Alessia Valentini

Alessia Valentini

Mar 21, 2018

Intelligenza Artificiale, cryptominer e attacchi fileless. Come cambiano le minacce

Gli attacchi sul web si fanno sempre più insidiosi e numerosi. Molto diffusi i malware che sfruttano la potenza del processore per il mining delle criptovalute. In aumento le infezioni via mail

La minaccia cyber ovvero quella costituita da malware (di tutte le forme e tipi) è stata spesso definita minaccia liquida e asimmetrica, ma è un dato di fatto che evolva e si specializzi per colpire in modo più mirato tutti quegli ambiti e tecnologici che rappresentano trend popolari sui quali, quindi, è più probabile converga il traffico degli utenti che, per i malintenzionati, rappresentano un maggior bacino di potenziali vittime.

Le principali modalità e tipologie di attacco del 2017

Un esempio di “rapida specializzazione”, lo ha fornito Eugene Kaspersky, CEO di Kaspersky Lab che, intervenuto ad un evento dell’Università Sapienza per incontrare gli studenti, ha specificato come nel 2015 i sample di malware per l’ambito dei dispositivi IoT, fossero solo 482, mentre nel 2016 si è assistito a una proliferazione che ha raggiunto la quota di 2.509 campioni, cifra che si è più che raddoppiata nei soli primi sei mesi del 2017 arrivando ad oltre 7000 nuovi sample (fonte laboratori Kaspersky).

Nel secondo semestre del 2017 hanno invece prevalso i malware per il mining di criptovalute (cryptominer), ovvero software maligni che consentono ai criminali informatici di utilizzare fino al 65% della potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute. Ma se il trend dei cryptominer è in crescita ransomware, adware “malvertising”, software leciti usati come vettori di attacco, attacchi veicolati da mobile continuano ad avere un forte incidenza sulle aziende.

Questi dati derivano dal report H2 2017 Threat Global Intelligence Trends pubblicato a fine gennaio da Check Point e relativo all’analisi dei dati da luglio a dicembre 2017. Dallo studio emergono i principali trend del malware, i dettagli delle principali categorie distinti fra i ransomware, i malware specializzati per l’ambito banking e quelli orientati al mobile e le tecniche e le tattiche per ognuno di essi che permettono agli hacker di colpire le vittime. Le principali tendenze del 2017 sono descritte in ordine di incidenza.

Solitamente i miner di criptovalute sono utilizzati dagli utenti per minare le proprie criptovalute, ma l’interesse crescente del pubblico per le valute virtuali ha rallentato il processo di estrazione, che dipende direttamente dal numero dei possessori delle valute. Quindi si è resa necessaria una maggiore potenza computazionale per minare le criptovalute spingendo i criminali informatici ad un utilizzo fraudolento per sfruttare le risorse di calcolo di utenti completamente ignari.

Continuano a circolare le infezioni via mail

Sono aumentati anche i casi di Malspam (malware distribuiti tramite email): il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha causato una evoluzione da parte di attori malevoli più esperti che hanno utilizzato vari exploit collegati ai documenti, in particolare in Microsoft Office.

Un ulteriore trend è stato quello legato all’utilizzo di software leciti e apparentemente innocui, usati come vettori di attacco per malware capaci di eludere i controlli degli app store. È noto anche come attacco della alla supply chain perché gli hacker inseriscono il codice malevolo in un componente come una libreria o uno snippet di codice di un’applicazione legittima, open source o commerciale, e, quando gli utenti installano o aggiornano le applicazioni interessate, infettano anche i loro sistemi con il carico malevolo. Eclatante in questa categoria il caso CCleaner seguito poi da casi similiari di app utility come DU Caller o di app addiritttura di tipo protettivo come DU Antivirus Security.

I ransomware, cresciuti in quantità ed utilizzo a partire dal 2016, sono ancora uno dei principali vettori di attacco e vengono utilizzati sia per attacchi mirati contro organizzazioni specifiche sia per campagne di carattere più generale durante le quali gli attaccanti sperano di colpire quante più vittime sia possibile.

Infine, sono stati numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. In alcuni casi i dispositivi mobile hanno agito come proxy, attivati dal malware MilkyDoor per raccogliere dati interni dalla rete aziendale. Mediante il malware Switcher invece, l’attacco è perpetrato verso gli elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.

