Malware, phishing, nuove tecniche per superare la MFA: gli hacker si organizzano

Minacce finanziarie: il 2020 ha cambiato il panorama

A partire dallo scorso marzo, le organizzazioni hanno dovuto affrontare una grande sfida, spostando in remoto la loro forza lavoro praticamente da un giorno all’altro, difendendosi dalle minacce legate alla pandemia e mantenendo la continuità aziendale. Ma cosa succederà l’anno prossimo e come sarà necessario modificare le strategie aziendali man mano che il panorama delle minacce continuerà a evolvere?

Ryan Kalember, EVP Cybersecurity strategy, e Andrew Rose, Resident CISO di Proofpoint, cercano di rispondere analizzando i principali trend nel panorama delle minacce cyber previsti per il 2021:

#1: Il ransomware evolverà per colpire i repository nel cloud (non solo OneDrive e SharePoint, ma anche S3 e Azure)

Il ransomware rimane la principale fonte di preoccupazione per i CISO. Come consolidata macchina da soldi per i cybercriminali, era solo una questione di tempo prima che i suoi principali creatori arrivassero a sviluppare nuovi metodi di estorsione, in particolare con la minaccia di diffondere le informazioni rubate. Nel 2021, in seguito alla rapida accelerazione dell’adozione del cloud guidata dalla pandemia COVID-19, ci aspettiamo che questo tipo di minacce si evolvano verso il cloud. Molte aziende ora ospitano porzioni importanti dei loro dati sensibili in repository esterni basati nel cloud, e questi archivi sono spesso meno visibili a chi si occupa di sicurezza – spesso anche non così protetti o sottoposti a backup in modo da essere a prova di cifratura criminale. Nel 2021, i professionisti della sicurezza possono aspettarsi di vedere un numero sempre maggiore di ransomware indirizzati verso lo storage cloud per massimizzare l’impatto e aumentare la leva per incrementare i profitti.

#2: Il malware continuerà ad affidarsi all’interazione con l’utente, e non alle vulnerabilità tecnologiche

La stragrande maggioranza dei cyberattacchi inizia via e-mail e praticamente il 100% del malware si basa su un’azione dell’utente per la compromissione iniziale. I cybercriminali hanno ormai ben chiaro che cercare di sfondare in altri modi (ad esempio usando gateway VPN senza patch) è possibile, ma molto più difficile grazie al grande lavoro che i professionisti della sicurezza hanno svolto nel corso degli anni e alla scarsità di vulnerabilità utili nei sistemi aperti verso Internet. Di conseguenza, gli hacker oggi indirizzano le loro minacce verso gli utenti più vulnerabili, convincendoli a compiere una qualche azione che comprometta i loro sistemi. Se basta un clic per abilitare le macro, perché lanciarsi nel complicato obiettivo di trovare una vulnerabilità in un sistema operativo o browser moderno?

Ci aspettiamo anche che non ci si sposterà dal “malware fileless” per le attività post-compromissione. Dal punto di vista di un cybercriminale, quale modo migliore per evitare il rilevamento di malware se non utilizzando qualcosa che non sia malware? Ci aspettiamo che gli hacker continuino a sfruttare i LOLBins e i LOLScripts (“Living off the land Binaries/Scripts”) per compromettere i sistemi e rubare/danneggiare i dati. È fondamentale che le aziende lavorino per individuare e prevenire l’uso pericoloso di queste minacce lavorando per fermare la compromissione iniziale e limitando l’uso di strumenti come PowerShell ovunque sia possibile.

#3: Rallenterà la crescita degli attacchi BEC, che resteranno però la principale causa di perdite finanziarie legate al cybercrime

Sono già un problema di massa, ma gli attacchi di business email compromise (BEC) accresceranno il loro peso. Con un costo per le organizzazioni stimato in miliardi di dollari ogni anno, le minacce BEC sono responsabili della maggior parte delle richieste di risarcimento in tema di cyber-assicurazione e ha una barriera all’ingresso molto bassa, quindi rimarrà una forte attrazione per i cybercriminali. Di conseguenza, gli hacker lavoreranno per aumentare ulteriormente potenziale di guadagno e tasso di successo, compiendo il passo ulteriore di compromettere l’account di un utente per poi fingere di essere legittimi. L’FBI ha già attribuito al BEC la maggior parte delle perdite dovute al cybercrime e, man mano che i responsabili BEC ampliano il loro set di strumenti per compromettere gli account cloud e i fornitori e i venditori delle organizzazioni, fermarli continuerà a essere una sfida impegnativa.

