Ransomware sempre più sofisticati e temibili nelle loro minacce, ma anche malware solo apparentemente banali e attacchi che sfruttano strumenti legittimi per restare nell’ombra fino al momento dell’assalto finale. Sono alcune delle tendenze che Sophos prevede per lo scenario cybercriminale del 2021: un anno che vedrà consolidarsi alcuni dei fenomeni già emersi nel 2020 e su cui pende, naturalmente, l'incognita dell’evoluzione della pandemia di covid-19. Gli stretti legami fra quest’ultima e l’attività dei criminali informatici sono già stati sottolineati da molti vendor e analisti, con particolare riferimento allo spam e al phishing.
Ma anche al netto degli effetti dell’emergenza sanitaria, dal punto di vista delle minacce informatiche il 2021 sarà sicuramente un anno dinamico e interessante. Nel nuovo “Sophos Treath Report” (realizzato dagli esperti di sicurezza dei SophosLabs, dai “threat hunter” dell’azienda e da esperti di sicurezza cloud e intelligenza artificiale) sono tre, in particolare, le previsioni più significative per l’anno prossimo.
Ransomware di fascia alta e bassa
La prima riguarda i ransomware: aumenterà il divario tra gli attacchi più banali, eseguito su larga scala e sparando nel mucchio, e gli attacchi sofisticati e focalizzati su bersagli ristretti. Nella prima categoria rientrano i creatori delle grandi famiglie di ransomware, come ad esempio Ryuk e RagnarLocker, che continueranno a modificare e a rendere sempre più sofisticate le loro Tttp (tattiche, tecniche e procedure) diventando sempre più difficili da intercettare e puntando a colpire le aziende di grandi dimensioni. Parallelamente gli attacchi ransomware di fascia bassa, come Dharma, aumenteranno notevolmente di numero e saranno sempre più sfruttati per sparare nel mucchio, indirizzandosi a singoli utenti.
Sophos scommette anche che l’anno prossimo vedremo affermarsi un’altra tendenza relativa ai ransomware, la cosiddetta “estorsione secondaria”. Si tratta di un metodo di attacco nel quale, oltre a cifrare i dati del dispositivo colpito, i malfattori sottraggono informazioni sensibili per minacciare la vittima di diffonderle qualora la richiesta di pagamento non venga soddisfatta.
Esempi di questo genere si sono già emersi quest’anno in associazione a ransomware come
Maze, RagnerLocker, Netwalker e REvil.
“Il business model alla base del ransomware è dinamico e complesso”, spiega Chester Wisniewski, principal research scientist della società di sicurezza. “Nel 2020 Sophos ha rilevato una chiara tendenza secondo la quale gli autori degli attacchi informatici si differenziavano a seconda dei livelli di competenza e tipologia di obiettivo. Oggi, tuttavia, stiamo rilevando anche famiglie di ransomware che condividono strumenti top di gamma al fine di formare una sorta di cartello collaborativo. Alcuni di questi ransomware, come ad esempio Maze, sembravano spariti dalla circolazione ma molti strumenti e tecniche che lo caratterizzavano sono riapparsi sotto le sembianze del nuovo arrivato Egregor. Il mondo delle cyberminacce odia gli spazi vuoti: non appena una minaccia scompare, viene subito sostituita da una nuova e ciò rende difficile fare previsioni su quali saranno i prossimi ransomware a dominare la scena. Possiamo comunque aspettarci che quanto rilevato nel corso dell’ultimo anno dal nostro Threat report si confermi anche nel 2021”.
Minacce solo apparentemente banali
Malware, loader e botnet o Initial Access Brokers sono quanto potremmo definire come “minacce quotidiane”, non particolarmente sofisticate. Ma non per questo meno pericolose. Questo tipo di attività, rimarca Sophos, può permettere a chi attacca di ottenere un primo accesso al bersaglio, di raccogliere le informazioni che gli servono e condividerle con una rete di command and control; quest’ultima poi, basandosi su quanto raccolto, definirà i passaggi successivi da compiere. Per esempio, se si scoprono in Rete delle macchine vulnerabili, gli autori dell’attacco potranno rivendere ad altri quelle informazioni. Nel 2020 un caso di minacce concatenate è stato quello di Ryuk, cha sfruttato Buer Loader per diffondere il proprio ransomware.
“Il malware di questo tipo”, ammonisce Wisniewski, “può venire erroneamente percepito soltanto come un fastidioso rumore di fondo che fa risuonare l’allarme di sicurezza, ma Sophos ha rilevato come in realtà questa tipologia di attacco vada affrontata con massima attenzione, poiché può essere l’inizio di un’infezione assai più grave. L’errore è pensare che, una volta identificato e rimosso il malware, il problema sia risolto, mentre spesso ciò di cui non ci si rende conto è che l’attacco è stato presumibilmente sferrato contro più di una singola macchina e che malware apparentemente comuni come Emotet e Buer Loader possono portare ad attacchi molto più avanzati come Ryuk o Netwalker. Questi ultimi non vengono rilevati fino a quando non si scatenano, il più delle volte di notte o nel weekend, quando tendenzialmente è più difficile che vengano rilevati tempestivamente. Non sottovalutate questi attacchi, potrebbero rivelarsi estremamente dannosi e costosi”.
Strumenti legittimi usati per restare nell’ombra
La terza tendenza pronosticata per il 2021 è un incremento dell’uso di tool legittimi, utilities molto note e destinazioni di rete comuni, sfruttati dai criminali informatici per non essere identificati e potranno muoversi indisturbati nella rete, fino al momento di lanciare il vero e proprio attacco (per esempio un ransowmare). Questo modo di agire offre particolari vantaggi anche in caso di operazioni orchestrate da hacker di Stato, poiché è estremamente difficile identificarne l’origine.
“L’abuso di strumenti e tecniche di attacco ormai considerate comuni per camuffare attacchi attivi è un tipo di comportamento ampiamente rilevato da Sophos già nel corso dell’anno che sta per concludersi”, spiega l’esperto. “Si tratta di una tattica che mette in difficoltà i tradizionali approcci alla sicurezza poiché non fa scattare immediatamente l’allarme. Ed è qui che devono scendere in campo sistemi che prevedano una componente umana nella ricerca e identificazione delle minacce e che integrino un approccio basato sul managed threat response”. Per difendersi da quest’attività alquanto subdola bisogna dunque affidarsi all’analisi di persone esperte di cybersicurezza e all’uso di strumenti di Endpoint Detection and Response.
Altre scommesse per il 2021
Fra le altre tendenze forti per l’anno prossimo, Sophos elenca la crescita degli attacchi ai server Windows e Linux (utili per colpire le aziende nel “cuore” delle loro infrastrutture), operazioni mirate a colpire gli utenti in smart working, il perdurare dei rischi legati al cloud, l’uso di Vpn ed Rdp per realizzare attacchi laterali e il ricorso ad applicazioni software indesiderate (le cosiddette Pua, potentially unwanted application) per vere e proprie attività malevole. Ci sarà poi il ritorno “a sorpresa” (ma non per Sophos) di un vecchio bug, VelvetSweatshop: una funzionalità per la gestione password di una vecchia versione di Microsoft Excel, usata per celare macro o altri contenuti malevoli nei documenti ed eludere così il rilevamento da parte dei sistemi di sicurezza.