La guerra in Ucraina
Il conflitto ucraino ha indubbiamente avuto un forte impatto sullo scenario delle minacce informatiche, non solo nei paesi direttamente coinvolti ma a livello globale, con conseguenze anche in termini di disinformazione e possibili interruzioni dei sistemi.
Si sospetta che i Russi continueranno a colpire gli Ucraini sul fronte cyber, specialmente in settori chiave come quello dell’energia. Questo scenario, al di fuori dell’Ucraina, potrebbe assumere l’aspetto di un aumento degli attacchi mirati da parte dei cybercriminali volti a supportare gli obiettivi russi, incrementando di conseguenza i costi del supporto occidentale all’Ucraina. Questa modalità mette i Russi nella condizione di negare qualunque responsabilità, contribuendo a indebolire il sostegno pubblico nei confronti dell’Ucraina.
Un altro importante sviluppo riguarda la pirateria che, nel caso colpisca media di proprietà di nazioni “ostili”, è stata recentemente legalizzata dalla Bielorussia. Anche se è troppo presto per dirlo, questa mossa potrebbe dar luogo a torrent pirata di origine bielorussa utilizzabili per distribuire malware.
Rimane anche da vedere cosa potrà accadere per il primo anniversario dell’invasione: è possibile che i cybercriminali di nazionalità russa sfruttino questa data simbolica per una intensificazione degli attacchi.
Infine, mentre l’economia russa continua a subire gli effetti delle sanzioni, si potrebbe assistere a una ulteriore diversificazione e incremento del ransomware.
Sophos Threat Report 2023: https://news.sophos.com/it-it/2022/11/18/sophos-threat-report-2023-il-ransomware-si-conferma-una-delle-principali-minacce-per-tutte-le-aziende/
Sophos Annual Report:
Sei mesi dopo: un’analisi del ruolo degli attacchi informatici nella guerra in Ucraina: https://news.sophos.com/it-it/2022/09/22/sei-mesi-dopo-unanalisi-del-ruolo-degli-attacchi-informatici-nella-guerra-in-ucraina/
L’economia cybercriminale
Il settore del “cybercrimine-as-a-service” ha toccato un nuovo livello di commercializzazione, eliminando molte barriere di ingresso per gli interessati e mettendo tattiche avanzate nelle mani di qualsiasi criminale.
Ogni anello della catena di attacco – dall’infezione iniziale fino all’evasione dai rilevamenti – è oggi disponibile in modalità “as-a-service”. Non si tratta più solamente del Ransomware-as-a-Service (RaaS), ma è ogni aspetto del cybercrimine a essere accessibile sotto forma di servizio. Ciò mette nelle mani di chiunque strumenti e tattiche che un tempo erano esclusivo appannaggio degli operatori più abili ed esperti.
Inoltre, negli ultimi due anni si è verificata un’evoluzione in direzione di superiori livelli di professionalità, in particolare quando si tratta di gang dedite al ransomware.
Il ransomware Conti ha una struttura in tutto e per tutto simile a quella di un’azienda, completa di risorse umane, valutazioni delle performance, stipendi e persino uffici fisici.
Un altro esempio è LockBit, che ha rilasciato interviste a diversi media e ha persino pagato persone affinché si tatuassero il proprio brand. Inoltre, questo software dannoso ha anche ha avviato un programma di bug bounty, che mira a cercare vulnerabilità sia in hardware (dall’analisi dei firmware) che in software.
In un futuro, si potrebbe osservare un incremento di questa tendenza, e i cybercriminali specializzati in ransomware non solo avranno un approccio sempre più aziendale, ma inizieranno anche a legittimarsi e diversificarsi, sia all’interno del settore della sicurezza che al suo esterno. Uno dei fondatori di LockBit, per esempio, ha dichiarato in un’intervista di possedere numerosi ristoranti, presumibilmente acquistati con proventi illeciti. All’interno della comunità criminale vi è un certo interesse verso la commoditizzazione delle attività underground. L’amministratore del forum/marketplace XSS, ad esempio, ha proposto di offrire ai ricercatori di threat intelligence un accesso a pagamento allo scraping del forum stesso ritenendo che, dal momento in cui i ricercatori continuano comunque a creare account falsi e infiltrarsi nei forum, tanto vale cercare di farsi pagare un importo ragionevole per dar loro ciò di cui hanno bisogno. Questo eviterebbe agli amministratori la fatica di dover continuamente rimuovere gli account falsi e, ai ricercatori, la fatica di doverne continuamente creare di nuovi.
