Aumento delle vulnerabilità con un maggiore impatto
Le segnalazioni di vulnerabilità e di exploit sono destinate ad aumentare nel corso del 2020. Il numero di minacce CVE è aumentato costantemente negli ultimi due anni e non ha mai accennato a diminuire. Inoltre, data la crescente frammentazione dell’hardware e del software e l’adozione di hardware ottimizzato e open source su larga scala, possiamo aspettarci un effetto a cascata quando una vulnerabilità viene scoperta all’interno di un componente e quindi utilizzata in massa. Queste vulnerabilità interesseranno molti fornitori e produttori, con conseguenze potenzialmente gravi per i consumatori e le aziende.
La crescente adozione di programmi di ricompensa da parte di aziende e organizzazioni ha contribuito a stimolare la crescita della divulgazione etica. Tuttavia, i tempi di non divulgazione si sono allungati talvolta anche a più di sei mesi: questo provocherà il passaggio nel 2020 delle vulnerabilità segnalate nel corso del 2019.
Ad agosto di quest’anno, oltre 100 enti CNA (Numberng Authorities) certificati hanno volontariamente documentato e assegnato punteggi e numeri CVE alle vulnerabilità segnalate. Questo aumento indica anche un incremento nel numero di vulnerabilità che viene – e verrà – segnalato, il che richiederà maggiori risorse per documentarle ed elaborarle.
La complessità del software e delle conoscenze necessarie per prevenire gli attacchi e proteggersi aumenterà. I malware sono sempre più complessi
Per lanciare con successo attacchi mirati, che prendono di mira diversi obiettivi dal web e cloud, al social engineering all’intelligenza artificiale fino alle falle hardware di basso livello, gli hacker dovranno avere una conoscenza molto più avanzata e approfondita. Questo comporterà un maggior livello di complessità del malware, per cui gli hacker potrebbero sviluppare nuovi strumenti e tecniche per sfuggire ai livelli di sicurezza tradizionali.
Maggiore diversificazione dell’IoT senza un’adeguata sicurezza: attacchi contro le infrastrutture e ripetizioni di CVE già utilizzati
Con una stima di oltre 20 miliardi di dispositivi IoT che si collegheranno a internet nel 2020, il numero di attacchi contro le vulnerabilità non risolte è destinato ad aumentare. Senza framework di sicurezza o normative disponibili per garantire la sicurezza dei dispositivi e dei dati che raccolgono, elaborano e distribuiscono, e senza cicli regolari per l’applicazione di patch gestiti dai fornitori per affrontare le vulnerabilità note, è probabile che vecchie vulnerabilità CVE vengano ripetutamente utilizzate per compromettere i dispositivi IoT. È inoltre probabile che i dispositivi IoT industriali diventino un obbiettivo più allettante per i criminali informatici, potenzialmente motivati a livello di governo, in quanto possono essere utilizzati per interrompere servizi e infrastrutture cruciali.
Gli stati ricorreranno sempre più spesso alla guerra cibernetica, almeno in segreto, incolpando altre nazioni
La fuga di notizie di Shadow Brokers, che ha rivelato strumenti appositamente costruiti per impiantare artefatti all’interno di APT rivolte contro diversi Paesi, aiuta a illustrare come il malware utilizzato nella guerra cibernetica diventerà sempre più difficile da attribuire a uno specifico gruppo criminale informatico, a una specifica nazione o a un gruppo sponsorizzato da una nazione. Il contesto geopolitico alimenterà lo sviluppo e l’uso di armi informatiche, a fini di spionaggio o manipolazione politica, o addirittura per attaccare infrastrutture critiche. Con le elezioni presidenziali americane che svolgono un ruolo critico nell’ambito della politica globale, è probabile che verrà individuato un maggior numero di APT attribuite a motivazioni di tipo politico.
Inasprimento della lotta contro la censura governativa (lotta per la privacy)
I contraccolpi della legislazione per rafforzare la censura o indebolire gli strumenti e i servizi di crittografia continueranno per tutto il 2020 così come chi si schiera accanto alla difesa privacy e le organizzazioni combatteranno contro di essa. Il governo australiano ha recentemente affrontato il contraccolpo delle grandi aziende tecnologiche dopo aver proposto una legislazione che consente alle forze dell’ordine di decriptare comunicazioni specifiche e fornire un aiuto “volontario” condividendo i dettagli tecnici relativi alle nuove tecnologie e ai servizi in fase di sviluppo.
Di conseguenza, sia gli utenti medi sia i criminali informatici adotteranno probabilmente strumenti e servizi più orientati alla privacy e alla crittografia.
DeepFakes/FakeNews
Le tecniche di DeepFake miglioreranno e potrebbero stimolare nuove ondate di criminalità informatica. Le telefonate audio di DeepFake sono già state utilizzate per alcune truffe, inducendo le organizzazioni a trasferire fondi su conti controllati dagli aggressori. I criminali informatici hanno sottratto 243.000 dollari impersonando il CEO di un’azienda energetica tedesca. La truffa di DeepVoice convinse il CEO della filiale britannica a inviare i fondi a un fornitore ungherese nell’arco di un’ora.
Questi incidenti mostrano come la creazione artificiale di contenuti video e audio utilizzando il machine learning porterà probabilmente a un maggior numero di truffe di social engineering da parte dei truffatori.
