I ricercatori di Kaspersky hanno presentato le loro previsioni sul futuro delle Advanced Persistent Threat (APT), definendo i cambiamenti nel panorama delle minacce che emergeranno nel 2023. Gli attacchi a tecnologie satellitari e server di posta elettronica così come l’aumento degli attacchi distruttivi e delle violazioni, l’hacking dei droni e la prossima grande epidemia informatica – simile a quella di WannaCry – sono alcune delle previsioni per il prossimo anno.
Le tensioni politiche del 2022 hanno determinato un cambiamento che si rifletterà sulla cybersecurity dei prossimi anni e avrà un effetto diretto sullo sviluppo di futuri attacchi sofisticati. Le previsioni per il 2023 si basano sulle esperienze e sulle ricerche del Kaspersky Global Research and Analysis Team (GReAT), che quest’anno ha monitorato oltre 900 gruppi e campagne APT.
Il prossimo WannaCry e i droni per attacchi in prossimità
Statisticamente, alcune delle epidemie informatiche più grandi e impattanti si verificano ogni sei/sette anni. L’ultimo incidente di questo tipo è stato il famigerato ransomware-worm WannaCry, che ha sfruttato EternalBlue, una vulnerabilità estremamente potente, per diffondersi automaticamente sui computer più a rischio. I ricercatori di Kaspersky ritengono elevata la probabilità che il prossimo “WannaCry” si verifichi nel 2023. Uno dei potenziali motivi per cui un fenomeno simile potrebbe ripetersi è che gli attori delle minacce più sofisticate al mondo probabilmente sono in possesso di almeno un exploit adatto e le attuali tensioni globali aumentano notevolmente la possibilità che si verifichi un hack-and-leak in stile ShadowBrokers.
I cambiamenti più importanti si rifletteranno anche nei nuovi obiettivi e scenari di attacco: gli esperti ritengono che il prossimo anno si potranno individuare attaccanti e specialisti abili nel combinare intrusioni fisiche e informatiche, impiegando droni per attacchi in prossimità, ovvero che vengono lanciati con dispositivi fisicamente vicini al target. Alcuni dei possibili scenari di attacco includono l’installazione di droni con strumenti sufficienti a consentire la raccolta di handshake WPA utilizzati per il cracking offline delle password Wi-Fi o persino il posizionamento di chiavi USB dannose in aree riservate, nella speranza che un utente le raccolga e le inserisca in un computer.
Altre previsioni sulle minacce avanzate per il 2023 includono:
- Malware distribuito da SIGINT
Uno dei vettori di attacco più potenti che si possano immaginare, che utilizza server in posizioni chiave della rete Internet per consentire attacchi man-on-the-side, potrebbe ripresentarsi più forte l’anno prossimo. Sebbene questi attacchi siano estremamente difficili da individuare, i ricercatori di Kaspersky ritengono che saranno ancora più e porteranno a un maggior numero di scoperte.
- Aumento degli attacchi dannosi
Considerato l’attuale clima politico, gli esperti di Kaspersky prevedono un numero record di attacchi informatici dirompenti e dannosi, che colpiranno sia le PA sia i principali settori di mercato. È probabile che una parte non sia facilmente riconducibile a incidenti informatici ma appaia come un incidente casuale. Altri attacchi assumeranno la forma di pseudo-ransomware o di operazioni hacktivist per fornire una copertura plausibile ai veri autori. Anche gli attacchi informatici di alto profilo contro le infrastrutture ad uso civile, come le reti energetiche o la radiodiffusione pubblica, potrebbero diventare obiettivi, così come i collegamenti sottomarini e i nodi di distribuzione della fibra, che sono difficili da difendere.
- I server di posta elettronica diventano obiettivi prioritari
I server di posta elettronica contengono informazioni chiave, quindi sono elementi interessanti per gli attori APT e hanno la più grande superficie di attacco immaginabile. I leader di mercato di questo tipo di software hanno già affrontato lo sfruttamento di vulnerabilità critiche e il 2023 sarà l’anno degli zero-day per tutti i principali programmi di e-mail.
- Il target delle APT si rivolge a tecnologie, produttori e operatori satellitari
Con le attuali funzionalità e la prova che le APT sono in grado di attaccare i satelliti, ad esempio l’incidente di Viasat, è probabile che in futuro i cyber criminali rivolgeranno sempre più l’attenzione alla manipolazione e all’interferenza con le tecnologie satellitari, rendendone la sicurezza sempre più importante
- La nuova moda Hack-and-leak[1]
La nuova modalità di attacco ibrido che si è sviluppata nel 2022 ha comportato numerose operazioni hack-and-leak. Queste persisteranno anche nel prossimo anno, con gli operatori APT che faranno trapelare dati su gruppi di minaccia concorrenti e diffonderanno informazioni.
- Altri gruppi APT passeranno da CobaltStrike ad altre alternative
CobaltStrike, strumento di red-teaming, è diventato fondamentale per gli attori APT e i gruppi criminali informatici. Avendo ottenuto così tanta attenzione da parte dei difensori, è probabile che gli attaccanti passino a nuove alternative pubbliche come Brute Ratel C4, Silver o sviluppino internamente soluzioni private come Manjusaka o Ninja, che offrono nuove ed avanzate funzionalità e tecniche di elusione.
“Il 2022 ha visto grandi cambiamenti nel contesto geopolitico mondiale e ha inaugurato una nuova era di instabilità. Una parte delle nostre previsioni si concentra su come questa instabilità si tradurrà in attività informatiche dannose, mentre altre riflettono la nostra visione di quali nuovi vettori saranno esplorati dagli attaccanti. Una migliore preparazione significa una maggiore resistenza e ci auguriamo che le nostre previsioni consentano ai difensori di rafforzare i propri sistemi e respingere gli attacchi informatici in modo più efficace”, ha dichiarato Ivan Kwiatkowski, Senior Security Researcher di Kaspersky.
Le previsioni sulle APT sono state sviluppate grazie ai servizi di Threat Intelligence di Kaspersky utilizzati in tutto il mondo. È possibile consultare il report completo su Securelist.com.
Queste previsioni fanno parte del Kaspersky Security Bulletin (KSB), una serie di previsioni annuali e articoli analitici sui principali cambiamenti nel mondo della cybersecurity. Per ulteriori informazioni sugli altri articoli relativi al KSB è possibile consultare il seguente link.
Per scoprire cosa gli esperti di Kaspersky si aspettavano di riscontrare nel panorama delle minacce mirate avanzate nel 2022, si consiglia di leggere il nostro precedente report annuale.
[1] L'"Hack and leak" è il cosiddetto attacco ibrido. Le sue operazioni implicano due paradigmi: l'intrusione (accesso non autorizzato alle reti), e la manipolazione e l'influenza dei media (l'uso delle tecnologie digitali per spostare il dibattito pubblico).