A causa della rapida evoluzione del cybercrimine le imprese si trovano di fronte a una serie di nuove minacce, progettate da malintenzionati per contrastare le precauzioni di sicurezza esistenti o per colpire nuove aree di vulnerabilità. Se la conoscenza è potere, ecco un primo sguardo ai pericoli che le imprese potrebbero presto trovarsi ad affrontare
Di Massimiliano Brugnoli, Business Development Manager di Orange Business Services
IA “malvagia” contro IA “buona”
Nel prossimo futuro ci aspettano scontri tra minacce criminali basate su intelligenza artificiale contro i sistemi di sicurezza informatica dell’IA? Sembra che uno scenario simile – degno di una sceneggiatura di Hollywood – possa presto diventare realtà, perché gli sviluppi della sicurezza basati sull’Intelligenza Artificiale possono servire per scopi sia buoni che malvagi.
Il World Economic Forum (WEF) afferma che, sebbene i sistemi di intelligenza artificiale siano stati originariamente sviluppati per rispondere alle minacce informatiche, la loro natura a basso costo, scalabile, automatizzata e anonima corrisponde proprio al set di strumenti che cercano i malintenzionati. Il WEF suggerisce che l’uso criminoso dell’intelligenza artificiale presto diventerà più comune: grazie a essa gli hacker ottimizzeranno gli approcci che evitano il rilevamento o creano contenuti indistinguibili da quelli realizzati dagli umani in attacchi di phishing o social engineering.
La questione è così preoccupante che svariate istituzioni accademiche, tra cui The Future of Humanity Institute, Oxford University e Cambridge University, hanno recentemente pubblicato raccomandazioni per gestire la natura duplice dell’IA, spronando sviluppatori e ingegneri che lavorano in questo ambito ad avere cautela e a tenere alta la guardia.
Malware polimorfico
Anche se le aziende stanno facendo progressi nel restare al passo con le minacce, il prossimo fronte nella battaglia della cybersecurity è stato aperto dai malware polimorfici, che mutano costantemente e quindi sono in grado di ingannare i sistemi che si affidano al riconoscimento di una firma statica.
Gartner afferma che le aziende spendono il 90% del proprio budget di sicurezza per la prevenzione e il 10% per il rilevamento. Una crescita delle minacce polimorfiche può ribaltare questa cifra perché il codice malware muta ogni volta che viene eseguito, moltiplicando efficacemente le opportunità per i malintenzionati e confondendo ogni tentativo di neutralizzarlo.
Si stanno diffondendo nuovi software che analizzano non solo la firma della minaccia, ma anche il suo comportamento, utilizzandolo come un’altra metrica di dati per aiutare il rilevamento e l’intervento rapido. I malware avanzati stanno spostando il campo di battaglia dal disco alla memoria RAM per rendere più difficile il loro rilevamento. L’ultima frontiera nell’ambito della protezione da questi attacchi usa il paradigma di Moving Target Defense modificando in real-time gli indirizzamenti di memoria, così da rendere impossibile l’esecuzione dei malware anche se contenenti zero-days.
Ieri il Cryptojacking, oggi il Formjacking
Il 2018 potrebbe essere l’anno in cui il Cryptojacking ha toccato l’apice, forse perché il valore delle criptovalute stesse ha raggiunto un picco e da allora è diminuito. Di conseguenza, gli hacker hanno in programma di passare a pascoli più verdi grazie al Formjacking, che consiste nel rubare i moduli delle carte di credito (da cui il nome) direttamente da un sito Web subito dopo che un cliente ha inserito i propri dettagli.
Il grosso problema con il Formjacking è che è quasi impossibile per l’utente identificare la minaccia e intervenire prima che il denaro venga rubato.
A differenza del keylogging, in cui una sequenza di tasti viene sottratta in tempo reale prima di essere registrata nel modulo, il Formjacking ruba le informazioni complete sulla carta di credito direttamente dal modulo senza attivare il software di rilevamento dei keylogging. In questo modo circumnaviga una soluzione che ha sempre funzionato e si porta via le credenziali che vengono poi messe all’asta sul Dark Web. Questi dettagli rubati vengono in genere ricollegati ai siti Web di vendita al dettaglio per acquistare beni e quindi rivenderli online attraverso siti con una buona reputazione, al fine di riciclare il denaro ottenuto.
Il formjacking è doppiamente preoccupante perché richiede relativamente poco sforzo per essere eseguito. Secondo Stacksol, è bastato un singolo hacker, che utilizzava solo 22 righe di codice, per modificare gli script in esecuzione su un sito Web di una grande compagnia aerea. Secondo quanto riferito, ha rubato 380.000 dettagli della carta di credito, accumulando oltre 13 milioni di sterline.
Crimeware as a Service (CaaS)
Sempre più hacker acquistano kit di compromissione della sicurezza già pronti, disponibili sul mercato nero, per colpire le imprese con un’efficienza preoccupante. Il “Crimeware as a Service” è un problema emergente perché gli hacker che operano nel settore da diversi anni mettono in vendita le loro conoscenze e i loro strumenti alla generazione successiva, che non ha esperienza ma è alla ricerca di risultati facili.
In effetti, il CaaS sta diventando un mercato fiorente, con servizi in abbonamento e prezzi competitivi per gli aspiranti malfattori. Questa dinamica sta causando un aumento degli attacchi, che offrono il miglior “ritorno dell’investimento” e molti aspiranti hacker sono stati reclutati in questo ecosistema, aumentando i rischi per le aziende che già oggi faticano a restare al passo nella difesa.
Nel peggiore dei casi, il CaaS è già in grado di creare una devastazione così totale che l’unica soluzione diventa la sostituzione dell’intero hardware IT.
Attacchi “Living off the Land”
In aggiunta a singoli attacchi mirati diretti ad applicazioni o sistemi, una delle preoccupazioni crescenti del 2019 è che i malintenzionati possano infestare le normali funzionalità del sistema operativo o i comandi di amministrazione senza attirare l’attenzione su di sé e restando nascosti in bella vista, per provocare il caos nel lungo termine.
Si chiamano attacchi Living-off-the-Land (LotL), un’espressione che potremmo tradurre come “vivere di ciò che offre la terra”: gli hacker cercano guadagni meno rischiosi a lungo termine piuttosto che rapidi blitz. Le minacce di LotL sono una preoccupazione perché gli hacker possono fondersi in una serie di comandi e processi di rete normali e anche se viene rilevata una minaccia, è più difficile individuarla – e quindi rimediare – tra una serie di picchi di attività di rete simili.
Un esempio di minaccia LotL è un attacco PowerShell, che è normalmente installato insieme al sistema operativo standard, e sfrutta la shell della riga di comando e il linguaggio di scripting basato su .NET, per ottenere un accesso privilegiato al sistema IT aziendale. Questo tipo di attacco è aumentato del 1000% l’anno scorso, secondo Symantec.
