Commenti dai ricercatori ed esperti dei SentinelLabs di SentinelOne
Nessuna azienda può oggi permettersi di operare senza una lettura del passato, che di certo non può offrirci alcuna prospettiva sugli eventi inaspettati che arriveranno ma può prepararci a quelli che si stanno delineando. In questo articolo vengono raccolte le riflessioni degli esperti dei SentinelLabs, i laboratori di ricerca di SentinelOne, su temi come l’AI, il cloud, il cybercrime, lo spionaggio e il ransomware e sul modo in cui i responsabili della cybersecurity devono riflettere per affrontare con successo le nuove minacce.
La prospettiva delle minacce informatiche è in fase di ridefinizione
Gli ultimi anni hanno dimostrato un orientamento uniforme da parte della community del settore industriale della cybersicurezza. La guerra in Ucraina e l’attenzione della Russia per la guerra informatica hanno permesso di sviluppare un ambiente permissivo dal punto di vista politico in tutto il settore, con numerosi vendor che hanno dichiarato apertamente il sostegno a un gruppo e a una posizione specifici. Il recente conflitto in Israele ha riportato la maggior parte dei vendor di cybersicurezza a una posizione più neutrale.
Questo cambiamento probabilmente si espanderà a causa delle elezioni nei Paesi occidentali, dove già si parla di community di cyberspionaggio “armate”, in combinazione con diversi vendor tecnologici leader che diventano protagonisti della scena politica. Inoltre, l’intero sistema di intelligence è potenzialmente messo in discussione da esponenti politici di alto livello. Questi sviluppi causeranno confusione nel modo in cui i provider di cybersicurezza divulgano il proprio impegno e la volontà dei leader di prendere posizione su qualsiasi argomento che coinvolga temi geopolitici.
La cultura del cybercrime non è più quella di una volta
La mentalità del cybercrimine e dell’estorsione è cambiata. Le estorsioni e la conseguente pressione sul mondo reale stanno proliferando in aree di questa nuova cultura che fino a pochi anni fa non erano nemmeno considerate. Le vittime devono ora preoccuparsi dei continui danni alla reputazione in modi assolutamente inediti. Un esempio è la rapida corsa ai codici meme associata agli incidenti di ransomware ed estorsione.
Anche le conseguenze fisiche delle vittime sono destinate ad aumentare. Il 2024 ci ha offerto esempi sorprendenti di questo stile di attacco sotto forma di Snowflake e del coinvolgimento di minacce associate a “The Com”. Questa cultura dell’estorsione è caratterizzata da soggetti tecnicamente esperti che cercano di eludere le contromisure tradizionali basate sull’ingegneria sociale e sulla distribuzione di malware. Nel 2025, il fenomeno diventerà più tangibile, poiché questo nuovo profilo di hacker continua a sfidare gli attuali pilastri su cui poggiano la cybersecurity e l’intelligence delle minacce.
L’AI si prenderà la colpa di tutto ma non è sempre corretto
L’ascesa vertiginosa dell’AI nella community tecnologica ha portato tutte le aziende di cybersecurity e le istituzioni a indagare l’AI e i potenziali esiti. Inoltre, diversi gruppi di hacker stanno testando l’AI, creando moltissime incognite. Questi fattori creeranno un ambiente in cui politici, celebrità, società tecnologiche e altre entità cercheranno di coprire sbagli, scandali, crimini, e chi più ne ha più ne metta, attribuendo tutta la colpa all’AI. È probabile che tra gli eventi citati vi siano alcuni casi reali in cui l’AI è un elemento rilevante, ma per la maggior parte non lo sarà.
Gli hacker aumentano l’attenzione verso le tecnologie poco monitorate
Nel 2025, gli autori delle minacce si concentreranno sempre più sullo sfruttamento di tecnologie diffuse e poco protette, che consentiranno loro di eludere il rilevamento e di operare con relativa facilità. Questa tendenza includerà i dispositivi di rete periferici come firewall, router e switch, componenti critici dell’infrastruttura moderna che spesso non dispongono di un valido monitoraggio o di protezioni aggiornate. Allo stesso modo, la prevalenza di dispositivi mobili come iPhone e smartwatch, che raramente sono monitorati in modo completo per attività sospette, li renderà bersagli privilegiati.
Tali aree saranno sfruttate da vari gruppi, tra cui produttori di spyware del settore privato, APT di stati nazione, organizzazioni terroristiche e criminali informatici finanziariamente motivati. Lo sfruttamento di queste tecnologie poco monitorate consentirà agli aggressori di violare le reti e di superare i sistemi di difesa limitati dalle caratteristiche intrinseche di questi sistemi.
Chi mira al cloud si concentrerà sull’hacking e sulla valorizzazione dei servizi di AI
La straordinaria diffusione dell’AI sta avendo un impatto enorme sul mondo e sul business. Le aziende stanno rapidamente integrando l’AI nei prodotti al fine di migliorare efficienza, customer experience e le capacità complessive. Con l’incremento dell’adozione dell’AI, la maggior parte di queste organizzazioni si rivolgerà a piattaforme di AI ospitate in cloud.
