Attacchi sempre più complessi e “mutanti”, da un lato. Aziende popolate di utenti sprovveduti, dall’altro. La mancanza di un’adeguata cultura della sicurezza, in grado di bilanciare o almeno di arginare la crescita (volumetrica e di complessità) del cybercrimine è uno dei temi ricorrenti fra gli addetti ai lavori. Kaspersky Lab non fa eccezione, e lo ha ribadito recentemente durante Dimva, l’annuale conferenza dedicata al Detection of Intrusions and Malware & Vulnerability Assessment, per la prima volta approdata a Milano nei giorni scorsi. Vincente Diaz, principal security analyst, global research and analysis team di Kaspersky Lab, ha illustrato a una platea di informatici le tecniche di una fra le campagne di spionaggio più complesse e insidiose del 2015, quella di Equation Group. Non un unico ma più attacchi, in realtà, basati su diverse varianti di un malware (sei quelle identificate) e su due diversi tipi di exploit (Stuxnet e Flame/Gauss).
Diretta su migliaia di vittime di alto profilo, la campagna di Equation Group è solo una delle scoperte di Kaspersky degli ultimi mesi, accanto a CozyDuke (mirata a target di altissimo profilo, inclusa la Casa Bianca), DarkHotel (una campagna di spionaggio che prendeva di mira uomini d’affari ospiti di alberghi di lusso), Carbanak (un malware con cui una banda criminale ha rubato quasi un miliardo di dollari americani a istituzioni finanziarie di tutto il mondo) e Desert Falcons (il primo gruppo noto di cyberspionaggio arabo). Il fenomeno dei nuovi malware ha tenuto banco nei primi mesi dell’anno, con una media di 325mila nuovi esemplari individuati ogni giorno da Kaspersky.
Durante il suo keynote, Diaz ha spiegato come le attuali campagne di cyberspionaggio e di cybercrime siano sempre più capaci di agire in incognito per mesi o anni prima di essere scoperte, anche sfruttando metodi di infezione che vanno dritti al firmware e che quindi non lasciano tracce di file rilevabili dagli antivirus. Per arginare tutto questo, le tecnologie da sole non bastano.
Vincente Diaz, principal security analyst, global research and analysis team di Kaspersky Lab
In questa prima metà dell’anno, quali nuovi elementi o tendenze emergenti avete osservato?
Uno dei fenomeni più evidenti è quello dei ransomware (i malware che richiedono il pagamento di un riscatto per “liberare” il dispositivo dopo averlo bloccato o crittografato, ndr), che ha avuto un tale successo da far sviluppare numerose varianti e copie dello stesso attacco. Perché ha successo? Di solito, quando vengono colpite le vittime sono spaventate e pagano, senza cercare nemmeno di capire come decrittare i file. Recentemente il ransomware ha tentato di spostarsi sul mobile, finora senza grande successo, anche se una famiglia di questi programmi riesce a crittografare le immagini contenute su un dispositivo Android, mentre un’altra blocca il telefono.
Altra tipologia di ransomware è quella che colpisce via email: il gruppo si presenta e minaccia di sferrare un attacco DdoS, a meno di ricevere un pagamento entro una certa data. Questo approccio molto aggressivo è agevolato dal ricorso ai Bitcoin, una forma di pagamento difficile da tracciare e per questo sfruttata da molti gruppi cybercriminali.
Chi sono le vittime?
Queste frodi sono dirette verso i singoli utenti, ma anche verso le aziende. Le banche sono state e sono ancora un target tipico, colpito soprattutto attraverso il furto di credenziali dei loro clienti. Ma oggi gli attacchi vengono sferrati anche attaccando non i clienti ma i dipendenti delle banche. Come nel caso di Carpanek, in cui i criminali hanno prima infettato alcuni computer dei dipendenti e poi sono entrati in quelli degli amministratori, guadagnando accesso ai sistemi usati per spostare denaro. Per fare questo hanno pianificato con molto anticipo l’attacco, registrando le attività degli amministratori e il loro metodo di lavoro, con il risultato di riuscire a rubare milioni di dollari. Queste tecniche un tempo erano dirette al cyberspionaggio e al furto di dati, mentre adesso sono state usate con l’obiettivo di rubare denaro.
Parlando non solo di nuovi metodi, ma anche di nuove superfici di attacco, ritenete che i wearable device saranno una fonte di problemi?
Forse, ma dipende da quanto questi strumenti diventeranno popolari e quindi interessanti per i cybercriminali. Finora la discussione riguardante i dispositivi indossabili si è concentrata sulla privacy, cioè sul fatto che non sappiamo esattamente che cosa le aziende facciano dei dati raccolti dai sensori e dalle applicazioni dei wearable.
E per quanto riguarda il dibattuto problema del bring your own device e dei dispositivi mobili in azienda?
Un buon metodo per arginare i rischi di attacchi può essere quello di differenziare le reti WiFi disponibili in azienda. Ma bisogna innanzitutto promuovere la formazione e consapevolezza delle persone. Non sempre c’è una soluzione tecnica per impedire alle persone di compiere azioni imprudenti, come postare informazioni personali o contatti email su un social network. Oggi certamente persiste una minore consapevolezza dei rischi del mobile rispetto all’attenzione che gli utenti rivolgono alla sicurezza dei Pc. Lentamente, però, questa cultura sta cambiando, soprattutto fra le giovani generazioni.
Secondo una ricerca realizzata lo scorso anno da Kaspersky Lab intervistando oltre undicimila utenti di piccole, medie e grandi aziende, nel mondo l’utilizzo “misto”, personale e professionale, dei dispositivi mobili è ormai una pratica endemica. Il 92% dei dipendenti, infatti, archivia dati aziendali sensibili su smartphone e tablet utilizzati sia per lavoro sia per motivi personali. La consapevolezza dei pericoli è ancora insufficiente: considerando l’intero campione, circa il 60% dei dipendenti è preoccupato dei rischi per la privacy e per il furto di dati aziendali, ma nonostante questo non ha attivato alcun tipo di protezione perché attribuisce questa responsabilità alla società per cui lavora.