Panoramica

Ogni dicembre, i ricercatori di Proofpoint, una delle più grandi aziende di cybersecurity al mondo, nonché partner di Core Sistemi, esaminano le tendenze dell’anno precedente e predicono i cambiamenti nel panorama delle minacce che i difensori incontreranno nell’anno a venire. Quest’anno abbiamo iniziato a vedere i risultati della diffusa distribuzione di RAT e downloader, una significativa evoluzione degli attacchi impostori e attacchi sempre più sofisticati alle applicazioni cloud, tra le altre tendenze che aiutano a tracciare un quadro di ciò che possiamo aspettarci nel 2020.

In particolare, l’e-mail rimarrà il vettore di minaccia principale scelto dalla maggior parte degli hacker, portando avanti campagne di phishing, attacchi mirati con malware per stabilire un vantaggio all’interno delle organizzazioni e per la distribuzione capillare di trojan bancari, downloader, backdoor e altro.

Ultimo ma non meno importante, i sistemi di posta elettronica basati su cloud come Microsoft Office 365 e GSuite saranno essi stessi obiettivi chiave per gli attori delle minacce, fornendo piattaforme per attacchi futuri e movimenti laterali all’interno di organizzazioni mirate.

Ma vediamo più in analisi ogni singola parte di queste minacce.

Ransomware

Nonostante la sua quasi assenza come principale payload nelle e-mail dannose, il ransomware ha continuato a fare notizia nel corso del 2019, soprattutto nei cosiddetti “big game hunting attacks”. Questi tipi di attacchi, tuttavia, sono generalmente secondari a quelli con RAT, downloader e trojan bancari, rendendo la prevenzione delle infezioni iniziali critica per organizzazioni e difensori. Nel 2020, le organizzazioni scopriranno sempre più che, una volta vittime del ransomware, sono già state compromesse da una varietà versatile di malware che crea potenziali vulnerabilità future ed espone dati e proprietà intellettuale.

Complex infection chains

Nel 2019 i messaggi basati su URL sono stati i maggiori diffusori di malware. Mentre la maggior parte degli utenti cercava di evitare allegati da mittenti sconosciuti, purtroppo non sempre era possibile evitare di cliccare link contenenti, all’apparenza, documenti o cose non pericolose. Il 2020 vedrà aumenti nell’uso di URL shortener, sistemi di distribuzione del traffico e altri hop per nascondere i payload finali dai difensori e dai sistemi automatizzati.

Allo stesso tempo, le campagne continueranno ad aumentare di complessità e a migliorare gli hook di social engineering per indurre gli utenti a installare malware. Stiamo continuando a vedere le tattiche di BEC farsi strada nelle campagne di malware e phishing con attori delle minacce che utilizzano più punti di contatto come LinkedIn, il dirottamento dei thread e più e-mail benigne prima di consegnare un payload dannoso dopo aver stabilito un rapporto con la vittima. Allo stesso modo, il malware modulare progettato per scaricare funzionalità aggiuntive o malware post-infezione secondario continuerà la tendenza delle infezioni “silenziose” che gli attori possono sfruttare in un secondo momento.

Abuso di servizi legittimi

Allo stesso modo, gli attori delle minacce amplieranno il loro abuso di servizi legittimi per l’hosting e la distribuzione di campagne e-mail malevoli, malware e kit di phishing. Ad esempio, mentre l’uso dei collegamenti di Microsoft SharePoint per ospitare malware è comune da qualche tempo, stiamo iniziando a vederlo utilizzato per il phishing interno. Ad esempio, verrà utilizzato un account Office 365 compromesso per inviare un’e-mail di phishing interna collegata a un kit di phishing ospitato su SharePoint utilizzando un altro account compromesso. Pertanto, le vittime non verrebbero mai reindirizzate a un sito di phishing esterno e le e-mail sembreranno provenire da utenti legittimi. Questo tipo di attacco richiede solo un paio di account compromessi ed è difficile da rilevare, sia per gli utenti finali che per molti sistemi di sicurezza automatizzati. Prevediamo che questa tecnica diventerà più diffusa nel 2020 a causa della sua efficacia.

Allo stesso modo, l’abuso diffuso di altri servizi legittimi di hosting basati su cloud per la consegna di malware continuerà, sfruttando la nostra abitudine a fare clic sui collegamenti per i contenuti condivisi e l’impossibilità per la maggior parte delle organizzazioni di inserire nella blacklist servizi come Dropbox e Box.

Infine, abbiamo osservato livelli elevati di attività di malvertising associati al sistema di distribuzione del traffico Keitaro (TDS). Keitaro è un servizio legittimo con una vasta gamma di applicazioni, principalmente nella pubblicità sul web, ma è spesso abusato dagli attori della minaccia che cercano di indirizzare le vittime verso payloads specifici in base alla loro geografia o sistema operativo. Prevediamo che questa tattica si espanderà e continuerà nel 2020 sulla base delle statistiche del traffico nel 2020 e, ancora una volta, della difficoltà di inserire nella lista nera gli IP associati a questo tipo di servizio.

Resta aggiornato e segui la seconda parte dell’articolo, con tutte le minacce elencate nella ricerca Proofpoint, in uscita la prossima settimana cliccando qui.

Fonte: PROOFPOINT THREAT INSIGHT TEAM