Dalla guerra in Ucraina alle criptofrodi, cosa dobbiamo aspettarci nel 2023? A questo cercano di rispondere gli esperti Sophos con alcune previsioni.

Sophos

Sophos, player mondiale e innovatore di soluzioni avanzate di cybersecurity, tra cui servizi MDR (Managed Detection and Response) e incident response, inizia questo 2023 cercando di fare luce sul futuro della cybersecurity, soffermandosi su cinque temi fondamentali che vediamo nel dettaglio.

La guerra in Ucraina

Il conflitto ucraino ha indubbiamente avuto un forte impatto sullo scenario delle minacce informatiche, non solo nei paesi direttamente coinvolti ma a livello globale, con conseguenze anche in termini di disinformazione e possibili interruzioni dei sistemi.

Gli esperti Sophos sospettano che i Russi continueranno a colpire gli Ucraini sul fronte cyber, specialmente in settori chiave come quello dell’energia. Questo scenario, al di fuori dell’Ucraina, potrebbe assumere l’aspetto di un aumento degli attacchi mirati da parte dei cybercriminali volti a supportare gli obiettivi russi, incrementando di conseguenza i costi del supporto occidentale all’Ucraina. Questa modalità mette i Russi nella condizione di negare qualunque responsabilità, contribuendo a indebolire il sostegno pubblico nei confronti dell’Ucraina.

Un altro importante sviluppo riguarda la pirateria che, nel caso colpisca media di proprietà di nazioni “ostili”, è stata recentemente legalizzata dalla Bielorussia. Anche se è troppo presto per dirlo, questa mossa potrebbe dar luogo a torrent pirata di origine bielorussa utilizzabili per distribuire malware.

Rimane anche da vedere cosa potrà accadere per il primo anniversario dell’invasione: è possibile che i cybercriminali di nazionalità russa sfruttino questa data simbolica per una intensificazione degli attacchi.

Infine, mentre l’economia russa continua a subire gli effetti delle sanzioni, si potrebbe assistere a una ulteriore diversificazione e incremento del ransomware.

L’economia cybercriminale

Il settore del “cybercrimine-as-a-service” ha toccato un nuovo livello di commercializzazione, eliminando molte barriere di ingresso per gli interessati e mettendo tattiche avanzate nelle mani di qualsiasi criminale.

Ogni anello della catena di attacco – dall’infezione iniziale fino all’evasione dai rilevamenti – è oggi disponibile in modalità “as-a-service”. Non si tratta più solamente del Ransomware-as-a-Service (RaaS), ma è ogni aspetto del cybercrimine a essere accessibile sotto forma di servizio. Ciò mette nelle mani di chiunque strumenti e tattiche che un tempo erano esclusivo appannaggio degli operatori più abili ed esperti.

Inoltre, negli ultimi due anni Sophos ha registrato e verificato un’evoluzione in direzione di superiori livelli di professionalità, in particolare quando si tratta di gang dedite al ransomware.

Il ransomware Conti ha una struttura in tutto e per tutto simile a quella di un’azienda, completa di risorse umane, valutazioni delle performance, stipendi e persino uffici fisici.

Un altro esempio è LockBit, che ha rilasciato interviste a diversi media e ha persino pagato persone affinché si tatuassero il proprio brand. Inoltre, questo software dannoso ha anche ha avviato un programma di bug bounty, che mira a cercare vulnerabilità sia in hardware (dall’analisi dei firmware) che in software.

In un futuro, prevedono gli esperti di Sophos, si potrebbe osservare un incremento di questa tendenza, e i cybercriminali specializzati in ransomware non solo avranno un approccio sempre più aziendale, ma inizieranno anche a legittimarsi e diversificarsi, sia all’interno del settore della sicurezza che al suo esterno. Uno dei fondatori di LockBit, per esempio, ha dichiarato in un’intervista di possedere numerosi ristoranti, presumibilmente acquistati con proventi illeciti. All’interno della comunità criminale vi è un certo interesse verso la commoditizzazione delle attività underground. L’amministratore del forum/marketplace XSS, ad esempio, ha proposto di offrire ai ricercatori di threat intelligence un accesso a pagamento allo scraping del forum stesso ritenendo che, dal momento in cui i ricercatori continuano comunque a creare account falsi e infiltrarsi nei forum, tanto vale cercare di farsi pagare un importo ragionevole per dar loro ciò di cui hanno bisogno. Questo eviterebbe agli amministratori la fatica di dover continuamente rimuovere gli account falsi e, ai ricercatori, la fatica di doverne continuamente creare di nuovi.