L’unica buona notizia riguarda la diminuzione degli attacchi da Exploit Kit grazie alla progressiva diminuzione delle vulnerabilità in relazione al rilascio di patch correttive per i browser che ne erano interessati.

Modelli confermati per il 2018

Per il 2018 le previsioni, che arrivano dagli Avast Threat labs diffuse a fine gennaio, confermano alcuni di questi trend e non permettono di abbassare la guardia sugli altri fronti innovativi dove si concentrerà l’attenzione e l’adozione massiva dell’utenza a seguito delle “mode del momento”.

In particolare i trend confermati riguardano il perseverare negli abusi verso i dispositivi IoT creando e utilizzando botnet per attaccare server e sottrarre informazioni personali degli utenti ai fini di ricatto o truffa di identità. Per il nuovo anno è anche prevista una ulteriore diffusione dei malware crittografici per attacchi di phishing, investimenti falsi in criptovaluta, sottrazione di moneta dai portafogli elettronici e truffe di vario genere in questo ambito. L’utilizzo dei ransomware potrebbe cambiare, e dalla sola motivazione di fare denaro mediante ricatto, nel 2017 sono state osservate campagne ransomware utilizzate per coprire gli attacchi di stato nazione o per spionaggio industriale, motivazioni che potrebbero sussistere per tutto il 2018 anche per la tipologia di attacchi supply chain previsti in forte incremento per le stesse finalità.

Leggi anche: Rapporto Clusit 2018 | Intervista a Andrea Zapparoli Manzoni

Infine, il 2018 conferma un incremento delle minacce perpetrate a mezzo mobile per rubare tutti i dati personali che i device contengono. Quindi se i downloader hanno costituito una delle maggiori minacce nel 2017, presso gli Avast Labs pensano che continueranno a persistere per tutto il prossimo anno, unitamente ad un incremento delle minacce di mobile banking, di ransomware specializzati per il mobile e di app false scaricabili dagli app store.

Nuovi filoni: l’intelligenza artificiale “deviata”

Poiché le tecniche di machine learning sono sempre più diffuse, non stupisce che criminali informatici possano tentare di trovare debolezze nei sistemi di rilevamento basati su algoritmi di apprendimento automatico cercando di avvelenarli. Anche l’utilizzo della AI (Artificial Intelligence) a fini malevoli potrebbe essere plausibile, ma non solo legata ad attacchi di malware, ma anche per eseguire attacchi di spearphishing altamente sofisticati, creando ad esempio un falso personaggio “intelligente” che possa dare alle persone la sensazione di comunicare con qualcuno che conoscono e capace di ingannarli nella condivisione di dettagli personali. Se la tecnologia della blockchain che oggi viene utilizzata principalmente per tenere traccia delle transazioni di criptovaluta, divenisse di uso massivo per documentare tipi di record, come la gestione dell’identità digitale o il voto, allora potremmo assistere a campagne di attacco contro sistemi di blockchain. Quest’anno ad esempio, è già stata segnalata la debolezza su portafoglio Electrum, grazie al ricercatore di sicurezza Tavis Ormandy.

Leggi anche: Cinque motivi per cui il vostro smartphone è a rischio

Il 2018 potrebbe anche consolidare la tendenza degli attacchi “fileless” (quelli perpetrati mediante software maligno che risiede nella RAM di un computer e non installa nulla sul computer della vittima n.d.r.) che aggirano meglio la protezione antivirus, e diminuiscono le tracce lasciate dall’attaccante.  Il malware senza file può anche spostarsi lateralmente per infettare altre macchine all’interno di una stessa rete, rendendo più semplice l’attacco all’intero network aziendale. Infine, considerato che le violazioni dei dati (data breach) sono state perpetrate negli ultimi 10 anni senza segni di rallentamento è molto probabile che la tendenza continuerà spostandosi sui SaaS (Software as a service n.d.r.) se i dati continueranno a essere scarsamente protetti sia lato fornitore (per vulnerabilità del codice), sia lato cliente (per mancato utilizzo di crittografia e autenticazione multifattore).

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter