Logo ImpresaCity.it

Il camaleontico mondo del cybercrime

Kaspersky Lab fa il punto sullo stato del cybercrime ripercorrendo quanto successo nel corso dell'anno ed evidenziando le tendenze che si possono prefigurare per il 2018

Autore: Valentina Bernocco

Kaspersky Lab fa il punto sullo stato del cybercrime ripercorrendo quanto successo nel corso dell'anno ed evidenziando le tendenze che si possono prefigurare per il 2018. Si individua innanzitutto una mutazione nei vettori ti attacco e nei gruppi che agiscono nel cybercrime, con confini sempre meno rigidi e più labili tra i soggetti coinvolti. Si pensi al caso di ExPetr, anche chiamato NotPetya, attacco che ha dominato le cronache del mese di giugno e che inizialmente era apparso come l'ennesima operazione ransomware per poi rivelarsi un wiper, a detta di Kaspersky. L'infezione ha interrotto il servizio e causato danni da centinaia di milioni di dollari in aziende come FedEx e Maersk, compagnia di trasporto marittimo danese.

Un secondo esempio  della disgregazione dei confini è l'attività del gruppo Shadow Brokers, che ha messo a disposizione per la platea dei banali criminali informatici codici e malware sviluppati niente meno che dalla National Security Agency statunitense. Kaspersky sottolinea poi, come terzo esempio, l'emergere di ondate di attacchi avanzati e mirati (le Apt, advanced persistant threat) che si focalizzano non solo sullo spionaggio indstriale ma anche sul furto di denaro.

Il già nominato ExPetr è stato certo uno dei protagonisti dell'anno, ma non da meno sono stati il ransomware WannaCry e BadRabbit. Il primo, probabile opera del gruppo (legato al governo nordcoreano) Lazarus, ha colpito circa 700mila dispositivi, causando danni tutto sommato limitati (motivo per cui si sospetta che il vero fine fosse lo spionaggio, più che il ricatto a scopo di lucro). Il secondo ha impazzato soprattutto in Europa dell'Est, arrivando a colpire anche l’agenzia di stampa russa Interfax, il Ministero delle Infrastrutture ucraino e la metropolitana e il di Kiev.
 
Il 2017 è stato anche l'anno in cui il cyberspionaggio ha compiuto diversi passi avanti, sviluppando  metodi più scaltri e strumenti più difficili da rilevare. Fra le campagne osservate da Kaspersky spiccano Moonlight MazeWhiteBear, Lamberts (di cui ha parlato anche Symantec, chiamandolo Loghorn: un gruppo attivo fin dal 2011, che ha colpito una quarantina di bersagli in 16 Paesi), e ancora gli exploit di  Spring Dragon e BlackOasis.  Accanto a chi spia, c'è poi chi attacca e infetta per poter manomettere e distruggere dati, come ben dimostrato dal caso italiano di EyePyramid.

Nei mesi scorsi si è anche osservata una certa propensione alla “diversificazione del business”, per così dire: autori di minacce sofisticate, dirette per esempio al furto di dati, non hanno disdegnato di dedicarsi ad attacchi a scopo di lucro per poter finanziare le operazioni più complesse e impegnative. L'esempio lo fornisce BlueNoroff, un “sottogruppo” (il cui nome è frutto dell'inventiva di Kaspersky) del più noto gruppo Lazarus, responsabile di attacchi a diverse banche, istituzioni finanziarie, casinò, servizi legati allo scambio di criptovalute. A proposito di denaro, quest'anno non sono mancati ma anzi hanno continuato a crescere gli attacchi agli sportelli Atm, perpetrati sia con metodi banali sia instillando malware sulle reti di banche e sistemi di pagamento.  

L'attacco a gruppi o persone che fanno parte della supply chain di un'azienda si rivelano spesso un ottimo modo per arrivare all'obiettivo finale, che è l'azienda. Questa tattica è stata osservata spesso nel corso di quest'anno, per esempio nelle operazioni di ExPetr e ShadowPad, e si intensificherà nel 2018. I mesi passati sono stati anche una conferma per una tendenza già molto chiacchierata dai vendor di sicurezza, ovvero le infezioni dirette agli oggetti connessi dell'Internet of Things: dal caso eclatante di Mirai (del 2016) a quello più recente di Hajime. Un altro tallone d'Achille, ormai conclamato, sono e restano i dispositivi mobili: in quest'ambito, una tendenza forte del 2017 è l'utilizzo di app infettate da trojan più o meno “aggressivi”, che possono cioè limitarsi a generare annunci pubblicitari non rischiesti oppure scatenare un ransomware. Casi degni di nota sono Ztorg Trojan, Svpeng, Dvmap, Asacub e Faketoken.

Il fenomeno del data breach quest'anno ha assunto proporzioni enormi, come giustamente fa notare Kaspersky. Noi ci permettiamo di notare, invece, come alcuni di questi episodi derivino da banali errori di configurazione o negligenze in fatto di aggiornamenti software: pensiamo al caso di Equifax, potenziale danno per 145 milioni di cittadini statunitensi interessati dalla violazione informatica, o a quello quasi incredibile dell'archivio da 100 gigabyte dell'agenzia di intelligence cui fanno riferimento sia l'Nsa sia l'esercito statunitense.

Notevole è anche il numero dei clienti e autisti di Uber esposti al rischio di furto dati a causa di un attacco dell'ottobre 2016, reso noto con un anno di ritardo: ben 57 milioni. In questo 2017, quindi, molte cose si sono rivelate parecchio diverse da ciò che erano parse inizialmente. Che cosa accadrà l'anno prossimo è presto per dirlo, ma di certo la “corsa” a cui si accennava all'inizio non rallenterà nemmeno nel 2018, anzi. “Più dispositivi mobili vengono utilizzati da un crescente numero di persone, per un maggior numero di attività, e più diventa probabile osservare i malware comparire ed evolversi”, scrive Kaspersky.
Pubblicato il: 11/12/2017

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

MWC 2018

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source