Dove sta andando il cybercrimine? Il ransomware sarà ancora il nemico numero uno nel 2022? E a quali nuovi pericoli dobbiamo prepararci? Sophos fa il punto sulle tendenze consolidate ed emergenti attese per il 2022 in un nuovo report, nel quale in effetti (e non ci stupiamo) il ransomware è ancora protagonista e anzi conquista un ruolo ancor più importante. Curato dagli esperti di threat hunting del Sophos Managed Threat Response e del team Sophos IA, il report cita anche l’ormai affermato fenomeno delle tecnologie di attacco “as-a-service”, il sempreverde malware mobile, l’utilizzo malevolo dell’intelligenza artificiale, il cryptomining e l’emergere di nuove tecniche di “simulazione” degli attacchi. Vediamo e commentiamo insieme alcuni di questi trend (per gli altri, vi rimandiamo alla lettura del “Sophos 2022 Threat Report”).
La nuova “filiera” dei ransomware
Secondo le previsioni di Sophos, nel 2022 il panorama del ransomware diventerà sempre più articolato ma allo stesso tempo dominato da logiche di fondo. Gruppi cybercriminali specializzati in questo genere di minaccia offriranno sul Dark Web tecnologie “as-a-service” che permettono ad altri di prendere “in affitto” parti di codice dannoso per realizzare attacchi. I ricercatori di Sophos hanno osservato nel corso del 2021 una diminuzione degli attacchi realizzati ex novo da singoli gruppi, bilanciata da una crescita delle offerte di ransomware-as-a-service (RaaS).
Agli autori di minacce “verticali”, specializzati in una tipologia di attacco, sempre più si sta sostituendo una sorta di “filiera” dei ransomware: c’è chi li crea e li mette sul mercato nero del Web, proposti in formula as-a-service, e chi li prende in affitto e li utilizza per sferrare attacchi. “Una volta ottenuto il malware di cui hanno bisogno, gli affiliati RaaS e altri operatori di ransomware possono rivolgersi agli Initial Access Brokers e alle piattaforme di consegna del malware per trovare e colpire potenziali vittime”, spiega Sophos. Questo meccanismo è stato usato anche nel famigerato assalto alla rete di Colonial Pipeline, portato a termine da un affiliato di DarkSide, e sempre più sarà impiegato nel 2022. Il modello del RaaS, infatti, consente a ciascun attore della filiera di specializzarsi e di diventare sempre più efficace in ciò che fa.
“Il ransomware prospera grazie alla sua capacità di adattarsi e innovare", ha commentato Chester Wisniewski, principal research scientist di Sophos. "Per esempio, mentre le offerte RaaS non sono certo una novità, negli anni precedenti il loro contributo principale era quello di portare il ransomware alla portata di cybercriminali meno qualificati o meno ben finanziati. Questo è cambiato e nel 2021 gli sviluppatori RaaS stanno investendo il loro tempo e le loro energie nella creazione di un codice sofisticato e nel determinare il modo migliore per ottenere pagamenti più elevati dalle proprie vittime e dalle compagnie di assicurazione. Adesso stanno delegando ad altri il compito di identificare le vittime, installare, eseguire il malware e riciclare le criptovalute rubate. Questo sta distorcendo il panorama delle minacce informatiche, e le minacce comuni, come i loader, i dropper e gli Initial Access Broker che erano in circolazione e causavano disagi ben prima dell'ascesa del ransomware vengono risucchiati in questo "buco nero" che sembra consumare tutto che è il ransomware”. A detta del ricercatore, per le aziende non è più possibile limitarsi ad azioni di monitoraggio e rilevamento di codice dannoso installato bensì dovrebbero analizzare con più attenzione tutti gli alert di sicurezza. Un’intrusione comune, infatti, può diventare il punto d’appoggio da cui prendere il controllo dell’intera rete.
