11 minute read
CYBERSECURITY
RANSOMWARE DANNOSO E TRASFORMISTA
Chester Wisniewski, principal research scientist di Sophos, racconta come sta cambiando il fenomeno degli attacchi con richiesta di “riscatto”, e quali minacce si nascondono nel cloud. G li attacchi informatici si trasformano e si arricchiscono continuamente. In gran parte non è possibile prevederli, ma è anche vero che gli errori umani e le debolezze di alcune tecnologie (o del modo in cui vengono adottate) contribuiscono ad accentuare i rischi. Quelli legati al cloud computing, per esempio. E poi ci sono i ransowmare, una tipologia di attacco che sta mostrando il suo vero potenziale aggressivo, al di là delle singole richieste di riscatto, e che nel 2019 ha mandato in tilt sistemi informatici di enti pubblici, città e ospedali. Che cosa ci aspetta nel futuro? Ne abbiamo discusso con Chester Wisniewski, principal research scientist di Sophos. Come è cambiato il fenomeno dei ransomware? Nel 2019 si è osservato un importante cambiamento, in quanto gli attacchi ransomware hanno diminuito il focus sul Pc che avevano in precedenza e si sono rivolti con maggiore decisione verso i server aziendali. Questo è avvenuto per due motivi: da un lato, gli endpoint sono oggi molto protetti a livello di soluzioni e processi, mentre i server lo sono di meno e risultano maggiormente vulnerabili per il ritardo nelle attività di patching. Spesso in azienda ci si preoccupa per aspetti come uptime e affidabilità dei server, e si rimanda il patching, che in Europa – una volta che una vulnerabilità è nota – avviene normalmente in un periodo compreso due settimane e un mese per quanto riguarda i Pc e dopo oltre 90 giorni per i server. Se parliamo poi di ambienti business-critical come Erp o altro, si arriva ad aggiornamenti effettuati una sola volta all’anno. In aggiunta, si assume che i server siano protetti dalla rete aziendale, ma questi attacchi viaggiano criptati, la decriptazione avviene a livello di server e sulla rete passa tutto. Infine, in alcuni casi le imprese sono restie ad aggiungere livelli di sicurezza ai server perché vogliono ridurne le prestazioni. Tutto questo porta ad avere in alcuni casi un livello di sicu-
rezza veramente basso per i server aziendali, e gli attaccanti lo sanno: nella prima fase di attacco effettuano una scansione, individuando tutte le macchine vulnerabili e prive di aggiornamenti di sicurezza.
Qual è la conseguenza se ad essere preso di mira è un server aziendale? Gli attaccanti puntano oggi a bloccare i server con attacchi molto più studiati e con un forte coinvolgimento del “fattore umano”, ossia dell’hacker in grado di individuare la realtà da colpire, verificarne le vulnerabilità, muoversi lateralmente nel network in modo da individuare le macchine e i dati più sensibili. Il tutto per chiedere un riscatto più alto: siamo infatti passati dai 400 euro per un laptop a richieste di milioni di euro che l’azienda, l’ospedale, la municipalità, saranno costrette a pagare per non subire danni economici, di reputazione, mancato business, di uguale portata.
E se i server sono virtualizzati o in cloud, cambia qualcosa? In realtà non cambia niente: anche virtualizzati sono poco sicuri, e se sono in cloud è ancora più difficile capire cosa sta andando storto, perché di norma nella nuvola non ho strumenti di sicurezza. Anzi, le aziende assumono – sbagliando – che la sicurezza sia responsabilità del cloud provider. Questi ultimi gestiscono la sicurezza a livello di infrastrutture, non di software del cliente che gira su queste, e la conseguenza è che alcune attività, come ad esempio l’analisi dei log (da cui possono capire, ad esempio, se sia in corso un tentativo di “password guessing”) semplicemente non sono possibili.
