In un mondo che cambia e si evolve a velocità elevatissima, e fa delle (nuove?) tecnologie un uso sempre più sfrenato e pervasivo, la minaccia è diventata ormai sistemica ed il suo livello cresce, sia sul piano qualitativo che su quello quantitativo, a ritmi ancora più impressionanti. E non poteva che essere così, dato che oramai i principali agenti di minaccia non sono più improvvisati dilettanti ma quasi esclusivamente entità ben strutturate, motivate, competenti e soprattutto dotate di ingenti mezzi, quali la criminalità organizzata transnazionale o gli apparati di intelligence e “special operations” di alcuni governi.
L’industrializzazione del cybercrime: il “crime as a service”
Il cybercrime è oramai un business consolidato, basato su una filiera ben rodata che parte dallo sviluppo della componente tecnica di attacco (affidato ad esperti specializzati) ed arriva alla monetizzazione dei proventi (spesso ottenuti in valute virtuali), per finire poi col riciclaggio del relativo denaro sporco (solitamente affidato ad organizzazioni di stampo tradizionale).
Il risultato forse più eclatante di questa progressiva industrializzazione del cybercrime è la creazione di un intero portafoglio di “servizi professionali” che vengono offerti dalle organizzazioni del settore a coloro che, non essendo criminali abituali, intendono tuttavia avvalersi di una collaborazione specialistica per poter rapidamente mettere in atto qualche attività lucrativa ma illegale. Si parla così di “Crime-as-a-service”, termine che comprende un portafoglio di offerta ampio e ben strutturato che va dallo sviluppo di malware su misura (compresi i ransomware-in-a-kit) alla veicolazione in outsourcing dei vettori di attacco mediante campagne di spam garantite in quanto basate su indirizzi affidabili, dalla conduzione di attacchi di tipo distributed-denial-of-service al mining abusivo di bitcoin sfruttando botnet composte da centinaia di migliaia di ignari computer altrui oppure infrastrutture di calcolo in cloud opportunamente compromesse.
Italia nella top 10 dei paesi con più server C&C
Non dovrebbero dunque destare particolare meraviglia, almeno agli analisti di settore, i recenti dati provenienti da diverse fonti di monitoraggio della minaccia i quali riportano, ad esempio, una crescita costante sia del numero di botnet che del numero dei server di Comando e Controllo (C&C), ossia le centrali di gestione delle botnet da cui i botmaster impartiscono i comandi e programmano le attività da far fare ai computer che le compongono. Segno che questo genere di attività sta crescendo, tanto per utilizzi diretti quanto per attività effettuate, per così dire, “in conto terzi”. Da notare, tra l’altro, che da poco l’Italia è entrata per la prima volta nell’elenco dei dieci Paesi con il maggior numero di server C&C, chiara indicazione di come questo tipo di attività sia oramai diffuso anche da noi.
Botnet legate a cloud e IoT in aumento
È anche interessante notare che le botnet in maggiore espansione sono oramai quelle legate ai servizi in cloud ed ai dispositivi ed agli oggetti della “Internet delle cose” (IoT). Questi ultimi infatti rappresentano le vittime ideali in quanto sono più vulnerabili e quindi facili da compromettere rispetto ai server tradizionali, e pur essendo dotati di capacità di calcolo relativamente scarse sono tuttavia estremamente numerosi e costituiscono quindi un “esercito” assai potente da mettere in campo. La riprova è il fatto che gli attacchi DDoS recentemente registrati sono assai più massicci di quelli comuni fino a qualche tempo fa, sia in termini di durata (addirittura diversi giorni) che di banda impiegata: e ciò grazie anche all’utilizzo di nuove tecniche di amplificazione dell’attacco, sviluppate in quanto quelle tradizionali (ad esempio quelle basate sul protocollo NTP) si stanno dimostrando sempre meno applicabili grazie alla progressiva diffusione di protocolli e sistemi privi delle vulnerabilità che consentivano di ottenere l’effetto di amplificazione.
In aumento le compromissioni dei servizi in cloud
Altro dato recentemente emerso da alcuni report specializzati è l’incremento del numero di compromissioni a carico di servizi in cloud: ne sono stati vittime sia Amazon Web Services che Google Cloud Platform, di solito mediante l’impiego di account fraudolenti. La potenza di calcolo illegalmente reperita in cloud dai criminali viene impiegata talvolta per governare botnet o sferrare attacchi DDoS, ma sempre più spesso per svolgere compiti specifici che richiedono grande capacità elaborativa, quali craccare password complesse e/o elenchi di password provenienti da leak, oppure “minare” Bitcoin. Oramai, infatti, non è più conveniente produrre Bitcoin in casa, dato che la spesa energetica necessaria per farlo rischia di essere superiore al guadagno ottenuto: è quindi assai frequente trovare centrali di produzione che operano interamente sulle spalle di sistemi di calcolo messi… gentilmente a disposizione delle organizzazioni illegali da parte di utenti inconsapevoli, i quali si fanno quindi involontariamente carico dei relativi costi.
