Proofpoint, ecco le previsioni per la cybersecurity 2019

Proofpoint, ecco le previsioni per la cybersecurity 2019

Come ogni anno, i ricercatori di Proofpoint hanno elaborato un interessante studio su quello che ci attende in tema di cybersecurity. Per il 2019, il consolidamento nel mercato delle criptovalute cambierà il modo in cui gli hacker trasferiranno denaro, mentre la frode via mail passerà dallo spoofing, al vero e proprio utilizzo delle identità rubate. Al tempo stesso, sarà quindi più efficace e difficile da individuare. Ci si attende anche un raddoppio di abuso di infrastrutture legittime: cyber criminali sponsorizzati da un Paese agiranno con garanzia di impunità, mentre i sistemi di difesa saranno chiamati ad aggiornarsi costantemente rispetto a funzionalità e obiettivi. Le minacce portate via social media si sommeranno alle preoccupazioni crescenti legate alla compliance, mentre gli hacker continueranno a perfezionare le loro capacità di filtering e targeting, rendendo i loro attacchi meno visibili e migliorandone il ritorno economico, vero obbiettivo principe.

Se nel 2016 e 2017 abbiamo assistito a grandi attacchi via email, per lo più creati da un ridotto numero di cyber criminali, nel 2018 si è fatta strada una netta tendenza a puntare più sulla qualità che sulla quantità, mentre il ransomware ha lasciato spazio a una grande varietà di downloader, Trojan bancari e stealer di informazioni. In sintesi, i criminali preferiscono focalizzarsi su infezioni di qualità, che possono rivelarsi redditizie nel più lungo periodo.
Chiaramente, creare campagne di elevata qualità richiede l’utilizzo di tecniche avanzate di filtering ed elusione. Nel corso del 2019, ci aspettiamo di vedere un filtering più esteso ed efficace associato ad attacchi URL e con l’utilizzo di malware intermedio, secondo un trend già visto nel 2018 con malware sofisticato come sLoad e catene di infezione come SocGholish, con filtering basato su area geografica, prova di sandboxing e software di ricerca, lingua, fuso orario e altre categorie.
Sicuramente preventivabile un incremento costante degli attacchi basati su social engineering e phishing di credenziali, che andranno a superare i volumi del malware. Il successo nel phishing di credenziali continuerà ad alimentare l’utilizzo di account compromessi, con un trend che abbiamo già visto nel 2018.

Gli hacker, inoltre, raddoppieranno l’utilizzo di piattaforme come Microsoft OneDrive e Google Drive. Infatti, link basati su domini reali migliorano la credibilità delle attività di social engineering. Per di più, l'utilizzo di servizi legittimi renderà gli attacchi più difficili da rilevare dai sistemi automatizzati.
Da notare anche la sperimentazione di nuovi formati di file come .wix e .pub come allegati di campagne malware. Essendo meno individuati dai software antivirus, è lecito attendersi che questo trend continui.
Il 2019 vedrà un incremento nell’abuso di domini, come conseguenza involontaria della scarsità di dati WHOIS in un mondo post GDPR. L’assenza di queste informazioni comporta una maggiore difficoltà a rilevare modelli di condotta pericolosi relativi ai domini e alla loro appropriazione illegittima, definito cybersquatting. I proprietari legittimi avranno quindi bisogno di nuovi strumenti e tecniche per rafforzare i propri diritti legati al brand e combattere le attività di cybersquatting.

Nel corso del 2018, le frodi via email, comprese le attività di business email compromise (BEC), sono aumentate e i loro autori hanno perfezionato le proprie tecniche. Il 2019 vedrà i risultati di questi perfezionamenti, con un target più ampio e una superiore efficacia. In particolare, si passerà dallo spoofing di identità allo sfruttamento di quelle rubate. Se gli attacchi BEC provengono da account interni legittimi, riescono a eludere strumenti di difesa quali tagging esterno e DMARC. I cyber criminali utilizzeranno account compromessi per lanciare i propri attacchi, derivando le credenziali da violazioni dei dati, attacchi brute force, malware per il furto di credenziali e molto ancora.
Allo stesso tempo, gli autori di BEC “nigeriane”, generalmente non noti per la sofisticazione dei loro attacchi, hanno accumulato fondi rubati per un totale di quasi 500 milioni di dollari. Vedremo probabilmente almeno una parte di questi fondi reinvestiti in strumenti e approcci più sofisticati, aumentando il rischio legato a un gruppo ben finanziato. Gli autori di minacce, sia in Nigeria che a livello internazionale, seguiranno il denaro e accederanno nel mercato delle frodi via email nel 2019, aumentando ulteriormente la portata del problema e diversificando le tipologie di approccio BEC.

