Fin dalla nascita Yoroi (Gruppo Tinexta) si è occupata di difendere gli asset informatici di tante piccole e grandi aziende nazionali, dal food al luxury, dalle banche alle telecomunicazioni, offrendo una protezione dinamica ai propri clienti e trasformando questa attività in una costante azione di intelligence economica orientata al digitale.

Da questo osservatorio privilegiato abbiamo lavorato sia a prevenire che a mitigare attacchi informatici sempre più frequenti e diversificati verso il tessuto produttivo. L’insegnamento che ne abbiamo ricavato è che nessuno è veramente al sicuro se non utilizza sistemi progettati per ridurre il rischio e rendere sempre più costoso agli attaccanti perseguire i loro piani criminali. 

Se negli anni passati i rischi erano per lo più legati ad attacchi alla singola persona, con il phishing e le truffe Bec, abbiamo notato una rilevante tendenza ad attaccare direttamente i sistemi su cui si basano le attività produttive, organizzative e istituzionali di tante realtà con strumenti nuovi ed efficaci approfittando del contesto socio-economico di un mondo sempre più digitale e per questo sempre più fragile.

Il motivo è che infrastrutture e settori critici come sanità, trasporti, energia e produzione alimentare e farmaceutica sono oggi percepiti dai cyber-criminali come obiettivi altamente vulnerabili e lucrativi proprio per la loro capacità di interrompere servizi essenziali. Ma sarà lo smartworking una delle porte d’ingresso da essi privilegiate per prendere il controllo delle reti aziendali muovendosi lateralmente al loro interno.

Nel 2022 ci aspettiamo che i cybercriminali approfitteranno delle fragilità esasperate dalla pandemia, dello sviluppo e diffusione di nuove tecnologie come il Quantum computing e il Machine Learning, ma sappiamo anche che continueranno gli attacchi opportunistici alla supply chain di un’industria sempre più dipendente dal digitale.

Minacce alle supply chain

I casi di SolarWinds e Kaseya ce lo hanno insegnato, le supply chain saranno nel mirino di attacchi a doppia e tripla estorsione in ogni area geografica. Bloccare i sistemi critici di una vittima fino al pagamento di un riscatto, minacciare la pubblicizzazione della violazione e attaccare i clienti della vittima e i loro fornitori già appare essere la tendenza dell’anno entrante. E questo vale soprattutto per le aziende del comparto difesa e sicurezza a causa delle tensioni geopolitiche internazionali.

Il ransomware che ha devastato la sanità europea ha permesso di prosperare ai gruppi cybercriminali di lingua russa, e riteniamo che continuerà a diffondersi con un aumento del costo del riscatto e una riduzione dei tempi di attesa per i pagamenti sfruttando il forte timore per il danno reputazionale e le multe seguenti all’annuncio dei databreach in area europea dove vige la Gdpr.

I cybercriminali si concentreranno sui servizi esposti e sulla compromissioni dei server, ma gli attacchi saranno ancora più mirati verso gli endpoint collegati in smartworking. Le PMI saranno esposte agli attacchi di affiliati a servizi RaaS (Ransomware-as-a-Service) con una diretta conseguenza della crescita di Crime-as-a-Service (CaaS) considerata l’avvenuta trasformazione dei malware in vendita o affitto come una forma di commodification degli strumenti criminali da impiegare verso target minori.

Minacce IoT

Le informazioni associate all’IoT potranno servire a prendere il controllo di smart objects e gadget IoT per entrare nelle reti di uffici e aziende: Reti di tecnologia operativa (OT) e altri obiettivi non tradizionali sono oggi gli obiettivi di attaccanti finanziariamente motivati.

Anche per questo aumenteranno le minacce al cloud e la protezione dell’infrastruttura sarà di primaria importanza sia per le imprese che per i service provider. Di questo pericolo osserviamo avvisaglie quotidiane in particolare verso le piattaforme di maggiore importanza come quelle di Microsoft e Amazon.

Sfruttamento zero-day.

Nel 2022 la capacità di trasformare una vulnerabilità in un’arma verrà ridotta a poche ore o giorni, e gli exploit verranno realizzati prima dell’applicazione delle relative patch. I cybercriminali cercheranno di essere più veloci di analisti e aziende. Ugualmente si assisterà a un aumento dell’efficienza dei ransomware nella cifratura dei sistemi bersaglio. Anche per questo riteniamo che aumentino i soggetti che si dedicano attivamente al brokeraggio delle vulnerabilità trovate.

Il crimine informatico prenderà di mira lo spazio come hanno già osservato analisti internazionali, a causa della maggiore importanza delle connessioni Internet satellitari necessarie a supportare attività di fornitura a servizi critici di sedi remote, uffici delocalizzati, crociere e compagnie aeree. La potenziale superficie di attacco si espanderà ulteriormente man mano che le imprese aggiungeranno reti satellitari per collegare alle loro reti sistemi precedentemente fuori rete, come ad esempio i dispositivi OT remoti di reti di trasporto energetico. E questo vale anche le missioni e i lanci spaziali che sono destinate ad aumentare esponenzialmente.

Attacchi alle cryptovalute e al portafoglio digitale

Le aziende utilizzano sempre più i portafogli digitali come strumento di pagamento per le transazioni online e i malware saranno progettati per prendere di mira le credenziali memorizzate e i servizi di crypto-exchange. Allo stesso tempo aumenteranno le truffe dirette ai possessori di crypto-wallet attraverso email mirate e finti regali pubblicizzati nei social network.

Gli attacchi ai sistemi Linux-based aumenteranno sia per interferire con i sistemi di back-end dove essi sono molto diffusi, sia per creare Botnet Linux. Da segnalare che in questo periodo è tornata in azioni la botnet Mirai che nel 2016 causò il blocco dei Dyn Server con un DdoS devastante.

Lo sviluppo di computer quantistici per criminali politicamente motivati è l’anticamera alla loro weaponizzazione. Assisteremo a una sfida tra ricercatori istituzionali e criminali che si occuperanno della ricerca di bug, vulnerabilità e bypass sia nei sistemi di grandi aziende che nei dipartimenti di ricerca universitari. La potenza dei sistemi quantistici verrà utilizzata per infrangere la tradizionale crittografia con conseguenze potenzialmente gravi per la segretezza delle transazioni basate su di essa.

Obiettivi di Machine Learning (ML)

Non è da escludere il fatto che aumenteranno i tentativi di interferire con gli algoritmi di machine learning, in particolare quelli su sistemi esterni rivolti a Internet. Si tratta di una  categoria di minacce abbastanza grave, tanto che MITRE ha annunciato una nuova matrice di minacce chiamata ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), progettata per aiutare le organizzazioni a identificare e classificare attacchi contro i sistemi ML.

Mentre dovremo concentrarci sulla ricerca e lo sviluppo di nuovi sistemi di difesa dagli attacchi informatici, favorendo un approccio trustless e fondato sulla security by-design, sarà importante un’efficace informazione sui rischi che tutti corriamo ricordandoci che la prima linea di difesa è una password, ma anche che nella loro trincea i difensori non possono distrarsi neppure per un momento e vanno adeguatamente equipaggiati e motivati per fronteggiare i rischi del prossimo futuro.