Ogni dicembre, come di tradizione ormai, facciamo una carrellata di ciò che è successo durante anno trascorso. Pronti per iniziare?
Ransomware
L’anno scorso, più o meno in questo periodo, abbiamo affermato che il 2016 sarebbe stato l’anno dei ransowmare. In giro c’erano un sacco di cryptor e blocker di tutti i tipi e la portata dell’infezione stava assumendo già dimensioni importanti. E invece “l’anno dei ransomware” sembra essere stato il 2017: non si era visto prima delle epidemie WannaCry, ExPetr e BadRabbit nulla di simile prima. In termini di portata, l’unica epidemia paragonabile a WannaCry è stata quella del worm Conficker del 2008-2009, una delle più estese al momento.
Avvertiamo che il 2018 non sarà un altro anno di ransomware; secondo i nostri esperti, il podio se lo aggiudicheranno i miner occulti di criptomonete, che già stanno avanzando minacciosamente. Ma ne parleremo meglio più avanti.
Attacchi alle aziende finaziarie
Il 2017 è stato anche l’anno di numerosi attacchi alle organizzazioni finanziarie, uno degli obiettivi preferiti degli hacker. Lo scorso ottobre, i nostri esperti hanno scoperto nella Dark Web un nuovo esemplare di malware facile da ottenere chiamato Cutlet Maker, che colpisce i bancomat. Investendo solo qualche migliaio di dollari, gli hacker potevano perpetrare attacchi devastanti ai bancomat: il malware comprendeva istruzioni e praticamente tutti gli strumenti di cui avevano bisogno. Alcuni sfortunati sono stati acciuffati, ma i creatori del malware hanno guadagnato tantissimi soldi.
Un’altra tendenza che persisterà sono gli attacchi rivolti agli enti bancari. Sempre a ottobre, abbiamo smascherato un nuovo gruppo cybercriminale chiamato Silence, che attaccava le organizzazioni finanziarie. La maggior parte delle vittime sono stati alcuni importanti enti bancari russi (il gruppo di cybercriminali parla russo). Sembra essere un degno erede di Carbanak, gruppo cybercriminale che nel 2015 ha attaccato numerose banche, diventando notizia su tutti i giornali.
Attacchi mirati
Silence è solo uno dei tanti attacchi mirati o APT (Advanced Persistent Threat) in circolazione. Durante il 2017 abbiamo osservato circa 100 gruppi hacker attivi in quest’ambito, il doppio rispetto al 2016. Solo dieci di questi gruppi (tra cui Silence) avevano interessi economici, gli altri si occupavano di cyberspionaggio e ricerca di dati all’interno di agenzie governative, petrolifere o di produzione di gas. È ciò che avevamo praticamente previsto alla fine dello scorso anno: i gruppi hacker avrebbero iniziato a operare assoldati da certe forze politiche ed economiche.
Un nuovo vettore degli attacchi mirati che abbiamo visto quest’anno sono i vendor di software utilizzati da grandi aziende. In sostanza i cybercriminali adottano questa strategia: invece di attaccare direttamente i sistemi inespugnabili delle aziende, è più facile colpire i software che usano.
Un buon esempio è il grande attacco perpetrato dal gruppo Axiom al popolare tool per la pulizia del registro di Windows, CCleaner. Gli hacker hanno iniettato il codice dannoso in un aggiornamento del programma, scaricato da oltre 2 milioni di utenti in tutto il mondo. Le vittime erano un gruppo selezionato di circa 20 aziende di grandi dimensioni. Grazie all’aggiornamento dannoso, i cybercriminali sono riusciti a penetrare nei sistemi e poi a insinuarsi nelle loro reti.
Criptomonete e mining
In un anno il prezzo dei Bitcoin si è moltiplicato di ben 15 volte, e per quanto riguarda Ethereum arriviamo addirittura a 48 volte il loro valore originale. Quest’anno le criptomonete hanno avuto un impatto sull’economia globale senza precedenti, trasformando il mercato degli investimenti speculativi: nel 2017, i fondi raccolti mediante ICO hanno raggiunto quota 3,5 miliardi di dollari, mentre il formato IPO tradizionale ha raccolto solo 1 miliardo di dollari.
