Uno scenario estremamente complesso e dinamico: è questo che ci aspetta per quanto riguarda l’evoluzione delle minacce cyber nel 2021. Malware e tecniche che sembravano spariti dalla circolazione riappaiono in nuove forme. Gli hacker non perdono tempo: non appena una minaccia scompare, viene subito sostituita da una nuova, e diventa sempre più difficile fare previsioni su quali saranno le prossime minacce a dominare la scena.
Secondo il nuovo Sophos 2021 Threat Report, il ransomware e i cambiamenti repentini nel comportamento d’attacco dei cybercriminali saranno protagonisti dello scenario della sicurezza IT anche per il 2021. Il report, realizzato dagli esperti di sicurezza dei SophosLabs e dai threat hunter dell’azienda, affiancati da esperti di sicurezza cloud e IA, fornisce una visione tridimensionale dello scenario che ci attende. Di seguito le principali tendenze:
- Attacchi ai server: le piattaforme basate su Windows e Linux rappresentano un obiettivo sempre più ghiotto per i cybercriminali, che sfrutteranno tali piattaforme per attaccare le aziende dall’interno.
- L’impatto della pandemia COVID-19 sulla sicurezza informatica si tradurrà in nuovi potenziali rischi legati al massivo ricorso al lavoro e alla connettività da remoto.
- Il cloud sarà un altro ambito da tenere sotto stretta osservazione: se da un lato il cloud computing ha fornito una valida risposta alle crescenti esigenze di aziende in cerca di ambienti informatici sicuri, dall’altro comporta nuove sfide per la sicurezza, molto diverse da quelle di una rete aziendale tradizionale.
- Servizi diffusi come le soluzioni VPN o RDP saranno sempre più sfruttati dai cybercriminali che proveranno così a compromettere il perimetro aziendale attraverso attacchi laterali.
- Applicazioni software che vengono abitualmente identificate semplicemente come “indesiderate” perché vettore di pubblicità invasiva, sempre più indistinguibili da palese malware, potranno essere sfruttate come nuova modalità di attacco.
- Il ritorno a sorpresa di un vecchio bug, VelvetSweatshop: una funzionalità per la gestione password di una precedente versione di Microsoft Excel utilizzata per celare macro o altri contenuti malevoli nei documenti ed eludere così il rilevamento da parte dei sistemi di sicurezza.
- La necessità di implementare un approccio di stampo epidemiologico al fine di quantificare le cyberminacce sconosciute e colmare così il divario tra il rilevamento e l’assess risk e ridefinire le priorità.
Source: SophosLabs. In our 2020 Cloud Security Report, Sophos surveyed more than 3,500 IT professionals about their experience using the cloud, and found that many of the security problems plaguing physical networks have translated over to the virtual ones.
Cosa aspettarsi nel 2021 per il Ransomware
Con riferimento al Ransomware (ne abbiamo parlato di recente in questo articolo) il divario tra gli autori di diverse tipologie di attacchi tenderà ad aumentare: per quanto concerne la fascia alta, gli autori delle grandi famiglie di ransomware, come ad esempio Ryuk e RagnarLocker, continueranno a modificare e a rendere sempre più sofisticate le loro TTP (tattiche, tecniche e procedure) diventando sempre più difficili da intercettare e puntando a colpire le aziende di grandi dimensioni. Prendendo invece in esame gli attacchi entry-level, Sophos prevede che il loro numero aumenterà sensibilmente e attacchi come Dharma saranno sempre più sfruttati dai cybercriminali che puntano a mettere a segno volumi elevati di attacchi puntando a prede di dimensioni ridotte.
Un’altra importante tendenza del ransomware che gli esperti di Sophos si aspettano di vedere affermarsi anche nel 2021 riguarda la cosiddetta “estorsione secondaria”. Tale attacco prevede che oltre a cifrare i dati, i cybercriminali rubino e minaccino di rendere disponibili informazioni sensibili o confidenziali qualora le proprie richieste di riscatto non vengano soddisfatte. Esempi di questo genere si sono manifestati nel 2020 attraverso Maze, RagnerLocker, Netwalker, REvil, e molti altri ransomware simili. “Nel 2020 – spiega Chester Wisniewski, principal research scientist di Sophos – Sophos ha rilevato una chiara tendenza secondo la quale gli autori degli attacchi informatici si differenziavano a seconda dei livelli di competenza e tipologia di obiettivo. Oggi tuttavia, stiamo rilevando anche famiglie di ransomware che condividono strumenti top di gamma al fine di formare una sorta di cartello collaborativo”.
Source: SophosLabs. Globally, a significant portion of spam email mentioned COVID-19 or Coronavirus in the weeks after the lockdown.
Attenzione alle minacce quotidiane perchè spesso c’è un umano dietro
Le minacce quotidiane, come malware, loader e botnet o Initial Access Brokers, richiederanno una sempre maggiore attenzione da parte dei responsabili della sicurezza. Questo tipo di minacce può sembrare meno pericoloso ma in realtà è stato pensato per ottenere un primo accesso al bersaglio, raccogliere le informazioni necessarie e condividerle con una rete di command and control che, basandosi su quanto raccolto, definirà gli step successivi dell’attacco. Se dietro a questo tipo di minacce ci sono delle persone, sapranno analizzare ogni macchina compromessa, identificarne il valore e rivenderla al migliore offerente. Ad esempio nel 2020 Ryuk ha sfruttato Buer Loader per diffondere il proprio ransomware.
“L’errore è pensare che, una volta identificato e rimosso il malware, il problema sia risolto, mentre spesso ciò di cui non ci si rende conto è che l’attacco è stato presumibilmente sferrato contro più di una singola macchina e che malware apparentemente comuni come Emotet e Buer Loader possono portare ad attacchi molto più avanzati come Ryuk o Netwalker” ha commentato Chester Wisniewski.
In aumento: utilizzo di tool legittimi, utilities note e destinazioni di rete comuni
In questo modo, i cybercriminali eviteranno di essere identificati e potranno muoversi indisturbati nella rete, fino a quando saranno pronti a lanciare la fase principale del loro attacco, come ad esempio il ransomware.
“L’abuso di strumenti e tecniche di attacco ormai considerate comuni per camuffare attacchi attivi è un tipo di comportamento ampiamente rilevato da Sophos già nel corso dell’anno che sta per concludersi. Si tratta di una tattica che mette in difficoltà i tradizionali approcci alla sicurezza poiché non fa scattare immediatamente l’allarme. Ed è qui che devono scendere in campo sistemi che prevedano una componente umana nella ricerca e identificazione delle minacce e che integrino un approccio basato sul managed threat response” ha spiegato Wisniewski.
La versione completa del Sophos Threat Report 2021 è disponibile su www.sophos.com/threatreport.
