È ormai diventata una tradizione tra le aziende di sicurezza informatica pubblicare una serie di previsioni per il prossimo anno. Mentre alcune aziende chiedono ai propri analisti di malware o ai propri amministratori delegati di pubblicare piccoli elenchi di previsioni, altre esagerare completamente con podcast e report di 100 pagine che sono solo poche pagine in meno di un libro completo.
Il blog sulla sicurezza Zero Day di ZDNet ha esaminato la maggior parte di questi rapporti e ne ha persino contattati alcuni ricercatori selezionati e ha compilato un elenco di previsioni che secondo noi hanno maggiori probabilità di verificarsi anno. Se gli utenti desiderano approfondire queste previsioni, ecco un elenco dei rapporti che abbiamo raccolto per questa galleria: McAfee, Forrester, RiskIQ, Kaspersky Lab [1, 2, 3], WatchGuard, Nuvias, FireEye, CyberArk, Punto di forza, Sophos, E Symantec.
Inoltre, abbiamo saltato le previsioni su APT, spionaggio informatico e guerra informatica, poiché abbiamo dedicato a articolo speciale per coloro.
"Il concetto di mining in-browser è stato quasi distrutto da un giorno all'altro da malintenzionati malintenzionati che sfruttavano Coinhive e altri servizi simili," Girolamo Segura, ha detto l'analista di malware di Malwarebytes ZDNet in un'intervista questa settimana.
"Mentre il 'cryptojacking' o il 'drive-by mining' hanno dominato il panorama delle minacce tra la fine del 2017 e l'inizio del 2018, sono passati in secondo piano per il resto del durante l'anno, con la notevole eccezione di alcune campagne alimentate da un gran numero di dispositivi IoT compromessi (ad esempio gli exploit MikroTik)", ha disse.
"Allo stato attuale, i profitti generati dal mining nel browser non sono più quelli di una volta, a causa del calo del valore delle criptovalute. La nostra telemetria mostra un forte calo del traffico correlato a Coinhive, sebbene uno dei suoi concorrenti, CoinIMP, abbia guadagnato terreno negli ultimi mesi.
"Per il 2019, possiamo aspettarci di vedere meno campagne in cui i sistemi di gestione dei contenuti vengono introdotti con minatori di monete, ma invece vediamo altre minacce web diventare più diffuse, in particolare i web skimmer."
I web skimmer, noti anche come attacchi Magecart, sono stati la minaccia più pericolosa del 2018. Questa minaccia non andrà da nessuna parte nel 2019, secondo Yonathan Klijnsma, Head Threat Researcher presso RiskIQ e autore di un ampio rapporto sui gruppi Magecart e le loro attività passate.
"Mi aspetto nuove varianti negli attacchi di web skimming", ha detto Klijnsma. "Mentre i dati di pagamento sono attualmente al centro dell'attenzione, poiché il web skimming può scremare qualsiasi informazione inserita in un sito web, I gruppi Magecart si espanderanno per scremare non solo i dati delle carte di credito, ma anche credenziali di accesso e altri dati sensibili informazione."
Le botnet possono significare molte cose, ma qui ci riferiamo esclusivamente alle botnet fatte di router e Internet di Dispositivi Things (IoT), che vengono attualmente utilizzati per attacchi DDoS, principalmente e ultimamente anche per proxying dannosi traffico. Secondo le previsioni, quest'ultima tendenza dovrebbe intensificarsi Ankit Anubhav, Principal Security Researcher presso la società di sicurezza IoT NewSky Security.
"Si prevede che le minacce IoT nel 2019 si muoveranno ulteriormente in direzioni diverse, come il cryptojacking o i proxy changer", ha detto Anubhav ZDNet. "Tuttavia Mirai e le sue varianti, utilizzate per gli attacchi DDoS, non scompariranno presto, poiché hanno la loro rilevanza e il loro mercato tra gli script kiddie."
Lo ha detto anche il ricercatore ZDNet che queste botnet smetteranno di infettare i dispositivi tramite attacchi Telnet e SSH che indovinano le password, poiché la scena dei router e dell’IoT ha raggiunto un punto di saturazione. Invece, l’esperto ritiene che la maggior parte delle botnet siano costruite utilizzando exploit di vulnerabilità.
"Un exploit in grado di infettare i dispositivi IoT verrà utilizzato non appena diventerà pubblico", ci ha detto Anubhav. "Inoltre, gli aggressori si trovano ora ad affrontare una maggiore attenzione da parte di una serie di whitehat che tracciano le botnet IoT. Quindi mi aspetto di vedere più tecniche per l’evasione degli honeypot o la crittografia del payload il prossimo anno."
Nonostante gli attacchi DDoS siano una minaccia piuttosto antica, le aziende hanno ancora difficoltà a proteggere le proprie risorse online da essi.
