Secondo l’indagine “Threat Predictions for 2017” di Kaspersky Lab, l’APT scoperta dall’azienda nel 2016, in grado di creare nuovi tool per ogni vittima, ha eliminato la possibilità di utilizzare efficacemente gli “Indicatori di Compromissione” come mezzo affidabile per individuare un’infezione.
Le previsioni sono preparate annualmente dagli esperti del Global Research and Analysis Team (GReAT) e si basano sulla sua vasta conoscenza ed esperienza. La lista per il 2017 include l’impatto di tool monouso creati su misura, il crescente uso di metodi di depistaggio di identità da parte degli hacker, la fragilità di un mondo indiscriminatamente connesso a Internet e l’uso di cyber attacchi come arma nella guerra dell’informazione.
Il declino degli IoC
Gli Indicatori di Compromissione (IoC – Indicators of Compromise) sono stati a lungo un ottimo modo per condividere parti di malware conosciuti, consentendo ai software di protezione di riconoscere un’infezione attiva, ma questa situazione è cambiata con la scoperta, da parte del GReAT, dell’APT ProjectSauron, Un’analisi di questo gruppo ha rivelato una piattaforma malware su misura in cui ogni funzionalità veniva cambiata in base alla vittima, rendendo gli IoC inefficaci nell’individuarne qualsiasi altra, a meno di non utilizzare anche altri mezzi, come le Yara Rules.
L’ascesa delle infezioni effimere
Nel 2017, Kaspersky Lab si aspetta di vedere la comparsa di malware residenti in memoria che non sono interessati a sopravvivere oltre al riavvio che elimina l’infezione dalla memoria della macchina. Tali malware, destinati alla ricognizione generale e alla raccolta di credenziali, verranno probabilmente utilizzati in ambienti molto sensibili da parte dei cyber criminali clandestini che vogliono evitare di creare sospetti o essere scoperti.
“Si tratta di sviluppi drammatici, ma i responsabili della sicurezza IT non verranno lasciati soli. Crediamo che sia tempo di insistere per una maggiore adozione delle Yara rules, che permettono ai ricercatori di eseguire una scansione su vasta scala in tutta l’azienda, ispezionare e identificare le caratteristiche dei codici binari inattivi e scansionare la memoria per cercare frammenti di attacchi noti. Le infezioni effimere evidenziano la necessità di dati euristici proattivi e sofisticati nelle soluzioni anti-malware avanzate”, ha affermato Juan Andrès Guerrero-Saade, Senior Security Expert del Global Search Analysis Team di Kaspersky Lab.
“Il 2017 rappresenta una nuova sfida per il mercato della sicurezza informatica. In particolare, la crescente difficoltà nell’attribuzione degli attacchi mirati sottolinea l’importanza di condividere le nostre conoscenze con governi, corpi di polizia e organizzazioni del settore privato. Solo grazie a queste collaborazioni sarà possibile affrontare proattivamente le sfide future e offrire un’intelligence efficace ai nostri clienti”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Altre previsioni sulle minacce per il 2017
- L’attribuzione sarà complicata dai false flag: poiché i cyber attacchi giocano un ruolo sempre maggiore nelle relazioni internazionali, l’attribuzione sarà una questione centrale nel determinare il corso politico delle azioni– come ad esempio le ritorsioni. La ricerca delle attribuzioni potrebbe risultare nel rischio di avere sempre più criminali che rendono accessibili infrastrutture o tool proprietari sul mercato, oppure che optano per malware open-source e commerciali, senza contare la pratica diffusa di fornire indizi sbagliati (fenomeno generalmente conosciuto come ‘False Flag’) per confondere le acque dell’attribuzione.
- La diffusione della guerra dell’informazione: nel 2016, il mondo ha iniziato a prendere seriamente in considerazione la diffusione di informazioni hackerate per scopi dannosi. Ci attendiamo che tali attacchi crescano nel 2017 e c’è il rischio che i cyber criminali provino a sfruttare la disponibilità delle persone ad accettare tali dati come fatti manipolando o divulgando selettivamente le informazioni.
- Kaspersky Lab si aspetta anche di assistere alla crescita di hacker ‘Vigilanti’, che hackerano e rilasciano i dati presumibilmente per un bene superiore
- La crescente vulnerabilità al cyber-sabotaggio: con le infrastrutture critiche e i sistemi di produzione connessi a Internet, spesso con poca o senza protezione, la tentazione di danneggiarli o fermarli può rivelarsi irrefrenabile per i cyber criminali, particolarmente quelli più abili e durante momenti di crescenti tensioni geopolitiche.
- Spionaggio via mobile: Kaspersky Lab si aspetta di vedere sempre più campagne di spionaggio che mirano principalmente ai dispositivi mobile, approfittando del fatto che le aziende del settore della cyber sicurezza faticano ad avere pieno accesso ai sistemi operativi mobile per fare analisi forensi.
- La “mercificazione” degli attacchi finanziari: Kaspersky Lab si aspetta di assistere alla “mercificazione” degli attacchi come è avvenuto per le rapine effettuate tramite il circuito SWIFT nel 2016 – con risorse specializzate messe in vendita sui forum clandestini o attraverso schemi as-a-service
- La compromissione dei sistemi di pagamento: poiché i sistemi di pagamento stanno diventando sempre più popolari e diffusi, Kaspersky Lab si aspetta che questo comporti un più forte interesse da parte degli hacker.
- La fine della “fiducia” nei ransomware: Kaspersky Lab prevede la continua crescita dei ransomware, ma l’improbabile relazione di fiducia tra vittima e hacker, basata sul presupposto che il pagamento del riscatto garantirà la restituzione dei dati, è stata danneggiata dal sempre minore numero di cyber criminali che restituiscono i file dopo aver ottenuto il denaro. Questo potrebbe rappresentare un punto di svolta.
- L’integrità dei dispositivi in un Internet sovraffollamento: poiché i produttori di dispositivi IoT continuano a lanciare device non sicuri che causano problemi su vasta scala, c’è il rischio che gli hacker “vigilanti” possano prendere in mano la situazione e disabilitare quanti più device possibili.
- L’appeal criminale del digital advertising: durante il prossimo anno, vedremo che i tool di tracciamento e targeting, sempre più usati nell’advertising, verranno utilizzati per monitorare probabili attivisti e dissidenti. Allo stesso modo, gli ad network – che forniscono un’ottima modalità per tracciare profili attraverso una combinazione di IP, browser fingerprinting, interessi di navigazione e login – saranno usati dai criminali che fanno cyber spionaggio avanzato per colpire in modo accurato i bersagli proteggendo i loro toolkit.
Il testo completo del report “Kaspersky Security Bulletin. Previsioni per il 2017” è disponibile su Securelist.it.
Il report sulle previsioni degli esperti di Kaspersky Lab per il 2016.