Infiltrare, adattarsi, replicarsi: uno sguardo al panorama del malware futuro
Cosa pensereste se vi dicessi che gli attacchi malware diminuiscono, ma le varianti di malware sono in aumento? Secondo il Rapporto SonicWall 2021 sul Cybercrime, gli attacchi malware sono diminuiti rispetto al picco di tre anni fa, mostrando un calo complessivo del 43% nel 2020. Sebbene questa possa sembrare una buona notizia, in realtà SonicWall ha rilevato un aumento del 73% di ceppi malware nuovi e aggiornati che non sarebbero stati scoperti dai tradizionali strumenti di difesa basati su definizioni statiche.
Per come stanno le cose, ci aspettiamo che questo trend proseguirà nel prossimo futuro. Ma perché sta succedendo tutto ciò e cosa significa? Penso che il panorama delle minacce sia attualmente così attivo a causa di molti nuovi attori e di un’accelerazione dei tempi di sviluppo.
Nuovi attori
Durante le ricerche per il mio intervento alla prossima RSA Conference su come le generazioni più giovani stiano imparando le tecniche di hacking, ho scoperto che la serie televisiva Mr. Robot ha ispirato molte persone a cimentarsi in questo campo. Questi giovani si avvicinano all’argomento in giovane età e dispongono di maggiori risorse rispetto alle generazioni precedenti. Ci sono molti luoghi sicuri in cui possono mettere alla prova le loro abilità, come ad esempio la piattaforma “Hack the Box”, ma con il passare del tempo desiderano verificare nuove competenze su aziende reali. Quelli più responsabili si limitano a eseguire test di penetrazione, mentre altri passano allo sviluppo di malware e di attacchi.
Quasi tutti i nuovi aspiranti hacker cercano di costruire qualcosa e vedere cosa riescono a ottenere superando le nostre difese. Quasi tutti coloro che ho intervistato nell’ultimo anno si dedicano al ransomware, il che potrebbe spiegare l’aumento del 62% in questo tipo di malware rilevato da SonicWall nel 2020. I ceppi di malware che stanno creando questi giovani sono molto avanzati, e questo mi preoccupa. Da semplici appassionati di una serie TV, stanno diventando veri e propri criminali informatici. Nel caso di Hildacrypt, sono passati dall’elaborazione di una propria versione di Petya alla creazione di un ceppo, seguendo le tattiche del gruppo che ha sviluppato il ransomware SamSam.
Sviluppo più rapido
Altre bande di persone si uniscono ad altri autori di attacchi per creare ransomware e altre forme di malware con moduli diversi (ad es. bootloader dannosi, runner, decripter, ecc.) e metterli alla prova su siti reali. Dopo una serie di attacchi, controllano su VirusTotal se qualcuno ha identificato il loro ceppo. Una volta scoperta la minaccia, modificano il codice per assicurarsi che tutti i file utilizzati abbiano un hash differente (l’hashing di un file è il modo in cui un computer identifica un file). Oltre a ciò, migliorano le prestazioni di un ceppo per renderlo più efficace.
A questo punto viene lanciato il nuovo attacco, e il ciclo si ripete. Ad esempio, WannaCry è stato diffuso in numerose versioni nelle prime settimane degli attacchi iniziali. Sebbene VirusTotal non sia la soluzione migliore in assoluto per il rilevamento del malware, è sicuramente la più importante, per cui gli aggressori verificano spesso se i loro ceppi sono stati registrati, il che avviene di norma dopo un paio di giorni. Con queste informazioni possono integrare nuove tattiche di evasione in base all’ordine con cui sono state scoperte le minacce, creando nuove versioni 2, 3, 4, ecc.
Nel corso del tempo, questi sviluppatori di malware passano da un progetto all’altro, sfruttando le proprie competenze e l’esperienza acquisita per sviluppare nuove varietà di malware con un nuovo gruppo. E quando sono in difficoltà a creare un modulo in proprio o a risolvere un problema, possono rivolgersi a un mercato attivo ed economico, con tanto di assistenza tecnica per aiutarli a risolvere eventuali problemi. Oggi, grazie alle criptovalute, è più semplice ottenere il pagamento di un riscatto da ransomware e poi pagare per l’assistenza ricevuta nello sviluppo del codice. Per questi motivi è prevedibile che nel futuro prossimo sempre più persone si dedicheranno allo sviluppo di malware, con molte nuove varianti all’orizzonte.
Bloccare il malware del futuro
Le minacce persistenti avanzate esistevano già molto prima del ransomware. Un altro problema scottante, ora come in passato, è quello dell’esfiltrazione di dati da fonti aziendali. Ho sempre affermato che il modo migliore per valutare il budget per la sicurezza IT è chiedersi: “Qual è il valore dei miei dati per un eventuale aggressore?”. Molti di noi proteggono eccessivamente dati che sono di scarsa utilità per un aggressore, lasciando però alcuni dati essenziali meno protetti perché secondo noi sono meno importanti. I dati e la proprietà intellettuale dei nostri clienti sono due delle cose che in genere proteggiamo per prime.
Quando elaboriamo un piano per aggiornare la protezione di rete dei clienti, di solito iniziamo dalla rete, poi esaminiamo le connessioni, quindi l’endpoint stesso e infine il suo percorso verso il cloud.
Senza entrare nei dettagli più tecnici, di solito iniziamo con l’ispezione del traffico che entra nella rete. Considerando che oggi il 70% delle sessioni sono crittografate, esaminiamo accuratamente anche questo tipo di traffico. Dopodiché ispezioniamo il traffico alla ricerca di malware sconosciuti, non ancora rilevabili da un firewall tradizionale di nuova generazione. Le soluzioni di sandboxing sono disponibili dal 2011 e si sono molto evolute, permettendo di cercare il malware su più motori tra cui la memoria del sistema, in quanto è proprio qui che molti attacchi (ad es. fileless) tentano di far perdere le proprie tracce, rimanendo ignoti e inosservati dal software di sicurezza.
Ci credereste al fatto che i clienti che utilizzano Capture ATP con Real-Time Deep Memory Inspection (RTDMI) rilevano da 1.400 a 1.600 nuove forme di malware ogni giorno lavorativo, molte delle quali con numerose tattiche di evasione?
SonicWall si occupa di sicurezza IT da ormai 30 anni, e in questi anni abbiamo visto di tutto. Ci siamo evoluti da semplice azienda di firewall a impresa con una vera e propria piattaforma di sicurezza. Come saprete, abbiamo bloccato WannaCry sulle reti dei nostri clienti tre settimane prima che venisse notato il primo attacco più grave. Abbiamo scoperto e dato un nome a diversi nuovi ceppi nel corso della nostra ricerca, e continuiamo a sviluppare nuove e migliori tecnologie per aiutarvi a scoprire e bloccare attacchi sconosciuti, zero-day e nuove varianti nella vostra rete.
APT, la minaccia silenziosa
Per maggiori informazioni, vi invito a partecipare al nostro webcast del 16 giugno dal titolo Mindhunter #5: APT – La minaccia silenziosa, presentato da Luca Pesce, esperto di cybersecurity di SonicWall.