Dagli esperti di Barracuda un’analisi delle tendenze e minacce che caratterizzeranno i prossimi mesi
Come sempre a inizio anno, è il momento di conoscere ciò che si profila all’orizzonte. Di seguito, un’approfondita analisi degli esperti di Barracuda su cosa possiamo aspettarci nei prossimi 12-18 mesi.
Ransomware di massa o mirato?
Eugene Weiss, Lead Platform Architect, Barracuda: “Stiamo assistendo a una rapida crescita degli attacchi ransomware di massa e il trend proseguirà nei prossimi 12-24 mesi. La crescente disponibilità di cripto-valute offre ai criminali la possibilità di portare avanti i loro attacchi di massa in totale anonimato. Chiedendo un riscatto relativamente modesto a un gran numero di vittime, i criminali possono giocare una sorta di lotteria che aumenta la probabilità di ricavare un profitto rimanendo anonimi. La comparsa di nuove cripto-valute, più anonime dei Bitcoin, darà ulteriore impulso a questo trend e la modesta entità del riscatto farà sì che le vittime siano più disposte a pagare.
All’opposto, gli attacchi mirati comportano uno sforzo consistente per penetrare all’interno di entità grandi e spesso ben protette. Per andare a buon fine, un attacco mirato richiede diverse ore di ricerche e di attacchi per la messa a punto del metodo. Col ransomware di massa, i criminali possono stendere una vasta rete e aspettare che le vittime abbocchino. Gli attacchi mirati comportano un maggior rischio di dovere comunicare con le vittime, aumentando la probabilità di essere intercettati dalle forze dell’ordine. Poiché le piccole organizzazioni continuano a pagare i riscatti, il ransomware di massa è diventato epidemico e il fenomeno non si sgonfierà presto”.
Ransomware, minacce avanzate e attacchi multivettore
Sanjay Ramnath, Vice President Global Marketing, Barracuda: “Gli attacchi ransomware continueranno a colpire le aziende e i criminali continueranno a cercare nuovi meccanismi (come le botnet) per distribuire il ransomware. Ci attendiamo inoltre l’evoluzione del ransomware in “protectionware”. I criminali potrebbero passare dalla richiesta di riscatto per liberare i dati alla richiesta di denaro per non essere colpiti.
L’email continua a essere il veicolo preferito per la diffusione delle minacce avanzate. A parte la distribuzione di codice malevolo, gli attacchi via email diventeranno sempre più sofisticati. I criminali sfrutteranno il social engineering, le campagne mirate, lo spear phishing e il whaling per sottrarre credenziali e dati, commettere frodi, ecc.
Con la maggiore dispersione delle aziende e l’adozione di piattaforme cloud, aumenta la superficie di attacco a disposizione dei cybercriminali per lanciare attacchi multivettore. Le applicazioni web saranno sempre più colpite dagli hacker per rubare dati e danneggiare le aziende”.
Domain Spoofing e Brand Hijacking
Fleming Shi, SVP Technology, Barracuda: “Il domain spoofing è cresciuto rapidamente e continuerà a crescere nel 2018. Si tratta di un tipo di attacco che spinge la vittima a pensare che il criminale sia qualcun’altro. I criminali usano questa tecnica per fingere di appartenere a un’azienda o di essere una particolare persona: spesso inviano email ai clienti o ai partner dell’azienda per rubare credenziali e ottenere l’accesso ai loro account. Questo è spesso l’inizio di una strategia articolata, mirata a sottrarre dati e commettere frodi e sta rapidamente diventando la forma di cyberattacco più costosa per le aziende.
Si è registrato un notevole incremento nel numero di attacchi di mass phishing in cui i criminali si “camuffano” da noti siti di ecommerce o marchi consumer per rubare informazioni. Conoscere i nomi dei brand che questi criminali utilizzano non è importante, dato che i nomi vengono cambiati spesso: importante è conoscere la tattica adottata. L’obiettivo è convincere l’ignaro destinatario a scaricare un documento infetto o a collegarsi a un account falso, fornendo così le proprie generalità, il che può poi condurre a tutta una serie di azioni potenzialmente devastanti. I criminali possono ad esempio impossessarsi delle credenziali dell’utente e recuperare i dati della carta di credito, altre informazioni personali o studiare i comportamenti online della vittima per sviluppare futuri attacchi di ingegneria sociale. Costruiscono siti che assomigliano in tutto ai siti originali nella speranza di colpire le vittime durante le sessioni di shopping online. Anche qualora questi siti non fossero identici agli originali, i criminali contano sul fatto che la maggior parte dei clienti non acquista direttamente dai siti dei brand e pertanto non sarà in grado di distinguere il sito fasullo dall’originale.
Il brand hijacking mediante email e siti contraffatti continuerà a crescere nel corso dell’anno: tanto le aziende quanto i consumatori devono stare all’erta, essere informati e pronti a riconoscere queste minacce”.
I messaggi spediti dalla banca
Fleming Shi, SVP Technology, Barracuda: “Abbiamo osservato un forte aumento degli attacchi mediante email che appaiono come messaggi sicuri provenienti da istituzioni finanziarie. Questi finti “messaggi sicuri” veicolano contenuti pericolosi e malware.
L’impersonation (fingersi qualcun altro) è una delle tattiche più usate ed efficaci negli attacchi via email. Queste minacce sfruttano il rapporto che la vittima ha con la sua banca e la fiducia che la vittima ripone nelle comunicazioni online della banca. Una vittima che interagisce online con la propria banca rappresenta di norma un grande valore per i criminali.
