Il 2019 non è ancora iniziato, ma già si delineano all’orizzonte le sfide che soprattutto il settore finanziario dovrà affrontare sul piano della cybersecurity: formazione di nuovi gruppi criminali, primi furti con l’uso dei dati biometrici, attacchi alla supply chain e ai sistemi di pagamento online, sfruttamento del social engineering per sottrarre dati sensibili a dipendenti e collaboratori. Sono queste le nuove minacce che, secondo gli analisti di Kaspersky Lab, piomberanno su banche e società di trading a partire dal prossimo anno.
Un bilancio dell’anno appena trascorso
Nel corso del 2018, le forze dell’ordine hanno arrestato diversi membri del noto gruppo di cybercriminali responsabili di Carbanak / Cobalt e Fin7. Sfortunatamente, l’arresto dei membri del gruppo, compreso il leader dietro Carbanak, non ha portato ad un completo stop delle attività, anzi, sembra aver prodotto, come vedremo, un processo di suddivisione in sottogruppi più piccoli.
Alla fine dell’anno, gli esperti hanno notato un alto rischio, soprattutto per le aziende del mondo fin-tech e per gli scambi di criptovalute, probabilmente a causa dell’inadeguatezza dei loro sistemi di sicurezza. Queste realtà sono state spesso obiettivi di attacchi. L’attacco più creativo avvenuto nel 2018 è stato senza dubbio AppleJeus, che ha preso di mira proprio i trader di criptovalute. In quel caso i cybercriminali avevano creato uno speciale software che aveva l’apparenza di un sistema attendibile, con funzionalità legittime. Insieme all’upload del programma si dava avvio ad un aggiornamento malevolo, che si trasformava in una backdoor. Si è trattato di un tipo di attacco del tutto nuovo, che ha colpito i suoi target attraverso la supply chain.
Restando nell’ambito degli attacchi alla catena logistica, vale la pena citare il gruppo MageCart che, infettando pagine web di acquisto online (comprese quelle di grandi compagnie, come British Airways), quest’anno è riuscito ad appropriarsi di un’enorme quantità di dati di carte di credito. Quest’attacco si è rivelato davvero efficace, dal momento che i cybercriminali hanno scelto un target interessante: Magento, una delle piattaforme più comuni per gli online store. Sfruttando le vulnerabilità presenti nel sistema di Magento, infatti, i malintenzionati sono riusciti ad infettare dozzine di siti web utilizzando una tecnica che, probabilmente, verrà sfruttata anche da tanti altri gruppi in futuro.
Il 2018 ha visto anche attacchi a organizzazioni che usano i sistemi bancari. In primo luogo, il sistema di analisi comportamentale basato sul machine learning di Kaspersky Lab ha rilevato diverse ondate di attività malevole in relazione al diffondersi del Trojan bancario Buhtrap, dal momento che gli attaccanti hanno inserito il loro codice in siti popolari e forum. In secondo luogo, abbiamo rilevato attacchi ai reparti amministrativi di aziende industriali, all’interno delle quali le transazioni di grosse cifre non avrebbero destato particolari sospetti.
Le previsioni per il 2019
Rispetto a ciò che potrebbe accadere nei prossimi mesi, come detto la frammentazione di Cobalt / Carbanak e Fin7 determinerà la nascita di nuovi gruppi di cybercriminali con nuove geografie di attacco. L’arresto dei leader e dei singoli membri dei principali gruppi di cybercriminali non ha fermato queste realtà dal perpetrare attacchi alle istituzioni finanziarie. Secondo gli esperti di Kaspersky Lab, nel prossimo anno si assisterà ad una frammentazione di questi gruppi e alla creazione di nuove realtà composte dai loro ex membri. Questa tendenza porterà all’intensificazione degli attacchi e all’estensione delle aree geografiche dei target potenziali. Contemporaneamente, anche i gruppi locali espanderanno le loro attività, rafforzata in termini di qualità e scalabilità. È ragionevole supporre che alcuni membri dei gruppi locali possano entrare in contatto con i criminali che facevano parte di Win7 o Cobalt, per facilitare il loro accesso a obiettivi regionali e acquisire nuovi strumenti con i quali portare avanti gli attacchi.
