Con il ransomware e cryptojacking sempre meno proficui, i criminali informatici duplicano gli sforzi per trovare metodi alternativi di guadagno, come ad esempio il formjacking. uno dei principali dati che emergono dall’Internet Security Threat Report di Symantec, giunto alla ventiquattresima edizione.
L’ISTR di Symantec offre una panoramica complessiva delle minacce informatiche, inclusi approfondimenti su minacce globali, le principali tendenze in materia di crimini informatici, e le motivazioni dietro a questi attacchi. Il report analizza i dati del Global Intelligence Network di Symantec, la più grande rete al mondo di intelligence sugli attacchi informatici alla popolazione civile, che documenta eventi grazie a 123 milioni di rilevatori di attacchi informatici presenti in tutto il mondo, blocca 142 milioni di minacce ogni giorno e monitora le attività dei criminali informatici in oltre 157 Paesi.
Gli attacchi di tipo “formjacking” sono semplici, essenzialmente si tratta di truffe a danno di ATM virtuali: i criminali informatici iniettano codice dannoso nei siti web dei rivenditori con l’obiettivo di sottrarre i dati delle carte di credito degli acquirenti. In media ogni mese più di 4.800 siti web unici vengono compromessi da codice di formjacking. Nel 2018, Symantec ha bloccato più di 3,7 milioni di attacchi di tipo formjacking sugli endpoint; quasi un terzo di tutti i rilevamenti si sono verificati nel periodo di shopping online più intenso dell’anno, novembre e dicembre.
Se è vero che un certo numero di siti di pagamento online di aziende famose, tra cui Ticketmaster e British Airways, sono stati compromessi da codice di formjacking negli ultimi mesi; è altrettanto vero che, rivela la ricerca Symantec, i rivenditori di piccole e medie dimensioni sono di larga misura quelli più colpiti dal fenomeno.
Secondo stime prudenziali, i criminali informatici potrebebro avere raccolto decine di milioni di dollari lo scorso anno, rubando informazioni finanziarie e personali dei consumatori grazie alle carte di credito e da vendite di dati nel dark web. Solo 10 carte di credito rubate da ogni sito web compromesso potrebbero rendere sino a 2.25 milioni di dollari ogni mese, una singola carta di credito può arrivare a valere 45 dollari nei forum di vendita del dark web. Con 380.000 carte di credito sottratte, il solo attacco alla British Airways avrebbe permesso ai criminali di realizzare più di 17 milioni di dollari.
Negli utimi anni, il ransomware e il cryptojacking, fenomeno che vede i criminali informatici sfruttare la potenza di elaborazione e l’utilizzo della CPU in cloud di consumatori e aziende per far mining di criptovaluta, sono stati i metodi più gettonati dagli hacker per guadagnare denaro facile. Tuttavia, il 2018 ha visto un rallentamento di questo genere di attività criminali e un deciso calo nei rendimenti, principalmente a causa del calo dei valori delle criptovalute e all’aumento nell’adozione del cloud e del mobile computing, che rendono queste tipologie di attacchi meno efficaci. Per la prima volta dal 2013 le infezioni da ransomware sono diminuite, calando del 20%. Ciononostante, le aziende devono invece stare attente a non abbassare la guardia: sempre nel 2018 le infezioni da ransomware nelle aziende sono, infatti, aumentate del 12%, in controtendenza rispetto al trend generale tendente al ribasso e a dimostrazione che il ransomware continua a rappresentare una seria minaccia per le aziende: più di 8 su 10 attacchi di tipo ransomware hanno per obiettivo le imprese.
Sebbene le attività di cryptojacking abbiano registrato un picco l’anno precedente, sono invece diminuite del 52% nel corso del 2018. Anche se il valore delle criptovalute è in calo del 90% e la redditività si sia significativamente ridotta, il cryptojacking continua a riscuotere un buon successo presso gli hacker, principalmente a causa delle basse barriere all’entrata, delle basse spese da affrontare e della garanzia di anonimato che offre. Symantec ha bloccato 3.5 milioni di attacchi cryptojacking su endpoint solamente nel dicembre 2018.
Gli stessi errori in materia di sicurezza che sono stati fatti con i PC all’alba della loro adozione da parte delle aziende, si stanno oggi riproponendo sul cloud. Un singolo workload o un caricamento dati su cloud mal configurati potrebbero costare a una azienda milioni di dollari o farla finire in un incubo di ottemperanze legislative. Solo nell’ultimo anno sono stati sottratti o divulgati senza autorizzazione oltre 70 milioni di dati da bucket S3 mal configurati. Inoltre, esistono numerosi tool, facilmente accessibili, che consentono agli hacker di identificare risorse in cloud mal configurate.
Le recenti scoperte relative alle vulnerabilità dei chip hardware – tra cui Meltdown, Spectre, e Foreshadow – contribuiscono, inoltre, a mettere i servizi cloud nella posizione di essere sfruttati per accedere agli spazi di memoria protetta delle risorse di altre aziende ospitate nello stesso server.
Gli attacchi alla supply chain e quelli di tipo Living off the Land sono ora diventati elementi fondamentali dell’attuale scenario delle principali minacce informatiche, ampiamente adottati sia dai criminali informatici sia dai gruppi di attacco mirati. Difatti, gli attacchi alla supply chain sono aumentati del 78% nel 2018.