Industria e sanità nel mirino
Su un altro fronte della minaccia, è necessario annoverare il fatto che di recente sono comparsi “in the wild” inediti strumenti di attacco specificamente sviluppare per colpire nuove, e più remunerative, classi di utenti. Qualche mese fa fu il caso dei sistemi di controllo industriale, verso cui agiva il malware denominato Industroyer grazie alla sua capacità di usare nativamente i relativi protocolli specializzati di comunicazione. Ora è il turno delle organizzazioni sanitarie, verso le quali è appena comparso un malware specificamente indirizzato ai sistemi di diagnostica medica.
Sanità vittima perfetta, ecco perché
In effetti da qualche tempo la sanità è diventata uno dei bersagli preferiti dei cybercriminali: gli attacchi verso aziende e strutture sanitarie sono in continuo aumento, ed il settore è del tutto impreparato ad affrontarli. Vedi infatti i principali problemi cyber security in Sanità.
Il motivo di questa escalation della minaccia è duplice: rispetto ad altri settori la sanità ha molto più da perdere ed è intrinsecamente assai più vulnerabile, quindi è la vittima perfetta. Ciò a sua volta dipende sostanzialmente da due fattori. Da un lato vi è il fatto che le infrastrutture ICT delle organizzazioni sanitarie non sono sempre allo stato dell’arte, e talvolta sono addirittura obsolete; ciò è vero specialmente per quanto riguarda i sistemi elettromedicali e quelli diagnostici quali i RIS-PACS, che sono ancora spesso basati su sistemi operativi non più supportati quali Windows XP. Dall’altro vi è la crescente tendenza, per ovvie esigenze, a mettere in rete questi sistemi, che fino a poco tempo fa erano essenzialmente stand-alone. Ciò espone alle minacce esterne anche sistemi critici che non dovrebbero essere facilmente raggiungibili da intrusi o da malware.
Nuove opportunità criminali grazie ai servizi digitali
Nel contempo, tuttavia, anche le vecchie tecniche criminali si aggiornano e rifioriscono sfruttando i vantaggi offerti dal mondo dei servizi digitali, i quali sono spesso governati ancora da processi amministrativi complicati e obsoleti dove il ruolo degli operatori umani è ancora preponderante. E così, sfruttando magari consolidate tecniche di social engineering applicate in modo originale e creativo ai nuovi contesti, il mondo della criminalità trova costantemente nuove opportunità ed inediti spazi di manovra. È il caso ad esempio della colossale truffa, venuta alla luce proprio nelle ultime ore, grazie alla quale un’organizzazione criminale del nostro Paese è stata in grado di instaurare un esteso sistema di truffa al sistema bancario basato sul principio del “man-in-the-middle”. Sfruttando alcune debolezze organizzative del sistema della posta certificata, i truffatori erano riusciti a far attivare fraudolentemente delle reali caselle di PEC apparentemente intestate ad alcune banche operanti on-line: sfruttando tali caselle si interponevano sistematicamente fra le banche ed i loro correntisti, ed in tal modo sono riusciti a sviare diversi milioni di euro dai conti dei legittimi proprietari.
Fattore umano e complessità organizzativa
Quest’ultimo caso, in particolare, deve farci riflettere parecchio sul fatto che i metodi tradizionali di truffa risultano ancora efficaci nel mondo digitale, e trovano anzi nuove possibilità di applicazione in rete sfruttando non tanto le vulnerabilità tecnologiche dei sistemi ma anche e soprattutto quelle organizzative e di processo delle organizzazioni, maggiormente legate agli aspetti comportamentali e procedurali. Per la difesa e la prevenzione contro tali rischi non dobbiamo quindi affidarci solo alla tecnologia, abbassando così la guardia sulla minaccia crescente del social engineering; è invece necessario considerare sempre anche gli aspetti più legati al fattore umano ed alle complessità organizzative, che inevitabilmente caratterizzano la nostra società non ancora del tutto digitale e costituiscono i principali punti di debolezza del sistema.