"Nuovi protocolli utilizzati in modo improprio per condurre attacchi DDoS" Troy Mursch di Bad Packets LLC ha detto ZDNet quando gli viene chiesto dove vede andare il panorama DDoS nel 2019. "Questo genere di cose è la 'frontiera' degli attacchi DDoS", ha aggiunto.
Mursch ha indicato a ZDNet il protocollo CoAP come la prossima grande novità sulla scena DDoS. Maggiori informazioni su questo protocollo in un articolo dedicato, Qui.
Ahh, ransomware, il nostro vecchio nemico. Dopo essere stato la "previsione" preferita da tutti negli ultimi anni, il ransomware sembra essere in lento declino, o almeno le principali campagne di distribuzione di massa.
In una email da Chester Wisniewski, principale ricercatore presso Sophos, l'esperto che ritiene che il ransomware diventi sempre più mirato e aggressore concentrandosi solo su obiettivi importanti, come aziende e agenzie governative, quelli che hanno maggiori probabilità di pagare il riscatto richieste.
"Gli autori del ransomware opportunistico operano in modo simile a un penetration tester nel modo in cui esplorano la rete, alla ricerca di vulnerabilità e punti di ingresso deboli. Tuttavia, a differenza dei penetration tester, i criminali informatici agiscono in base ai risultati ottenuti in modo metodico per infliggere il massimo danno. Monitorano le vittime, si muovono lateralmente attraverso la rete, manipolano i controlli interni e altro ancora," ha detto l'esperto ZDNet.
"Questo approccio incentrato sull'uomo si è rivelato vincente, con gli autori del ransomware SamSam che hanno raccolto 6,7 milioni di dollari nel corso di quasi tre anni. Altri criminali informatici ne hanno preso atto e nel 2019 assisteremo a un numero sempre maggiore di attacchi imitativi. In particolare, Matrix, che sembra essere costantemente approvato con le nuove versioni, e Ryuk, a cui è orientato le imprese e le grandi organizzazioni che hanno i fondi per pagare saranno tensioni a cui prestare attenzione", ha detto l'esperto noi.
Perché il settore della criminalità finanziaria, che si riferisce agli attacchi informatici al settore bancario, citerebbe massicciamente la frase di Kaspersky "Minacce informatiche alle istituzioni finanziarie 2019" rapporto che, a nostro avviso, è assolutamente da leggere e che ha presentato le previsioni più credibili e sensate. L'accuratezza di questo rapporto potrebbe avere qualcosa a che fare con il fatto che la società è spesso chiamata a indagare su questo tipo di rapine informatiche in banca, alcune delle quali sono diventati davvero selvaggi negli ultimi due anni.
- L'emergere di nuovi gruppi a causa della frammentazione di Cobalto/Carbnal e Fin7.
- Continuazione degli attacchi alla catena di fornitura: attacchi alle piccole imprese che forniscono i propri servizi a istituti finanziari in tutto il mondo.
- L’emergere di nuovi gruppi locali che attaccano le istituzioni finanziarie nella regione dell’Indo-Pakistan, del Sud-Est asiatico e dell’Europa centrale. Finora i gruppi si sono concentrati principalmente sullo spazio ex sovietico e sull’America Latina.
- I tradizionali gruppi di criminalità informatica che in passato si sono concentrati sul malware PoS si sposteranno verso gli skimmer web raccogliere i dati delle carte di pagamento dai negozi online è molto più semplice che creare e infettare vittime con PoS malware.
- Attacchi al mobile banking per gli utenti aziendali.
- Campagne avanzate di ingegneria sociale rivolte a operatori, segretari e altri dipendenti interni responsabili dei cavi. Gli aggressori utilizzeranno i dati provenienti da violazioni di dati trapelate pubblicamente.
I server cloud sono in grossi guai nel 2019. I server cloud sono lentamente diventati il bersaglio preferito dei trojan minerari di criptovaluta di sempre dall'inizio del 2018, ma nel 2019 è prevista un'esplosione degli attentati, secondo le previsioni contenute in quasi tutti i report che abbiamo letto. Il motivo è il mining di criptovalute, che rimarrà redditizio per i criminali nonostante il calo dei tassi di cambio delle criptovalute. Quando hai così tante risorse gratuite (di altre persone) a tua disposizione, non importa se il prezzo di Monero viene dimezzato.
Con il prima grande falla di sicurezza scoperto in Kubernetes questo mese, gli attacchi su vasta scala sono già iniziati e si prevede che si intensificheranno. Gli aggressori non si concentreranno solo su Kubernetes, ma anche su istanze Docker, server MongoDB, ElasticSearch, AWS, Azure e qualsiasi altro sistema con funzionalità cloud che non sia adeguatamente protetto.
