I numeri che emergono dalla quarta edizione del rapporto annuale di OverWatch disegnano un quadro serio sullo stato delle minacce. Non a caso il report si intitola “Nowhere to Hide”, nessun luogo in cui nascondersi. Un incremento annuale del 50% nei tentativi di intrusione attivi, cioè dove l’attaccante esplora realmente le risorse della vittima, e un cambiamento significativo anche dal punto di vista delle modalità di attacco. Il rapporto evidenzia globalmente un tentativo di attacco ogni sette minuti, per un totale di 77.000 fra le sole minacce di tipo proattivo. Uno scenario in cui il cybercrime si configura sempre più come una industria a fini di lucro, con modalità sempre più simili a quelle della criminalità organizzata.
Attacchi sempre più rapidi e sempre più mirati
Uno degli aspetti più rilevanti, a livello macroscopico, è la riduzione del tempo necessario per effettuare il movimento laterale da parte degli attaccanti, che cala a un’ora e 24 minuti di media rispetto a un’ora e 38 minuti del periodo precedente nel caso degli attacchi riconducibili a eCrime. Dato ancora più preoccupante se consideriamo che, nel 30% dei casi ,agli attaccanti bastano meno di 30 minuti. Questo, a quanto racconta Luca Nilo Livrieri, SE Manager di CrowdStrike per il Sud Europa è dovuto a uno sfruttamento sempre più efficiente delle CVE (Common Vulnerabilities Exposures) e dall’uso sempre più frequente di attacchi fileless, non basati su malware ma su attacchi diretti.
“Per questa ragione” – spiega Livrieri – “L’approccio di CrowdStrike è quello di non concentrare la protezione su malware o ransomware, ma dall’attacco e dalla compromissione. In un contesto in cui più del 70% degli attacchi sono fileless, la protezione da file di vario tipo risulta inadeguata: gli attaccanti usano risorse che si trovano già sulle macchine delle vittime”.
La cybercriminalità è sempre più una filiera a profitto
Secondo l’analisi di CrowdStrike, basata sui dati reali raccolti dall’azienda e quindi non né di tendenza, il 43% delle intrusioni al mondo sono attribuite ad attività di eCrime. In altre parole, chi attacca ha un esclusivo scopo di lucro. Delle rimanenti, il 18% sono in qualche modo attribuibili a gruppi vicini ai governi dei vari paesi e solo l’1% ad attività di hacktivism. La rimanenza non è attribuita, per ragioni di cautela o di opportunità.
Per quanto riguarda la regione EMEA, la distribuzione è leggermente diversa, con l’eCrime che si ferma al 35% e l’hactivism al 2%, ma il quadro globale racconta una crescita del primo tipo di attività. Una vera e propria filiera del crimine, affine nelle modalità alla criminalità organizzata. Sempre Livrieri, per esempio, ci racconta di come esistano realtà definite access broker, specializzate nella raccolta delle credenziali che poi vengono vendute al mercato nero ad attaccanti specializzate nello sfruttamento.
Le realtà più attaccate sono le più remunerative
Uno scenario che si rispecchia anche nei mercati più soggetti ad attacchi, soprattutto per quanto riguarda l’eCrime e le intrusioni di tipo interattivo. Nel dettaglio troviamo tecnologia (19%), Telecomunicazioni (10%), manifattura (7%), istruzione (7%) e healthcare (7%).
Per quanto riguarda la zona EMEA, la composizione varia leggermente: telecomunicazioni (17%), tecnologia (17%), finanza (9%), governi (8%) e healthcare (5%).
Se per alcuni mercati la connessione con il profitto è immediatamente evidente, ci sono due casi che meritano una trattazione a parte. Il manifatturiero, sempre secondo Livrieri, ha subìto un’impennata a causa dell’esposizione relativamente repentina di sistemi, per esempio i controlli industriali e i software legacy, che per consuetudine non erano esposti online e per i quali le aziende stanno correndo ai ripari.
Il mondo dell’istruzione invece è spesso considerato un valido punto di ingresso per gli attacchi mirati. Una volta individuata una personalità o un soggetto da colpire, si può veicolare l’attacco attraverso le credenziali accademiche, che in molti casi risultano meno resilienti di quelle aziendali o governative.
La cybercriminalità si evolve di pari passo con la tecnologia
Tra i fattori che emergono dal rapporto, come sottolineato in precedenza, c’è uno spostamento delle attività criminali dal mondo dell’attivismo a quello delle attività a profitto. Anche nel campo degli attacchi riconducibili ad attività governative si nota una preminenza di gruppi noti, che lavorano secondo modalità consolidate. In generale, un trend emergente è senza dubbio quello dell’industrializzazione dell’eCrime. Oggi, come ci ricorda Livrieri, si tratta di una filiera a livelli, in cui si possono identificare, per esempio un servizio in termini di piattaforme, strumenti e risorse; una distribuzione caratterizzata dal tentativo di raggiungere più vittime possibile e, infine, una attività di monetizzazione, con realtà specializzate nel recuperare denaro dalle vittime.
L’unica distinzione è negli attacchi finanziati dalle nazioni, che in diversi casi hanno semplicemente finalità distruttive. Nel campo sanitario o dell’energia, per esempio, lo scopo di questo tipo di attacchi è quello di creare interruzioni di servizio.
Nell’ambito degli attacchi generalizzati, emerge con meccanismi analoghi il fenomeno del RaaS, Ransomware as a Service, anche in questo caso con realtà specializzate nella creazione dei malware, altre nella distribuzione e altre ancora nel “recupero crediti”, dotate spesso di strumenti che ricordano molto da vicino i CRM usati nel servizio clienti dalle aziende.
Come contrastare la cybercriminalità di nuova generazione
Tuttavia, non mancano gli strumenti per contrastare questo fenomeno. Uno su tutti è la matrice MITRE, un framework che ha lo scopo di censire gli attacchi secondo una serie di standard, sulla base delle modalità di attacco. In CrowdStrike questo strumento viene utilizzato per raggiungere, attraverso l’uso combinato di intelligenza artificiale e competenze umane, un’identificazione precoce degli attacchi.
A vantaggio dei difensori, infatti, va detto che l’industrializzazione e la serializzazione degli attacchi conducono a un certo livello di standardizzazione: alcuni attaccanti, infatti, si limitano a sfruttare le risorse reperite sul mercato nero senza effettuare personalizzazioni né degli strumenti, né delle modalità di intrusione. Avere censito un grande numero di attacchi permette ai difensori di disporre di una knowledge base facilmente riutilizzabile per ricondurre un attacco a una modalità operativa e agire tempestivamente per prevenire i passaggi successivi. Questo, fra le altre cose, spiega anche perché nel report Nowhere to Hide c’è un elevato numero di attacchi non attribuiti. Visto l’approccio pragmatico dell’azienda, infatti, molti attacchi vengono neutralizzati ai primi segnali, rendendo difficile l’attribuzione ma garantendo la sicurezza della realtà difesa in questo modo.