Inoltre, se finora gli attacchi BEC sono stati rivolti con maggior frequenza a mercati caratterizzati da strutture complesse, lo sfruttamento di vulnerabilità a livello di supply chain diventerà più comune nel corso del 2019. Con un numero maggiore di aziende che vengono colpite, i cybercriminali diventano più sofisticati, puntando sull’identificazione sistematica dei partner di fiducia delle organizzazioni e dei principali stakeholder esterni. Una volta compresi i rapporti di fiducia, saranno in grado di sfruttare le vulnerabilità di identità esterne fidate e di inviare BEC e malware attraverso questi canali.

Criminali e gruppi APT supportati da stati sovrani stanno agendo senza particolare interesse nell'attribuzione di attacchi di alto profilo. Nel 2019, le attività di questo tipo continueranno a intensificarsi e gli autori sponsorizzati potranno operare impunemente in climi politici incerti a livello mondiale. Dinamiche geopolitiche in continuo cambiamento in Europa, Asia e Nord America saranno accompagnate da attacchi più espliciti rivolti a infrastrutture, sistemi informatici, archivi di dati, sia nel settore privato che in quello pubblico, in base agli obiettivi di cyber criminali e delle nazioni che finanziano le loro attività.
Le aziende IT per anni hanno impiegato modelli di rischio per assicurarsi che sistemi e dati critici fossero protetti. Oggi abbiamo a disposizione dati e capacità di analisi per applicare approcci simili, ma ancora più sofisticati, a favore delle persone. Nel 2019, le aziende sposteranno l’attenzione sulla visione che l’aggressore ha degli utenti, per comprendere gli impiegati più a rischio in base alla frequenza e il grado di target, al ruolo, accesso ed esposizione. Questa visione people-centric permetterà alle aziende di implementare livelli di protezione adeguati per determinati utenti, impiegando risorse dove necessario.

Se il 2018 è stato un anno al ribasso per il valore delle criptovalute, molti analisti ritengono che questo sia solo l'inizio di un grande ridimensionamento che porterà stabilità e tenuta ai mercati delle criptovalute. Anche se il valore dei Bitcoin ha continuato a diminuire, i nuovi segnali ne indicano una redditività a lungo termine, mentre si continuano a osservare attività di rete fraudolenta associata al mining. Nel 2019, la crescita di queste valute, la stabilizzazione dei mercati correlati, l'introduzione di quadri normativi e l'uscita dal mercato di monete variabili comporteranno il ritorno di miner e ransomware standalone.
Molti Trojan bancari e stealer di informazioni includono moduli per il mining di criptomonete e capacità di furto del portafoglio.
CoinHive e altri miner basati su web continuano a raccogliere denaro gratuito per i propri operatori. Tuttavia, nel 2019, le attività legate alle criptovalute aumenteranno drasticamente, con la reintroduzione di ransomware su larga scala, in quanto richiedere pagamenti in Bitcoin diventa più favorevole. È improbabile un ritorno di una singola specie di malware come accaduto con i ransomware nel 2016-2017, i Trojan bancari rimarranno presumibilmente al vertice, con maggiori esemplari e famiglie che aggiungono funzionalità legate alle criptovalute.

Nel 2018 abbiamo assistito a rapidi cambiamenti nel panorama delle minacce, che hanno incluso distribuzione di malware, tecniche di frode via email, difese dei social media, e il 2019 è pronto per scossoni ancora più significativi. GDPR, oscillazioni delle criptovalute e politiche globali giocheranno un ruolo fondamentale nel modo in cui i cyber criminali colpiranno persone e aziende e definiranno strategie difensive per i differenti settori.