Le reti di distribuzione dei malware
L’anno prossimo agiranno attraverso il Web sempre più reti di distribuzione del malware, che Sophos paragona a dei content distribution network, veri e propri portali di diffusione dei contenuti. In questo ha fatto scuola Emotet, trojan bancario in circolazione fin dal 2014 e che ha fatto il suo grande ritorno tra il 2019 e il 2020, per poi essere messo a tacere nel 2021 con lo smantellamento della gang criminale sottostante. Prima di uscire di scena Emotet è stato usato non soltanto come minaccia primaria ma come content distribution network che ha spinto altri malware, sviluppati da altri criminali, nella rete dei Pc già infettati dal trojan.
Dopo lo smantellamento delle attività di Emotet, i SophosLab hanno osservato numerose altre famiglie di malware adottare lo stesso modello di funzionamento, diventare cioè delle reti di distribuzione per altre minacce. Tre esempi sono Trickbot, una botnet-malware che ha colpito pesantemente anche le aziende italiane ed è ancora in circolazione, IcedID, un trojan bancario modulare diffuso tramite email di spam, e Dridex, altro trojan che sottrae credenziali bancarie. Secondo Sophos, nel 2022 le minacce informatiche ormai consolidate continueranno ad adattarsi per distribuire e fornire ransomware e lo faranno tramite broker di accesso iniziale sempre più avanzati e gestiti dall'uomo, ma anche spam e adware.
Nuove tecniche di estorsione
Non soltanto le minacce sono in evoluzione continua, bensì anche le tecniche usate dai cybercriminali per arrivare all’obiettivo finale della monetizzazione. L’anno prossimo proseguirà e aumenterà di intensità l’utilizzo di forme multiple di estorsione da parte dei cybercriminali: in sostanza, faranno pressione in vari modi affinché la vittima ceda alla richiesta di pagamento. Nel 2021 gli esperti di incident response di Sophos hanno catalogato dieci tipi di tattiche di estorsione, che spaziano dalla crittografia dei dati alla minaccia di diffondere le informazioni sottratte, dalle telefonate minatorie agli attacchi DDoS.
Criptovalute complici del cybercrimine
Anche l’anno prossimo, e finché non esisterà una regolamentazione efficace in materia, le criptovalute continueranno ad alimentare i crimini informatici come il ransomware e il cryptomining malevolo. Sappiamo che le monete crittografiche vengono spesso utilizzate nelle richieste di riscatto perché garantiscono anonimato e assenza di tracciabilità, ma esiste anche il problema dei cryptominer che vengono installati su computer e server per sfruttarne le risorse di calcolo ai fini della “estrazione” di criptovaluta. Due scoperte dei ricercatori di Sophos nel 2021 sono stati Lemon Duck e il meno diffuso MrbMiner, che accedono alle risorse target sulla base di vulnerabilità appena segnalate o di violazioni già realizzate da altri, per poi installare programmi cryptominer.
Infrastrutture sotto attacco
Anche negli attacchi alle infrastrutture, alle grandi reti di aziende, come nei casi di Colonial Pipeline o della vulnerabilità di SolarWinds, la logica della filiera specializzata si sta affermando sempre di più. Quelli che Sophos chiama initial access broker creano il varco, per poi passare la palla a coloro che realizzeranno l’attacco vero e proprio. L’allargamento e lo sviluppo dell’ecosistema cybercriminale hanno creato una specializzazione dei ruoli e delle competenze, così come accade in qualsiasi altro settore di mercato. Gli initial access broker, in particolare si stanno specializzato nel trovare punti di accesso alle infrastrutture di grandi organizzazioni e grandi aziende: intercettano credenziali di login oppure si intrufolano nel perimetro esteso dei lavoratori in smart working e addirittura nell Vpn.
Intelligenza artificiale malevola
Uno tra i più inquietanti sviluppi dell’intelligenza artificiale, anche se non l’unico, è forse il fenomeno dei deepfake, le cui finalità spaziano dagli utilizzi ludici alle truffe. Finora abbiamo visto soprattutto utilizzare i messaggi audio di sintesi vocale e i video deepfake sui social network, per realizzare campagne di disinformazione. Nei prossimi anni, secondo Sophos, aumenterà il loro utilizzo in campo cybercriminale, per esempio per realizzare contenuti web di attacco watering-hole e campagne di phishing.