Qual è oggi la situazione di sicurezza del cloud? L’adozione è in forte crescita, ma la sicurezza del cloud è qualcosa di ancora nuovo e immaturo, e il motivo principale è che si tratta di un tema complesso da
Chester Wisniewski
affrontare. Servono competenze e un’attitudine corretta. Va detto anche che al momento neanche gli attaccanti sono molto focalizzati sul cloud, come se loro stessi stessero ancora imparando a fare attacchi rivolti a questi ambienti. In questo momento la maggior parte dei breach che coinvolgono il cloud sono legati ad errori di configurazione, per i quali i dati sono effettivamente disponibili a tutti. Lo vediamo di continuo: basti pensare al caso recente di Microsoft: 250 milioni di record dei clienti accessibili per errori di configurazione. Al momento è molto facile che succeda, potrebbe capitare a chiunque: da parte dei cloud provider, servirebbe rendere più sicuro l’uso del cloud fin dall’inizio, mentre per gli utenti e in particolare gli sviluppatori (che posizionano in cloud i propri test dello sviluppo in modo poco sicuro e poi li lasciano lì quando invece dovrebbero cancellarli) servirebbe un’attività di formazione su questi temi. Per quanto riguarda i veri attacchi rivolti al cloud, cominciamo solo ora ad osservare alcuni tentativi, molto sofisticati e focalizzati su specifiche istanze: in questo momento solo pochi hanno le competenze per farlo. È però solo questione di tempo prima che queste attività siano svolte su larga scala. Oggi vediamo solo la punta dell’iceberg. Elena Vaciago, research manager di The Innovation Group
IL CORONAVIRUS VIAGGIA IN SPAM
Il dramma del coronavirus ha avuto un risvolto tecnologico che, se non tragico, è stato quantomeno dannoso per le vittime cadute nella truffa. Molte quelle circolate, con vera escalation di settimana in settimana. Kaspersky già a fine gennaio aveva scoperto campagne di spam a base di messaggi spacciati per documentazione medica, informazioni su come proteggersi dal virus o come scoprire sintomi di contagio: in realtà, le email diffondevano diversi tipi di attacco informatico, fra cui trojan e worm, in grado di cancellare, bloccare, modificare o copiare i dati. All’inizio di marzo, poi, i ricercatori di Sophos segnalavano una campagna di spam attiva anche in Italia: i messaggi si presentavano come inviati dall’Oms o da altra autorità in campo sanitario e includevano link diretto verso un documento (una presunta lista di precauzioni da adottare per prevenire l’infezione) contenente un malware. Sempre in marzo i laboratori di CyberArk hanno scoperto un ransomware che sfrutta il nome Coronavirus o covid-19 e che infetta i Pc a partire dal sito di phishing WiseCleaner[.] best. In un nuovo sondaggio internazionale di Check Point, invece, il 71% dei professionisti intervistati ha osservato parallelamente alla pandemia un aumento di minacce e attacchi rivolti alla propria azienda. V.B.
L’ALLARME INFINITO
Non cala il numero di attacchi rilevati dal Clusit: nel 2019 quelli classificati come “gravi” sono stati 1.670 quelli gravi, il 7,6% in più rispetto al 2018. Crescono ransomware e phishing.
Ogni anno va sempre peggio. Tecniche di difesa e consapevolezza degli utenti sono in costante miglioramento, ma i criminali informatici sono sempre più organizzati, lavorano con logiche industriali e riescono a colpire con crescente efficacia. E il loro principale scopo rimane il guadagno illecito. La conferma arriva dal rapporto annuale del Clusit, l’Associazione Italiana per la Sicurezza Informatica, che ormai da diversi anni (siamo alla quindicesima edizione) analizza l'andamento degli attacchi con gravi conseguenze avvenuti nelle aziende pubbliche e private di tutto il mondo. Nel 2019 ne sono stati rilevati 1.670, con una media mensile di 137 e un numero complessivo in crescita del 7,6% rispetto all'anno precedente e addirittura del 91,2% in rapporto al 2014. "La situazione sta peggiorando e riteniamo che i nostri dati rappresentino la punta di un iceberg più esteso", commenta Andrea Zapparoli Manzoni, membro del comitato direttivo del Clusit. “Lo dimostra il fatto che il 46% delle vittime sia americana, effetto diretto di un obbligo di public disclosure più consolidato rispetto all'Europa, dove le normative Gdpr e Nis non hanno ancora prodotto i risultati sperati". Il cybercrime domina la scena come principale motivazione di attacco, rappresentando l'83% delle rilevazioni e con un numero assoluto (1.383) che è il più alto di sempre e segna un aumento del 162% rispetto al 2014. Calano le altre categorie, in particolare
l'hacktivismo, che solo tre anni fa aveva un peso del 30% circa sul totale, sceso ora al 3%. Il dato dimostra che ormai gli attaccanti agiscono in modo organizzato e soprattutto allo scopo di ottenere denaro dalle proprie vittime. “I gruppi più organizzati hanno natura transnazionale e un fatturato complessivo misurabile in miliardi di dollari”, avverte Zapparoli Manzoni. “Tutto è potenziale bersaglio, dalle infrastrutture ai device mobili, dalle piattaforme social e di messaggistica agli oggetti Internet of Things”. All'interno della macrocategoria del cybercrime, il malware è lo strumento più utilizzato (44%), con la sottotipologia del ransomware, in particolare, a dominare la scena. In notevole crescita sono il phishing e il social engineering, con un aumento dell'81,9% rispetto al 2018 e un peso totale del 17%, anche grazie alla quota crescente delle azioni di Business Email Compromise. Sale anche il numero di attacchi di tipo zero day (basati su vulnerabilità ancora non note) e quelli di account cracking, a dimostrazione del fatto che il “fattore umano” è l’anello debole che i criminali cercano frequentemente di spezzare. Diminuiscono invece le tecniche d’attacco sconosciute, lo sfruttamento di vulnerabilità note (effetto di una maggior attenzione alle patch da applicare ai software) e le Advanced Persistent Threat (Apt). Chi sono le vittime di tutta questa attività? Nel 24% dei casi gli attacchi mirano a bersagli multipli, così da massimizzare il risultato. Fra i settori più colpiti direttamente spiccano la sanità (quasi esclusivamente con fini estorsivi) e a seguire le strutture governative, che cui è indirizzato il 15% degli attacchi (un dato però in calo di oltre il 19% anno su anno). Un settore in forte ascesa, invece, è quello dei servizi online: + 91,5%. Ulteriori dati sull'Italia arrivano dall'osservatorio di Fastweb, realizzato sulla base del traffico di rete controllato direttamente. “Abbiamo rilevato un'ascesa degli attacchi Ddos, anche se mediamente di minor durata e con un'occupazione di banda media di 140 Gbps”, racconta Marco Raimondi, marketing manager per le aree security e IoT. “Gli attaccanti tendono a utilizzare piattaforme in grado di distribuire galassie di malware di vario genere originate da un solo ceppo. Cala la Pubblica Amministrazione come bersaglio mentre cresce notevolmente il gaming come settore colpito, soprattutto nell'ultima parte del 2019”. R.B.
