Il ransomware WannaCry non se ne è andato. È qui per rimanere sotto altra forma e in modo più evoluto. Anche nel 2018, infatti, il ransomware catalizzerà l’attenzione del mondo della sicurezza.
Parola di Trend Micro che nelle sue prediction per il 2018 assegna un posto in prima fila all’attacco che prevede l’estorsione digitale.
Con il Ransomware as a Service (RaaS), ancora offerto in forum clandestini come metodo sicuro per raccogliere i proventi dei riscatti, i cybercriminali sono sempre più attirati dal modello commerciale. E altri modelli di business potrebbero essere escogitati con la piena operatività della Gdpr.
“La nostra idea – spiega il country manager di Trend Micro Gastone Nencini – è che le vecchie tecniche d’attacco si evolveranno e potranno cambiare le modalità del riscatto. D’altronde abbiamo già visto qualcosa nel 2017 quando sono state bloccate le chiavi elettroniche di un albergo”. Muta la forma ma non la sostanza che blocca in tutto in parte l’attività di un’azienda in cambio di un riscatto.
Il ransomware e la Gdpr
Per quanto riguarda la Gdpr “i cybercriminali potrebbero prendere di mira i dati privati coperti dalla normativa e chiedere alla società di pagare una sorta di tassa di estorsione per evitare multe punitive fino al 4% del loro volume di affari annuali previste dalla normativa”.
Verranno associati alle società prezzi di riscatto che i cybecriminali potranno determinare attraverso informazioni finanziarie disponibili al pubblico ed elaborando le relative multe Gdpr massime che le società potrebbero dover corrispondere.
IoT settore a rischio
L’analisi della società specializzata nella sicurezza dice che i cybercriminali si sposteranno sui dispositivi IoT per creare proxy che celino la loro posizione e il traffico web. E di rente si è scoperto che la botnet IoT Reaper, basata sul codice Mirai, è stata usata per compromettere una serie di dispositivi, anche quelli di produttori diversi.
Sul mercato ci si aspetta l’arrivo di una messe di dispositivi IoT “per i quali non è stata prevista alcuna sicurezza sin dalla fase di progettazione“. Il rischio verrà aggravato dal fatto che applicare patch ai dispositivi IoT potrebbe non essere così semplice come con i pc. Basta che un dispositivo non protetto non venga corretto o aggiornato all’ultima versione perché diventi un punto di ingresso nella rete centrale. Dai droni agli altoparlanti wireless agli assistenti vocali c’è un mondo di dispositivi a rischio con possibili incidenti per i velivoli e possibilità che qualcuno sappia cosa succede in casa nostra. Senza contare i rischi del biohackeraggio, tramite dispositivi wearable e medici.
Business email and process compromiae
Per le aziende il Business email compromise visto che anche i cybercriminali utilizzano sempre dipiù intelligenza artificiale e machine learning per i loro attacchi e ci vogliono in media 181 giorni per scopre un attacco mirato alle aziende.
Accanto a questo ci sono i casi di Business process compromise che si traduce nell’intervento sui processi operativi di un’azienda. Come è successo al porto di Rotterdam dove qualcuno si è inserito nella piattaforma che governa il movimento delle merci e ha dato l’ok alla partenza di tre container che invece non erano ancora stati controllati. La mossa è stata sventata con il recupero di un importante quantitativo di droga.
Dalla Pec alle fake news
Oppure c’è stata anche la stampante che i dati da stampare. A video si scrive un IBAN e la stampante ne scrive un altro. E già che ci siamo, Nencini ricorda che la Pec con la quale adesso la PA comunicherà ai cittadini offre bassi livelli di sicurezza. “Sulla Pec – spiega – per legge non si può intervenire per cui anche avendo individuato il messaggio con codice malizioso (sulla Pec possono arrivare anche normali email) bisogna comunque consegnarla e subito dopo mandare un messaggio per avvisare del pericolo”. Solo che può essere troppo tardi e magari l’antispam vede arrivare due messaggi dallo stesso indirizzo in pochi secondi e blocca quello importante.
E poi ci sono le fake news che con le elezioni alle porte destano un filo di preoccupazione. In rete, aggiunge Nencini, è possibile utilizzare un servizio per rilanciare le fake news con spam automatizzato sui social media. Ma i ricercatori di Trend Micro, un gruppo sparso per il mondo che vigila sulle attività illegali locali, sta esaminando strumenti di manipolazione audio e video che consentano di creare immagini di repertorio dall’aspetto realistico per confondere ulteriormente la linea di separazione tra autentico e falso.
In quanto al machine learning Trend Micro ha scoperto che il ransomware Cerber utilizza un loader che alcune soluzioni machine learning non sono in grado di rilevare a causa del modo in cui il malware viene confezionato per non sembrare maligno. Si rivela particolarmente problematico per i software che utilizzano il machine learning in pre-esecuzione (che analizza i file senza esecuzione o emulazione) come nel caso del ransomware UIWIX (un copycat Wannacry) dove non esistono file che il machine learning in pre-esecuzione possa rilevare e bloccare.
Ultimo capitolo è quello dell’Industria 4.0. La rete di produzione potrebbe subire l’infiltrazione di attori maligni che hanno lo scopo di manipolare il sistema e causare interruzioni e danni operativi. Inoltre i dati di produzione che vengano direttamente (o indirettamente) passati tramite i sistemi di esecuzione della fabbricazione ad altri sistemi di pianificazione delle risorse di impresa corrono anch’essi il rischio di essere compromessi. Se un dato manipolato o un comando errato viene inviato a un sistema Erp, i macchinari saranno responsabili dei processi di sabotaggio prendendo decisioni errate come la spedizione di numeri non corretti di forniture, trasferimenti di denaro non previsti e persino sovraccarichi di sistema.
Il peggio potrebbe ancora arrivare.