Le tecniche degli attacchi di tipo LotL consentono a chi li sfrutta di mantenere un basso profilo e nascondere le proprie attività in una massa di processi legittimi. Ad esempio, l’utilizzo di script PowerShell dannosi è aumentato del 1.000% lo scorso anno. Se è vero che Symantec blocca 115.000 script PowerShell dannosi ogni mese, è altrettanto vero che questo dato in realtà racconta meno dell’1% dell’utilizzo complessivo di PowerShell. Un approccio aggressivo mirato a bloccare tutte le attività PowerShell potrebbe risultare disastroso per le imprese, provando ulteriormente perché gli attacchi LotL siano diventati la tattica preferita per molti gruppi di attacchi targhetizzati.
Identificare e bloccare questi attachi richiede l’uso di metodi di individuazione avanzati che sfruttino gli analytics e il machine learning, come quelli messi a disposizione da Symantec: il servizio MEDR, la tecnologia EDR 4.0 e la soluzione avanzata di AI denominata Targeted Attack Analytics.
TAA ha consentito a Symantec di scoprire dozzine di attacchi mirati silenziosi, compresi quelli del gruppo Gallmaker che ha condotto le proprie campagne di spionaggio informatico completamente senza l’utilizzo di malware.
Oltre agli attacchi di tipo LotL e a quelli dovuti alle debolezze nella supply chain del software, i criminali informatici stanno anche aumentando il loro uso di metodi di attacco convenzionali, come lo spear-phishing, per infiltrarsi nelle organizzazioni. Mentre la raccolta di informazioni rimane il motivo principale degli attacchi mirati, il numero di gruppi di attacco che utilizzano malware progettato per distruggere e interrompere le operazioni di business è aumentato del 25% nel 2018.
Se il volume degli attacchi verso l’Internet of Things rimane elevato e coerente con i livelli di 2017, il profilo degli attacchi di questo tipo sta, di contro, cambiando drasticamente. Anche se i router e le telecamere connesse costituiscono la percentuale maggiore di dispositivi infetti, quasi tutti i dispositivi IoT si sono dimostrati vulnerabili, dalle lampadine intelligenti agli assistenti vocali, contribuendo tutti a creare punti di ingresso aggiuntivi per gli hacker.
I gruppi responsabili di attacchi mirati si concentrano sempre più sull’IoT come punto di ingresso chiave. L’emergere del malware per router VPNFilter rappresenta un’evoluzione delle tradizionali minacce all’IoT. Concepito da un criminale qualificato e dotato di notevoli risorse finanziarie, il malware consente ai suoi creatori di distruggere o cancellare un dispositivo, rubare credenziali e dati e intercettare le comunicazioni SCADA.
“Grazie alla sempre più diffusa tendenza che vede una progressiva convergenza di IT e IoT industriale, il prossimo campo di battaglia cibernetico è da ricercare nella tecnologia operativa”, ha detto Kevin Haley, direttore, Symantec Security Response. “Un numero crescente di gruppi, come Thrip e Triton, dimostrano interesse verso la compromissione dei sistemi operativi e dei sistemi di controllo industriale per prepararsi potenzialmente alla guerra cibernetica”.
Con il recente scandalo Cambridge Analytica e le audizioni al senato degli Stati Uniti sulla privacy dei dati di Facebook, l’implementazione del regolamento generale sulla privacy dei dati, e le rivelazioni sul tracciamento della posizione da parte delle app e, ancora, dei bug nella sicurezza di app ampiamente utilizzate come FaceTime, la privacy dei consumatori ha occupato un posto di primo piano nelle cronache dello scorso anno.
Lo smartphone potrebbe probabilmente essere il più grande dispositivo di spionaggio mai creato – una fotocamera, un dispositivo di ascolto e un tracker GPS, tutto in un unico device che il proprietario porta volontariamente con sé e utilizza ovunque vada. Già presi di mira da alcuni Paesi per lo spionaggio tradizionale, gli smartphone sono diventati anche un mezzo redditizio per raccogliere le informazioni personali dei consumatori, con alcuni sviluppatori di app mobile che assumono il ruolo di malfattori della peggior specie.
Secondo la ricerca di Symantec il 45% delle app più popolari per Android e il 25% di quelle per iOS richiedono l’accesso al tracciamento della posizione del dispositivo, il 46% delle applicazioni Android e il 24% delle applicazioni iOS richiedono l’autorizzazione per accedere alla fotocamera del dispositivo, mentre gli indirizzi email sono condivisi con il 44% delle applicazioni Android e con il 48% delle applicazioni iOS più popolari.
Sono, inoltre, in aumento gli strumenti digitali che raccolgono i dati del cellulare per il tracciamento dei bambini, degli amici o per il recupero del telefono smarrito, dato che apre la strada a potenziali nuovi abusi relativi al tracciamento di terzi senza che questi abbiano dato il consenso. Più di 200 applicazioni e servizi offrono agli stalker una gamma di funzionalità che vanno dal tracciamento della posizione di base, raccolta di testi digitati e persino registrazione inconsapevole di video. L’Internet Security Threat Report fornisce una panoramica e un’analisi su base annua delle attività globali delle minacce informatiche. Il report si basa sui dati forniti dal Global Intelligence Network di Symantec che gli analisti dell’azienda usano per identificare, analizzare e commentare le tendenze emergenti relative ad attacchi informatici, attività con codici nocivi, phishing e spam.