WEEKLY THREATS

Verso il 2020: scenari e previsioni sulle minacce cibernetiche

31 Dicembre 2019

Il 2019 sta giungendo al termine ed è nuovamente tempo di previsioni. Come già fatto lo scorso anno,  ecco quello che possiamo aspettarci dal 2020 secondo quanto pronosticato dal Cyber Intelligence Operation Center (CIOC) di TS-WAY.

Advanced Persistent Threats

A livello più strategico si prevede ancora una crescita numerica sostanziale di avversari di tipo State-Sponsored sulla scena, prevalentemente con focalizzazione in attività di CNE (Computer Network Exploitation). Lo sviluppo delle capacità offensive di diverse nazioni, anche non particolarmente sviluppate sotto il profilo tecnologico, si è già iniziato a percepire pubblicamente nel 2019. Considerando che molte di queste si appresteranno ad uscire dalla fase di IOC (Initial Operation Capability) per entrare in quella di FOC (Full Operation Capability), ci si può aspettare di osservare in modo ancora più dirompente nuovi avversari sulla scena internazionale a partire dal secondo semestre del 2020.

Globalmente ci si aspetta un notevole miglioramento delle capacità di OPSEC (OPeration SECurity) degli avversari. Complice sia la politica di marketing di alcuni vendor, che la visibilità ambita da ricercatori più o meno indipendenti, concretizzata con blogpost e tweet rilasciati pubblicamente, si prevede  un cambio di marcia da parte degli avversari con azioni che andranno, di tanto in tanto, ad incidere negativamente sulle attività a medio-lungo termine dei gruppi di difesa cibernetica.

A livello più prettamente tecnico gli avversari strutturati incrementeranno ancora l’utilizzo di framework post-intrusione opensource e continueranno a prediligere l’utilizzo di impianti malware fileless non necessariamente dotati di punti di persistenza.

In associazione a questa caratteristica ci si aspetta di continuare ad osservare un uso costante di strumenti software leciti (o opportunamente modificati) per finalità malevole sia per quanto concerne le attività di movimento laterale che per quanto riguarda impianti malware persistenti di ultimo stage.

Con la finalità di sorpassare le tecnologie di detection basate sulla reputazione di nomi a dominio e IP, gli avversari continueranno ad incrementare le proprie attività di compromissione di spazi web leciti che verranno utilizzati per attività di proxy. Rimane confermato anche l’incremento di tecniche di cloud-fronting.

Ulteriore incremento importante previsto è  relativo all’uso di malware implant che comunicheranno con i sistemi di C2 (Comando e Controllo) attraverso le nuove e vecchie declinazioni del protocollo DNS.

Si continuerà a osservare, infine, un costante utilizzo di strumenti open source di tipo offensivo realizzati per attività di Red Teaming anche in operazioni di CNE (Computer Network Exploitation) e CNA (Computer Network Attack).

Cyber Crime

Crescita importante sarà da registrare per gli attacchi di tipo estorsivo con campagne malevole più o meno opportunistiche in prima fase ma capaci di tramutarsi in “targettizzate” post incursione del target. Ci si aspetta infatti che l’installazione di ransomware avvenga sempre più spesso in modo strategico e che sia sempre più la fase finale di una esfiltrazione importante di dati a possibile garanzia del pagamento in criptovaluta. Pena la pubblicazione online degli stessi.

Si conferma una crescente attenzione verso gli IOT: si prevede tuttavia un trend di impatto costante per le sole tecnologie a basso costo o stand-alone che avranno necessità di una esposizione diretta sulla rete internet (no nat). Le altre tecnologie, facenti uso di servizi cloud centralizzati per la propria gestione, al contrario risulteranno decisamente meno scalfite da attacchi della criminalità cibernetica organizzata.

In crescita è prevista la ”targettizzazione” di personale aziendale e della pubblica amministrazione con funzioni amministrative, legali e direzionali. La “targettizzazione“ continuerà sia attraverso campagne più o meno opportunistiche mirate all’installazione di  malware di tipo bancario, per la sottrazione di credenziali e sessioni a sistemi di internet banking ed in generale di pagamento online, che attraverso le classiche campagne di furto credenziali che verranno utilizzate per operazioni specifiche.

Hacktivism

Crescita di attacchi prevista anche per gli avversari di tipo hacktivista che continuano a non demordere con nuove incursioni a supporto delle proprie battaglie. Ci si aspetta di osservare, come nel passato, attacchi frontali specialmente diretti ad applicazioni web: sia attraverso lo sfruttamento di vulnerabilità “SQL Injection” su portali custom che attraverso lo sfruttamento di vulnerabilità note su CMS (Content Management System) non adeguatamente aggiornati e gestiti.

Conclusioni
Il 2020 continuerà ad essere un anno sfidante e la sicurezza cibernetica assumerà sempre di più un ruolo chiave anche verso le posizioni di top management. La non completa efficacia degli strumenti di protezione e la continua evoluzioni degli avversari cibeneretici richiederà sempre di più alle organizzazioni un mutamento nell’approccio operativo e strategico per la propria protezione.

TS-WAY è al fianco dei propri clienti per fornire servizi di:

Sicurezza Offensiva finalizzati a verificare i propri sistemi di sicurezza a livello preventivo simulando attacchi cibernetici reali;

Cyber Threat Intelligence finalizzata a fornire informazioni utili ai decisori (CSO e CISO) e ad i team operativi (SOC e CERT) attraverso la messa a disposizione di actionable intelligence per apparati di detection già presenti presso le organizzazioni con la finalità di migliorare le capacità di identificazione, attribuzione e contestualizzazione di minacce cibernetiche;

Threat Hunting ed Incident Response per fornire supporto operativo finalizzato all’individuazione di infezioni APT attive o, in caso di incidente informatico già all’attivo, gestire la situazione di crisi investigando le violazioni con la finalità di riportare il tutto alla normalità.

 

[post_tags]