Un’APT è un attacco a lungo termine finalizzato a individuare e sfruttare informazioni molto sensibili. Un cybercriminale entra nella rete del computer della vittima e vi rimane per molto tempo, monitorando dati, movimenti e utenti principali.
Questi attacchi non sono casuali. Normalmente le vittime sono organizzazioni di grandi dimensioni o persino governi che hanno a che fare con dati top secret, come piani militari, dati finanziari o brevetti. Questi attacchi possono essere molto sofisticati e difficili da rilevare.
Il team GReAT di Kaspersky ha recentemente presentato le previsioni per il 2024 con focus specifico sulle Advanced Persistent Threat (APT). Eccone alcune:
Furti di identità basati sull’Intelligenza artificiale, aumento degli exploit creativi per dispositivi mobili e nuove botnet
L’utilizzo dell’IA semplificherà la creazione di messaggi spear phishing, ovvero di attacchi informatici altamente personalizzati che prendono di mira persone o aziende specifiche.
I truffatori potrebbero ideare metodi creativi, raccogliendo dati online e affidandoli ai LLM per scrivere messaggi simili a quelli di una persona vicina alla vittima.
“Operation Triangulation” segna un punto di svolta importante per gli exploit mobile e potrebbe ispirare ulteriori indagini sulle ATP che colpiscono dispositivi smart, mobile e wearable. Probabilmente i criminali informatici colpiranno i device degli utenti finali sfruttando le vulnerabilità e metodi “silenziosi” di consegna degli exploit, tra cui attacchi zero-click via messanger e one-click tramite SMS o app di messaggistica così come le intercettazioni del traffico di rete. La protezione dei dispositivi personali e aziendali è diventata sempre più importante.
Aumento dei cyber attacchi da parte di attori sponsorizzati da Stati e Hacktivism
Il numero degli attacchi informatici promossi da uno Stato potrebbe aumentare nel corso del prossimo anno. Questi attacchi saranno probabilmente la causa di furti o crittografia dei dati, violazione delle infrastrutture IT, spionaggio a lungo termine e sabotaggi informatici.
Un’altra tendenza rilevante è l’hacktivism , ovvero l’uso di attacchi informatici per aumentare la consapevolezza su questioni sociali, politiche o di altro tipo che è sempre più diffuso nell’ambito dei conflitti geopolitici. Le tensioni politiche indicano un probabile aumento dell’hacktivism, sia di carattere distruttivo sia finalizzato alla diffusione di fake news, portando a indagini inutili e alla conseguente stanchezza degli analisti SOC e dei ricercatori specializzati nella sicurezza informatica.
Altre previsioni
Attacchi alla supply chain sottoforma di servizio: accesso degli operatori al bulk-buying
Le piccole e medie imprese, spesso prive di una solida protezione contro gli attacchi APT, stanno diventando porte attraverso cui gli hacker possono accedere ai dati e alle infrastrutture delle aziende più grandi, i loro obiettivi finali. Le motivazioni di questi attacchi vanno dai guadagni finanziari fino allo spionaggio
Hacking su commissione
I gruppi di hacker su commissione (o hack su commissione) sono specializzati nell’infiltrazione di sistemi e nell’offerta di servizi di furto di dati. La loro clientela comprende investigatori privati, studi legali, rivali in affari e coloro che non dispongono delle competenze tecniche per tali attacchi. Questi mercenari informatici pubblicizzano apertamente i loro servizi e prendono di mira entità di interesse. Nel 2024 si prevede un aumento dell’ hacking a pagamento con conseguente furto dei dati a diversi clienti, dagli investigatori privati ai competitor aziendali.
Rootkit in modalità kernel
Nonostante le nuove misure di sicurezza come Kernel Mode Code Signing, PatchGuard, HVCI (Hypervisor-Protected Code Integrity), le protezioni per l’esecuzione del codice a livello di Kernel vengono aggirate dalle APT e dai gruppi di criminali informatici. Gli attacchi al kernel di Windows sono in aumento, grazie alle violazioni WHCP. Inoltre, il mercato illegale dei certificati EV e dei codici di firma rubati è in crescita. I criminali informatici sfruttano sempre più il BYOVD (Bring Your Own Vulnerable Driver) nel loro modo di operare.
I sistemi di Managed File Transfer (MFT) utilizzati per attacchi avanzati
I sistemi di Managed File Transfer (MFT), progettati per trasferire in modo sicuro i dati sensibili tra le organizzazioni (proprietà intellettuale, documenti finanziari e dati dei clienti), sono soggetti a crescenti minacce informatiche soprattutto ad attacchi ransomware, con l’obiettivo di sfruttare le vulnerabilità per l’estorsione finanziaria.
La complessa architettura dei MFT, integrata in reti più ampie, presenta però alcuni punti deboli dal punto di vista della sicurezza. Le aziende devono implementare robuste misure di cybersecurity, tra cui la Data Loss Prevention e la crittografia, e promuovere una maggiore consapevolezza in materia di sicurezza informatica per rafforzare i sistemi MFT contro minacce in continua evoluzione.