Alcune attività, come la redazione di email di phishing con un livello di inglese discreto, potrebbero essere sostituite da ChatGPT o automatismi AI simili. L’automazione e la limitazione dell’esposizione ai rischi sono le chiavi per sopravvivere più di 18 mesi nel panorama attuale.
Infine, ci si aspetta una lieve riduzione nelle dimensioni e nella portata di queste organizzazioni criminali allo scopo di ridurre i rischi di identificazione. Più grandi sono questi gruppi, maggiori sono le informazioni che permettono di iniziare a identificarne i partecipanti e ricostruirne le identità reali.
Il ransomware
Nel breve periodo, il ransomware sarà in continua evoluzione e le attività legate ad esso potrebbero aumentare in risposta alle sanzioni internazionali stabilite contro la Russia.
Nel complesso, seppur vi è stata una lieve flessione nel ransomware poco dopo lo scoppio della guerra in Ucraina, vale la pena notare come il ransomware sia poi tornato ai livelli di attività pre-invasione.
Interessante sottolineare anche come i gruppi dediti al ransomware sembrano aver imparato la lezione secondo cui attaccare obiettivi critici di alto profilo – come successo con Colonial Pipeline nel 2021 – comporti più rischi che benefici sotto forma di risposta aggressiva contro i criminali. Da allora non abbiamo infatti più visto attacchi di dimensioni simili, e pare che gli operatori si siano impegnati a trovare il punto di equilibrio ideale tra le potenzialità di rischi e ricavi.
Un buon esempio è offerto dalla fornitura di un decryptor gratuito da parte del gruppo LockBit per aver attaccato col ransomware SickKids, un ospedale pediatrico di Toronto, a fine dicembre 2022. LockBit ha dichiarato che “il partner che ha attaccato l’ospedale ha violato le nostre regole, è stato bloccato e non fa più parte del nostro programma di affiliazione”.
Possiamo aspettarci che gli operatori specializzati in ransomware continueranno nei loro attacchi ma con maggior cautela e all’interno di parametri ritenuti idonei a massimizzare i ricavi minimizzando i rischi di una risposta su vasta scala.
Genesis Brings Polish to Stolen-Credential Marketplaces: https://news.sophos.com/en-us/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces/
Le criptofrodi
Prevediamo che le criptofrodi continueranno ad evolvere per permettere alle organizzazioni dedite al cosiddetto “sha zhu pan”, ovvero le truffe sul modello di CryptoRom, di mantenere i ritmi di crescita e i flussi di denaro. I bersagli sono destinati a essere sempre più variegati e andranno oltre le criptovalute per allargare la base delle vittime potenziali, come abbiamo visto succedere con il mercato spot dell’oro. Questa è la nuova truffa dei “principi nigeriani”.
In particolare, anche se le chiamiamo criptofrodi, la parte “cripto” della frode è pressoché secondaria: è solamente uno dei tanti possibili veicoli finanziari utilizzabili dai truffatori. Dal momento in cui durante lo scorso anno il mercato delle criptovalute è stato segnato da una volatilità senza precedenti, i truffatori si sono adattati continuando a usare i meccanismi che hanno dimostrato di saper funzionare, associandoli però a differenti veicoli finanziari. Questo sarà un trend sicuramente in continua crescita.
CryptoRom Bitcoin swindlers continue to target vulnerable iPhone and Android users: https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/
Sottrazione di credenziali, violazioni di dati, intrusioni e malware
Con la maturazione dell’economia del cybercrimine si affermerà un mercato sempre più solido e diversificato per la compravendita di dati rubati, informazioni per accessi iniziali e malware.
Per esempio, la richiesta di information stealer e di credenziali rubate è in aumento, proprio come i loro usi potenziali. Le credenziali sottratte offrono molti modi per infiltrarsi all’interno di reti utilizzabili per attacchi con ransomware o cryptominer, piuttosto che per attività illecite più tradizionali.
Abbiamo assistito anche alla vendita in abbonamento di dati rubati per consentire agli acquirenti di poter continuare ad accedere attraverso credenziali ottenute illecitamente.
Questi elementi sono le basi di una probabile continuazione o persino crescita nella diffusione del ransomware, come già detto, ma anche delle violazioni di dati e delle intrusioni di rete. Nel 2022 abbiamo osservato intrusioni di alto profilo in aziende come Twitter, Uber e LastPass, a indicazione della possibilità che situazioni del genere non facciano che proseguire se non addirittura aumentare nel 2023.
Genesis Brings Polish to Stolen-Credential Marketplaces: https://news.sophos.com/en-us/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces/