Elettronica Plus

L’evoluzione del malware vista da Palo Alto NetworksERT

Unit 42, il threat intelligence team di Palo Alto Networks, ha pubblicato il secondo volume del suo Network Threat Trends Research Report in cui sono evidenziati i principali trend che impattano sulla cybersecurity: in primo piano l’uso dell’intelligenza artificiale, attacchi alle reti OT, sfruttamento di email e vulnerabilità.

Il report rileva inoltre che, sebbene i criminali informatici non utilizzino ancora ampiamente l’Intelligenza Artificiale generativa per creare attacchi informatici, si è registrato un aumento degli attacchi rivolti specificamente alle piattaforme di tecnologia operativa (OT).

Il successo dell’intelligenza artificiale porta con sé anche rischi di truffe

Dal report emerge come anche le tecniche di malware tradizionali stiano sfruttando sempre più l’interesse per ChatGPT e altri programmi di intelligenza artificiale generativa, con un incremento del 910% delle registrazioni mensili di domini, pericolosi e non, legati a questo tool, tra novembre 2022 e aprile 2023. I ricercatori hanno osservato negli ultimi mesi anche un aumento incredibile dei tentativi di imitazione dell’interfaccia di ChatGPT attraverso domini abusivi – nomi di siti web deliberatamente creati per essere simili a quelli di marchi o prodotti popolari, al fine di ingannare le persone.

La popolarità di ChatGPT ha portato anche alla comparsa di grayware correlati, ovvero software che si collocano a metà strada tra il malevolo e il benigno, categoria che comprende adware, spyware e programmi potenzialmente indesiderati. Il grayware potrebbe non essere esplicitamente pericoloso, ma può causare comunque problemi o violare la privacy degli individui.

“I controlli di sicurezza che proteggono dagli attacchi tradizionali saranno un’importante prima linea di difesa contro gli attacchi legati all’intelligenza artificiale che si svilupperanno in futuro,” ha dichiarato Michele Lamartina, Country Manager di Palo Alto Networks Italia. “Senza dubbio i criminali informatici stanno studiando come sfruttarla per le loro attività pericolose, ma per ora il semplice social engineering è sufficiente per ingannare le potenziali vittime. Le organizzazioni devono quindi adottare una visione olistica del loro ambiente di sicurezza per fornire una supervisione completa della rete e garantire che le best practice di sicurezza siano seguite a ogni livello dell’organizzazione.”

Aumentano le minacce informatiche rivolte alle tecnologie operative (OT)

I sistemi di controllo industriale (ICS), i sistemi di controllo di supervisione e acquisizione dati (SCADA) e altri sistemi di tecnologia operativa (OT) possono essere obiettivi di alto valore per i cybercriminali. Sono utilizzati in settori che presentano infrastrutture critiche come quello energetico, dei trasporti, manifatturiero e sanitario, in cui qualsiasi interruzione potrebbe avere gravi conseguenze per la sicurezza pubblica, l’ambiente e l’economia.

Questi settori devono affrontare un’ampia gamma di minacce alla sicurezza, tra cui malware, ransomware, attacchi fisici, attacchi alla catena di approvvigionamento ed exploit di vulnerabilità. Quando i cybercriminali hanno successo, possono causare perdite di produzione, danni alle apparecchiature, ambientali e persino mettere in pericolo l’incolumità delle singole persone.

In questi settori, tra il 2021 e il 2022, Unit 42 ha rilevato che il numero medio di attacchi subìti per cliente nel settore manifatturiero, utility ed energia è aumentato del 238% e nell’ultimo anno, vi sono state fluttuazioni stagionali e un aumento del 27,5% delle minacce informatiche rivolte a questi settori, su tutte le sessioni di rete. Per mitigare questi rischi, è essenziale che le organizzazioni implementino misure di sicurezza complete che coprano tutti gli aspetti dei loro sistemi OT, cosa che richiede valutazioni regolari dei rischi, test di vulnerabilità e formazione sulla sicurezza per tutti gli stakeholder coinvolti, adottando un approccio olistico e proattivo alla sicurezza OT.

“Gli attori oggi adattano continuamente le loro tattiche per infiltrarsi nelle reti interconnesse. Con un’astuta miscela di strumenti di evasione e metodi di camuffamento, i cybercriminali hanno armato le proprie minacce,” ha sottolineato Umberto Pirovano, Senior Manager, Systems Engineering di Palo Alto Networks. “L’approccio Zero Trust consente una micro-segmentazione granulare dell’infrastruttura OT e IT unificata, permettendo l’applicazione di policy basate sulla sensibilità degli asset, oltre a visibilità e controllo di utenti e applicazioni. Questo riduce drasticamente le dimensioni della superficie delle minacce, molto prima che entrino in gioco le soluzioni antimalware avanzate. In combinazione con la scansione automatizzata continua delle minacce note e sconosciute, i rischi associati all’unificazione OT/IT vengono ridotti in modo massiccio, aprendo la strada alle iniziative di Industria 4.0.”

Incrementano gli exploit delle vulnerabilità

Lo scorso anno, Unit 42 ha registrato un aumento del 55% dei tentativi di sfruttamento delle vulnerabilità per cliente, in media, di cui la maggior parte può essere attribuita all’incremento dei tentativi di sfruttamento delle vulnerabilità della supply chain Log4j e Realtek. Inoltre, uno dei principali malware sulla piattaforma Linux, una variante di Mirai, si diffonde sfruttando le vulnerabilità recentemente scoperte all’interno di firewall, switch, router wireless e dispositivi Internet of things (IoT). Gli attaccanti sfruttano sia vulnerabilità note che zero-day, ma si continuano a rilevare vulnerabilità che utilizzano tecniche di esecuzione di codice remoto (RCE), anche risalenti a diversi anni fa.

I PDF allegati alle email vengono utilizzati come vettore di infezione iniziale

Le email con allegati PDF rimangono un vettore di attacco iniziale molto diffuso per distribuire malware, grazie al loro ampio utilizzo in azienda.

Secondo il report di Palo Alto Networks, i PDF sono la principale tipologia di allegato malevolo, utilizzato nel 66% dei casi in cui il malware è stato trasmesso via email. Questi file sono ampiamente utilizzati per la condivisione e la distribuzione di documenti su varie piattaforme e sono progettati per offrire grande compatibilità, il che significa che possono essere aperti e visualizzati su diversi browser, sistemi operativi e dispositivi. Questa versatilità li rende una scelta interessante per gli attori delle minacce, che possono colpire un’ampia gamma di potenziali vittime su varie piattaforme.
I PDF possono anche essere creati per ingannare gli utenti attraverso tecniche di social engineering. Gli attori delle minacce spesso utilizzano oggetti allettanti, immagini accattivanti o contenuti fuorvianti per indurre gli utenti ad aprire un file, che può contenere link di phishing, malware nascosto o tecniche di exploit.

Infrastrutture critiche e Linux tra i target dei cybercriminali

Unit 42 ha osservato un incremento del malware per Linux, con gli attaccanti che stanno cercando nuove opportunità nei workload cloud e nei dispositivi IoT in esecuzione su sistemi operativi simili a Unix. La crescente diffusione di questa famiglia di sistemi operativi tra i dispositivi mobili e smart potrebbe spiegare perché alcuni cybercriminali stanno rivolgendo lo sguardo verso i sistemi Linux.

Come evidenziato dal report, il malware diventa sempre più complesso e sfuggente con gli attori delle minacce che sono costantemente alla ricerca di nuovi modi per rendere i loro meccanismi di diffusione più efficaci e d’impatto. L’adozione di una visione olistica della sicurezza consente una supervisione completa di rete, endpoint e cloud (pubblico, ibrido o on-premise), accertandosi di utilizzare correttamente le funzionalità di protezione integrate in tutti i livelli del proprio ambiente di cloud ibrido (ad esempio, hardware, firmware, sistema operativo o software) e di proteggere i dati stessi a riposo, in movimento e in uso.