Alcune attività, come la redazione di email di phishing con un livello di inglese discreto, potrebbero essere sostituite da ChatGPT o automatismi AI simili. L’automazione e la limitazione dell’esposizione ai rischi sono le chiavi per sopravvivere più di 18 mesi nel panorama attuale.

Infine, ci si aspetta una lieve riduzione nelle dimensioni e nella portata di queste organizzazioni criminali allo scopo di ridurre i rischi di identificazione. Più grandi sono questi gruppi, maggiori sono le informazioni che permettono di iniziare a identificarne i partecipanti e ricostruirne le identità reali.

Il ransomware

Sophos non ha dubbi: nel breve periodo, il ransomware sarà in continua evoluzione e le attività legate ad esso potrebbero aumentare in risposta alle sanzioni internazionali stabilite contro la Russia.

Nel complesso, seppur vi è stata una lieve flessione nel ransomware poco dopo lo scoppio della guerra in Ucraina, vale la pena notare come il ransomware sia poi tornato ai livelli di attività pre-invasione.

Interessante sottolineare anche come i gruppi dediti al ransomware sembrano aver imparato la lezione secondo cui attaccare obiettivi critici di alto profilo – come successo con Colonial Pipeline nel 2021 – comporti più rischi che benefici sotto forma di risposta aggressiva contro i criminali. Da allora, Sophos, non ha infatti più visto attacchi di dimensioni simili, e pare che gli operatori si siano impegnati a trovare il punto di equilibrio ideale tra le potenzialità di rischi e ricavi.

Un buon esempio è offerto dalla fornitura di un decryptor gratuito da parte del gruppo LockBit per aver attaccato col ransomware SickKids, un ospedale pediatrico di Toronto, a fine dicembre 2022. LockBit ha dichiarato che “il partner che ha attaccato l’ospedale ha violato le nostre regole, è stato bloccato e non fa più parte del nostro programma di affiliazione”.

Possiamo aspettarci che gli operatori specializzati in ransomware continueranno nei loro attacchi ma con maggior cautela e all’interno di parametri ritenuti idonei a massimizzare i ricavi minimizzando i rischi di una risposta su vasta scala.

Le criptofrodi

Sophos prevede che le criptofrodi continueranno ad evolvere per permettere alle organizzazioni dedite al cosiddetto “sha zhu pan”, ovvero le truffe sul modello di CryptoRom, di mantenere i ritmi di crescita e i flussi di denaro. I bersagli sono destinati a essere sempre più variegati e andranno oltre le criptovalute per allargare la base delle vittime potenziali, come abbiamo visto succedere con il mercato spot dell’oro. Questa è la nuova truffa dei “principi nigeriani”.

In particolare, anche se le chiamiamo criptofrodi, la parte “cripto” della frode è pressoché secondaria: è solamente uno dei tanti possibili veicoli finanziari utilizzabili dai truffatori. Dal momento in cui durante lo scorso anno il mercato delle criptovalute è stato segnato da una volatilità senza precedenti, i truffatori si sono adattati continuando a usare i meccanismi che hanno dimostrato di saper funzionare, associandoli però a differenti veicoli finanziari. Questo sarà un trend sicuramente in continua crescita.

Sottrazione di credenziali, violazioni di dati, intrusioni e malware

Con la maturazione dell’economia del cybercrimine si affermerà un mercato sempre più solido e diversificato per la compravendita di dati rubati, informazioni per accessi iniziali e malware.

Per esempio, la richiesta di information stealer e di credenziali rubate è in aumento, proprio come i loro usi potenziali. Le credenziali sottratte offrono molti modi per infiltrarsi all’interno di reti utilizzabili per attacchi con ransomware o cryptominer, piuttosto che per attività illecite più tradizionali.

Gli esperti Sophos hanno assistito anche alla vendita in abbonamento di dati rubati per consentire agli acquirenti di poter continuare ad accedere attraverso credenziali ottenute illecitamente.

Questi elementi sono le basi di una probabile continuazione o persino crescita nella diffusione del ransomware, come già detto, ma anche delle violazioni di dati e delle intrusioni di rete. Nel 2022 abbiamo osservato intrusioni di alto profilo in aziende come Twitter, Uber e LastPass, a indicazione della possibilità che situazioni del genere non facciano che proseguire se non addirittura aumentare nel 2023.