Queste minacce veicolano documenti word infetti che spesso sembrano innocui ma contengono uno script che può essere aggiornato dai criminali in un secondo tempo. Lo script può essere modificato per lanciare una varietà di attacchi, dal ransomware alle advanced persistent threat. Tali attacchi sono difficilmente riconoscibili dall’utente finale dato che i domini utilizzati sono scelti per assomigliare alle mail reali che il cliente riceve dalla propria banca.
Il volume di attacchi sta crescendo rapidamente e pensiamo che durante l’anno ne vedremo sempre di più”.
Lo spear phishing
Asaf Cidon, Vice President Content Security, Barracuda: “Finché porterà profitti ai cybercriminali, lo spear phishing non smetterà di diffondersi. Si tratta di attacchi altamente mirati, basati sull’imitazione di una persona o di un popolare servizio web. E’ un tipo di attacco in crescita e, secondo l’FBI, estremamente remunerativo per i cybercriminali.
Il numero di questi attacchi continuerà a crescere e si tratterà di attacchi sempre più sofisticati in termini di tecniche utilizzate per cercare e attaccare le vittime. Nel 2018 ci sarà un forte aumento di attacchi di spear phishing multifase che comportano molteplici passaggi, attività di ricerca ed esplorazione da parte del criminale, che attacca un piccolo numero di obiettivi per raccogliere un’alta remunerazione. I cybercriminali stanno ora adottando un approccio di tipo aziendale; perseguono pochi obiettivi con la speranza di ricavarne un elevato guadagno con attacchi altamente personalizzati. I più recenti sviluppi nel social engineering prevedono diversi passaggi. I cybercriminali non tentano di colpire all’improvviso i manager delle aziende con una falsa mail. Al contrario, prima si infiltrano nell’organizzazione, poi si dedicano all’esplorazione in attesa del momento opportuno per ingannare le vittime lanciando l’attacco da una mailbox compromessa.
Per contrastare lo spear phishing le organizzazioni dovranno investire in strumenti e tattiche all’avanguardia. L’intelligenza artificiale applicata alla difesa in tempo reale rappresenta una delle speranze più concrete per porre fine a questo genere di minacce”.
L’Internet of Things
Wieland Alge, General Manager EMEA, Barracuda: “Wannacry e il suo impatto sugli ambienti di produzione hanno fatto crescere la consapevolezza sulla vulnerabilità delle infrastrutture. Gli impianti industriali di oggi sono già soggetti a queste vulnerabilità, ma gli impianti intelligenti e connessi di domani offriranno una superficie ancora superiore esposta agli attacchi.
I cybercriminali hanno capito che attacchi mirati in maniera intelligente possono essere una potente leva per la richiesta di riscatto. Molte aziende industriali stanno ora iniziando a implementare misure difensive verso questi attacchi, ciononostante vedremo sicuramente molti attacchi di alto profilo rivolti direttamente alle macchine connesse.
L’obiettivo ideale è rappresentato da organizzazioni che non hanno implementato una strategia di sicurezza digitale completa e si limitano a usare metodi e strumenti che già conoscono. Per proteggere le risorse da questi attacchi sono necessari nuovi sistemi e nuovi modelli di cooperazione tra le persone dell’IT e dell’OT”.
Tim Jefferson, VP Public Cloud di Barracuda: “Il 2017 ci ha portati a pieno titolo nell’era del cloud e se guardiamo al futuro prossimo possiamo vedere un trend di crescita per l’automazione cloud, grazie all’uso crescente di API per l’automatizzazione dei controlli di sicurezza. Per le organizzazioni sarà sempre più importante comprendere a fondo gli ambienti di cloud pubblico al fine di mantenere al sicuro dati e applicazioni. C’è ancora molta confusione sul tema della sicurezza nel cloud e in buona parte deriva dalla responsabilità. E’ fondamentale capire che se i vostri dati e applicazioni si trovano nel cloud la responsabilità di proteggerli è vostra. Abbiamo compiuto importanti passi avanti in termini di funzionalità nel cloud lo scorso anno e lo scenario continuerà sicuramente a progredire. Ora è il momento che le aziende che usano il cloud facciano la loro parte. Penso che il 2018 sarà l’anno in cui i clienti cominceranno ad agire sul loro versante del modello di responsabilità condivisa (SRM) e accelerare il deployment di attività più sensibili sul cloud pubblico.
Se ciò avverrà non c’è motivo per cui non ci si debba aspettare nuovi picchi di adozione del cloud pubblico, soprattutto se consideriamo le motivazioni che le organizzazioni normalmente citano per giustificare la non adozione del cloud: la sicurezza è quasi sempre al primo posto. Ed è ora di comprendere il significato del modello di responsabilità condivisa perché se c’è una lezione che abbiamo imparato dal passato è che i cybercriminali vanno dove sanno di poter trovare molte potenziali vittime. L’adozione del cloud pubblico proseguirà, ma crescerà anche la pressione sull’IT per approfondire la conoscenza degli ambienti di cloud pubblico e ibrido e dell’uso non autorizzato di applicazioni SaaS. Grazie all’alta resa e alle nuove opportunità, i criminali continueranno a cercare sempre nuovi punti deboli negli ambienti di cloud pubblico da sfruttare ai propri fini”.