La società di sicurezza Fortinet ha pubblicato le sue previsioni e prospettive sulle minacce su come il panorama delle minacce si è evoluto negli ultimi 12 mesi e su come continuerà ad evolversi fino al 2024.
Intervenendo al recente evento Fortinet Convergence23 dell’azienda a Monaco, Derek Mankey, vicepresidente di Global Threat Intelligence, ha spiegato come sta cambiando la sua strategia e come le aziende possono affrontare al meglio le minacce emergenti.
Secondo Manky, si tratta di “togliere i pezzi degli scacchi dalla scacchiera ai criminali informatici”.
Riflettendo sugli anni passati
Come notato in molti rapporti precedenti, man mano che i criminali informatici sono diventati più organizzati, hanno sviluppato strutture organizzative più complesse, con molte delle più grandi imprese criminali che ora dispongono di dipartimenti dedicati ad aree quali reclutamento, test di penetrazione e riciclaggio di denaro.
Questo rapido aumento del livello di sofisticazione di organizzazioni e gruppi ha portato alcune imprese criminali informatiche a collaborare con gli stati nazionali per pianificare ed eseguire attacchi. Questa partnership non solo ha fornito un’ulteriore fonte di finanziamento, ma ha anche consentito ai criminali informatici di pianificare e ricercare in modo più rigoroso i loro attacchi.
L’attività di minacce persistenti avanzate ha registrato un aumento del 30% nel 2023 poiché i gruppi informatici hanno ampliato ed evoluto le loro tattiche, tecniche e procedure (TTP). Di conseguenza, Mankey ha osservato che possiamo aspettarci un ulteriore aumento dell’attività APT con attacchi che superano la barriera cyber-fisica, soprattutto quando si tratta di infrastrutture critiche come l’assistenza sanitaria, il petrolio e il gas.
Ransomware as a Service (RaaS): un approccio più moderno riscatto Gli attacchi ransomware, in cui l’infrastruttura necessaria per lanciare un attacco ransomware è fornita da terze parti, hanno visto e continueranno a vedere un crescente utilizzo da parte dei criminali informatici. Mankey ha inoltre osservato che i criminali informatici sono in competizione per gli obiettivi e che alcune organizzazioni devono affrontare molteplici intrusioni e riscatti da parte di diversi gruppi nel giro di pochi giorni. Ciò è dovuto agli accessi venduti online dai broker RAAS.
Man mano che RAAS si espande e diventa più redditizio, i criminali informatici utilizzano tecniche di riciclaggio di denaro sempre più sofisticate. L’anno scorso Fortinet aveva correttamente previsto il crescente utilizzo di cryptomixer e cryptotumbler come strumento per riciclare i proventi degli attacchi ransomware. Tuttavia, entro il 2023, molti scambi di criptovalute furono presi di mira dalle forze dell’ordine in tutto il mondo, in particolare Bitzlato, precedentemente utilizzato da gruppi come KillNet.
Come risultato della maggiore attenzione agli scambi di criptovalute, i gruppi si sono rivolti a metodi più tradizionali per riciclare i propri fondi. Tuttavia, man mano che vengono sviluppati metodi più ingegnosi, Manky osserva che ci sono indicazioni di un aumento degli scambi di criptovalute e dei metodi di riciclaggio, nonché di maggiori iniziative di reclutamento alla ricerca di riciclatori e criptomuli.
Entro il 2023, c’erano alcune indicazioni che i criminali informatici utilizzassero l’intelligenza artificiale come travestimento per eludere il rilevamento e la utilizzassero anche per creare messaggi utilizzati nelle campagne di phishing. Si prevede inoltre che l’intelligenza artificiale registrerà un aumento significativo dell’occupazione da parte dei criminali informatici, con particolare attenzione al phishing.