#4: Emergeranno nuove tecniche per superare la MFA, che sfrutteranno cloud permission e meccanismi di trust (come OAuth, SAML, etc.)

Se l’autenticazione multi-fattore (MFA) è ampiamente considerata il modo migliore per proteggere l’accesso ai sistemi enterprise, non è certo una soluzione universale. I cybercriminali hanno capito che la MFA è un ostacolo importante e hanno messo a punto meccanismi per bypassarla sfruttando i vecchi protocolli (come il bypass che i ricercatori hanno recentemente individuato) o creando nuovi tipi di attacco (come il phishing OAuth) per aggirare del tutto la MFA. Questa è una tendenza che ci aspettiamo aumenti fino al 2021, soprattutto da parte degli hacker più evoluti.

#5: L’automazione entrerà a far parte di molti strumenti di sicurezza, piuttosto che essere considerata un elemento a sé stante

La carenza di talenti nel campo della cybersecurity è da anni una preoccupazione, con i CISO che lottano per mantenere nel tempo team completi e qualificati. L’unico modo per far sopravvivere le funzioni di sicurezza è automatizzare componenti del loro ruolo – dall’amministrazione degli account (nuovi ingressi, trasferimenti, abbandoni) all’amministrazione del firewall, fino alla creazione di metriche, al triage e agli avvisi del SOC, alle indagini DLP e altro ancora. Fino a oggi, l’automazione è stata in genere affrontata acquistando strumenti o funzionalità aggiuntive dai fornitori. Ci aspettiamo che questa situazione cambierà nel 2021, dato che l’automazione diventerà più che altro una funzione standard “in the box” per la maggior parte degli strumenti di sicurezza enterprise – cosa che molti CISO attendono ormai da tempo.

#6: I budget di sicurezza torneranno ad aumentare quando il COVID-19 sarà maggiormente sotto controllo, ma la ricerca dei talenti resterà un problema (nonostante opzioni di collaborazione più flessibili e remote)

La pandemia ha portato a un taglio delle risorse per molte organizzazioni, compresa la spesa per la sicurezza. Speriamo di vedere nel 2021 un ritorno alla “normalità” e questo si rifletterà probabilmente nei budget per la sicurezza che torneranno ai livelli previsti. Il personale responsabile, tuttavia, non è un problema di breve termine. Infatti, i CISO continueranno a lottare per reclutare risorse per i loro team in crescita. L’offerta di posizioni remote e flessibili aiuterà organizzazioni di tutte le dimensioni, ma il problema dell’aumento degli stipendi continuerà. Di conseguenza, molte aziende più piccole e regionali si troveranno a non potersi permettere i talenti di cui hanno effettivamente bisogno per contrastare le minacce, nonostante possano accedere a un bacino ancoro più diversificato costituito da lavoratori completamente remoti.

#7: Vedremo superiori livelli di collaborazione e interazione tra gruppi di cybercriminali, che metteranno a fattor comune i rispettivi punti di forza

I tre canali preferenziali utilizzati dai cybercriminali per il loro profitto sono BEC, EAC (email account compromise) e ransomware. Molti hacker specializzati in BEC ed EAC, tuttavia, non tendono a fungere da intermediari per i team specializzati nel ransomware, anche se dispongono dell’accesso necessario. Analogamente, gli attori di minacce focalizzati sul ransomware non tendono a utilizzare attacchi BEC ed EAC. Ci aspettiamo che questa situazione cambierà nel corso del 2021, quando i vari cybercriminali collaboreranno sempre più per creare attacchi più efficaci e raccogliere maggiori profitti. Ad esempio, potremmo vedere imprese colpite da attacchi EAC, con un accesso viene poi “venduto” a un altro gruppo per inviare ransomware; in alternativa, il gruppo EAC potrà elevare le proprie competenze iniziando a sfruttare strumenti di ransomware disponibili in commercio. Ci attendiamo anche attacchi BEC ed EAC più avanzati.

Il prossimo anno continuerà certamente a rappresentare una sfida per i responsabili della sicurezza; tuttavia, la possibilità di fare leva su una strategia incentrata sulle persone, che protegge gli utenti attraverso i canali di comunicazione di cui hanno bisogno per lavorare, contribuirà a garantire l’efficacia delle loro contromisure.