Ogni inizio anno i ricercatori di Proofpoint guardano al futuro per individuare i trend che andranno a far evolvere e plasmare il panorama delle minacce. Nel 2019, il consolidamento nel mercato delle criptovalute cambierà il modo in cui gli hacker trasferiranno – e sottrarranno – il denaro, mentre la frode via mail passerà dallo spoofing (ovvero impersonare un’identità) all’utilizzo concreto delle identità sottratte, diventando di fatto più efficace e difficile da individuare. Allo stesso tempo raddoppierà l’abuso di infrastrutture legittime, cyber criminali sponsorizzati da un paese agiranno con garanzia di impunità, mentre i sistemi di difesa saranno chiamati ad aggiornarsi costantemente rispetto a funzionalità e obiettivi. Le minacce portate via social media si sommeranno alle preoccupazioni crescenti legate alla compliance, mentre gli hacker continueranno a perfezionare le loro capacità di filtering e targeting, rendendo i loro attacchi meno visibili e migliorandone il ritorno economico.
I cybercriminali punteranno sulla qualità, più che sulla quantità
Il 2016 e il 2017 hanno visto massicci attacchi via email, la maggior parte creati da un numero ristretto di cyber criminali. Al contrario, il 2018 ha visto l’autore delle campagne ransomware Locky iniziare a diffondere remote access Trojan (RAT) in volumi ridotti, mentre il ransomware ha lasciato spazio a una grande varietà di downloader, Trojan bancari e stealer di informazioni. Il volume degli attacchi non appare più la strategia di riferimento, con criminali che preferiscono focalizzarsi su infezioni di qualità, che possono rivelarsi redditizie nel più lungo periodo.
Creare campagne di elevata qualità – difficili da rilevare e adeguate al contesto – richiede l’utilizzo di tecniche avanzate di filtering ed elusione. Nel corso del 2019, ci aspettiamo di vedere un filtering più esteso ed efficace associato ad attacchi URL e con l’utilizzo di malware intermedio, secondo un trend già visto nel 2018 con malware sofisticato come sLoad e catene di infezione come SocGholish, con filtering basato su area geografica, prova di sandboxing e software di ricerca, lingua, fuso orario e altre categorie.
Ingegneria sociale e phishing di credenziali sorpasseranno gli attacchi malware
Se filtering e social engineering verranno combinati per migliorare qualità ed efficacia degli attacchi nel corso del 2019, prevediamo un incremento costante degli attacchi basati su social engineering e phishing di credenziali, che andranno a superare i volumi del malware. Il successo nel phishing di credenziali continuerà ad alimentare l’utilizzo di account compromessi, con un trend che abbiamo già visto nel 2018.
Allo stesso tempo, raddoppierà l’utilizzo da parte degli hacker di piattaforme legittime come Microsoft OneDrive e Google Drive. Non solo link basati su domini reali migliorano la credibilità delle attività di social engineering, ma l’utilizzo di servizi legittimi renderà gli attacchi più difficili da rilevare dai sistemi automatizzati.
Anche la ricerca di falle all’interno dei meccanismi di sicurezza di Windows e la sperimentazione di nuovi formati di file come .wix e .pub come allegati di campagne malware hanno permesso ai criminali di essere meno individuati dai software antivirus. Ci aspettiamo che questo trend continui, data la sua efficacia come tecnica di evasione.
Gli effetti del GDPR si rifletteranno su tutti i settori
Il 2019 vedrà un incremento nell’abuso di domini, come conseguenza involontaria della scarsità di dati WHOIS in un mondo post GDPR. L’assenza di queste informazioni comporta una maggiore difficoltà a rilevare modelli di condotta pericolosi relativi ai domini e alla loro appropriazione illegittima, definito cybersquatting. Di conseguenza, i proprietari legittimi avranno bisogno di nuovi strumenti e tecniche per rafforzare i propri diritti legati al brand e combattere le attività di cybersquatting. Tutto questo, unito al costante aumento di top level domain (TLD) senza restrizioni, fa immaginare che l’appropriazione di un dominio aziendale diventerà più comune, mentre tecnologie e protocolli di protezione cercheranno di mettersi al passo della normativa e delle esigenze di business in evoluzione.
I social media stanno diventando uno strumento sempre più utilizzato per la comunicazione aziendale e il marketing, e le nuove normative, in particolare nel settore finanziario, porteranno a investire maggiormente in soluzioni di monitoraggio e conformità. Le aziende sono sempre più preoccupate, ad esempio, per le violazioni FINRA (Financial Industry Regulatory Authority) sui social media e adotteranno policy e tecnologie per limitare i problemi con le normative.
La frode via email si diversificherà, adotterà strumenti più sofisticati e garantirà guadagni ancora maggiori agli autori di BEC (Business Email Compromise)
Nel corso del 2018, le frodi via email, comprese le attività di business email compromise (BEC), sono aumentate e i loro autori hanno perfezionato le proprie tecniche. Il 2019 vedrà i risultati di questi perfezionamenti, con un target più ampio e una superiore efficacia.