Come per ogni innovazione tecnologica, gli hacker riusciranno a sfruttare la nuova superficie di attacco offerta da queste soluzioni. Nel 2024, abbiamo visto gli aggressori utilizzare l’AI per migliorare i propri tool. Un report ha descritto il modo in cui gli aggressori hanno dirottato i servizi di AI in hosting nel cloud e hanno utilizzato l’infrastruttura delle vittime per creare un’applicazione LLM che forniva interazioni non conformi alle consuete protezioni integrate nel servizio. Questo approccio servirà probabilmente come modello per altre attività di furto di servizi di AI in hosting in cloud nel 2025.
I sistemi Mac potrebbero essere il tallone d’Achille
Uno dei motivi legati alla nuova popolarità dei Mac nelle imprese è la loro percepita “maggiore sicurezza” ma i Mac non sono più sicuri di qualsiasi altro dispositivo. Possono e vengono regolarmente compromessi e devono essere considerati nella strategia di sicurezza complessiva dell’organizzazione come uno degli obiettivi primari degli hacker.
Il 2024 ha visto un netto aumento dei reati incentrati su macOS, in particolare dagli infostealer-as-a-service, tra cui Amos Atomic, Banshee Stealer, Cuckoo Stealer, Poseidon e altri. Questi pirati informatici rinunciano alla persistenza e cercano di rubare tutto con un’unica intrusione, comprese le credenziali per gli account online e cloud.
Non c’è una soluzione rapida né per la “password universale” né per la finestra di dialogo della password falsa. Si tratta di tecnologie che sono state inserite nel sistema operativo originale e non si pensa che Apple le risolva a breve. Di conseguenza, si ritiene che nel 2025 le minacce informatiche continuino ad abusare di entrambe.
Normalizzazione e obiettivo dei servizi di comunicazione criptati
La crescente diffusione di intrusioni sostenute da uno stato, in particolare da gruppi come Salt Typhoon della Cina che si infiltrano nelle reti occidentali, farà sì che servizi di comunicazione criptati come Signal e ProtonMail diventino sempre più importanti. Con l’aumento dell’attenzione a privacy e sicurezza, un segmento più ampio di utenti non tecnici darà la priorità a piattaforme di messaggistica ed e-mail sicure per salvaguardare le comunicazioni personali da controlli nazionali ed esteri.
Man mano che i servizi criptati si diffonderanno attireranno anche l’attenzione dei criminali informatici e degli Stati nazione. Questa duplice dinamica – l’affidamento dei cittadini alla crittografia per la privacy e il suo obiettivo da parte degli avversari – renderà i servizi di comunicazione crittografati sia una salvaguardia critica sia un obiettivo di valore.
Il ransomware non sta scomparendo. E nemmeno i dati spariscono dalla rete
Oggi le attività di ransomware sono più organizzate che mai. Gli strumenti stanno migliorando e le barriere di ingresso, già minime, continuano a erodersi. Inoltre, potenti piattaforme di ransomware, come LockBit e ALPHV builders, sono stati ampiamente condivisi e divulgati. Gli autori di minacce meno qualificati stanno adottando questi strumenti come parte delle loro operazioni standard, anche quando il guadagno monetario non è l’obiettivo finale, e strumenti ransomware ben noti hanno ricevuto una vita più lunga grazie al crescente riutilizzo nelle comunità di hacktivisti. Il ransomware è oggi uno strumento di base a disposizione degli autori delle minacce in tutto lo spettro delle abilità e dei comportamenti, e questa tendenza continuerà nel 2025.
Inoltre, autori come Dispossessor e RansomHub hanno monetizzato i dati anche dopo che la vittima ha soddisfatto le richieste. I dati compromessi continuano a vivere attraverso affiliati e comunità disoneste che si dedicano all’amplificazione dei dati violati a comunità malevoli. Prevenire gli attacchi nelle fasi iniziali sarà fondamentale nel 2025.
Conclusioni
La cybersecurity e il profilo attuale degli hacker ci indicano che per affrontare le sfide del 2025 sarà necessaria un’azione proattiva. Che cosa significa in pratica?
- Migliorare la visibilità e il rilevamento delle minacce: dare priorità al monitoraggio di tecnologie poco protette come i dispositivi edge e i servizi di AI ospitati in cloud. Servono strumenti che forniscano una visibilità approfondita delle attività di rete e del profilo degli endpoint.
- Promuovere la collaborazione: ridurre i silos condividendo le informazioni sulle minacce con i colleghi del settore e i partner.
- Potenziare i quadri normativi e legali: sostenere le riforme che riducono le barriere alla condivisione delle informazioni, ritenendo vendor e provider responsabili del loro ruolo nell’ecosistema della sicurezza.
- Investire nella resilienza: rafforzare le difese contro il ransomware e il furto di dati proteggendo le credenziali, implementando piani di recupero e istruendo i dipendenti sui vettori di attacco emergenti.
- Affrontare le vulnerabilità trascurate: rivalutare le ipotesi sulla sicurezza, che si tratti della sicurezza percepita dei Mac o della fiducia riposta negli strumenti di crittografia integrati, e adottare misure per mitigare i rischi in queste aree.
Il percorso da seguire richiede una leadership forte, un’azione decisa e la volontà di abbracciare il cambiamento. Non sarà un percorso lineare o facile da percorrere, ma la giusta mentalità e un piano adeguato, possono portare a un futuro più sicuro e protetto.