EMAIL: VERO O FALSO?
Social engineering basato su intelligenza artificiale, spear-phishing con payload malevoli, furto di credenziali: nuove tecniche, raccontate da Darktrace, rendono più pericolosi gli attacchi.
L' email è il porto sicuro dei cybercriminali. Una destinazione facile, planetaria e capillare, una porta aperta su dispositivi personali e aziendali, uno strumento che permette di sparare nel mucchio così come di mirare a bersagli specifici. Non necessariamente si arriverà a realizzare un furto di dati o di denaro, ma tentare offensive tramite posta elettronica è ancora molto proficuo. Come segnalato da Darktrace nel suo ultimo report dedicato agli attacchi informatici (“Cyber AI: An Immune System for Email”), quelli che hanno origine dalle caselle di posta veicolano il 94% delle minacce esistenti. E diventa sempre più difficile accorgersi delle truffe, considerando le ultime evoluzioni nelle tecniche dei cybercriminali. Tra quelle in ascesa c’è l’account takeover, in cui gli attaccanti ottengono le credenziali di una casella di posta e la usano per inviare messaggi ad altre vittime, per esempio colleghi o clienti. Nella variante detta supply chain account takeover, per esempio, ci si spaccia per un fornitore con cui i dipendenti di quell’azienda intrattengono abituali scambi di email: è un modo per conquistare la fiducia dell’utente e abbassare la sua soglia di allerta.
Attacchi con o senza malware
Va anche detto che non necessariamente, anzi quasi mai, le email malevole contengono dei malware: accade solo nel 2% dei tentativi di attacco. Molto più spesso si tenta di indurre la vittima a compiere delle azioni esterne alla posta elettronica, per esempio dei trasferimenti di denaro. Questo è il caso degli attacchi di social engineering, in cui gli aggressori fingono di essere qualcun altro (la tecnica è detta “impersonificazione”) per richiedere un’azione al destinatario. Darktrace racconta di aver individuato in una multinazionale del settore tecnologico un attacco di questo tipo, rivolto a una trentina di dipendenti: l'oggetto di ogni email era personalizzato includendo il nome del destinatario, mentre il mittente era un indirizzo Gmail con un nome di dominio molto somigliante a quello di un dirigente dell’azienda. Altro attacco particolarmente insidioso è quello che associa lo spear-phishing alla consegna di payload che installano software dannoso. Darktrace cita l’esempio di un un’università di Singapore bersagliata da messaggi che si spacciavano per notifiche di WeTransfer e contenevano un link malevolo: per il modo in cui erano confezionate (indirizzo mittente, testo interno, link) sono riuscite a sorpassare i sistemi di sicurezza informatica dell’ateneo. Tra le nuove tendenze c’è poi lo spear-phishing creato con il minimo della fatica, ricorrendo all’intelligenza artificiale per generare automaticamente messaggi che imitano lo stile di scrittura di contatti personali, colleghi o fornitori della vittima.
Alla ricerca della verità
C’è un aspetto comune a queste differenti tecniche: per tutti noi sta diventando sempre più difficile distinguere il vero dal falso. I tentativi di truffa si fanno più sofisticati e, complici la fretta e l’intasamento a cui sono sottoposte le inbox personali e aziendali di molti, i criminali sanno di poter contare su errori, ingenuità o distrazioni. “I sistemi di controllo tradizionali, come gli antivirus standard basati sulla reputazione e sulle signature come e l’anti-spam, possono funzionare per le campagne diffuse ma non sono abbastanza efficaci contro gli attacchi più mirati, sofisticati e avanzati”, ammonisce Peter Firstbrook, analista vicepresidente di Gartner. “Oggi più che mai, nella progettazione dei sistemi di sicurezza della posta elettronica, è necessario un cambiamento di mentalità per stare al passo con l’evoluzione del panorama delle minacce in rete".