In una email a ZDNet, Tim Jefferson, vicepresidente del cloud pubblico presso Barracuda Networks, ha affermato che i fornitori di servizi cloud hanno visto la scritta sul già muro, da qui il motivo per cui alcuni fornitori di servizi cloud hanno iniziato ad aggiungere funzionalità di sicurezza ai rispettivi Servizi. Ma il dirigente di Barracuda afferma che anche gli aggressori si adatteranno, nel 2019.
"I criminali informatici diventeranno anche più abili nell'utilizzare gli account compromessi in modi che saranno difficili da individuare. Invece di utilizzare una quantità enorme di nuove risorse per il cryptomining, che causa un notevole picco nell’utilizzo, stanno iniziando a utilizzare risorse già approvate e a rubare invece alcuni cicli da quelle, il che è più facile nascondere. Mi aspetto di vedere più attacchi del genere nel 2019", ci ha detto il dirigente.
Ma solo perché è un nuovo anno, ciò non significa che gli aggressori smetteranno di utilizzare le vecchie tecniche. Lo spam via e-mail rimarrà un evento quotidiano. Nessuno vede lo spam e-mail esplodere o diminuire, principalmente perché i numeri di spam e-mail sono agli stessi livelli da anni.
Ma ciò che gli esperti vedono è un aumento degli attacchi di ingegneria sociale via email, noti anche come BEC o Business Email Compromises.
"Vedremo tutti i tipi di tattiche di phishing e spear phishing sfruttate in attacchi mirati, ma non solo in particolare, ci aspettiamo di vedere più casi di frode del CEO o di compromissione della posta elettronica aziendale (BEC)", ha affermato FireEye nel suo rapporto di previsione. "Si prevede che il BEC aumenterà in modo significativo, quindi i dipendenti dovrebbero essere particolarmente vigili quando si tratta di e-mail provenienti da individui chiave nelle loro organizzazioni."
“Nel 2019, ci aspettiamo di vedere gli attori meno qualificati avere accesso a una migliore ingegneria sociale, strumenti migliori e obiettivi più ampi”, ha affermato FireEye nel suo rapporto sulle previsioni.
La valutazione dell'azienda arriva dopo che ogni giorno vengono rilasciati sempre più strumenti di hacking o da criminali che cercano di sabotare altre bande o rilasciati da ricercatori di sicurezza, come test di penetrazione utensili.
Questi strumenti sono stati adottati in maniera massiccia nel 2018 e sono pochissime le operazioni criminali che si affidano ancora a malware realizzati su misura. Negli ultimi due anni anche i gruppi nazionali hanno iniziato a spostarsi verso strumenti di hacking open source e nel 2019 gli esperti prevedono di farlo vediamo che hacker poco qualificati, esperti e hacker di stati-nazione utilizzano tutti gli stessi strumenti avanzati, rendendo quasi impossibile l'attribuzione degli attacchi impossibile.
Per quanto riguarda il Dark Web, qui le cose sono torbide, ma è il Dark Web, e lo sono sempre state.
Negli ultimi anni, le autorità hanno iniziato ad avere successo nel reprimere gli attori del Dark Web, indipendentemente dal fatto che lo fossero coinvolti in abusi sui minori, traffico di droga, vendita di armi o normali operazioni di criminalità informatica come vendita di dati, ransomware e pirateria informatica forum.
I grandi mercati del crimine informatico si sono spenti negli ultimi anni, soprattutto dopo che le autorità europee e statunitensi hanno represso i tre più grandi mercati del Dark Web lo scorso anno.
Nel 2019 vedremo una continuazione di quanto accaduto nel 2018, con operazioni di criminalità informatica nascoste in comunità chiuse e strettamente sorvegliate. Gli hacker hanno sempre nascosto i loro forum e mercati, ma dopo gli attacchi di AlphaBay, Hansa e RAMP, la segretezza e la paranoia che circondano questi portali sono aumentate considerevolmente.
La maggior parte delle operazioni dei criminali informatici sono state spostate su Telegram, Jabber/XMPP e altri client con funzionalità di crittografia alla fine del 2017 e, a causa di la continua attenzione delle forze dell’ordine sul Dark Web, continueranno a rimanere lì, con poche attività criminali informatiche svolte attraverso i siti del Dark Web.
Come ha sottolineato Ankit Anubhav qualche diapositiva fa, le tecniche di evasione sono tutte di gran moda in questo momento.
Prevedere che gli autori di malware aggiungeranno "tecniche di evasione" al codice sorgente del malware è... un po' pigro... ma non siamo gli esperti qui. Quando NewSky Security, McAfee, RiskIQ e FireEye prevedono che le "tecniche di evasione" saranno popolari nel 2019, non si limitano a inviare una previsione. Rendere il malware invisibile agli antivirus è sempre stata una delle principali preoccupazioni degli autori di malware, ma ora più che mai i criminali informatici sembrano essere interessati a queste tecniche.
