Furti di credenziali, malware, attacchi ransomware sono gli attacchi informatici più di tendenza del momento

Quali sono state le minacce informatiche più comuni quest’anno? La domanda, posta da Cisco Talos alla fine del mese di ottobre, mese dedicato alla cybersecurity^[1], ha dato vita a risposte per certi versi prevedibili. Se è vero che dall’inizio della pandemia sono aumentati rischi informatici e cyberattack, gli stessi sembrano conseguenza di alcune nuove abitudini digitali degli internauti e delle attività sempre più massivamente e più frequentemente svolte online in questi mesi, a conferma peraltro che la sicurezza digitale dei singoli e delle organizzazioni è perlopiù questione di educazione e consapevolezza.

Furto e compromissione di username e password sono (ancora) tra le minacce informatiche più comuni

Tra le minacce informatiche più comuni individuate da Cisco Talos anche quest’anno vi sono il furto e la compromissione delle credenziali. Username e password non sono mai state un meccanismo «particolarmente sicuro», ribadiscono dalla compagnia, ma con sempre più lavoratori in smart working e remote working il tema si è fatto prioritario – almeno quanto l’occasione ghiotta per i malintenzionati – in riferimento soprattutto a protezione e sicurezza degli endpoint che si collegano alle reti aziendali.

Mentre c’è chi come Microsoft sogna un futuro senza password, la proposta di Cisco Talos è di più immediata realizzazione e prevede l’utilizzo di sistemi per l’autenticazione a più fattori. Anche in questo caso e pure se si sono scelti fattori di protezione di natura biometrica ovviamente andrebbe tenuto conto che si è di fronte «a un processo di sicurezza a catena», come si legge nel comunicato stampa con i risultati dell’indagine sulle minacce informatiche più comuni degli ultimi mesi.

È quindi necessario che sia il dispositivo che legge l’impronta, se è questo il dato biometrico usato come credenziale, sia il software che la rileva, sia la connessione che trasmette l’autenticazione devono essere totalmente sicuri per scongiurare qualsiasi rischio informatico. Senza contare che, come alcuni esperimenti hanno provato, anche con una comune stampante 3D si può falsificare un’impronta digitale.

Perché rubare potenza di calcolo è l’attacco informatico più comune commesso da chi mina criptovalute

Cavalcando la recente popolarità delle criptovalute e la sempre maggiore penetrazione in casa e in ufficio di dispositivi intelligenti e Internet delle cose, quest’anno i criminali digitali sembrano essersi concentrati anche su malware di criptomining.

Per capire come funzionano, cosa hanno di diverso dai “semplici” malware e soprattutto che tipo di danno possono causare ai dispositivi della vittima serve far riferimento a come viene creata e messa in circolo una valuta digitale: il processo di mining, centrale per l’intero obiettivo e che serve per validare e registrare una criptovaluta nella blockchain , richiede una grandissima potenza di calcolo e può essere per questo molto costoso. Il malware di criptomining, così, di fatto “ruba”  potenza di calcolo al dispositivo target : lo fa lentamente, in maniera continuativa e spesso su un gran numero di dispositivi contemporaneamente, in modo che al danno provocato in sé si aggiunga la difficoltà di scovarlo a meno di non essere addetti ai lavori o tra quegli utenti più attenti alla propria sicurezza digitale.

L’appropriazione delle risorse dei sistemi compromessi è una modalità che, come messo in evidenza da Cisco Talos, somiglia da vicino a tecniche, come l’attacco DOS, molto in voga nel web 1.0.

Anche gli attacchi alla catena di valore sono tra i rischi informatici più comuni

Tra le minacce informatiche più comuni quest’anno vi sono anche gli attacchi alla supply chain , ossia attacchi informatici diretti perlopiù alle reti aziendali e in cui il malintenzionato sfrutta un’applicazione di terza parte o un anello secondario della catena di fornitura e le loro vulnerabilità per accedervi.

Attacchi di questo tipo sono detti in gergo APT, ossia advance permanent threat, proprio perché rappresentano per le aziende sempre più un pericolo costante da cui tutelarsi. Spesso coinvolgono un gran numero di aziende diverse e si diffondono in maniera esponenziale, anche perché più soggetti coinvolti significano per il criminale digitale più probabilità di ricevere il pagamento del riscatto. Per quanto più complicati, sono di gran lunga preferiti ai “semplici” ransomware perché non richiedono di cercare di volta in volta nuove vittime da colpire, ma possono essere contemporaneamente indirizzati a chiunque usi la stessa catena di valore.

L’esempio forse più noto anche tra i non addetti ai lavori di attacco alla supply chain è quello di REvil^[2], un ransomware diffuso a luglio 2021 tramite un software di monitoraggio e amministrazione di sistema di uso piuttosto comune: all’apparenza di un aggiornamento affidabile, come un normale ransomware ma con effetti decisamente più consistenti in portata, ha eseguito sui dispositivi vittime un codice dannoso.