Downloader, botnet e attacchi phishing nel mirino di Proofpoint

Il threat insight team di Proofpoint analizza le minacce principali che ci attenderanno nei prossimi 12 mesi

Il 2019 è stato un anno caratterizzato dalla distribuzione di RAT e downloader, da un’evoluzione importante degli attacchi mirati a ingannare gli utenti e da azioni sempre più sofisticate che prendono di mira le applicazioni cloud.

Tutto questo aiuta a definire cosa possiamo aspettarci nel prossimo futuro.

Per la maggior parte degli hacker, l’email resterà il canale di attacco principale, con cui realizzare campagne di phishing, insieme ad attacchi mirati per diffondere malware e creare un presidio all’interno dell’azienda e alla distribuzione di Trojan bancari, downloader e backdoor. In particolare, sistemi email basati su cloud, come Microsoft Office 365 e GSuite diventeranno obiettivi fondamentali, rappresentando di fatto le piattaforme ideali per attacchi e movimenti laterali interni.

I ramsomware continueranno anche nel 2020

Non sono stati tra i payload più utilizzati, ma i ransomware hanno continuato a essere sulla cresta dell’onda della cronaca nel 2019, soprattutto con gli attacchi destinati a realtà importanti. Si prevede che questa attività, in cui gli autori si focalizzano su operazioni dal riscatto elevato per sbloccare server ed endpoint in ambienti mission-critical – molto più propensi a pagare per decifrare i loro dati – continueranno anche nel 2020. Questi “colpi” avranno però un ruolo secondario rispetto alle infezioni iniziali che utilizzano RAT, downloader e Trojan bancari, rendendo fondamentale la prevenzione e la difesa.

Le organizzazioni capiranno che essere colpite dal ransomware significa già essere state compromesse da una serie di malware che creano potenziali vulnerabilità future ed espongono al rischio dati e proprietà intellettuale.

Verso processi di infezione complessi

Nel 2019 la gran parte dei messaggi si è affidata a URL pericolosi per distribuire malware, non agli allegati. Molti utenti sono stati formati a evitare di aprire documenti ricevuti da mittenti sconosciuti, ma il crescente utilizzo di applicazioni e storage cloud li porta a fare click su vari link per vedere, condividere un’ampia quantità di contenuti e a interagire. Gli hacker continueranno a capitalizzare su queste attività, sia per l’efficacia delle tecniche di ingegneria sociale sia perché gli URL possono essere utilizzati per mascherare processi di infezione complessi che rendono la rilevazione ancora più difficile rispetto a un semplice payload cliccabile.

Abuso di servizi legittimi

Gli aggressori continueranno ad abusare di servizi legittimi per l’hosting e la distribuzione di campagne email pericolose, malware e kit di phishing. Ad esempio, da qualche tempo l’uso di link di Microsoft SharePoint per ospitare malware è diventato comune, ma il suo utilizzo sta incrementando anche per il phishing interno. Ad esempio, verrà utilizzato un account Office 365 compromesso per inviare un’email di phishing interna collegata a un kit di phishing ospitato su SharePoint utilizzando un altro account compromesso. Questo tipo di attacco è particolarmente difficile da rilevare, non solo da parte degli utenti ma anche da molti sistemi di sicurezza automatizzati. Continuerà anche l’abuso di servizi legittimi di hosting basati su cloud per la distribuzione di malware, come Dropbox e Box.

Gli attacchi brute force diventano più smart

Le aziende continuano ad adottare software di collaborazione e produzione basati su cloud, che diventano quindi obiettivi interessanti per gli hacker. Data la prevalenza di campagne di phishing dirette a Microsoft Office 365, l’attenzione resta rivolta alla compromissione di account per potenziali utilizzi in campagne future, movimenti laterali all’interno dell’azienda e sfruttamento di servizi collegati come Microsoft SharePoint. I tradizionali attacchi brute force su servizi cloud continueranno nel 2020.

La supply chain mette in pericolo i partner

Le vulnerabilità della supply chain sono state le protagoniste degli attacchi ai principali retailer nel 2013 e 2014. Gli aggressori hanno approfittato della supply chain per ogni tipologia di attività, dal furto di credenziali di carte di credito al business email compromise (BEC), ma si prevede che questa tecnica diventerà ancora più sofisticata nel corso dell’anno. Le aziende faranno più attenzione a quali partner affidarsi, anche in base al loro sistema di protezione delle email, per evitare rischi di compromissione e sfruttamento delle vulnerabilità.

La formazione sarà protagonista

I sistemi automatizzati possono impedire a molte minacce di raggiungere le caselle di posta, ma sono gli utenti la linea di difesa finale, soprattutto quando gli autori delle minacce sfruttano il phishing vocale e via SMS (smishing) e gli attacchi multicanale. Di conseguenza, la formazione è una componente fondamentale della sicurezza, ma spesso, a causa delle risorse ridotte, le organizzazioni sono sempre più selettive sulla formazione per gli utenti.

Si prevede che:

  • Le priorità di formazione saranno guidate dalla threat intelligence e dalla tipologia di minacce subìte.
  • Molte aziende si affideranno alle capacità degli utenti di identificare gli attacchi phishing penetrati in azienda. Si assisterà a una più ampia adozione di attività di reporting sull’email in-client, che comprenderà l’automazione per evitare un utilizzo di risorse IT eccessivo.
  • Le aziende si focalizzeranno su formazione e training dedicati al phishing interno e alla compromissione degli account email, difficili da rilevare con sistemi automatici.