Si parla spesso di minacce informatiche sempre più sofisticate, ma da un altro punto di vista (quello dei cybercriminali) si potrebbe dire che tutto sta diventando più semplice. Ovvero colpire un obiettivo – per manomettere siti e servizi, per rubare denaro, dati personali o aziendali – sta diventando più facile, mentre individuare i colpevoli è via via più arduo. È questo il tema di fondo dell’ultimo studio pubblicato da Websense, l’annuale Threat Report, ricavato in base ai miliardi di input giornalieri raccolti dal ThreatSeeker Intelligence Cloud. Lo studio si riferisce al 2014, anno in cui la società di sicurezza ha rilevato 3,9 milioni di minacce informatiche in circolazione nel Web.
Cifra enorme, ma inferiore del 5,1% rispetto a quella del 2013. Sembrerebbe una buona notizia, se non fosse che il grado di pericolosità del cybercrimine è tutt’altro che calato. Più che potenziare le proprie competenze tecniche, i criminali si limitano ad approfittare degli strumenti, sempre più numerosi e facilmente accessibili, offerti sul mercato del cybercrimine: a partire dai kit che permettono di creare exploit e che rappresentano una sorta di servizio “Malware as-a-Service”, come lo definisce Websense.
Oltre a un più facile accesso a questi strumenti (spesso segnalati da forum o da veri e propri siti di domanda/offerta per cybercriminali), i creatori di malware sono anche in grado di mescolare nuove tecniche con le vecchie, ottenendo un attacco che risulta particolarmente difficile da intercettare e da attribuire al suo colpevole. Il “riciclo”, insomma, permette non solo di risparmiare lavoro, ma anche di di farla franca.
Tra i file malevoli rilevati lo scorso anno da Websense, il 99,3% utilizzava un Url di comando e controllo (C&C) già usato in precedenza da uno o più malware.“Le minacce informatiche nel 2014 combinavano nuove tecniche con le vecchie, con conseguenti attacchi altamente evasivi che hanno determinato un rischio significativo per il furto di dati”, ha dichiarato Charles Renert, vice president of security research di Websense.
Va poi sottolineato come siano le stesse reti (il Web e le intranet aziendali) a spianare la strada agli attacchi. Molti codici ampiamente utilizzati, come Bash, OpenSSL e SSLv3, continuano a contenere vulnerabilità.
La "kill chain" degli attacchi cybercriminali
Effetto déjà vu e darwinismo digitale
Il tema del ripescaggio di tecniche vecchie si ricollega a quello della sopravvivenza di mezzi di contagio “tradizionali”, come l’email. Un sempreverde: l’81% dei messaggi di posta osservati da Websense lo scorso anno conteneva programmi nocivi (il 25% in più rispetto a quanto rilevato nel 2013). Il 28% delle email malevole, inoltre, è stato inviato prima del rilascio di una signature antivirus in grado di proteggere dal problema.
La posta elettronica, principale vettore di attacco di un decennio fa, rimane dunque un mezzo utile e proficuo per chi mira a rubare dati, a infettare un Pc o una rete. Tutto questo non significa, in ogni caso, che il cybercrimine guardi unicamente al passato: Websense parla, anzi, di “darwinismo digitale” per sottolineare che solo le minacce in continua evoluzione potranno sopravvivere nel tempo, trasformandosi e rinascendo più volte.
Come? Per esempio, oltre alla combinazione di vecchi e nuovi pezzi di codice, i pirati informatici tentano di diversificare il percorso a tappe delle loro operazioni, modificando e rendendo meno lineare quella che Websense chiama “kill chain”, la catena mortale dell’attacco. Lo scopo è quello di diventare meno visibili, meno facilmente intercettabili. Nei prossimi anni, inoltre, è altamente probabile che ulteriore attività criminale si riversi sull’Internet of Things, fenomeno che da qui al 2020 crescerà accogliendo dai 20 ai 50 milioni di nuovi dispositivi connessi.