Per i FortiGuard Labs, il team di ricerca e intelligence di Fortinet che opera a livello globale, si preannuncia un 2023 faticoso sul fronte delle minacce informatiche.
Dalla rapida evoluzione degli attacchi resi possibili dal Cybercrime-as-a-Service (CaaS), agli exploit su obiettivi non tradizionali come i dispositivi edge o ai mondi virtuali: il volume, la varietà e la portata delle minacce informatiche terranno i team che si occupano di sicurezza informatica in massima allerta per tutto il 2023 e oltre.
“I criminali informatici stanno trovando nuove tecnologie per causare maggiori danni e interruzioni”, spiega Derek Manky, Chief Security Strategist e VP Global Threat Intelligence, FortiGuard Labs. “E la convergenza della criminalità informatica con i metodi delle Apt, Advanced Persistent Threat (minaccia persistente avanzata), farà crescere il rischio informatico”.
"Per proteggersi al meglio da questi attacchi sarà necessario adottare una piattaforma di sicurezza informatica che integri reti, endpoint e cloud per consentire un’intelligence automatizzata e operativa sulle minacce, unita a funzionalità avanzate di rilevamento e risposta di tipo behaviour-based”, afferma Manky, offrendo un’analisi dei fenomeni e trend che caratterizzeranno il prossimo anno.
Dal Ransomware-as-a-Service al Cybercrime-as-a-Service
Dato il successo che i criminali informatici hanno avuto nell’utilizzo del Ransomware-as-a-Service (RaaS), si può prevedere che sul dark web sarà reso disponibile un numero crescente di vettori di attacco as-a-service, in modo da consentire una significativa espansione del Cybercrime-as-a-Service. Oltre alla vendita di ransomware e ad altre offerte di Malware-as-a-Service, emergeranno nuovi servizi “à la carte”. Il CaaS rappresenta infatti un modello di business interessante per i malintenzionati che, con diversi livelli di competenza, possono facilmente approfittare di offerte “chiavi in mano” senza investire tempo e risorse per creare un proprio piano di attacco.
Si assisterà alla Reconnaissance-as-a-Service
Man mano che gli attacchi diventano più mirati, i cybercriminali assumeranno probabilmente dei “detective” sul dark web per raccogliere informazioni su un particolare obiettivo prima di lanciare un attacco. Si tratta della Reconnaissance-as-a-Service.
Al pari delle informazioni che si possono ottenere assumendo un investigatore privato, le offerte di Reconnaissance-as-a-Service possono fornire progetti di attacco che includono lo schema di sicurezza di un’organizzazione, il personale chiave che si occupa della sicurezza informatica, il numero di server di cui dispone, le vulnerabilità esterne note e persino le credenziali compromesse disponibili per la vendita, o altro ancora.
La cybersecurity deception unita a un servizio di Digital Risk Protection (DRP), può aiutare le organizzazioni a conoscere il nemico e a ottenere un vantaggio, “ingannando” i criminali informatici per contrastare non solo i RaaS, ma anche i CaaS nella fase di ricognizione.
Il riciclaggio di denaro si trasforma in Money Laundering-as-a-Service (LaaS)
Per crescere, le organizzazioni criminali informatiche impiegano i cosiddetti “money mule” che, consapevolmente o inconsapevolmente, vengono utilizzati per contribuire al riciclaggio di denaro. Per evitare di essere scoperti, il trasferimento di denaro avviene in genere attraverso servizi di bonifico bancario anonimo o attraverso scambi di criptovalute. La creazione di campagne di reclutamento di money mule ha sempre richiesto molto tempo
Ebbene, i criminali informatici inizieranno presto a utilizzare il machine learning (ML) per il reclutamento. Le campagne manuali saranno sostituite da servizi automatizzati, che sposteranno il denaro attraverso diversi livelli di scambio di criptovalute, rendendo così il processo più veloce e più difficile da rintracciare. Il riciclaggio di denaro as-a-service (LaaS) potrebbe diventare rapidamente mainstream come parte del crescente portafoglio CaaS.
I servizi DRP sono fondamentali per valutare la superficie di attacco vista dagli attori delle minacce esterne, per individuare e risolvere i problemi di sicurezza e per ottenere informazioni contestuali sulle minacce attuali e imminenti prima che avvenga un attacco.
Le città virtuali e i mondi online rappresentano nuove superfici di attacco per la criminalità informatica
Il metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e le città virtuali sono tra le prime a fare la comparsa in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato.
Ad esempio, l’avatar di un individuo è essenzialmente una porta d’accesso a informazioni di identificazione personale (PII - personally identifiable information), che lo rendono un obiettivo primario per gli aggressori.
Poiché gli individui possono acquistare beni e servizi nelle città virtuali, i portafogli digitali, gli scambi di criptovalute, gli NFT e tutte le valute utilizzate per le transazioni offrono agli attori delle minacce una nuova superficie di attacco.
Anche l’hacking biometrico potrebbe diventare una possibilità concreta a causa delle componenti AR e VR presenti nelle città virtuali, rendendo più facile per un criminale informatico rubare la mappatura delle impronte digitali, i dati di riconoscimento facciale o le scansioni della retina per poi utilizzarli a scopi malevoli.
La protezione e la mitigazione in tempo reale insieme all’endpoint detection and response (EDR) avanzato sono fondamentali per consentire l’analisi, la protezione e la bonifica in tempo reale.
Il malware Wiper consentirà attacchi più distruttivi
Il malware Wiper è tornato in auge nel 2022, con l’introduzione di nuove varianti di questo metodo di attacco vecchio di dieci anni. Secondo il Global Threat Landscape report del primo semestre 2022 il malware di tipo “disk-wiping” è cresciuto in concomitanza con la guerra in Ucraina, ma è stato rilevato anche in altri 24 Paesi, non solo in Europa.
Il malware Wiper che potrebbe essere stato sviluppato e distribuito da attori governativi potrebbe essere rilevato e riutilizzato da gruppi criminali e utilizzato nell’ambito del modello CaaS. Data la sua ampia disponibilità, combinata con l’exploit giusto, il malware wiper potrebbe causare una distruzione massiccia in un breve periodo di tempo.
Per questo motivo, il tempo di rilevamento e la velocità con cui i team di sicurezza possono rimediare sono fondamentali. L’utilizzo di inline sandboxing con AI è un buon punto di partenza per proteggersi dalle minacce ransomware e dai malware wiper più sofisticati.
L'intelligenza artificale per contrastare le minacce
Il mondo del crimine informatico e i metodi di attacco dei malintenzionati in generale continuano a crescere a grande velocità. La buona notizia è che molte delle tattiche utilizzate per eseguire questi attacchi sono già note, il che consente ai team di sicurezza di proteggersi meglio da questi attacchi.
Le soluzioni di sicurezza dovrebbero essere rafforzate con il machine learning (ML) e l’intelligenza artificiale (AI), in modo da poter rilevare i modelli di attacco e bloccare le minacce in tempo reale. Tuttavia, un insieme di soluzioni di sicurezza specifiche non è efficace nel panorama odierno. Una piattaforma di sicurezza informatica di tipo mesh, ampia, integrata e automatizzata, è essenziale per ridurre la complessità e aumentare la resilienza della sicurezza.