Con la diffusione della pandemia di Coronavirus si è visto un incremento dell’attività dei criminali informatici in tutto il mondo. In modo particolare FBI, Europol e società di intelligence hanno visto un particolare aumento della diffusione di attacchi ransomware, programmi malevoli che possono “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.
Ma cosa succederà l’anno prossimo e come sarà necessario modificare le strategie aziendali man mano che il panorama delle minacce continuerà a evolvere? I ricercatori di sicurezza di Proofpoint, cercano di rispondere analizzando i principali trend previsti per il 2021.
Ransomware
Il ransomware rimane la principale fonte di preoccupazione per i CISO. Come consolidata macchina da soldi per i cybercriminali, era solo una questione di tempo prima che i suoi principali creatori arrivassero a sviluppare nuovi metodi di estorsione, in particolare con la minaccia di diffondere le informazioni rubate. Nel 2021, in seguito alla rapida accelerazione dell’adozione del cloud guidata dalla pandemia COVID-19, ci aspettiamo che anche gli attacchi ransomware si evolvano verso il cloud. Molte aziende ora ospitano porzioni importanti dei loro dati sensibili in repository esterni basati nel cloud, e questi archivi sono spesso meno visibili a chi si occupa di sicurezza – spesso anche non così protetti o sottoposti a backup in modo da essere a prova di cifratura criminale. Nel 2021, i professionisti della sicurezza possono aspettarsi di vedere un numero sempre maggiore di ransomware indirizzati verso lo storage cloud per massimizzare l’impatto e aumentare la leva per incrementare i profitti.
Malware
La stragrande maggioranza dei cyberattacchi inizia via e-mail e praticamente il 100% del malware si basa su un’azione dell’utente per la compromissione iniziale. I cybercriminali hanno ormai ben chiaro che cercare di sfondare in altri modi (ad esempio usando gateway VPN senza patch) è possibile, ma molto più difficile grazie al grande lavoro che i professionisti della sicurezza hanno svolto nel corso degli anni e alla scarsità di vulnerabilità utili nei sistemi aperti verso Internet. Di conseguenza, gli hacker oggi indirizzano i loro attacchi verso gli utenti più vulnerabili, convincendoli a compiere una qualche azione che comprometta i loro sistemi. Se basta un clic per abilitare le macro, perché lanciarsi nel complicato obiettivo di trovare una vulnerabilità in un sistema operativo o browser moderno?
Ci aspettiamo anche che non ci si sposterà dal “malware fileless” per le attività post-compromissione. Dal punto di vista di un cybercriminale, quale modo migliore per evitare il rilevamento di malware se non utilizzando qualcosa che non sia malware? Ci aspettiamo che gli hacker continuino a sfruttare i LOLBins e i LOLScripts (“Living off the land Binaries/Scripts”) per compromettere i sistemi e rubare/danneggiare i dati. È fondamentale che le aziende lavorino per individuare e prevenire l’uso pericoloso di questi LOLBins lavorando per fermare la compromissione iniziale e limitando l’uso di strumenti come PowerShell ovunque sia possibile.
Attacchi BEC
Sono già un problema di massa, ma gli attacchi di business email compromise (BEC) accresceranno il loro peso. Con un costo per le organizzazioni stimato in miliardi di dollari ogni anno, la frode BEC è responsabile della maggior parte delle richieste di risarcimento in tema di cyber-assicurazione e ha una barriera all’ingresso molto bassa, quindi rimarrà una forte attrazione per i cybercriminali. Di conseguenza, gli hacker lavoreranno per aumentare ulteriormente potenziale di guadagno e tasso di successo, compiendo il passo ulteriore di compromettere l’account di un utente per poi fingere di essere legittimi. L’FBI ha già attribuito al BEC la maggior parte delle perdite dovute al cybercrime e, man mano che i responsabili BEC ampliano il loro set di strumenti per compromettere gli account cloud e i fornitori e i venditori delle organizzazioni, fermarli continuerà a essere una sfida impegnativa.
L’automazione e sicurezza
La carenza di talenti nel campo della cybersecurity è da anni una preoccupazione, con i CISO che lottano per mantenere nel tempo team completi e qualificati. L’unico modo per far sopravvivere le funzioni di sicurezza è automatizzare componenti del loro ruolo – dall’amministrazione degli account (nuovi ingressi, trasferimenti, abbandoni) all’amministrazione del firewall, fino alla creazione di metriche, al triage e agli avvisi del SOC, alle indagini DLP e altro ancora. Fino a oggi, l’automazione è stata in genere affrontata acquistando strumenti o funzionalità aggiuntive dai fornitori. Ci aspettiamo che questa situazione cambierà nel 2021, dato che l’automazione diventerà più che altro una funzione standard “in the box” per la maggior parte degli strumenti di sicurezza enterprise – cosa che molti CISO attendono ormai da tempo.
Gruppi di cybercriminali sempre più forti
I tre canali preferenziali utilizzati dai cybercriminali per il loro profitto sono BEC, EAC (email account compromise) e ransomware. Molti hacker specializzati in BEC ed EAC, tuttavia, non tendono a fungere da intermediari per i team specializzati nel ransomware, anche se dispongono dell’accesso necessario. Analogamente, gli attori di minacce focalizzati sul ransomware non tendono a utilizzare attacchi BEC ed EAC. Ci aspettiamo che questa situazione cambierà nel corso del 2021, quando i vari cybercriminali collaboreranno sempre più per creare attacchi più efficaci e raccogliere maggiori profitti. Ad esempio, potremmo vedere imprese colpite da attacchi EAC, con un accesso viene poi “venduto” a un altro gruppo per inviare ransomware; in alternativa, il gruppo EAC potrà elevare le proprie competenze iniziando a sfruttare strumenti di ransomware disponibili in commercio. Ci attendiamo anche attacchi BEC ed EAC più avanzati.
Il prossimo anno continuerà certamente a rappresentare una sfida per i responsabili della sicurezza; tuttavia, la possibilità di fare leva su una strategia incentrata sulle persone, che protegge gli utenti attraverso i canali di comunicazione di cui hanno bisogno per lavorare, contribuirà a garantire l’efficacia delle loro contromisure.
Mancano i talenti
La pandemia ha portato a un taglio delle risorse per molte organizzazioni, compresa la spesa per la sicurezza. Speriamo di vedere nel 2021 un ritorno alla “normalità” e questo si rifletterà probabilmente nei budget per la sicurezza che torneranno ai livelli previsti. Il personale responsabile, tuttavia, non è un problema di breve termine. Infatti, i CISO continueranno a lottare per reclutare risorse per i loro team in crescita. L’offerta di posizioni remote e flessibili aiuterà organizzazioni di tutte le dimensioni, ma il problema dell’aumento degli stipendi continuerà. Di conseguenza, molte aziende più piccole e regionali si troveranno a non potersi permettere i talenti di cui hanno effettivamente bisogno, nonostante possano accedere a un bacino ancoro più diversificato costituito da lavoratori completamente remoti.
