Ransomware mirati, Apt, attacchi di supply chain e deepfake nel 2024
Le tendenze di sicurezza degli ultimi 12 mesi e le previsioni di Kaspersky per l’anno nuovo, tra vecchie minacce e rischi emergenti legati alla GenAI.
Come sarà il 2024 della cybersicurezza? Prepariamoci a un anno di nuove e vecchie minacce informatiche, tra ransomware, attacchi mirati, banale (ma non sempre) phishing, ancora una volta attacchi di supply chain e anche, forse, una nuova ondata di disinformazione e truffe basate sull’intelligenza artificiale. Sono alcune delle previsioni di Kaspersky. Raggiungendo con le proprie soluzioni 400 milioni di utenti e 222mila aziende clienti, la società ha sicuramente un punto di osservazione privilegiato sul panorama cyber, a dispetto del contraccolpo (inevitabile) delle vicende geopolitiche che negli ultimi due anni hanno portato a guardare con un po’ di sospetto le società informatiche di nazionalità russa.
E questo argomento scomodo non è stato dribblato dal responsabile della filiale italiana, Cesare D’Angelo, general manager Italy & Mediterranean, nel corso di un incontro con la stampa specializzata. “Sapete tutti che cosa è successo in Italia, con i decreti dell’Acn”, ha detto D’Angelo, alludendo alle raccomandazioni emesse dell’Agenzia per la Cybersicurezza Nazionali, che nella primavera del 2022 ha sconsigliato agli enti pubblici l’utilizzo di software di aziende russe. “Inevitabilmente c’è stato un contraccolpo, soprattutto nel mercato della Pubblica Amministrazione, ma è interessante notare come nella vicina Spagna Kaspersky sia stata invece consigliata come soluzione sicura per gli enti pubblici”.
L’azienda, in ogni caso, ha saputo guardare avanti. “Molti dei provvedimenti emessi un anno e mezzo fa erano basati sul rischio politico ma anche sulla ipotetica impossibilità di un fornitore ad assicurare aggiornamenti ai clienti. Ora tutto quello che era stato paventato come rischio non si è verificato: non abbiamo evidenza di clienti che abbiano subito disservizi o attacchi gravi. Al contrario, altri che hanno cambiato fornitore in quel momento sono stati attaccati”.
L’anno scorso a livello corporate il fatturato è stato in linea con quello del 2021, che era stato un anno di crescita importante. “Questo ha permesso all’azienda di continuare a fare ricerca e sviluppo e di realizzare 500 assunzioni di persone con profilo tecnico”, ha proseguito il general manager italiano. “In Europa c’è stato ovviamente un contraccolpo, diverso però da zona a zona, mentre siamo cresciuti ovviamente in Russia ma anche in Medio Oriente”. Ora, ha spiegato D’Angelo, anche in Italia la situazione si sta normalizzando: “Ne abbiamo prova parlando con i nostri partner e clienti. L’anno scorso molti avevano cambiato l’approccio, passando da rinnovi pluriennali a rinnovi annuali. Ora ricominciamo a vedere molti clienti rinnovare la fornitura per tre o addirittura cinque anni”.
La filiale italiana di Kaspersky ha spento quest’anno la quindicesima candelina. L’attuale organizzazione conta circa 45 collaboratori, suddivisi tra la sede legale storica di Roma e quella operativa di Milano, che insieme coprono sia le funzioni commerciali di vendita e marketing, sia quelle tecniche di pre e post vendita. “È importante citarlo: questa organizzazione non è scontata per tutti i vendor che operano in questo mercato”, ha sottolineato D’Angelo. “Inoltre a Roma abbiamo aperto nel 2022 un Transparency Center, che è un po’ il pilastro della nostra strategia commerciale e comunicativa. Dal 2018 abbiamo fatto un investimento per renderci aperti e trasparenti verso il mercato”. I centri fungono da punto di incontro per clienti e partner interessati a conoscere più da vicino la tecnologia di Kaspersky. In alcuni Transparency Center (non quello di Roma) è anche possibile visionare il codice sorgente dei software.
Cesare D’Angelo, general manager Italy & Mediterranean di Kaspersky
TRA RANSOMWARE, APT E BOTNET
L’incontro con la stampa italiana è stata occasione per illustrare le tendenze osservate nel 2023 e le previsioni per il 2024. Quello appena trascorso è stato ancora una volta un anno di crescita numerica degli attacchi, con una media di 411mila nuovi malware intercettati quotidianamente dalle soluzioni di Kaspersky (+3% sul 2022).
