I trend del 2022: alla scoperta dell’innovazione del cybercrime

redazione

Il filosofo greco Eraclito una volta disse: “l’unica costante è il cambiamento”. Questo suona ancora vero oggi, migliaia di anni dopo – in particolare quando riflettiamo sul 2021, un altro anno segnato da continui cambiamenti che hanno spinto le imprese ad adottare nuove strategie per rafforzare la loro resilienza. Allo stesso modo, i cybercriminali hanno continuato a perfezionare i loro metodi per operare in modo più scaltro e muoversi più velocemente per elevare i propri attacchi, entrare più in profondità nelle supply chain e causare danni maggiori.

Il team di CyberArk Labs ha osservato le prime tracce di comportamenti innovativi da parte dei cybercriminali, ognuno dei quali ha il potenziale per alterare significativamente il panorama della sicurezza IT nei prossimi 12 mesi.

Innovazione 1: le imprese clandestine verranno coinvolte nel loro stesso gioco, e questo porterà un rinnovato focus sulla sicurezza

DevOps sta cambiando il modo di lavorare e le organizzazioni criminali clandestine non fanno certo eccezione.

Proprio come i produttori di software legittimi, anche i cybercriminali fanno uso di pipeline CI/CD, infrastrutture cloud e altre tecnologie digitali per sviluppare e vendere nuove offerte di malware-as-a-Service (MaaS). La necessità di spingere rapidamente nuove funzionalità sul mercato è guidata dalla crescente domanda (sotterranea) di strumenti come il malware per il furto di credenziali che può essere configurato per raccogliere furtivamente le credenziali degli utenti e sottrarre informazioni privilegiate dalle vittime. Questo tipo di malware non è solo potente, ma anche semplice e immediato da usare, incoraggiando gli attaccanti alle prime armi, ma anche offrendo nuovi strumenti a cybercriminali più strutturati e sofisticati.

I gruppi di hacker stanno raccogliendo le competenze di varie parti interessate per monetizzare questi servizi e far crescere le loro operazioni – dagli sviluppatori che scrivono il codice degli exploit, agli ingegneri che progettano l’infrastruttura di attacco, fino a chi utilizza questi nuovi exploit in the wild per colpire le reti delle vittime.

Tuttavia, man mano che questi gruppi iniziano ad apparire sempre più come imprese “reali”, si apriranno anche a nuovi rischi. Proprio come qualsiasi altra azienda, dovranno affrontare nuove sfide di sicurezza nella gestione delle applicazioni SaaS multi-tenant, garantendo accesso remoto a sistemi e dati sensibili e altro ancora. Costretti ad aumentare la loro protezione, gli attaccanti saranno sempre più colpiti dai difensori che usano le loro stesse tattiche offensive contro di loro.

Innovazione 2: I cybercriminali impiegheranno software open source per automatizzare e ampliare gli attacchi alla supply chain 

La nostra economia digitale si basa su software open source (OSS): è flessibile, scalabile e sfrutta il potere della comunità per innescare innovazione. Tuttavia, innumerevoli librerie OSS “aperte” e “libere” significano anche una superficie di attacco decisamente più estesa e un modo per gli attori delle minacce di automatizzare i loro sforzi, eludere il rilevamento e fare più danni.

La violazione Codecov nell’aprile 2021 ci ha dato un assaggio di come una sottile modifica in una riga di codice può trasformare una libreria completamente benigna in una dannosa – mettendo a rischio qualsiasi organizzazione che ne faccia uso. Utilizzando questo metodo di infiltrazione altamente evasivo, gli attaccanti possono prendere di mira e rubare credenziali per raggiungere contemporaneamente migliaia di organizzazioni attraverso una stessa catena di approvvigionamento.

Nei prossimi 12 mesi, i malintenzionati continueranno a cercare nuovi modi per compromettere le librerie open source. Abbiamo visto implementare attacchi simili al typosquatting, creando pacchetti di codice che includono sottili modifiche ai nomi (ad esempio, atlas-client contro atlas_client). Queste erano in realtà versioni trojanizzate dei pacchetti originali, che implementano o scaricano una backdoor o funzionalità di furto di credenziali. In un altro caso, un pacchetto NPM è stato trojanizzato per eseguire script di cryptomining e malware per il furto di credenziali dopo aver compromesso quelle di uno sviluppatore.

Le organizzazioni devono rimanere vigili, poiché questi attacchi subdoli raramente invieranno segnali, rendendoli estremamente difficili da individuare – soprattutto perché tali librerie sono distribuite nella pipeline come parte delle legittime operazioni quotidiane e, in molti casi, possono sembrare benigne, poiché il codice dannoso viene scaricato come dipendenza. Inoltre, poiché questi attacchi automatizzati sono facili e veloci da eseguire con una firma molto limitata, diventeranno ancora più frequenti, improvvisi e dannosi.

Innovazione 3: nuove zone d’ombra aiuteranno i cybercriminali a nascondersi alla luce del sole

Come se non fosse già abbastanza complicato, la sicurezza diventerà ancora più complessa grazie ai nuovi nascondigli introdotti dal cloud, dalla virtualizzazione e dalle tecnologie container.

Per esempio, dato che la micro-virtualizzazione diventa sempre più popolare, gli attori delle minacce possono isolare il malware in questi sistemi virtuali, tenendolo nascosto dai controlli di sicurezza basati sull’host. 

Mentre queste nuove tecniche di attacco non sono state riscontrate spesso nella realtà, o almeno non ancora,  cybercriminali motivati finanziariamente o spinti da motivi politici sono stati osservati mentre testano sistemi come Windows Subsystem for Linux (WSL) – un sottosistema che protegge le credenziali e i processi di autenticazione – mentre cercano nuovi modi per compromettere le macchine endpoint. 

Eseguendo il ransomware all’interno di un’infrastruttura Linux, per esempio, Endpoint Detection and Response (EDR) e altri strumenti di sicurezza endpoint basati su host, non possono in genere identificare l’attività dannosa rendendo possibile agli aggressori di criptare o esfiltrare i dati con facilità – il tutto nascondendosi in piena vista. 

A cura di Lavi Lazarovitz, Sr. Director of Cyber Research, CyberArk Labs