Se i cybercriminali sono sempre al passo con i tempi e aggiornano costantemente i propri strumenti, le aziende devono fare altrettanto

Advanced Persistent Threats: i trend del 2020

I cybercriminali aggiornano continuamente i propri metodi e strategie di attacco; ecco perché le aziende devono informarsi costantemente sulle minacce che hanno maggiori probabilità di colpire i singoli network e le risorse connesse. Secondo l’ultimo Threat Landscape Report di Fortinet, i criminali informatici non solo utilizzano metodologie d’attacco sempre nuove e diversificate (anche nel caso di attacchi più datati), ma stanno anche cambiando le strategie per oscurare la loro presenza ed eludere il rilevamento.

I cybercriminali stanno sfruttando vari fattori come ad esempio la velocità, l’espansione della superficie di attacco e la complessità dell’attuale panorama delle minacce informatiche per identificare e sfruttare i punti deboli nei network. Di conseguenza, le imprese devono trovare una modalità per conciliare la propria strategia di sicurezza integrata con la necessità di rimanere al passo con le forme di attacco emergenti. Questo modus operandi consente loro di stabilire le priorità nell’attuazione di difese specifiche e di rafforzare le principali pratiche di cybersecurity.

L’evoluzione del ransomware

Il ransomware rappresenta l’esempio perfetto dell’evoluzione di una minaccia: proprio quando sembrava che stesse per essere sostituito dal cryptomining, è ritornato in auge e si è preso una rivincita. La prima prova di tutto ciò è stata un’ondata di attacchi molto sofisticati e mirati avvenuti all’inizio dell’anno. LockerGoga, ad esempio, ha utilizzato la deep reconnaissance per identificare gli obiettivi primari ed eludere efficacemente le soluzioni di sicurezza che avrebbero potuto intralciarlo. RobinHood (noto anche come RobbinHood), e varianti ransomware simili come Ryuk, sono cresciuti utilizzando questa strategia prendendo di mira alcuni comuni specifici negli Stati Uniti.

Questi nuovi tool hanno ampliato le normali funzionalità del ransomware: per fare un esempio, RobbinHood è in grado di disabilitare i servizi Windows che prevengono la codifica dei dati e la capacità dei sistemi di disconnettersi dai drive condivisi, garantendo la massima esposizione alla crittografia dei dati dannosi. Ryuk, invece, utilizza tattiche di evasione avanzate, inclusa la distruzione della sua chiave e l’eliminazione di shadow copy su un sistema infetto, per fare in modo che chi si occupa della sicurezza noti la sua presenza solo quando è troppo tardi. Proprio di recente è emerso un ransomware chiamato Sodinokibi (aka Sodin) che sfrutta una vulnerabilità critica scoperta di recente che permette l’esecuzione di codice arbitrario da remoto. L’impatto di questo exploit potrebbe essere devastante perché consente che un sistema possa essere infettato senza che la vittima abbia fatto qualcosa per innescare il virus.

Le nuove strategie Anti-Analysis

Un altro tema critico di cui i team di sicurezza devono occuparsi è quella legato al crescente numero di tecniche sviluppate dai cybercriminali per non farsi scoprire. Nell’ultimo trimestre sono state introdotte diverse nuove strategie di evasione e per eludere il rilevamento. Per fare un esempio, AndroMut è un downloader che è salito alla ribalta di recente. È noto per il download di malware come FlawedAmmyy RAT. Tuttavia, il motivo per cui ha raggiunto la notorietà è legato al fatto che include non solo il rilevamento sandbox, che sta diventando piuttosto comune, ma anche uno strumento simulatore della verifica. In aggiunta, nell’ultimo trimestre sono stati rilevati almeno altri due downloader – un nuovo tool chiamato Brushaloader e una nuova versione di JasperLoader – che utilizzano meccanismi simili di evasione, tra cui funzionalità di verifica della posizione e sleep timer per l’esecuzione ritardata.

Monitorare i trend non è sufficiente

Ultimamente gli attacchi ransomware ad hoc sono sostituiti da exploit estremamente mirati che combinano il riconoscimento con la disabilitazione di strumenti e servizi per la sicurezza e tecniche d’evasione avanzate. I risultati possono essere devastanti. Dare priorità a questi attacchi, che appaiono nel radar dei Threat Report può non essere sufficiente per identificare e rispondere nel modo adeguato a minacce che sono pensate proprio per evitare di essere individuate.

Mettere in sicurezza i network moderni: si comincia dall’integrazione e dalla Threat Intelligence

Per affrontare i rischi cui le aziende possono essere sottoposte e ridurne i possibili effetti, è fondamentale che chi si occupa di sicurezza monitori la threat intelligence da diverse fonti. In questo modo sarà possibile dare priorità ai rischi associati all’ambiente di rete in cui opera ogni singola realtà.

Tale approccio deve essere abbinato a una strategia per la sicurezza pensata per identificare e fermare, o perlomeno limitare l’impatto di un attacco proveniente da un punto inaspettato. Tutto ciò inizia con un approccio integrato che incorpori ogni elemento di sicurezza distribuito in qualsiasi punto della rete in un unico ‘security fabric’. Questa strategia deve poi essere potenziata con una segmentazione mirata, pratiche per la sicurezza coerenti e continue e un’automazione combinata con il machine learning. L’intelligenza artificiale ha un ruolo sempre più preponderante in quanto può prendere in carico compiti ripetitivi come il patching, nonché l’identificazione e la risposta alle minacce in velocità. Qualsiasi strategia di sicurezza che non includa tutti questi elementi essenziali non sarà in grado di raggiungere il grado di visibilità e controllo richiesto dalle reti odierne. Questo, a sua volta, esporrà inutilmente la rete alle azioni dei cybercriminali.