Tra i fenomeni osservati, si è visto un forte aumento delle campagne di phishing che utilizzano file Pdf e dei ransomware mirati su infrastrutture critiche, come quelle del settore sanitario (per esempio l’attacco dello scorso ottobre all'Azienda Ospedaliera Universitaria Integrata di Verona). Inoltre è proseguito lo sfruttamento delle vulnerabilità non note in software ampiamente diffusi, cioè il cosiddetto exploit zero-day, una tecnica che solitamente genera impatti estesi: casi eclatanti hanno riguardato il servizio per l’invio di file MoveIt (oltre duemila aziende impattate), il portale per amministratori IT GoAnywhere (130 aziende) e PaperCut (programma di gestione delle stampe, la cui vulnerabilità è stata sfruttata per colpire istituti scolastici).
“Lo scenario dei gruppi ransomware visto dall’esterno sembra sempre lo stesso ma in realtà è attraversato da continue dinamiche”, ha spiegato Giampaolo Dedola, ricercatore di sicurezza senior del Global Research & Analysis Team di Kaspersky. “Vecchi gruppi scompaiono e ne compaiono di nuovi, magari fondati da membri fuoriusciti che decidono di mettersi in proprio”.
Inoltre quest’anno le dinamiche della geopolitica hanno influenzato lo scenario delle minacce persistenti avanzate (Apt), che hanno colpito soprattutto obiettivi strategici in Corea del Sud, Ucraina e Israele alcuni dei target. “Ci aspettiamo che la componente Apt sia in crescita anche l’anno prossimo, data la sua efficacia per le finalità geopolitiche di determinati attori”, ha proseguito Dedola. “Crediamo che gli obiettivi non saranno solo entità governative, difesa e infrastrutture critiche, ma anche i media. Le azioni saranno principalmente di spionaggio e sabotaggio”. Altra possibilità prefigurata da Kaspersky è il ritorno delle botnet sfruttate da attori Apt come proxy, centri di comando e veicolo di infezione.
Ci saranno nuovi sviluppi anche per il fenomeno degli attacchi di supply chain, che da un lato diventeranno sempre più “industrializzati” (cioè condotti da attori ben organizzati) e dall’altro colpiranno con maggior frequenza le piccole e medie imprese come obiettivo intermedio per raggiungere aziende più grandi. Un’ultima scommessa riguarda l’aumento del cosiddetto Bring You On Vulnerable Driver (Byovd): attacchi al kernel dei sistemi Windows realizzati con dispositivi Usb e certificati di firma rubati o contraffatti.
Giampaolo Dedola, ricercatore di sicurezza senior del Global Research & Analysis Team di Kaspersky
UTILITÀ E RISCHI DELL’AI GENERATIVA
L’intelligenza artificiale generativa merita un discorso a parte, se non altro per il clamore mediatico che attualmente circonda questo tema. Secondo una ricerca condotta da Censuswide per Kaspersky (intervistando tra settembre e ottobre 1863 dirigenti C-Level in Regno Unito, Francia, Germania, Spagna, Italia, Romania, Paesi Bassi e Grecia), la GenAI viene utilizzata in una qualche forma nel 97% delle aziende, soprattutto per attività di tipo ripetitivo, come la creazione di testi e immagini. “Il dato importante è che la metà degli intervistati è preoccupato del fatto che tramite l’uso di questi strumenti possano essere divulgati dati riservati aziendali”, ha evidenziato D’Angelo. “Tutti sostanzialmente ammettono che il tema è stato affrontato a livello di Cda ed è quindi percepito come strategico. Solo il 18%, tuttavia, ha intenzione di adottare nel medio periodo delle norme e dei regolamenti sull’uso dell’AI in azienda”.
Il 19% dei dirigenti è interessato all’uso dell’intelligenza artificiale per automatizzare i processi dell’IT e della cybersicurezza. “Siamo ovviamente molto coinvolti su questo tema”, ha detto D’Angelo. “Per noi un elemento cardine è la supervisione da parte delle persone, non lasceremo mai che le macchine facciano tutto in autonomia”.
Come noto, l’AI ha un ruolo ambivalente rispetto alla cybersicurezza, perché potenzia le soluzioni di difesa con capacità di automazione e riconoscimento di pattern, ma si presta anche a diventare uno strumento d’attacco. “L’AI è estremamente utile soprattutto nell’ambiente di difesa delle minacce”, ha spiegato Dedola. “La nostra azienda la utilizza come machine learning da quasi vent’anni e questo si è reso necessario vista la crescita della mole delle minacce: rileviamo 411mila nuovi malware al giorno”.