Negli ultimi anni, queste "tecniche di evasione" sono state piccoli componenti malware che effettuano alcuni controlli intelligenti per rilevare ambienti sandbox. Ma nel 2019, le aziende di sicurezza informatica vedono le “tecniche di evasione” passare a un altro livello.
"Pensate che l'industria anti-AV sia pervasiva adesso? Questo è solo l'inizio", ha affermato McAfee nel suo rapporto sulle previsioni. "Prevediamo nel 2019, grazie alla facilità con cui i criminali possono ora esternalizzare componenti chiave dei loro sistemi attacchi, le tecniche di evasione diventeranno più agili grazie all'applicazione dell'artificiale intelligenza."
La stessa cosa riecheggia anche nel rapporto sulle previsioni di FireEye e nel rapporto di RiskIQ, dove il CTO Adam Hunt afferma che "anche gli autori delle minacce utilizzeranno l'apprendimento automatico" e non solo la sicurezza informatica industria.
Queste previsioni non sono una sorpresa, poiché i prodotti di sicurezza basati sull’apprendimento automatico stanno spuntando a destra e a manca. Non è uno sforzo di immaginazione sentire che gli autori di malware stanno esplorando anche l'apprendimento automatico e l'intelligenza artificiale alla ricerca di metodi per eludere la concorrenza.
I kit di exploit sono applicazioni basate sul Web che reindirizzano gli utenti a siti dannosi in cui tentano di sfruttare una vulnerabilità del browser per infettare l'utente con malware. I kit di exploit sono sul letto di morte dal 2015-2016, ma hanno continuato a trascinarsi dietro, anche se negli ultimi anni hanno fatto molte meno vittime. Il motivo è che i browser sono diventati molto più difficili da hackerare, a causa degli investimenti dei produttori di browser nei bug programmi di ricompensa, ma anche perché la quota di mercato dei browser più vecchi e vulnerabili è quasi morta fuori.
Nel 2019, un ricercatore di sicurezza ha detto a ZDNet che vede i gruppi di criminalità informatica rinunciare del tutto agli exploit kit. Il ricercatore afferma che l'infrastruttura dietro questi kit di exploit, i server che reindirizzano il traffico attraverso innumerevoli domini Internet, continueranno a vivere come servizi separati. Gli ex sviluppatori di kit di exploit concentreranno le loro energie principali sul miglioramento di questa infrastruttura e sull'affitto ad altri criminali.
A meno che qualcuno (bianco, grigio o cappello nero) non rilasci un exploit gratuito sul mercato, il ricercatore non vede gli sviluppatori di kit di exploit lavorare per inventare nuovi exploit, ma ritiene piuttosto che questi autori di minacce si concentrino sull'hacking di siti legittimi per sottrarre loro traffico o ospitare script di reindirizzamento dannosi (come parte della loro distribuzione del traffico sistemi).
"Malvertising continuerà a diventare più sofisticato nel 2019", ha detto a ZDNet in una e-mail Jerome Dangu, co-fondatore e CTO di Confiant, "concentrandosi fortemente sull'evasione/offuscamento per colpire un'ampia base di utenti, con tecniche come la steganografia e sfruttando protocolli come WebRTC e WebSocket."
"L'industria pubblicitaria ha un piano chiaro per frenare i 'reindirizzamenti forzati', ma la sua attuazione non è riuscita più difficile del previsto. Aspettatevi che gli aggressori continuino a innovare."
Si verificheranno violazioni e fughe di dati. Non è questione di quando, ma di come.
Negli ultimi tre-quattro anni si sono verificate fughe di dati principalmente a causa di aziende che hanno lasciato i server MongoDB o AWS esposti su Internet senza password. Ma negli ultimi anni le aziende hanno imparato dai propri errori e il numero di server esposti è leggermente diminuito, anche se non fino a zero.
Ma secondo le conversazioni ZDNet avuto con gli esperti di Hacken Proof e Risk Based Security nel corso dell'ultimo anno, ElasticSearch sarà la tecnologia al centro della maggior parte delle fughe di dati nel prossimo anno.
Sebbene alcune violazioni dei dati si verifichino dopo attacchi hacker orchestrati, un gran numero si verificherà anche perché qualcuno ha dimenticato di impostare una password per un server. No, non stiamo scherzando. Questo è in realtà un vero problema, per quanto stupido possa sembrare. I server, lasciati esposti su Internet senza password, accidentalmente o intenzionalmente, affliggeranno il 2019 proprio come hanno fatto nel 2018, nel 2017 e in tutti gli anni precedenti.