Tutti gli analisti del settore concordano: il 2022 sarà un anno davvero interessante per la cybersecurity. Per tracciare meglio questo scenario, gli F5 Labs hanno riunito un gruppo di analisti, ex agenti delle forze dell’ordine e dell’intelligence, solution architect, ingegneri e specialisti in frodi e attuali ed ex CISO. Ecco le loro principali considerazioni:
- Set di strumenti pronti all’uso nelle mani di cyber criminali sponsorizzati dagli Stati
Negli ultimi anni minacce specifiche e dotate di risorse adeguate, note anche come minacce persistenti avanzate (APT), hanno capitalizzato su quanto già realizzato dalle gang dei criminali informatici. Quest’anno incontreremo un numero ancora maggiore di APT, in particolare durante azioni promosse da hacker sponsorizzati dallo Stato, che modificheranno ceppi di malware noti e utilizzeranno le tecniche per cui i criminali informatici sono diventati famosi, come command-and-control (C&C) su Telegram Messenger.
Remi Cohen, Senior Threat Intelligence Engineer di F5
- Fintech in prima linea nella sottrazione delle credenziali
Per poter utilizzare i servizi di una fintech, è necessario abilitare connessioni tra quest’ultima e tutti gli altri conti finanziari. Ciò significa affidare all’organizzazione della fintech nomi utente e password di tutti gli account pertinenti. Alcune fintech sono ben consolidate e affidabili, altre meno. Nel 2022 scopriremo che una o più fintech non erano altro che una copertura per un’organizzazione criminale costituita solo per raccogliere nomi utente e password.
Dan Woods, Global Head of Intelligence di F5
- Il cloud ingloba definitivamente l’IT tradizionale
Siamo vicini al punto di svolta che vede il cloud parte integrante delle competenze IT predefinite. In questo contesto, il multi-cloud sta diventando la nuova normalità e crescerà la richiesta di professionisti IT, che possiedano le competenze necessarie per gestirlo.
Nel tempo, tutto questo si tradurrà in un cambiamento dei paradigmi di gestione IT in cui anche le modalità di lavoro on-premises assomiglieranno di più ai paradigmi cloud. Non avrà più senso gestire l’hardware locale in modo diverso dal cloud, anche perché già oggi la maggior parte degli strumenti multi-cloud e ibridi si adatta a questa nuova modalità.
Raymond Pompon, Director degli F5 Labs
- Il ransomware prende di mira anche singoli individui dai grandi capitali
Nell’ambito delle ricerche che hanno portato alla stesura dell’Application Protection Report 2021, gli F5 Labs hanno stabilito come fosse più utile pensare il ransomware come una strategia di monetizzazione piuttosto che come una forma di denial-of-service. Da questo punto di vista rappresenta solo un’alternativa all’arricchimento immediato che vede l’utilizzo successivo dei dati rubati nelle frodi digitali.
Per questo motivo, è solo questione di tempo prima che qualcuno inizi a prendere di mira direttamente le persone molto ricche, in quanto obiettivi che hanno chiaramente i mezzi per poter pagare il riscatto e utilizzano sistemi IT spesso complessi quanto quelli di alcune piccole imprese. Sappiamo, inoltre, che alcune di queste persone, possedendo un patrimonio netto sorprendentemente elevato, potrebbero non voler coinvolgere le forze dell’ordine in caso di attacco e dimostrarsi maggiormente propense a trattare direttamente con i criminali.
Sander Vinberg, Threat Research Evangelist degli F5 Labs
- Cybercrimine e guerra informatica: una sovrapposizione senza confini
Le compagnie assicurative si preoccupano sempre di più delle guerre informatiche e nel 2021 più di 100 incidenti sono stati classificati in questa categoria.
Senza dubbio una tecnologia può essere utilizzata sia per fini buoni (pacifici) che cattivi (di guerra). Ne è un esempio il dibattito sugli strumenti per i test di penetrazione, oggi utilizzati sia dagli hacker sia da chi deve difendere l’azienda. Inoltre, gli strumenti di attacco utilizzati dalla criminalità informatica, dagli attacchi DDoS ai ransomware ai cryptominer, possono essere impiegati anche nella guerra informatica.
