ che, piuttosto che compromettere i sistemi di prima persona, hanno preferito pagare altri criminali per ottenere l’accesso. Nel prossimo futuro ci aspettiamo che lo stesso approccio venga emulato da altri gruppi specializzati in attacchi sofisticati quali gli APT (Advanced Persistent Thread)”.
I gruppi specializzati in attacchi sofisticati, infatti, si stanno interessando ai ransomware targeted per via della loro redditività. Parliamo di gruppi molto organizzati, e a volte sponsorizzati dagli Stati, come Lazarus.
“In un recente attacco, per esempio, proprio Lazarus ha utilizzato un nuovo tipo di ransomware, chiamato VHD che è stato distribuito usando tool e framework privati che normalmente venivano usati dal gruppo esclusivamente per effettuare attacchi APT. Ciò fa pensare che i ransomware mirati saranno ulteriormente sofisticati e usati anche dai cyber criminali più organizzati. A questo proposito, ci aspettiamo anche che il tema Covid continuerà ad essere centrale per gli attaccanti più sofisticati e presumibilmente dovremmo aspettarci attacchi ai danni delle organizzazioni che producono o distribuiranno i vaccini. Non sappiamo quali saranno le finalità, ma sappiamo che quel tipo di aziende sono nel mirino, basti pensare all’annuncio dell’Ema nel quale dichiara di aver subito un attacco, a novembre, che sembrava finalizzato al furto di informazioni legate al vaccino.
Non abbiamo ancora i dettagli tecnici, ma anche questo evento dimostra che i gruppi APT stanno utilizzando questa tipologia di minacce informatiche”.
I ransomware, insomma, stanno passando di livello, diventando le armi sofisticate dei gruppi più organizzati e potenti del settore del Cybercrime. Il loro vettore iniziale, però, è spesso costituito da malware generici, anch’essi oggetto di studio e sofisticazione.
La nuova generazione di malware
Frequentemente utilizzati dai cyber criminali come primo approccio alla vittima, i malware generici stanno evolvendo: “Noi ricercatori notiamo una forte sofisticazione delle minacce APT. È stato identificato un malware, per esempio, che modifica il firmware e che sopravvive anche alla formattazione del computer. Il suo nome è ‘mosaic regress’, non può essere cancellato dagli antivirus e richiede un intervento manuale.
Abbiamo individuato anche un framework chiamato “LightSpy”, che tramite una strategia di watering hole distribuiva e sfruttava un exploit zero day contro iOS. Questo è solo uno dei tanti malware non-Windows che abbiamo osservato negli ultimi mesi”.
Gli insight di Giampaolo Dedola parlano chiaro: nel 2021 aumenteranno i malware non-Windows (contro Android, contro Mac e contro Linux). Assisteremo a una forte evoluzione anche nella qualità degli attacchi.
Porte d’accesso da proteggere con cura: i sistemi OT
Il settore manifatturiero che abbia digitalizzato le proprie linee produttive, offre nuovi punti d’accesso ai cyber criminali. Tantissimi dispositivi OT con porte esposte su internet non sono protetti da alcun sistema di autenticazione oppure hanno credenziali deboli.
Il problema dei sistemi OT è la mancata segregazione: “Per mancanza di maturità del settore OT; le tecnologie operative vengono sviluppate ancora solo per funzionare e non per ‘funzionare con sicurezza’ – afferma Dedola – Nei sistemi OT in particolare, gli incidenti non sono ammessi. La produttività ne risentirebbe troppo e spesso si verificano anche problemi di sicurezza per la popolazione. Per fare un esempio – racconta -, abbiamo avuto un caso interessante che riguardava un sistema di gestione delle acque. L’attaccante aveva trovato online un pannello di controllo privo di sistemi di autenticazione o cifratura; da questo pannello poteva modificare i parametri dell’acqua. I sistemi di produzione di energia elettrica, di gestione di pale eoliche, d’estrazione di petrolio…possono avere forti criticità e potrebbero attirare l’attenzione dei gruppi di cyber criminali, più o meno strutturati, o anche solo di semplici script kiddie”.
Per concludere chiediamo a Dedola quali sono precauzioni minime da considerare nel 2021: “Alle aziende è consigliato un medio/alto livello di sicurezza informatica. Inoltre, è fondamentale formare il proprio personale, soprattutto se lavora da remoto. Gli argomenti sui quali non può più mancare la consapevolezza sono: phishing, mail anomale, come gestire la propria identità on line, come e perché utilizzare un password manager, come mantenere il sistema aggiornato, cosa fare se ha il sospetto che la macchina è stata compromessa”.
