NewsSicurezza

Proofpoint: come cambia e si evolve l’ecosistema del cybercrime

Joe Wise, Selena Larson e il threat research team di Proofpoint analizzano le più recenti evoluzioni nel comportamento dei cybercriminali

Sulla base della telemetria avanzata di Proofpoint, che analizza miliardi di messaggi al giorno, i suoi ricercatori hanno osservato una diffusa sperimentazione da parte degli attori delle minacce nell’invio di payload malware grazie all’utilizzo di vecchie tipologie di file, catene di attacco inattese e una varietà di tecniche che portano a infezioni, incluso il ransomware. Nell’ultimo anno l’ecosistema del cybercrime ha registrato un significativo cambiamento in termini di attività e comportamento delle minacce. I criminali informatici motivati finanziariamente che ottengono un accesso iniziale tramite e-mail non utilizzano più catene di attacco statiche e prevedibili, ma tecniche dinamiche e in rapida evoluzione. Questo cambiamento è in gran parte dovuto alla decisione di Microsoft di bloccare le macro come impostazione predefinita, costringendo gli attaccanti a cambiare il modo in cui conducono le loro attività.

I principali cambiamenti dell’ecosistema del cybercrime

Proofpoint ha esaminato i principali cambiamenti del panorama e le tattiche, tecniche e procedure (TTP) comuni adottate recentemente all’interno dell’ecosistema del cybercrime. Gli attori delle minacce continuano a testare vari comportamenti per determinare il metodo più efficace al fine di ottenere l’accesso iniziale tramite e-mail. Non esiste una tecnica affidabile e coerente, adottata nell’intero panorama delle minacce. I cybercriminali seguono i leader: se un gruppo adotta una nuova tecnica, nelle settimane o nei mesi successivi, i ricercatori ne osservano l’utilizzo da parte di altri.

Proteggiti con Bitdefender, Leader in Cybersecurity

Proofpoint Logo

Prima del 2022, la scelta principale dei criminali informatici come payload di accesso iniziale erano indubbiamente le macro, utilizzate per eseguire automaticamente contenuti dannosi quando un utente le aveva abilitate attivamente nelle applicazioni di Office. Le macro XL4 sono specifiche dell’applicazione Excel, ma possono essere utilizzate come armi: gli attori delle minacce che distribuiscono documenti abilitati alle macro si affidano al social engineering per convincere il destinatario che il contenuto sia importante e per visualizzarlo è necessario abilitare le macro.

Il contrabbando di HTML e l’esplosione di OneNote

Da giugno 2022, l’uso dell’HTML smuggling è aumentato notevolmente nei dati delle campagne di Proofpoint. L’evoluzione è però ciclica: dopo aver raggiunto il picco nell’ottobre 2022, l’uso di questa tecnica è diminuito leggermente prima di riprendere nel febbraio 2023. La tecnica di HTML smuggling nasconde uno script codificato all’interno di un allegato HTML. Quando viene aperto, il browser decodifica lo script dannoso che viene utilizzato per assemblare il payload del malware sul computer della vittima. Nel corso degli anni, Proofpoint ha poi osservato l’uso di file PDF da parte di vari attori delle minacce, che includono un URL per avviare la catena di attacco.

Un esempio importante del fenomeno follow the leader è iniziato nel dicembre 2022, quando i ricercatori di Proofpoint hanno osservato per la prima volta campagne non attribuite che utilizzavano documenti OneNote per distribuire malware, in particolare AsyncRAT. OneNote è un taccuino digitale creato da Microsoft e disponibile nella suite Microsoft 365. Proofpoint ha osservato che gli attori delle minacce consegnano il malware attraverso documenti OneNote con estensione .one, tramite allegati e-mail e URL. A gennaio 2023, hanno osservato decine di campagne malware di base non attribuite che utilizzavano le stesse TTP. Nel giro di pochi mesi, erano oltre 120 le campagne che sfruttavano i file OneNote.

I cybercriminali continueranno a sperimentare nuovi metodi di consegna del payload

La sperimentazione e il passaggio regolare a nuove tecniche di consegna del payload da parte degli attori delle minacce rintracciati è molto diversa rispetto alle catene di attacco osservate prima del 2022 e preannuncia una nuova normalità dell’attività. I criminali più esperti non si affidano più a una o poche tecniche, ma sviluppano e iterano frequentemente nuove modalità, con una rapidità che suggerisce che hanno tempo, capacità e comprensione del panorama delle minacce per svilupparle ed eseguirle rapidamente. Questi cambiamenti hanno un impatto anche sui difensori.

Il rapido ritmo di adozione delle TTP costringe i cacciatori di minacce, gli specialisti del rilevamento e gli analisti malware a identificare rapidamente le tendenze nel comportamento degli attori e creare nuove difese per proteggersi. Proofpoint prevede che gli attori delle minacce continueranno a sperimentare nuovi metodi di consegna del payload e, sebbene molti criminali informatici utilizzino le stesse TTP per settimane o mesi alla volta, è improbabile che vi sia una singola catena di attacchi o una serie di tecniche che rimangano coerenti o abbiano la stessa forza di resistenza degli allegati abilitati alle macro.

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Marzia Ramella

    Scrivo di libri, film, tecnologia e cultura. Ho diversi interessi, sono molto curiosa. La mia più grande passione però sono i libri: ho lavorato in biblioteca, poi in diverse case editrici e ora ne scrivo su Orgoglionerd.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button