Con l’aumento delle operazioni Cybercrime-as-a-Service (CaaS) e l’avvento dell’IA (intelligenza artificiale) generativa, gli autori delle minacce riescono a perpetrare gli attacchi in modo sempre più facile rispetto al passato.
Grazie alle crescenti capacità delle rispettive toolbox, i malintenzionati aumenteranno la sofisticazione delle proprie attività lanciando attacchi più mirati e più furtivi, progettati per eludere i solidi controlli di sicurezza. Inoltre, diventeranno più agili rendendo più efficiente ogni tattica del ciclo di attacco.
Nel report Cyberthreat Predictions for 2024, il team dei FortiGuard Labs ha analizzato la nuova era del cybercrime avanzato, rivelando come l’IA stia cambiando il gioco (degli attacchi), condividendo i nuovi trend delle minacce da tenere d’occhio nel 2024 e non solo, e offrendo consigli su come le organizzazioni di tutto il mondo possono migliorare la propria resilienza collettiva contro un panorama delle minacce in continua evoluzione.
L’evoluzione dei grandi classici
Per anni sono state osservate e discusse molte tra le tattiche di attacco più utilizzate e questi argomenti sono già stati trattati nei precedenti report. I “classici” non stanno scomparendo, anzi, si evolvono e progrediscono man mano che gli attaccanti hanno accesso a nuove risorse. Ad esempio, per quanto riguarda l’Advanced Persistent Threat (APT) si prevede una maggiore attività da parte di un numero crescente di questi gruppi. Oltre all’evoluzione delle operazioni APT, si prevede che i gruppi di cybercrime, in generale, diversificheranno i propri obiettivi e le proprie strategie, concentrandosi su attacchi più sofisticati e dirompenti e puntando al denial-of-service (DoS) e all’estorsione.
I “conflitti territoriali” del cybercrime continuano, con più gruppi che si concentrano sugli stessi obiettivi e distribuiscono varianti di ransomware, spesso entro 24 ore o meno. In effetti, è stato osservato un tale aumento di questo tipo di attività che l’FBI ha lanciato un’allerta alle organizzazioni all’inizio di quest’anno.
Da ultimo, non va dimenticata l’evoluzione dell’IA generativa. L’utilizzo dell’IA come arma sta aggiungendo combustibile a un incendio già furioso, offrendo agli aggressori un facile mezzo per migliorare molte fasi dei propri attacchi. Come già previsto in passato, stiamo assistendo a un crescente utilizzo dell’IA da parte dei cybercriminali per supportare le attività malevole in modi nuovi, che vanno dall’elusione del rilevamento del social engineering all’imitazione del comportamento umano.
Nuovi trend delle minacce da tenere d’occhio dal 2024
Nonostante i cybercriminali si affidino sempre a tattiche e tecniche collaudate per ottenere un rapido guadagno, oggi gli aggressori hanno a disposizione un numero crescente di strumenti che li aiutano nell’esecuzione degli attacchi. Con l’evoluzione del cybercrime, si prevede che dal 2024 emergeranno diversi nuovi trend. Ecco un assaggio di ciò che ci si aspetta.
Dammi più energia: Negli ultimi anni, gli attacchi ransomware in tutto il mondo sono saliti alle stelle, rendendo ogni organizzazione, indipendentemente dalle dimensioni o dal settore, un bersaglio. Tuttavia, mentre un numero crescente di cybercriminali lancia attacchi ransomware per avere un facile guadagno, i gruppi di cybercriminali stanno rapidamente esaurendo gli obiettivi più piccoli e più facili da violare. In futuro, quindi, si prevede che i malintenzionati adotteranno un approccio del tipo “o la va o la spacca”, concentrandosi su settori critici come la sanità, la finanza, i trasporti e i servizi di pubblica utilità che, se violati, avrebbero un impatto negativo considerevole sulla società e renderebbero più sostanzioso il guadagno per l’aggressore. Inoltre, amplieranno i propri schemi, rendendo gli attacchi più personali, aggressivi e distruttivi.
