Vecchie vulnerabilità e hacker in affitto minacciano le Pmi

I cybercriminali quest’anno non si sono fatti intimidire dal coronavirus, anzi. Molte analisi di vendor e associazioni specializzate in sicurezza informatica (inclusa l’italiana Clusit) sottolineano come nel 2020 il covid-19 abbia rappresentato un trampolino per truffe di phishing e malware, contribuendo alla crescita volumetrica di questi fenomeni. Più in generale, l’aumento del telelavoro si è tradotto in un maggior numero di persone connesse per più tempo a email e servizi cloud, dunque in maggiori occasioni di attacco per i malfattori del Web. “Il panorama delle minacce per le imprese nel primo semestre del 2020 è cambiato notevolmente in termini di superficie di attacco, minacce e sfide poste dalla pandemia globale di coronavirus”, commenta Liviu Arsene, senior e-threat analyst di Bitdefender. “Le aziende che imparano ad adattarsi comprendendo queste nuove tendenze, avranno l'opportunità sia di aumentare la loro resilienza alla sicurezza informatica sia di rafforzare la loro continuità”.

Nel suo nuovo report “Business Threat Landscape”, Bitdefender fa notare che sul totale dei dei messaggi di posta elettronica aventi come argomento il coronavirus osservati nel 2020, il 40% è un tentativo di frode, phishing o diffusione di malware. Va notato poi che nella “nuova normalità”, in cui il ricorso al telelavoro è diventato più intenso ed esteso, i vecchi problemi di sicurezza informatica continuano a esistere. In particolare, il problema dei mancati aggiornamenti: la telemetria di Bitdefender mostra che poco meno del 64% delle vulnerabilità segnalate e non ancora identificate coinvolge CVE (Common Vulnerabilities and Exposures) più vecchie del 2018. Il fatto che molte aziende si siano per la prima volta affidate al cloud o a piattaforme di collaborazione a distanza ha peggiorato le cose.

Minacce tradizionali e nuovi pericoli
La casistica dei rischi che pendono sulle aziende include problemi solo apparentemente banali, come le configurazioni errate delle infrastrutture e le falle software non corrette, così come le elaborate campagne Apt (Advanced Persistent Threat) e le citate email di phishing. La telemetria aziendale di Bitdefender ha rivelato inoltre che le minacce tradizionali sono tutt’altro che in declino. La tabella sottostante evidenzia l'incidenza percentuale di ransomware, coin miner e applicazioni potenzialmente indesiderate (Pua, non necessariamente nocive ma sicuramente moleste) sul totale dei rilevamenti del primo semestre.

H1 2020	Ransomware	Coin Miner	PUA
Gennaio	19.01%	16.41%	16.14%
Febbraio	17.27%	26.79%	15.80%
Marzo	17.55%	16.67%	17.91%
Aprile	15.32%	13.08%	15.79%
Maggio	15.81%	13.46%	17.80%
Giugno	15.04%	13.59%	16.55%

Per quanto riguarda le modalità di attacco, in fase di esecuzione l’uso di comandi e script PowerShell rimane la sotto-tecnica preferita dai criminali informatici: rappresenta infatti oltre il 42% delle sotto-tecniche segnalate. Accanto alla “tradizione” nel 2020 è emersa anche un’innovazione. Uno dei più grandi cambiamenti nel panorama internazionale delle minacce, evidenzia Bitdefender, è la comparsa di hacker Apt “in affitto”: dei mercenari, sostanzialmente, che agiscono su commissione. La loro esistenza allarga notevolmente il cerchio delle possibili vittime, giacché storicamente le campagne Apt si sono concentrate su enti governativi e altri bersagli strategici (come gli enti di ricerca, le case farmaceutiche, le grandi Ong) mentre con gli hacker mercenari anche le piccole e medie imprese possono essere colpite, per esempio su committenza di un concorrente.

Le previsioni per il 2021
Che cosa succederà l’anno prossimo? Bitdefender scommette sulla crescita degli attacchi volti a sfruttare le vulnerabilità emerse già nel 2020 e per le quali non sono ancora disponibili patch. Ci sarà, inoltre, un aumento delle tattiche di esecuzione stealth, quelle cioè che permettono agli attaccanti di agire indisturbati, senza farsi scoprire, per il maggior tempo possibile. Il fenomeno gli hacker Apt in affitto si consoliderà, diventando un’abitudine e sviluppando una più ampia offerta di persone abili e disposte a eseguire elaborati attacchi su commissione.

Bitdefender invita dunque le aziende (in particolare le Pmi) a cambiare strategia e strumenti di difesa, adottando soluzioni di rilevamento automatico degli endpoint e di Managed Detection and Response (Mdr). Gli hacker prediligono le tattiche che si muovono al di sotto delle soglie di rilevazione delle soluzioni di sicurezza tradizionali, perciò è probabile che le aziende dovranno rivalutare i propri strumenti di difesa includendovi soluzioni che non si limitano alle funzionalità antimalware. Quanto al phishing e ad altri tipi di truffa via email, possiamo immaginare che molto dipenderà dall’evoluzione dello scenario pandemico del covid-19.