L’obiettivo degli hacker non è più soltanto quello di attaccare i sistemi, carpendo se possibile informazioni preziose, ma anche quello di distruggere le reti aziendali per renderle inutilizzabili. È questo il succo del nuovo Midyear Cybersecurity Report 2017 di Cisco. Il vendor di sicurezza ha coniato un nuovo nome per queste tipologie di incursioni: destruction of service (Deos). Sia i malware sia i “classici” Ddos hanno subìto infatti un mutamento che li ha trasformati in vere e proprie bombe, capaci di mettere completamente fuori uso le infrastrutture colpite e di complicare la capacità stessa di ripresa delle imprese. Ad assumere maggiore centralità in questa nuova ondata di attacchi sono i dispositivi dell’Internet delle cose, ricchi di debolezze che i pirati informatici possono sfruttare. “L’IoT è quindi il nuovo confine in cui ‘buoni e cattivi’ si scontreranno”, ha scritto Cisco.
A livello di tendenze, inoltre, i cybercriminali stanno effettuando un cambio di rotta abbandonando strumenti apparsi più di recente per tornare a quelli più vecchi. Si allontanano per esempio dagli exploit kit e riutilizzano attacchi di tipo social engineering, come i “Business email compromise” (Bec). Nota anche come “truffa del Ceo”, è un’attività di ingegneria sociale durante la quale viene inviato un messaggio di posta elettronica con l’intento di ingannare le aziende per far trasferire denaro agli aggressori
Secondo l’Internet Crime Complaint Center, tra ottobre 2013 e dicembre 2016 con questo metodo sono stati rubati 5,3 miliardi di dollari. Nel frattempo si stanno però anche ampliando la superficie d'attacco, la portata e l'impatto di queste nuove minacce distruttive.
Ne sono un esempio le incursioni più recenti, come Wannacry e Nyetya, che sono la perfetta dimostrazione della rapidità con cui i programmi maligni si diffondono e dell’effetto distruttivo di attacchi che sembrano i “soliti” ransomware, ma che in realtà sono molto più pericolosi. L’approccio seguito dagli hacker, comunque, è sempre quello: spingere le ignare vittime ad attivare una minaccia cliccando un collegamento o aprendo un documento.
Il crollo degli exploit kit
I pirati informatici stanno inoltre sviluppando un tipo di malware fileless che risiede nella memoria ed è più difficile da rilevare o investigare, perché si cancella al riavvio del dispositivo. Infine, i malintenzionati si basano su infrastrutture anonime e decentrate, come il servizio di proxy Tor, per oscurare le attività di comando e controllo.
In base a queste considerazioni, si capisce perché il volume dello spam invece di diminuire sia aumentato considerevolmente, poiché molte incursioni utilizzano metodi collaudati, come l'email, per distribuire malware e ricavare profitti. I ricercatori di sicurezza di Cisco prevedono che lo spam con allegati dannosi continuerà ad aumentare nei prossimi mesi, mentre l’andamento degli exploit kit rimarrà costante.
Spyware e adware, spesso poco considerati dai professionisti della sicurezza, sono invece forme di malware che continuano a persistere. Cisco ha monitorato trecento aziende per un periodo di quattro mesi e ha scoperto che tre famiglie di spyware sono state in grado di infettare il 20 per cento del campione. In un ambiente professionale questi programmi possono rubare le informazioni personali e quelle dell’impresa, indebolire il livello di sicurezza dei device e aggravare le infezioni da malware.