Le previsioni sono preparate annualmente dagli esperti del Global Research and Analysis Team (GReAT) e si basano sulla sua vasta conoscenza ed esperienza. La lista per il 2017 include l’impatto di tool monouso creati su misura, il crescente uso di metodi di depistaggio di identità da parte degli hacker, la fragilità di un mondo indiscriminatamente connesso a Internet e l’uso di cyber attacchi come arma nella guerra dell’informazione.
Il declino degli IoC
Gli Indicatori di Compromissione (IoC – Indicators of Compromise) sono stati a lungo un ottimo modo per condividere parti di malware conosciuti, consentendo ai software di protezione di riconoscere un’infezione attiva, ma questa situazione è cambiata con la scoperta, da parte del GReAT, dell’APT ProjectSauron. Un’analisi di questo gruppo ha rivelato una piattaforma malware su misura in cui ogni funzionalità veniva cambiata in base alla vittima, rendendo gli IoC inefficaci nell’individuarne qualsiasi altra, a meno di non utilizzare anche altri mezzi, come le Yara Rules.
L’ascesa delle infezioni effimere
Nel 2017, Kaspersky Lab si aspetta di vedere la comparsa di malware residenti in memoria che non sono interessati a sopravvivere oltre al riavvio che elimina l’infezione dalla memoria della macchina. Tali malware, destinati alla ricognizione generale e alla raccolta di credenziali, verranno probabilmente utilizzati in ambienti molto sensibili da parte dei cyber criminali clandestini che vogliono evitare di creare sospetti o essere scoperti.
Altre previsioni sulle minacce per il 2017
- L’attribuzione sarà complicata dai false flag: poiché i cyber attacchi giocano un ruolo sempre maggiore nelle relazioni internazionali, l’attribuzione sarà una questione centrale nel determinare il corso politico delle azioni– come ad esempio le ritorsioni. La ricerca delle attribuzioni potrebbe risultare nel rischio di avere sempre più criminali che rendono accessibili infrastrutture o tool proprietari sul mercato, oppure che optano per malware open-source e commerciali, senza contare la pratica diffusa di fornire indizi sbagliati (fenomeno generalmente conosciuto come ‘False Flag’) per confondere le acque dell’attribuzione.
- La diffusione della guerra dell’informazione: nel 2016, il mondo ha iniziato a prendere seriamente in considerazione la diffusione di informazioni hackerate per scopi dannosi. Ci attendiamo che tali attacchi crescano nel 2017 e c’è il rischio che i cyber criminali provino a sfruttare la disponibilità delle persone ad accettare tali dati come fatti manipolando o divulgando selettivamente le informazioni.
- Crescita di hacker ‘Vigilanti’, che hackerano e rilasciano i dati presumibilmente per un bene superiore
- La crescente vulnerabilità al cyber-sabotaggio: con le infrastrutture critiche e i sistemi di produzione connessi a Internet, spesso con poca o senza protezione, la tentazione di danneggiarli o fermarli può rivelarsi irrefrenabile per i cyber criminali, particolarmente quelli più abili e durante momenti di crescenti tensioni geopolitiche.
- Spionaggio via mobile: campagne di spionaggio che mirano principalmente ai dispositivi mobile, approfittando del fatto che le aziende del settore della cyber sicurezza faticano ad avere pieno accesso ai sistemi operativi mobile per fare analisi forensi.
- La “mercificazione” degli attacchi finanziari come è avvenuto per le rapine effettuate tramite il circuito SWIFT nel 2016 – con risorse specializzate messe in vendita sui forum clandestini o attraverso schemi as-a-service
- La compromissione dei sistemi di pagamento: poiché i sistemi di pagamento stanno diventando sempre più popolari e diffusi, questo potrebbe comportare un più forte interesse da parte degli hacker.
- La fine della “fiducia” nei ransomware: si prevede la continua crescita dei ransomware, ma l’improbabile relazione di fiducia tra vittima e hacker, basata sul presupposto che il pagamento del riscatto garantirà la restituzione dei dati, è stata danneggiata dal sempre minore numero di cyber criminali che restituiscono i file dopo aver ottenuto il denaro. Questo potrebbe rappresentare un punto di svolta.
- L’integrità dei dispositivi in un Internet sovraffollamento: poiché i produttori di dispositivi IoT continuano a lanciare device non sicuri che causano problemi su vasta scala, c’è il rischio che gli hacker “vigilanti” possano prendere in mano la situazione e disabilitare quanti più device possibili.
- L’appeal criminale del digital advertising: durante il prossimo anno, vedremo che i tool di tracciamento e targeting, sempre più usati nell’advertising, verranno utilizzati per monitorare probabili attivisti e dissidenti. Allo stesso modo, gli ad network – che forniscono un’ottima modalità per tracciare profili attraverso una combinazione di IP, browser fingerprinting, interessi di navigazione e login – saranno usati dai criminali che fanno cyber spionaggio avanzato per colpire in modo accurato i bersagli proteggendo i loro toolkit.
