NETSCOUT ha recentemente pubblicato una versione aggiornata del Threat Intelligence Report (TIR per comodità), studio dedicato all’analisi delle principali minacce di sicurezza e relativi trend.
La ricerca esordisce introducendo un neologismo di sicuro effetto come “Terrorbit” e sottolineando “la crescita di campagne [su scala globale] che si appoggiano ad un elevato numero di dispositivi connessi esclusivamente alla Rete per colpire obiettivi strategici”. L’analisi del TIR si sviluppa attraverso tre precise parole chiave: APT Groups, Crimeware e DDoS. Eccone di seguito i tratti distintivi.
APT Groups
L’acronimo APT sta per Advanced Persistent Threath (minaccia avanzate e persistente) ed è correlato ai gruppi di cybercriminali più attivi nel secondo semestre del 2018. NETSCOUT ha “censito” 35 APT Group provenienti da Cina, Iran, Russia e Corea del Nord. Le metodologie di attacco e gli strumenti adoperati da questi ultimi sono descritti come in continua evoluzione, sempre più sofisticati (utilizzano tecniche mutuate dal mondo del cyber spionaggio) ed utilizzati in prevalenza contro:
- università;
- enti governativi;
- mondo della finanza;
- telecomunicazioni.
In relazione alle università, il TIR cita ad esempio la campagna soprannominata Stolen Pencil in cui quattro istituti (specializzati nel settore biomedicale) hanno subito il furto massivo di credenziali e dati personali attraverso l’impiego di plugin Chrome malevoli.
Da sottolineare inoltre la presenza di attacchi che si appoggiano a vulnerabilità zero day, in gergo falle ignote fino a quel momento persino agli sviluppatori del software exploitato (es: sono note le innumerevoli falle zero day di Flash rivelate nel corso degli anni); ed attacchi che hanno messo in campo avanzatissimi bootkit UEFI ( ad esempio LoJax ideato dal gruppo FancyBear), in grado di andare a colpire ed alterare le impostazioni dei bios nelle schede madri.
Crimeware ed affiliazioni
Termine che indica l’insieme “di strumenti software utilizzati nel crimine informatico […] per compiere un attacco mirato alle reti delle aziende o a utenti privati”. Rispetto al passato i gruppi specializzati nel campo dei crimeware hanno accesso a migliori strumenti – molto più redditizi delle controparti pensate per il classico approccio “attacco e fuga”.
I tool sono modulari, persistenti e pensati per massimizzare i guadagni. Si è inoltre diffuso nel settore un modello di business che ha visto la realizzazione di infrastrutture centralizzate distribuite su più server e “prestate” a soggetti terzi. E’ quanto accaduto nell’ambito della campagna Danabot (trojan pensato per colpire i servizi web banking) in cui sono state registrate le azioni di molteplici gruppi affiliati (almeno 12) responsabili di altrettanti attacchi a portali di istituti di credito come bancagenerali.it, unicredit.it, unipolbanca.it, chebanca.net.
Attacchi DDoS: diversificazione e maggiore potenza di fuoco
La sofisticazione e diversificazione delle modalità di attacco ha interessato anche questo settore. Il TIR evidenzia non solo la crescita esponenziale degli attacchi su larga scala (+26%) ma anche un aumento tangibile delle sortite di media intensità (+169% per gli attacchi compresi tra i 100 e 200 gbps; +2500% per quelli tra i 200 e 300 gbps). I dispositivi IoT (Internet delle Cose), per via delle misure di sicurezza totalmente assenti e/o inadeguate, “vengono attaccati entro cinque minuti dal collegamento e diventano oggetto di attacchi specifici nel giro di 24 ore” . Nella lista dei bersagli preferiti dagli hacker figurano:
- consolati ed ambasciate (+186%), ad avvalorare il trend degli attacchi a sfondo politico;
- piattaforme cloud computing (+83%), l’intensità degli attacchi è crescita invece del 365%;
- compagnie aeree (+15.000%).
“Le conclusioni che abbiamo potuto trarre a livello mondiale evidenziano che il panorama delle minacce nella seconda metà del 2018 può essere equiparato ad attacchi agli steroidi”, ha affermato Hardik Modi, senior director di NETSCOUT per la threat intelligence. “A fronte dell’aumento della frequenza e delle dimensioni degli attacchi DDoS, del volume delle attività di hacking legate alle organizzazioni statali oltre che della velocità delle minacce IoT, oggi non è più possibile ignorare le continue minacce digitali rappresentate da pirati informatici in grado di sfruttare le interdipendenze che pervadono il nostro mondo ormai diffusamente connesso“.