Si prevede che la “profilazione generativa”, come afferma Mankey, diventerà una parte essenziale della fase di pianificazione come parte di campagne di sparphishing rivolte a “punti” di livello dirigenziale e dirigenziale. I criminali possono utilizzare la tecnologia di deep spoofing per creare frammenti audio delle voci degli amministratori delegati per, ad esempio, chiedere a un collega di effettuare un pagamento tramite un’e-mail “loro” appena inviata.
Approfondimenti futuri
Manky ha anche fornito alcune informazioni sulle tendenze più uniche e innovative che potrebbero emergere nel 2024, come il potenziale sviluppo del playbook che ci si può aspettare. Mankey ha osservato che tradizionalmente i criminali informatici spesso si attengono a ciò che funziona e scelgono il percorso di minor resistenza, ma con il miglioramento della tecnologia e dell’organizzazione, i criminali informatici passano ore a sviluppare un vasto programma di attacco e ad aumentare la loro aggressività.
Come accennato in precedenza, gli attacchi ransomware contro le infrastrutture critiche stanno diventando molto più comuni perché rappresentano un rischio tangibile e immediato per i clienti. Se il riscatto non viene pagato, possono sorgere costi significativi a causa dell’indisponibilità del servizio, soprattutto quando si tratta di sanità ed energia.
Anche l’Internet delle cose (IoT) rappresenta una minaccia crescente per le aziende a causa del gran numero di dispositivi prodotti e rilasciati senza adeguate misure di sicurezza. Di conseguenza, i criminali informatici possono trovare un dispositivo IoT con accesso alla rete locale, infettarlo come parte di una botnet C2 prima di progettare la rete e cercare le vulnerabilità.
Ciò potrebbe portare all’emergere di broker IoT che vendono l’accesso a reti sicure attraverso exploit zero-day, riducendo in definitiva il valore degli zero-day ed estendendo la vita e il valore degli exploit n-day.
Inoltre, a causa dell’aumento delle norme di sicurezza che le aziende devono rispettare, i criminali informatici si rivolgono sempre più spesso alle minacce interne come mezzo di ingresso. Come risultato dell’assegnazione di maggiori finanziamenti ad attività di sinistra, i criminali informatici stanno dedicando più tempo e sforzi all’intelligence per reclutare addetti ai lavori. Mankey ha osservato che esiste la possibilità che i gruppi informatici inizino a offrire il reclutamento come servizio.
Nel 2024 vi è un numero significativo di eventi ed elezioni importanti che sono quasi sicuramente soggetti a qualche forma di attacco informatico, in particolare le elezioni statunitensi e le Olimpiadi di Parigi. A causa della dimensione e del profilo crescenti di tali eventi, garantire una sicurezza completa è un compito sempre più complesso che consente agli autori delle minacce di infiltrarsi in tali eventi, soprattutto nel contesto dell’attacco dell’aereo da caccia olimpico del 2018. Esiste anche il rischio di esternalità, con l’aumento della disinformazione, della disinformazione e della disinformazione.
Combatti le nuove tecniche prima che appaiano
In un panorama delle minacce in continua evoluzione, cosa si può fare per combattere le crescenti capacità e sofisticatezza dei criminali informatici?
Fortinet collabora con il MITRE Engenuity Center for Threat Informed Defense con una serie di fornitori di sicurezza nell’ambito del progetto Attack Flow. Questo progetto mira a “mappare” i processi utilizzati dai criminali informatici per creare una serie di framework TTP, fornendo visibilità sulle vulnerabilità e sui “punti di strozzatura” all’interno delle tecniche utilizzate dagli autori delle minacce.
Secondo Manky, ciò consentirà ai professionisti della sicurezza di orientarsi nella piramide del dolore, colpire i criminali informatici dove fa davvero male e delineare le procedure coinvolte. Ciò essenzialmente rimuoverà i TTP affidabili dal forum, costringendo i criminali informatici a dedicare più tempo e denaro allo sviluppo di nuovi mezzi di attacco e meno tempo allo sfruttamento con successo dei loro obiettivi.
