Le tattiche “as a Service” dei cybercriminali per colpire le aziende

I criminali informatici aggirano le tattiche di phishing più popolari per introdurre o eseguire codici dannosi in una gamma di servizi pubblici. Lo evidenzia Il Threat Landscape Report di Fortinet

 

Difficile poter dormire sonni tranquilli per quanto riguarda la sicurezza aziendale. Chi non dorme sono infatti e in primis anche i cybercriminali, che ricercano continuamente nuove modalità, e opportunità, di attacco lungo tutta la superficie digitale di un’azienda.

E con la proiezione all’esterno tramite cloud o reti mobili si tratta di una superficie molto elastica e dalle frontiere  non sempre impermeabili.

Come se non bastasse l’allargarsi di superficie e perimetro virtuale di un’azienda, i criminali informatici stanno spostando i vettori a cui ricorrono per portare un attacco. Un esempio consiste nel prendere di mira i servizi edge, e cioè quelli posti alla periferia di una rete,  disponibili pubblicamente  in modo da contrastare gli sforzi nella formazione e nell’education compiuti dalle aziende per far fronte a tattiche oramai comuni quali il phishing.

L’ultimo Fortinet Threat Landscape Report di Fortinet,  società attiva a livello mondiale nelle soluzioni di cyber sicurezza integrate e automatizzate, fornisce in proposito un’overview trimestrale che riassume quanto osservato a livello di attacchi dai suoi FortiGuard Labs, in sostanza il risultato dei dati raccolti da una vasta gamma di sensori globali di Fortinet nel corso del terzo trimestre del 2019.

Lo studio permette di disporre di una visione in profondità sia globale che locale.

Nel rapporto è poi incluso anche il Fortinet Threat Landscape Index (TLI), composto da singoli indici relativi a tre aspetti centrali e complementari del landscape, exploit, malware e botnet, suddivisi per prevalenza e volume nel trimestre esaminato. In pratica, tutto quello che sta avvenendo nel campo della guerra cibernetica.

Tra i dati che si rilevano nel report, si evidenzia come il Threat Landscape Index sia rimasto relativamente costante durante l’intero trimestre. Ci sono state alcune fluttuazioni, ma però nessuna oscillazione significativa.

Indipendentemente da questo dato che indica una situazione stazionaria, non che questo sia consolante, le aziende non dovrebbero abbassare la guardia in quanto l’indice dimostra in ogni caso un’attività cybercriminale che risulta non solo costante ma anche robusta.

Ma quali sono i punti salienti nel portare gli attacchi messi in luce? Vediamoli  in sintesi.

Cambiare  la tattica per sorprendere le aziende

La maggior parte dei malware vengono veicolati via email. Questa loro caratteristica ha fatto sì che molte aziende abbiano affrontato attacchi di fishing ricorrendo ad una formazione degli end user e tramite l’implementazione di strumenti avanzati di email security.

Servivano quindi altre strade e percorsi di attacco e i criminali informatici sono andati alla ricerca di altri strumenti per la distribuzione di malware dannosi.

Tra di essi vi è il targeting di servizi edge rivolti al pubblico, come per esempio le infrastrutture web e i protocolli di comunicazione di rete, così come l’elusione degli strumenti di blocco per aprire vettori di attacco che non si basano sulle tradizionali tattiche di phishing.

Un esempio concreto rilevato nel trimestre dai FortiGuard Labs è costituito da attacchi contro le vulnerabilità che avrebbero consentito l’esecuzione di codice che aveva come obiettivo i principali servizi edge  in tutte le regioni.

Sebbene questa tattica non sia nuova, cambiare le strategie in situazioni in cui i responsabili di sicurezza potrebbero abbassare la guardia, può essere un modo efficace per cogliere alla sprovvista le aziende e aumentare le possibilità di successo di un attacco, e in un periodo in cui si prevede un picco dello shopping online può risultare problematico

 Il ransomware “as a Service”

Seguendo le orme del redditizio ransomware GandCrab, che è stato reso disponibile nel dark web come soluzione Ransomware-as-a-Service (RaaS), per espandere il proprio potenziale di guadagno i cybercriminali stanno lanciando nuovi servizi.