Come c’era da aspettarsi, in concomitanza sono emerse anche nuove minacce e vulnerabilità, che innanzitutto hanno aperto le porte a vari tipi di attacchi, dal phishing all’hackeraggio dei wallet di Bitcoin. Abbiamo anche notato una modifica nello schema di spam alla nigeriana, dove ormai si offrono token in cambio dell’indirizzo di un wallet (se si consegna l’indirizzo del wallet, si può pure dire addio a tutti i soldi). I cybercriminali sono riusciti a “racimolare” in questo modo ben 300 miliardi di dollari, quasi un decimo dei fondi raccolti nel 2017 via ICO.
Ma non è tutto: questa nuova realtà spiana la strada a nuovi modi per fare soldi in poco tempo; uno tra questi è il mining occulto di criptomonete, soprattutto via browser. I siti vengono infettati da uno script, grazie al quale i computer dei visitatori di questi siti sono utilizzati per il mining senza il loro consenso.
Ebbene, dopo aver analizzato cosa è successo nel mondo della sicurezza informatica, possiamo dare un’occhiata a ciò che bolle in pentola per il prossimo anno.
Previsioni per il 2018
- Gli attacchi ai vendor di software saranno sempre più numerosi – I casi CCleaner e M.E.Doc (azienda di software i cui aggiornamenti del server sono stati utilizzati per diffondere ExPetr), dimostrano chiaramente che un attacco portato a termine con successo su un solo programma può mettere a rischio potenzialmente tantissimi utenti;
- Attacchi automatizzati per hackerare bancomat e soluzioni di recente uscita – Fino a ora avevamo visto praticamente bancomat hackerati con un hard disk impiegando metodi rudimentali. Ora questo metodo non è più così efficace perché i bancomat sono sorvegliati costantemente, ma ciò non scoraggia di certo i cybercriminali. Si svilupperanno nuovi metodi di hackeraggio, alcuni de quali probabilmente in remoto;
- Attacchi a nuovi dispositivi entrando nel sistema operativo – Il vettore degli attacchi mirati sta già cambiando dai PC tradizionali a nuovi dispositivi, come smartphone e IoT. I cybercriminali cercano di lavorare a livello di sistema operativo per evitare di essere scoperti dai metodi di protezione, ad esempio a livello UEFI (firmware del processore che si attiva ancor prima del sistema operativo);
- Più attacchi mirati utilizzando i ransomware – I cybercriminali sanno già come attaccare grandi aziende con molta maestria, decidendo con cura le tempistiche di attacco. ExPetr, ad esempio, cifrava i file qualche giorno prima di un rimborso delle tasse, con lo scopo di costringere l’azienda a pagare senza batter ciglio. Probabilmente in futuro sentiremo parlare di altre notizie di questo tipo;
- Truffe che coinvolgono le criptomonete e attacchi ai valori virtuali della blockchain – Già ora è molto più redditizio attaccare gli account di criptomonete o praticare mining illegale alle spalle di utenti e aziende, invece di colpire sistemi bancari tradizionali e strumenti di online banking. A parte i tantissimi modi che esistono per effettuare il mining occulto, vedremo sicuramente nuovi tipi di attacco rivolti ai wallet o in grado di sfruttare le vulnerabilità nella blockchain. Se consideriamo che praticamente ogni giorno viene fuori un nuovo valore in criptomoneta (come CryptoKitties, ora sulla cresta dell’onda), non è un rischio affermare che i cybercriminali tengono d’occhio costantemente tutto questo circuito.
Ci toccherà aspettare un po’ per verificare se tali previsioni si realizzeranno davvero. Per il momento, vi auguriamo buone feste e ricordate… La cybersicurezza prima di tutto!