Gli attaccanti sono sempre più abili a cambiare le proprie tecniche e tattiche di attacco per aggirare i sistemi di protezione allestiti dai difensori. È un cambio di passo che stupisce in un contesto cyber criminale in cui la rapidità e facilità di adattamento sono uno dei punti di forza. Ma bisogna farsi trovare pronti a reagire, se non si vuole rendere vano il minimo vantaggio faticosamente guadagnato. Potrebbe essere questo il messaggio che si deduce leggendo l’ultimo Internet Security Report del WatchGuard Threat Lab, relativo al primo trimestre 2023.

Con un esempio si chiarisce meglio. I browser web dispongono oggi di protezioni più efficaci nell’impedire l'abuso di pop-up da parte degli attaccanti. Questi ultimi hanno iniziato a usare le funzionalità di notifica del browser per forzare tipologie simili di interazioni. Non solo: nello schema dell’attacco perpetrtato via browser, nel trimestre in esame spicca il cosiddetto SEO-poisoning, ossia la manipolazione dei risultati dei motori di ricerca per condurre utenti ignari a siti web malevoli. Sono queste due le tendenze più in voga di social engineering basate su browser, ma non bisogna dimenticare altre insidie sempre legate ai browser, come gli attacchi browser-in-browser e quelli Browser-in-the-Middle.

È indicativo anche il fatto che sono in aumento gli attacchi living-off-the-Land, ossia che che permettono l’abuso di credenziali e strumenti di rete. È una tecnica sviluppata appositamente per bypassare le difese informatiche, mimetizzando gli attacchi con le legittime attività di rete e degli utenti. La concretizzazione di questo concetto, nel trimestre in esame, è stata il malware ViperSoftX che sfrutta gli strumenti integrati nei sistemi operativi per sferrare attacchi.

A proposito di sistemi operativi, è impossibile non sottolineare il crescente interesse degli attaccanti verso Linux. Come ribadito più volte, Linux è oggi alla base delle macchine virtuali, dei dispostivi IoT, e degli ambienti multicloud pubblici e privati, quindi attaccarlo amplia notevolmente le potenzialità degli attacchi cyber. Potenzialità che crescono peraltro sfruttando le vulnerabilità dei dispositivi e dei software a fine vita. Un esempio su tutti è il successo, rilevato nel periodo in esame, degli attacchi contro il firewall ormai fuori produzione Microsoft Internet Security and Acceleration (ISA) Server. Sempre nel primo trimestre, poi, non si sono fermati i malware zero-day, che hanno continuato a rappresentare la maggior parte dei rilevamenti. Nel dettaglio, il 70% dei rilevamenti di WatchGuard proviene da malware zero-day su traffico web non crittografato e il 93% di rilevamenti da malware zero-day da traffico web crittografato.

Chiudono il report due questioni decisamente spinose: l’impatto della situazione geopolitica e il ransomware. nel primo caso, WatchGuard sottolinea che il 75% delle nuove minacce nella lista Top 10 di Q1 hanno matrice cinese o russa. I forti legami con gli stati nazionali non significano necessariamente che gli attaccanti dietro ai malware in oggetto siano sponsorizzati dallo stato. Tuttavia è noto che la situazione geopolitica stia influenzando non solo le attività APT, ma anche e soprattutto quelle del cybercrime.

Sul fronte ransomware, nel primo trimestre 2023 il WatchGuard Threat Lab ha contato 852 vittime pubblicate su siti di estorsione e ha scoperto 51 nuove varianti di ransomware. Numeri che non tendono a calare nonostante l’alta attenzione verso questo fenomeno.