Il crimine informatico è un tema sempre attuale, perché si trasforma e si evolve continuamente, diventando in un certo senso uno specchio della società e della politica mondiale. Quattro tendenze, in particolare, possono illustrare lo scenario del cybercrimine della prima metà del 2019, come emerso dalle attività di monitoraggio di Stormshield. La prima è la natura sempre più “social” delle malefatte informatiche: chi prepara attacchi o truffe sempre più spesso segue l’attualità e i trend della Rete, usando Twitter, Facebook, Instagram e le altre piattaforme non solo come canale di diffusione ma anche come fonte di informazioni. “Oggigiorno, ogni tendenza sociale ed economica diventa oggetto di interesse per i cybercriminali”, osserva Matthieu Bonenfant, chief marketing officer di Stormshield.

 

Gli esempi non mancano, e mostrano anche come l’occasione (i social) faccia l’uomo ladro (studenti che si trasformano in truffatori del Web): in Francia degli studenti di ingegneria hanno utilizzato Snapchat per vendere abbonamenti ai mezzi pubblici con un credito precaricato di 200 o 300 corse. Sempre Oltralpe, a Lione, aziende locali hanno intascato oltre due milioni di euro sfruttando il trucco dell’assistenza tecnica farlocca. In Svezia, invece, dei fan dello youtuber PewDiePie hanno lanciato due attacchi ransomware il cui obiettivo era incrementare il numero degli abbonati al suo canale.

 

La seconda tendenza dell’anno sono gli aggiornamenti corrotti di server affidabili. Nel mese di marzo, uno tra i più importanti produttori di Pc al mondo è stato colpita da un attacco che ha consentito di installare malware su migliaia di computer già venduti. Si tratta di Asus: un attacco al sistema di aggiornamenti automatici (Live Update) ha fatto sì che gli utenti installassero sui propri computer, senza accorgersene, una backdoor. Quest’ultima era inserita in un file, Setup.exe, che conteneva il certificato digitale Asus e dunque risultava “sicura” agli occhi dei sistemi di verifica del computer. 

 

Questo attacco è molto significativo, dato che i criminali hanno saputo accedere alle reti del produttore abusando dei meccanismi di aggiornamento, allo scopo di modificare i file di loro interesse. “Questo tipo di attacchi, non proprio alla portata di chiunque, può bypassare facilmente i sistemi di sicurezza e le misure adottate anche dagli utenti più vigili, trattandosi di aggiornamenti ritenuti legittimi. Un tipo di intrusione che probabilmente si ripresenterà anche in futuro”, assicura Bonenfant.

 

Come terza tendenza, Stormshield segnala l’assottigliamento del confine tra il mondo fisico e il digitale. Basti un esempio: alla fine di giugno, Donald Trump ha affermato pubblicamente di aver lanciato un cyberattacco contro sistemi bellici  iraniani, così da bloccare un attacco militare in preparazione. 

 

Il cyberspazio è un ambiente aperto ed estremamente suscettibile alle tensioni geopolitiche”, commenta Bonenfant. “Se da un lato assistiamo al ritorno di una dannosa forma di isolazionismo, con la Cina che ha creato un proprio Internet e la Russia che minaccia di fare lo stesso, dall’altro, dopo aria, acqua e terra, il cyberspazio rappresenta oggi il quarto campo di battaglia. Con un’importante differenza: è molto più difficile verificare se un cyberattacco abbia realmente avuto luogo e identificarne la fonte. Al contrario è possibile occultarne le prove o crearne di false. Di conseguenza questo nuovo terreno di battaglia è pronto a propaganda, manipolazione e disinformazione”. 

 

 

I confini si assottigliano ancora di più nell’ambito dei servizi sanitari: un team di ricercatori universitari israeliani ha documentato l’esistenza di un malware in grado di manipolare le immagini ottenute con risonanze magnetiche, e dunque di alterare la diagnosi.

 

Altra tendenza protagonista del semestre è la crescita di complessità dei ransomware mirati. A gennaio il ransomware LockerGoga ha iniziato ad interferire con il sistema informatico della società di consulenza Altran e di Norsk Hydro, società svedese tra i colossi mondiali della produzione di alluminio (i danni sono poi stati svelati due mesi dopo). 

 

Perché questo ransomware è complesso? Una volta installato LockerGoga non si limita a cifrare un certo numero di file, bensì modifica le password di sistema dei computer infetti. Tenta, inoltre, di disattivare le schede di rete delle macchine per isolare il sistema da connessioni esterne, forzando le vittime ad effettuare un ripristino manuale. Una delle sue caratteristiche distintive è l’uso di certificati di sicurezza validi per infettare i computer a cui mira. “A differenza di WannaCry o NotPetya”, sottolinea Bonenfant, “questo ransomware non ha l’obiettivo di mietere quante più vittime possibile. Si tratta di un’attività molto mirata, il cui intento è paralizzare un’azienda o un intero ente governativo per poi richiedere un riscatto”.