Per quanto riguarda i large language model e le applicazioni chatbot basate su di essi (come ChatGPT), Kaspersky identifica alcuni potenziali rischi. Innanzitutto, possono essere usati per impersonare soggetti reali all’interno di vari tipi di attacco e specie nelle frodi: particolarmente efficaci, per la forza persuasiva delle immagini, sono i video deepfake (come gli spot pubblicitari su YouTube in cui erano state ricreate le fattezze di Elon Musk per promuovere investimenti in criptovaluta, in realtà una truffa).
Similmente, i large language model possono essere usati per generare testi che veicolano disinformazione oppure tentativi di truffa e di phishing. Addirittura, già esistono luoghi della Rete in cui si trovano indicazioni su come poter sfruttare ChatGpt e Google Translate per attacchi di Business Email Compromise. L’AI può anche essere usata dagli attaccanti per ottenere informazioni, supporto tecnico o parti di codice: nonostante queste capacità siano ancora imperfette, già tornano utili soprattutto agli aspiranti cybercriminali poco esperti.
“Servizi come ChatGpt cercano di limitare questi abusi ma è possibile forzare il chatbot con prompt di jailbreak”, ha illustrato Dedola. “Inoltre si iniziano a vedere gruppi che utilizzano i modelli fondativi disponibili, li addestrano con dataset più ristretti e non impongono restrizioni sui prompt”.
Fabio Sammartino, head of presales di Kaspersky Italia
L’IMPORTANZA DELLA PREVENZIONE
In questo scenario complesso e in continuo divenire, la prevenzione del rischio è spesso sottovalutata. Dall’ultimo “Rapporto Clusit” risulta in Italia, nel 2022, una crescita del 130% degli attacchi registrati e denunciati. L’83% ha avuto un impatto elevato o critico.
“Questi dati suggeriscono che probabilmente le aziende fanno disclosure dell’attacco quando proprio non possono evitarlo”, ha osservato Fabio Sammartino, head of presales di Kaspersky Italia. “Inoltre spesso gli attacchi vengono intercettati quando sono in fase avanzata e hanno già fatto danni. Noi di Kaspersky cerchiamo di allargare lo spettro, proponendo servizi di threat intelligence che servono alle aziende innanzitutto per rimanere aggiornati, per comprendere come gli attacchi funzionino. Inoltre servono per essere proattivi, e questo è un elemento chiave: per gestire l’attuale scenario delle minacce bisogna uscire dalla logica della pura difesa reattiva. A volte chi attacca usa strumenti diversi dai malware e invisibili alle soluzioni di difesa reattiva. Inoltre la threat intelligence serve perché le aziende non hanno a disposizione risorse infinite e devono capire quali siano gli elementi più vulnerabili su cui intervenire”.
Tra i servizi in offerta per la threat intelligence, Kaspersky propone Digital Footprint Intelligence, che monitora quattro aree: il perimetro della rete (individuando servizi di rete mal configurati, vulnerabilità, risorse già compromesse), lo scenario malware, le minacce provenienti dal Dark Web (carte di credito rubate e account compromessi, messi in vendita, schemi di frondi e piani di criminali informatici) e i forum di data leak. I servizio viene proposto sia alle aziende utenti sia ai fornitori di servizi di sicurezza gestiti (Mssp), che fanno da intermediatori per portare questa soluzione alle aziende più piccole.
Una delle soluzioni di punta è Optimum Security Framework, che copre la protezione degli endpoint (Edr), le attività di formazione (Security Awareness), i servizi gestiti di monitoraggio e risposta (Mdr) e un portale di threat intelligence. Un’area ben presidiata da Kaspersky è, poi, la sicurezza delle industrie, che è un tasto dolente soprattutto nel nostro Paese.
Lo dicono i dati di Kaspersky sugli attacchi rivolti alle aziende che utilizzano sistemi di controllo industriale (Ics), come Scada, Manufacturing Execution System o altri. L’Italia è sesto posto in Europa per percentuale di computer con installati sistemi Ics su cui è stato rilevato un attacco, il 25%, dopo Macedonia del Nord, Grecia, Portogallo, Estonia, Malta e Spagna. “Nel settore manifatturiero molti software e protocolli sono rimasti gli stessi del passato, mentre la convergenza tra il mondo IT e l’OT ha creato nuovi rischi”, ha sottolineato Sammartino. “Il nostro consiglio è di utilizzare soluzioni specifiche per il mondo industriale: le reti OT non possono usare le soluzioni nate per l’IT”.