Secondo Kaspersky, inoltre, arriveranno i primi attacchi condotti attraverso il furto e l’utilizzo di dati biometrici. Diverse istituzioni finanziarie stanno implementando l’uso di sistemi biometrici per l’identificazione e l’autenticazione dei loro utenti; sono già avvenute anche diverse perdite importanti di dati di tipo biometrico. Queste due circostanze pongono le basi per i primi attacchi Poc (proof-of-concept – la realizzazione pratica, tipicamente mediante simulazioni in ambiente controllato, di un attacco informatico o di un exploit, allo scopo di dimostrarne la fattibilità e verificarne le reali potenzialità e conseguenze in situazioni reali) ai servizi finanziari, portati avanti proprio grazie all’uso di dati biometrici trafugati.
Emergeranno poi nuovi gruppi locali che mirano a organizzazioni finanziarie nella regione Indo-Pakistana, nel Sud-Est asiatico e nell’Europa centrale: l’attività dei cybercriminali in queste regioni è in costante crescita: contribuiscono a questo fenomeno l’inadeguatezza delle soluzioni di sicurezza nel settore finanziario e la diffusione rapida tra le persone e le aziende di diversi dispositivi elettronici per i pagamenti. Considerando queste premesse, la possibilità che emerga un nuovo centro per le cyberminacce di carattere finanziario in Asia è più che concreta, e andrebbe ad aggiungersi ai tre centri già esistenti, posizionati in America Latina, nella penisola coreana e nell’ex-Urss.
Le previsioni di Kasperskt confermano il fenomeno degli attacchi alla supply chain: nel mirino ci sono soprattutto piccole imprese che forniscono i loro servizi a istituzioni finanziarie in tutto il mondo. Il crimine informatico tradizionale si concentrerà infatti su target più facili e bypasserà le soluzioni antifrode: gli attacchi ai PoS verranno sostituiti dagli attacchi ai sistemi di pagamento online.Ma i sistemi di cybersecurity delle organizzazioni finanziarie verranno bypassati utilizzando anche dispositivi fisici collegati alle reti interne: vista la mancanza di sicurezza dal punto di vista fisico e la scarsità dei controlli verso i dispositivi connessi in molte reti, i cybercriminali saranno più propensi a sfruttare situazioni in cui è possibile installare un computer o una mini-board, appositamente configurati per rubare dati dalla rete e per trasferire le informazioni utilizzando modem 4G/Lte.
Aumenteranno anche gli attacchi al mobile banking per gli utenti business. Ci sono già abbastanza strumenti per realizzare attacchi di questo tipo e le potenziali perdite cui le aziende potrebbero andare incontro sono di gran lunga più grandi rispetto a quelle in cui potrebbero incorrere i singoli utenti, qualora venissero attaccati. I principali vettori di attacco, in questo caso, riguardano le web Api e la supply-chain.
Si allarga, infine, il fenomeno delle campagne di social engineering avanzate che hanno come obiettivo i dipendenti interni incaricati dei trasferimenti di denaro: il risultato delle perdite di dati. Il social engineering è particolarmente popolare in alcune regioni del mondo, come l’America Latina, per esempio. I cybercriminali prendono di mira figure specifiche all’interno di aziende e istituti finanziari, con l’obiettivo di far trasferire loro ingenti somme di denaro. A causa delle grandi perdite di dati avvenute negli ultimi anni, questo tipo di attacco può rivelarsi sempre più efficace: i cybercriminali utilizzano le informazioni trafugate dalle reti interne delle organizzazioni prese di mira per far sembrare le loro comunicazioni assolutamente legittime. L’idea di base resta la stessa: far credere alle vittime che la richiesta di trasferimento di denaro viene direttamente da un partner dell’azienda o dai direttori stessi. Queste tecniche non utilizzano alcun malware, ma dimostrano come gli attacchi di social engineering rivolti ad obiettivi specifici possano portare ad importanti risultati.