I cyberattacchi non sono certo una novità, ma di recente ci sono verificati sulla scena mondiale dei cambiamenti significativi. In particolare, è variato sensibilmente l’identikit di chi è in grado di condurli. Una volta si trattava di una professione illecita, patrimonio di una manodopera altamente qualificata, competente e ben introdotta negli ambienti della malavita.
Ora, invece, il cybercrime si è trasformato in qualcosa che quasi chiunque può intraprendere, in gran parte grazie all’avvento di exploit kit automatizzati. Questi toolkit hanno automatizzato la componente più volatile del malware odierno, ovvero l’inserimento di exploit per le vulnerabilità scoperte di recente sul software lato client.
Gli exploit kit automatici come Zeus e Blackhole, per esempio, hanno abbassato la barriera per eseguire gli attacchi informatici al punto in cui non vi è quasi più alcun limite. Criminali con competenze tecniche minime sono ora in grado di utilizzare un kit di exploit per lanciare attacchi sofisticati contro le loro vittime, una prodezza che sarebbe stata impossibile solo cinque anni fa.
L’evoluzione dei kit di exploit
I primi toolkit di exploit sono stati utilizzati da esperti di scrittura di codice nel lontano 1990. Exploit quali Bugtraq, Rootshell e altri sono stati utilizzati negli script per attaccare i sistemi quando gli esperti di scrittura di codice non conoscevano a sufficienza la materia.
Rispetto a questi strumenti di attacco “primordiali”, le potenzialità distruttive di Zeus e Blackhole nel corso degli ultimi cinque anni hanno consentito a un numero sempre più ampio di criminali di perpetrare attacchi anche molto virulenti.
Entrambi offrono funzionalità impressionanti e oggi sono talmente evoluti da consentire a un utente di acquistare e scaricare il toolkit, creare eseguibili maligni con exploit specifici supportati dalle funzionalità di evasione antivirus integrate, impostare funzionalità di comando e controllo (C&C), creare le infrastrutture e poi iniziare a inviare il malware per il tramite di siti web compromessi o spam. L’attaccante controlla solo l’infrastruttura di C&C utile per raccogliere le credenziali compromesse o utilizzare la botnet.
Trattandosi di due dei maggiori esempi di exploit kit moderni, le imprese dovrebbero essere consapevoli di come Blackhole e Zeus lavorano. Blackhole genera malware che utilizza iFrame e JavaScript maligni per eseguire il codice exploit sul sistema locale, inducendolo a scaricare un rootkit in grado di prendere possesso del sistema. Zeus funziona in modo simile, ma si concentra sulla frode finanziaria e si rivolge esclusivamente ai siti finanziari. Entrambi sfruttano le varie vulnerabilità presenti nei software lato client.
La forte domanda di strumenti di attacco automatici, che possono essere utilizzati con minime competenze tecniche, ha stimolato la rapida evoluzione di questi kit di exploit. Questi hanno avuto successo, in parte, perché sono modulari, nel senso che sono sviluppati in modo tale che sia piuttosto facile aggiungere nuove funzionalità.
Ad esempio, il malware miniFlame è fornito come un modulo che sfrutta ulteriormente il codice già compromesso dai malware Flame e Gauss. Funzionalità ancora più automatizzate possono essere rapidamente aggiunte al malware tramite un toolkit che potrebbe contribuire, ad esempio, a trasferire il denaro su un conto bancario a specifiche posizioni (che cambiano continuamente) come indicato dall’attaccante o per automatizzare la ricerca e l’invio di dati sensibili agli attaccanti.
Per quanto riguarda il futuro, le imprese dovrebbero aspettarsi l’avvento di nuovi attacchi avanzati completamente automatizzati, al punto in cui un attaccante ha solo bisogno di attuare o rielaborare un pezzo di funzionalità software personalizzate per riuscire a perpetrare un attacco mirato sulla tecnologia di una specifica impresa. Questi attacchi possono anche essere cross-platform e includono moduli per i dispositivi mobili o altre piattaforme.
I kit di mitigazione dei rischi
È bene ricordare che i toolkit di exploit non sono tutti cattivi. Gli strumenti di scansione (scanner) delle vulnerabilità come Satan, Saint e molti altri stanno evolvendo in strumenti automatici di penetration testing come Metasploit, Core Impact e Tela, che pure potrebbero sembrare toolkit di exploit.
Le modalità con le quali uno strumento viene utilizzato possono aiutare a determinare se debba essere visto come potenzialmente pericoloso oppure, al contrario, utile. Ci sono pochi motivi legittimi per l’utilizzo di un kit di strumenti exploit per attaccare gli utenti, al di fuori di un test di ingegneria sociale formale o di finalità di ricerca.
Per difendersi da questi exploit kit sempre più sofisticati e automatizzati, le imprese dovrebbero prima schierare efficaci controlli antimalware standard. Le difese che le imprese devono avere in atto per difendersi da futuri exploit kit cambieranno nel tempo, ma le organizzazioni devono obbligatoriamente disporre di un programma di sicurezza sul posto che valuti continuamente se i controlli di sicurezza in atto sono in grado di fornire una protezione contro gli attacchi più recenti.
Molti kit di exploit utilizzano il phishing o un sito Web compromesso come vettore iniziale. Le imprese potrebbero utilizzare strumenti antiphishing per ridurre al minimo questo rischio e strumenti basati sulla rete in grado di bloccare il malware per prevenire l’azione del codice dannoso, che potrebbe infettare i sistemi client attraverso siti web compromessi.
In conclusione, quindi, essere costantemente informati sulle ultime tendenze cui sono soggetti i toolkit di attacco può essere utile per conoscere i modelli di attacco a breve termine e cercare di cautelarsi.