In particolare, si passerà dallo spoofing di identità (falsificazione) allo sfruttamento di quelle rubate. Se gli attacchi BEC provengono da account interni legittimi, riescono a eludere strumenti di difesa quali tagging esterno e DMARC. I cyber criminali utilizzeranno account compromessi per lanciare i propri attacchi, derivando le credenziali da violazioni dei dati, attacchi brute force, malware per il furto di credenziali e molto ancora.
Allo stesso tempo, gli autori di BEC “nigeriane”, generalmente non noti per la sofisticazione dei loro attacchi, hanno accumulato fondi rubati per un totale di quasi 500 milioni di dollari. Vedremo probabilmente almeno una parte di questi fondi reinvestiti in strumenti e approcci più sofisticati, aumentando il rischio legato a un gruppo ben finanziato. Gli autori di minacce, sia in Nigeria che a livello internazionale, seguiranno il denaro e accederanno nel mercato delle frodi via email nel 2019, aumentando ulteriormente la portata del problema e diversificando le tipologie di approccio BEC.
Inoltre, se finora gli attacchi BEC sono stati rivolti con maggior frequenza a mercati caratterizzati da strutture complesse, lo sfruttamento di vulnerabilità a livello di supply chain diventerà più comune nel corso del 2019. Con un numero maggiore di aziende che vengono colpite, i cybercriminali diventano più sofisticati, puntando sull’identificazione sistematica dei partner di fiducia delle organizzazioni e dei principali stakeholder esterni. Una volta compresi i rapporti di fiducia, saranno in grado di sfruttare le vulnerabilità di identità esterne fidate e di inviare BEC e malware attraverso questi canali.
Il malware “di stato” sostituirà le operazioni clandestine
Criminali e gruppi APT supportati da stati sovrani stanno agendo senza particolare interesse nell’attribuzione di attacchi di alto profilo. Nel 2019, le attività di questo tipo continueranno a intensificarsi e gli autori sponsorizzati potranno operare impunemente in climi politici incerti a livello mondiale. Dinamiche geopolitiche in continuo cambiamento in Europa, Asia e Nord America saranno accompagnate da attacchi più espliciti rivolti a infrastrutture, sistemi informatici, archivi di dati, sia nel settore privato che in quello pubblico, in base agli obiettivi di cyber criminali e delle nazioni che finanziano le loro attività.
Il 2019 sarà l’anno del “modello user risk”
Le aziende IT per anni hanno impiegato modelli di rischio per assicurarsi che sistemi e dati critici fossero protetti. Oggi abbiamo a disposizione dati e capacità di analisi per applicare approcci simili, ma ancora più sofisticati, a favore delle persone. Nel 2019, le aziende sposteranno l’attenzione sulla visione che l’aggressore ha degli utenti, per comprendere gli impiegati più a rischio in base alla frequenza e il grado di target, al ruolo, accesso ed esposizione. Questa visione people-centric permetterà alle aziende di implementare livelli di protezione adeguati per determinati utenti, impiegando risorse dove necessario.
L’evoluzione delle criptovalute porterà nuovamente in primo piano miner e ransomware
Se il 2018 è stato un anno al ribasso per le criptovalute, molti analisti ritengono che questo sia solo l’inizio di un grande ridimensionamento che porterà stabilità e tenuta ai mercati delle criptovalute. Anche se il valore dei Bitcoin ha continuato a diminuire, i nuovi segnali ne indicano una redditività a lungo termine, mentre si continuano a osservare attività di rete fraudolenta associata al mining. Nel 2019, la crescita di queste valute, la stabilizzazione dei mercati correlati, l’introduzione di quadri normativi e l’uscita dal mercato di monete variabili comporteranno il ritorno di miner e ransomware standalone.
Molti Trojan bancari e stealer di informazioni includono moduli per il mining di criptomonete e capacità di furto del portafoglio.
CoinHive e altri miner basati su web continuano a raccogliere denaro gratuito per i propri operatori. Tuttavia, nel 2019, le attività legate alle criptovalute aumenteranno drasticamente, con la reintroduzione di ransomware su larga scala, in quanto richiedere pagamenti in Bitcoin diventa più favorevole. È improbabile un ritorno di una singola specie di malware come accaduto con i ransomware nel 2016-2017, i Trojan bancari rimarranno presumibilmente al vertice, con maggiori esemplari e famiglie che aggiungono funzionalità legate alle criptovalute.
Conclusioni
Nel 2018 abbiamo assistito a rapidi cambiamenti nel panorama delle minacce, che hanno incluso distribuzione di malware, tecniche di frode via email, difese dei social media, e il 2019 è pronto per scossoni ancora più significativi.
GDPR, oscillazioni delle criptovalute e politiche globali giocheranno un ruolo fondamentale nel modo in cui i cyber criminali colpiranno persone e aziende e definiranno strategie difensive per i differenti settori.