Istituendo un network di partner affiliati, i criminali informatici sono ad esempio in grado di diffondere il più possibile i ransomware, e incrementare il proprio business con un andamento esponenziale.

In proposito, ha evidenziato il report, i FortiGuard Labs hanno individuato almeno due famiglie di ransomware da tenere sotto osservazione: Sodinokibi e Nemty, utilizzate quali soluzioni RaaS.

La cosa preoccupante è che sembra trattarsi solo dei prodromi di un futuro in cui il concetto del cloud potrebbe dare il via ad una vera e propria ondata di servizi simili.

Un malware sempre più raffinato

Come se non bastasse l’”as a Service” i criminali informatici stanno anche perfezionando il malware per eludere il rilevamento e portare a termine attacchi sempre più sofisticati.

Si tratta senza dubbio di uno sviluppo preoccupante per le organizzazioni in quanto i cybercriminali utilizzano con sempre maggior frequenza il malware per eliminare gli altri payload su sistemi infetti con l’obiettivo di massimizzare le proprie opportunità di guadagno.

Di recente, evidenzia il report, gli hacker hanno iniziato a utilizzare anche Emotet come meccanismo di delivery del payload per ransomware, ladri di informazioni e trojan bancari tra cui TrickBot, IcedID e Zeus Panda.

Inoltre, dirottando i thread di posta elettronica da fonti attendibili e inserendovi malware dannosi, i criminali informatici puntano anche ad aumentare in modo significativo la probabilità che tali allegati vengano aperti dei destinatari.

Ricorso a vulnerabilità e botnet datati

Una strategia di attacco sempre efficace è anche quella che prevede di prendere di mira sistemi più datati e vulnerabili che non sono stati adeguatamente protetti.

I FortiGuard Labs hanno infatti messo in luce come gli hacker prendano di mira le vulnerabilità anche di una dozzina – e più – di anni fa, con molta più frequenza rispetto a quelle più recenti.

Tanto che, a partire da ogni anno successivo rispetto ad allora, attaccano le vulnerabilità allo stesso ritmo di quelle attuali.

In modo simile, il trend consistente nel puntare a massimizzare le opportunità attualmente esistenti si estende alle botnet.

Più di qualsiasi altro tipo di minaccia, esse tendono a trascinarsi da un trimestre all’altro e da una regione all’altra a livello globale, e con pochi cambiamenti.

Tale dato suggerisce che l’infrastruttura di controllo sia permanente rispetto a tool o capacità particolari e che i criminali informatici non solo tendono a portare avanti nuove opportunità, ma sfruttano l’infrastruttura esistente ogni volta che è possibile per aumentare l’efficienza e ridurre le spese.

Come proteggersi dagli imprevisti

L’espansione della superficie di attacco e il cambiamento delle strategie dei criminali informatici sono fattori che evidenziano come  le aziende non possano permettersi di concentrarsi eccessivamente su una serie ristretta di minacce e relativi trend.

È essenziale, osserva Fortinet,  che le imprese adottino un approccio olistico per proteggere i loro ambienti distribuiti e collegati in rete, operazione che richiede l’implementazione di un security fabric ampio, integrato e automatizzato.

Fortinet - Derek Manky

Fortinet – Derek Manky

I criminali informatici puntano sempre a essere un passo avanti rispetto ai professionisti della sicurezza informatica. Mentre sviluppano nuovi malware e attacchi zero-day, ripensano e adattano nuovamente tattiche precedentemente riuscite per massimizzare le opportunità su tutta la superficie di attacco. Oltre alle strategie essenziali come patching, segmentazione e training, le aziende devono far propri strumenti quali l’automazione e l’intelligenza artificiale per migliorare le proprie capacità di correlare l’intelligence delle minacce e rispondere in tempo reale. Questo approccio avrà successo solo quando le imprese integreranno tutte le loro risorse di sicurezza in un security fabric  in grado di analizzare e adattarsi alla loro rete in rapida espansione”, ha commentato Derek Manky, Chief, Security Insights & Global Threat Alliances di Fortinet.