Abbiamo già visto molti attacchi sponsorizzati da uno Stato, come WannaCry, che vanno pari passo con una frode. Nel caso una azienda venga colpita da un ransomware sponsorizzato dallo Stato, saremo in grado di capire se si tratta di guerra informatica o di un atto criminale, o di entrambi? Se consideriamo che negli Stati Uniti l’85% delle infrastrutture critiche è in mano di privati, come sarà possibile capire se l’attacco ha a che fare con un obiettivo di interesse militare o meno?
Raymond Pompon, Director degli F5 Labs
- Chiavi crittografiche: un problema crescente per le organizzazioni
Un exchange di criptovalute ha recentemente subito un furto per 200 milioni di dollari legati a vari token di criptovaluta dopo che la chiave privata dell’exchange è stata compromessa.
Per fronteggiare questi attacchi, nel 2021 sono nate diverse nuove opzioni per un’archiviazione delle chiavi più sicura attraverso il provisioning di moduli di sicurezza hardware (HSM) nel cloud. Si tratta di strumenti che possono essere costosi e richiedono molta infrastruttura per garantire che funzionino correttamente e rendano le chiavi accessibili 24 ore su 24.
Ovviamente si può scegliere di proteggere le chiavi private crittografando il file della chiave e utilizzando una passphrase, ma con l’aumento del numero di chiavi da gestire tutto questo può sfuggire di mano molto rapidamente: ritrovandosi facilmente con uno scenario di password duplicate.
Per le aziende e le grandi organizzazioni, i servizi cloud HSM sembrano essere l’unica strada da percorrere nel nuovo anno, ma penso che la loro adozione possa avere senso anche per singoli utenti esperti. Tuttavia, è solo una questione di tempo per sapere quali saranno le prime chiavi compromesse del 2022 quindi il consiglio è di procurarsi uno strumento di archiviazione delle chiavi sicuro.
Peter Scheffler, Senior Solution Architect di F5
- Il cybercrime si comporta come un’azienda ben organizzata
Aumentano i segnali dell’intensificarsi della specializzazione e della divisione del lavoro nella comunità dei cybercriminali, una tendenza che nel corso dell’ultimo anno abbiamo osservato anche della comunità delle frodi.
I diversi attori che offrono questo tipo di servizi stanno cominciando ad assomigliare in modo preoccupante a una azienda che impiega persone con ruoli diversificati e esternalizza attività specifiche.
Le osservazioni indicano il passaggio di tale specializzazione anche all’interno di sottogruppi nella comunità degli hacker, ad esempio tra i russi o il gruppo FIN6, dando vita a un mercato generalizzato di specialisti che lavoreranno praticamente con tutti.
Oggi, infatti, non sono solo i singoli hacker o gruppi a comportarsi come aziende ma è l’intero mercato del cybercrime a essersi trasformato in un’industria capitalista matura, composta da aziende che si collegano tra loro in base alla necessità.
Sander Vinberg, Threat Research Evangelist, e Remi Cohen, Senior Threat Intelligence Engineer ·di F5
- Compromissione della catena di approvvigionamento: una minaccia costante
La causa dei problemi della sicurezza delle applicazioni nella supply chain è l’impazienza. Controllare il codice è un processo laborioso e il modo decentralizzato con cui oggi sviluppiamo le applicazioni lo rende ancora più complesso.
Sicuramente presto avremo a che fare con un’altra grande vulnerabilità di terze parti, come avvenuto per Log4Shell o Apache Struts, anche se non si può sapere con certezza dove e quando avverrà. L’unico modo in cui potremo proteggerci sarà assicurandoci di convalidare il codice, ispezionando lo stack dell’applicazione e facendo l’inventario delle proprie librerie.
Peter Scheffler, Senior Solution Architect di F5
