I numeri, già da soli, fanno spavento: 9,9 miliardi di attacchi malware, 187,9 milioni di attacchi ransomware, 34,3 milioni di minacce rivolte all’Internet of Things e quattromila miliardi di tentativi di intrusione informatica. Sono alcune delle statistiche dell’anno 2019 emerse dai monitoraggi di SonicWall, basati sui dati raccolti a oltre 1,1 milioni di sensori di sicurezza installati in giro per il mondo. Lo scorso anno, rispetto al precedente, si è vista non una crescita numerica dei fenomeni crybercriminali, ma piuttosto un’evoluzione qualitativa. Sono, cioè, cresciute le tipologie di attacco più sofisticate. Due esempi: l’uso della crittografia applicata alle minacce è cresciuto del 27% da un anno all’altro, gli attacchi rivolti alle applicazioni Web sono aumentati del 52%.

 

Parallelamente, tra i cybercriminali si è fatto strada un diverso approccio ai malware: le tattiche "spray-and-pray" (con cui si spara a raffica verso un generico bersaglio, senza particolari obiettivi) sono state parzialmente abbandonate in favore di metodi più mirati ed efficienti. In sostanza, oggi più che in passato si fa attenzione a confezionare l’attacco e a dirigerlo verso gli anelli deboli di una catena, per esempio una certa categoria di dipendenti aziendali. I 9,9 miliardi di attacchi malware registrati da SonicWall nel 2019 sono, sì, un numero impressionante, ma anche un numero in calo del 6% rispetto ai volumi del 2018. Dietro questa apparentemente buona notizia si cela il fatto che, come dicevamo, gli attori del cybercrimine in parte abbiamo preferito puntare sulla qualità piuttosto che sulla quantità.

 

Questo differente approccio è confermato anche dall’analisi di un altro, più specifico fenomeno: il ransomware. Tale categoria di attacco, basata sull’infezione di un dispositivo (di solito tramite crittografia) e conseguente richiesta di un riscatto, si sta orientando sempre di più verso obiettivi mirati. Il volume totale di ransomware, 187,9 milioni, ha rappresentato un calo del 6% sui livelli del 2018, ma d’altra parte si sono visti episodi gravi, di attacchi capaci di paralizzare città ed enti locali, oltre che siti Web. “Gli hacker”, ha commentato Bill Conner, presidente e Ceo di SonicWall, “stanno perfezionando la loro capacità di progettare, creare e implementare attacchi di tipo stealth sempre più precisi, aumentando al contempo le loro capacità di sottrarsi alla tecnologia sandbox”.

 

 

 

Quanto ai “mezzi intermedi”, per così dire, utilizzati nella catena d’attacco, è in ascesa lo sfruttamento dei dispositivi IoT. Gli oggetti connessi rappresentano degli ottimi e involontari alleati per i criminali informatici, considerando la loro diffusione e le loro configurazioni e interfacce Web spesso facilmente aggredibili. SonicWall ha rilevato un aumento del 5% del malware IoT e registrato nel 2019 un totale 34,3 milioni di attacchi su di esso basati. 

 

Si diceva, poi, delle minacce crittografate: i malware inviati tramita traffico TLS/SSL l’anno scorso sono cresciuti del 27% e i ricercatori scommettono che la tendenza proseguirà. Ai criminali conviene sfruttare questo tipo di attacco, che spesso non viene riconosciuto come tale né può essere efficacemente mitigato dai firewall.

 

Tra le tattiche cybercriminali sofisticate vanno citate anche le nuove tecniche di offuscamento del codice, rilevamento sandbox e bypass osservate da SonicWall. Il fenomeno produce una  moltitudine di varianti e lo sviluppo di nuovi exploit kit, ancora più sofisticati, che utilizzano attacchi fileless invece dei tradizionali payload a dischi. Gli exploit vengono nascosti all'interno di file che tentano di apparire innocui: si tratta in particolare di documenti di Office (nel 20,3% dei casi) e di Pdf (17,4%). Vanno citati, infine, l’aumento numerico degli attacchi side-channel (nei quali si attaccano dispositivi “deboli” per sottrarre dati, tipicamente credenziali di login, per poter accedere ad altre risorse) e di quelli che fanno leva su porte non standard (64 milioni di casi rilevati). Questa tattica viene utilizzata per veicolare le minacce attraverso i firewall delle aziende prese di mira.