In un contesto in cui i recenti attacchi informatici su larga scala hanno evidenziato il forte impatto delle nuove minacce cibernetiche sulle aziende e sulle attività economiche, il Cyber Threatscape Report 2017, il rapporto di metà anno di iDefense – ora parte di Accenture Security – mostra quanto gli autori di questi attacchi siano sempre più abili nello sfuggire ai controlli.
Il Cyber Threatscape Report 2017 ha esaminato i trend principali del primo semestre dell’anno, delineando le possibili evoluzioni degli attacchi informatici nei prossimi sei mesi. Il rapporto si basa su informazioni, ricerche e analisi condotte da iDefense, incluse quelle che fanno ricorso a materiali open source primari e secondari. Tra i temi evidenziati, la crescente prevalenza sia di attacchi di tipo distruttivo sia di tecniche di denial e di deception, ma anche l’uso sempre più aggressivo delle azioni informatiche da parte degli stati, la crescita nel numero e nelle tipologie di hacker e, ancora, la maggiore reperibilità, per chi si cela dietro gli attacchi, di exploit, strumenti, sistemi di crittografia e sistemi di pagamento anonimi.
“I primi sei mesi del 2017 sono trascorsi all’insegna di un’evoluzione dei ransomware, con versioni più virali, rilasciate da criminali informatici che potrebbero anche ricevere finanziamenti statali. Le nostre analisi confermano che, in vista dei rischi crescenti, l’asticella della sicurezza informatica per la difesa delle risorse si è alzata in tutti i settori – ha dichiarato Paolo Dal Cin, Accenture Security Lead per Italia, Europa Centrale e Grecia – Se è vero che dobbiamo fare i conti con la nascita di nuove metodologie di attacco informatico, esistono comunque azioni immediate grazie alle quali le aziende possono proteggersi meglio dai ransomware, riducendo l’impatto di eventuali violazioni di sicurezza.”
Di seguito altre rilevazioni contenute nel rapporto:
- Tattiche di deception in senso inverso – Aumenta l’utilizzo, da parte dei criminali informatici, di strategie di deception, come la codifica anti-analisi, la steganografia e i server command and control temporanei, che possono essere utilizzati per nascondere i dati rubati. La maggiore attività di segnalazione pubblica in merito alle minacce informatiche e alla loro attribuzione potrebbe accelerare questo trend, con il conseguente aumento dei costi per la difesa informatica e l’allocazione delle risorse.
- Sofisticate campagne di phishing – I criminali informatici continuano a creare specchietti per le allodole, utilizzando nelle comunicazioni elettroniche oggetti che fanno riferimento a fatture, spedizioni, CV, bonifici, mancati pagamenti. In questo contesto il ransomware sta subentrando ai trojan bancari per affermarsi come uno dei principali tipi di malware trasmessi attraverso il phishing.
- Utilizzo strategico di operazioni informatiche – L’attività di spionaggio e disruption da parte di organizzazioni che godono del supporto degli stati potrebbero aumentare, con il fine di continuare a reperire informazioni strategiche o in reazione a eventi di rilevanza geopolitica, quali sanzioni economiche, esercitazioni militari e conflitti religiosi.
- Criptovalute alternative – Il bitcoin continua a essere la valuta preferita tra i criminali informatici, che tuttavia devono sviluppare o comunque sfruttare tecniche di riciclaggio di bitcoin o adottare criptovalute alternative per nascondere meglio le transazioni.
- Servizi DDoS a noleggio – I servizi DDoS (Distributed Denial of Service) a noleggio tradizionali hanno lasciato il posto a servizi di DDoS a noleggio basati su ecosistemi di botnet, consegnando agli hacker un maggiore accesso a servizi e strumenti DDoS sempre più potenti e accessibili.
Un piano di continuità aziendale efficace, dovrebbe comprendere questi passaggi:
- Adottare una prevenzione proattiva – Riconoscere le frodi tramite phishing grazie a una formazione preventiva e a programmi di sensibilizzazione. Facilitare la segnalazione rapida delle e-mail fraudolente da parte dei collaboratori e condurre test interni che dimostrino se l’attività di formazione sta funzionando.
- Aumentare i controlli delle e-mail – Mantenere potenti filtri antispam e strumenti di autenticazione. Eseguire la scansione di e-mail in arrivo e in uscita per individuare minacce e filtrare file eseguibili. Prendere in considerazione una soluzione di analytics per le e-mail basata su tecnologia cloud.
- Isolare l’infrastruttura – Eliminare o limitare i diritti di amministratore della postazione di lavoro a livello locale o cercare di trovare le combinazioni di configurazione corrette (per es. scanner di virus, firewall). Aggiornare periodicamente i sistemi operativi e le applicazioni con le patch.
- Pianificare la continuità – Per evitare riscatti è necessario stilare un valido piano informatico di resilienza per il recupero delle informazioni, da sottoporre regolarmente a verifiche, revisioni e aggiornamenti.