Anche le elezioni presidenziali del 2020 negli Stati Uniti, evento di estrema importanza, potrebbero dare luogo a notizie false e truffe. Le accuse di interferenze da parte di Stati esterni hanno generato intense polemiche nelle ultime elezioni presidenziali, e la sicurezza e i mezzi di comunicazione saranno in grado di individuare deepfake e fakenews nel 2020.
Ransomware mirati
Mentre la famiglia di ransomware GandCrab è stata smantellata dai suoi operatori, altri con notevoli somiglianze e lo stesso modello di business – come Sodinokibi – sono diventati sempre più popolari. Le famiglie di ransomware che si rivolgono a specifici settori verticali, come l’assistenza sanitaria, le infrastrutture critiche e l’istruzione, diventeranno sempre più diffuse. Altri spin-off di GandCrab, forse sviluppati dallo stesso gruppo, emergeranno probabilmente con nuove “funzionalità” per sottrarsi alla sicurezza e massimizzare i profitti.
Anche le campagne di ransomware mirate ai service provider potrebbero intensificarsi, in quanto una mediazione efficace potrebbe portare gli aggressori a voler attaccare più infrastrutture e, implicitamente, più endpoint. È inoltre probabile che i nuovi attacchi mirati ransomware sfruttino le vulnerabilità a livello di rete attraverso la scansione di servizi esposti e vulnerabili, come i terminal service, insieme a strumenti progettati per gli attacchi laterali.
Attacchi al mondo FinTech
Mentre le istituzioni finanziarie sono sempre più sotto pressione per creare API e aprire le loro infrastrutture alle società FinTech, i criminali informatici si rivolgeranno probabilmente a queste organizzazioni, sia perché possono avere misure di sicurezza deboli, sia perché conservano, elaborano e hanno accesso a dati finanziari critici e sensibili per gli utenti.
Le startup FinTech hanno maggiori probabilità di essere vulnerabili agli attacchi di phishing e attacchi alla sicurezza verso le applicazioni web e mobile, a causa di software commerciali obsoleti, open-source e della mancanza di procedure di sicurezza. In effetti, un problema significativo che le startup tecnologiche devono affrontare è la creazione di protocolli per migliorare la sicurezza e la protezione dei dati. Recenti scoperte sulla sicurezza indicano che i principali siti web delle aziende non superano i test di conformità PCI DSS, mentre il backend delle app mobile hanno problemi di privacy o gravi errori di configurazione legati alla crittografia e all’insufficiente rafforzamento della sicurezza dei server web.
Nel 2019 abbiamo già appurato violazioni di dati in ambito fintech (tra le vittime sono incluse società inserite nella classifica Fortune 500) che si sono verificate perché i dati personali sono stati memorizzati in modo improprio (per esempio nei file di log), oppure per colpa di procedure di autenticazione deboli che hanno permesso agli aggressori di resettare la password tramite il supporto online per i clienti, o esponendo inavvertitamente documenti interni in aree pubbliche.
Forse uno degli esempi più sofisticati riguarda gli hacker che utilizzano e-mail contraffatte e domini falsi per dirottare 1 milione di dollari in seed money da una società di venture capital a una startup israeliana. Questo tipo di attacco BEC (Business Email Compromise) dimostra che il fintech potrebbe rischiare molto di più non solo esponendo i dati dei clienti ma anche perdendo grandi quantità di denaro da fondi di investimento.
Franken-malware – componenti malware multipurpose che eliminano qualsiasi elemento di crypto miners, ransomware, exploit, ecc.
L’industry dei malware-as-a-service inizierà a riallocare e migliorare i componenti e i tool malware precedentemente noti, progettati per penetrare ed essere persistenti, al fine di consentire ai loro “clienti” di implementare qualsiasi tipo di malware, dai ransomware rivolti alla criptovaluta e spyware. Abbiamo già visto un aumento dei droppers riutilizzati in campagne malware e potenzialmente da diversi criminali informatici, che diffondono diverse minacce di tipo finanziario. Gli sviluppatori di malware inizieranno probabilmente a concentrarsi sulla fornitura di strumenti che offrono i mezzi per infiltrarsi ed eliminare i malware payloads in base alle richieste dei loro “clienti”.
Threat vectors basati sul cloud
Con il continuo aumento dell’adozione del cloud, le aziende vedranno probabilmente un maggior numero di attacchi derivanti da threat vector basati sul cloud che ruotano attorno a vulnerabilità e configurazioni errate e che si diffondono rapidamente su infrastrutture private, pubbliche o ibride. L’adozione di infrastrutture IaaS con il multitenancy di ambienti cloud metterà ancor più a dura prova l’isolamento e la riservatezza dei dati se gli aggressori compromettono tali infrastrutture. La proliferazione e la diversificazione delle tecnologie cloud destinate ad aumentare la produttività, l’efficienza e la scalabilità sono in grado di espandere ulteriormente le potenzialità di attacco già significativi.
I criminali informatici inizieranno inoltre a utilizzare più spesso il cloud per diffondere minacce e controllare in remoto le vittime utilizzando i servizi cloud. Sempre più malware inizieranno ad abusare delle piattaforme popolari di sviluppo web, come GitHub, agendo come canali di comando e controllo delle comunicazioni. Questo permetterà agli attori della minaccia di abusare dei servizi cloud legittimi per sfuggire dal radar delle soluzioni di sicurezza degli endpoint e della rete.