È un nuovo giorno per gli zero-day: Man mano che le organizzazioni ampliano il numero di piattaforme, applicazioni e tecnologie su cui fanno affidamento per le operazioni aziendali quotidiane, i cybercriminali hanno più opportunità per scoprire e sfruttare le vulnerabilità del software. Nel 2023 è stato osservato l’emergere di un numero record di attacchi zero-day e di nuove vulnerabilità ed esposizioni comuni (Common Vulnerabilities and Exposures, CVE), e il dato è in costante aumento. Dato il valore degli zero-day per gli aggressori, ci aspettiamo di vedere emergere tra la comunità CaaS i broker di zero-day, gruppi di cybercrime che vendono questo tipo di minacce sul dark web a più acquirenti. Gli zero-day continueranno a rappresentare un rischio significativo anche per le organizzazioni.
Giocare dall’interno: Molte organizzazioni stanno aumentando i controlli di sicurezza e adottando nuove tecnologie e processi per rafforzare le proprie difese. Questo rende più difficile per i malintenzionati infiltrarsi in una rete dall’esterno; quindi, i cybercriminali devono trovare nuovi modi per raggiungere i loro obiettivi. Alla luce di questo cambiamento, si prevede che gli aggressori continueranno a cambiare le proprie tattiche, la fase di ricognizione e quella di weaponization, arrivando a gruppi che inizieranno a reclutare all’interno delle organizzazioni il bersaglio per l’accesso iniziale.
L’avvento degli attacchi “we the people”: In futuro, ci aspettiamo che gli aggressori approfittino di un maggior numero di eventi geopolitici e di opportunità legate a eventi, come le elezioni statunitensi del 2024 e i Giochi della XXXIII Olimpiade, che si terranno a Parigi nel 2024. Sebbene i malintenzionati abbiano sempre preso di mira i grandi eventi, i cybercriminali hanno ora a disposizione nuovi strumenti, in particolare l’IA generativa, a supporto delle loro attività.
Restringere il campo di gioco delle TTP: Gli aggressori continueranno inevitabilmente ad ampliare l’insieme di tattiche, tecniche e procedure (Tactics, Techniques, and Procedures , TTP) che utilizzano per compromettere i loro obiettivi. Tuttavia, i difensori possono ottenere un vantaggio trovando il modo di bloccare queste attività. Sebbene la maggior parte del lavoro quotidiano svolto dai professionisti della cybersecurity riguardi il blocco degli indicatori di compromissione, è molto utile esaminare più da vicino le TTP utilizzate regolarmente dagli aggressori, in modo da restringere il campo e trovare potenziali “punti deboli sulla scacchiera”.
Arrivano gli attacchi basati sul 5G: Con l’accesso a una gamma sempre più ampia di tecnologie connesse, i cybercriminali troveranno inevitabilmente nuove opportunità di compromissione. Visto il numero sempre maggiore di dispositivi online ogni giorno, si prevede che in futuro i cybercriminali sfrutteranno maggiormente gli attacchi connessi. Un attacco riuscito contro l’infrastruttura 5G potrebbe facilmente compromettere settori critici come quello dell’oil & gas, dei trasporti, della sicurezza pubblica, della finanza e della sanità.
Navigare in una nuova era del cybercrime
Il cybercrime ha un impatto su tutti e le conseguenze di una violazione sono spesso di vasta portata. Tuttavia, gli autori delle minacce non devono avere il sopravvento. La nostra comunità di esperti di cybersecurity può intraprendere molte azioni per anticipare meglio le prossime mosse dei cybercriminali e bloccare le loro attività, come: la collaborazione tra il settore pubblico e quello privato per condividere le informazioni sulle minacce, adottare misure standardizzate per la segnalazione degli incidenti e altro ancora.
Anche le organizzazioni hanno un ruolo fondamentale nel contrastare il cybercrime. È necessario iniziare con la creazione di una cultura della resilienza informatica, facendo sì che la cybersecurity diventi il lavoro di tutti, implementando iniziative continue come programmi di educazione alla cybersecurity a livello aziendale e attività più mirate come le simulazioni per i dirigenti. Trovare il modo di ridurre il gap di competenze in materia di cybersecurity, ad esempio attingendo a nuovi pool di talenti per coprire i ruoli aperti, può aiutare le aziende a gestire la combinazione di personale IT e di cybersecurity sovraccarico di lavoro e il crescente panorama delle minacce. La condivisione delle minacce diventerà sempre più importante in futuro, in quanto consentirà una rapida mobilitazione delle protezioni.