L'uso dell'intelligenza artificiale da parte dei criminali informatici continua a guadagnare terreno
Trend Micro, uno dei fornitori di soluzioni di sicurezza informatica, riassume le tendenze più importanti della sicurezza informatica nella prima metà del 2024 nel suo ultimo rapporto sullo stato delle cose. Nonostante alcune operazioni di successo da parte delle forze dell'ordine contro ransomware e phishing, il livello di minaccia rimane elevato.
Nella prima metà del 2024, un obiettivo chiave dei criminali informatici rimane quello di sviluppare minacce e campagne rapide, poco appariscenti ma sofisticate. Nella prima metà dell'anno, lo specialista giapponese di cybersecurity ha osservato come i criminali informatici abbiano preso di mira asset mal configurati e non protetti per penetrare segretamente nei sistemi e rubare dati sensibili. In generale, l'accesso alle applicazioni cloud vulnerabili ha dominato l'elenco degli eventi a rischio nella prima metà del 2024. In molti casi, anche la mancanza di protezione degli endpoint sui dispositivi non gestiti ha esposto le aziende a rischi inutili.
La situazione delle minacce rimane complessa nonostante i successi delle forze dell'ordine
La famiglia di ransomware con il maggior numero di rilevamenti di file nella prima metà del 2024 è stata LockBit, anche se i dati di rilevamento sono diminuiti in modo massiccio a seguito dell'operazione di polizia "Operation Cronos". Le istituzioni finanziarie sono state le più colpite dagli attacchi ransomware, seguite da vicino dalle aziende del settore tecnologico.
Nonostante il successo delle misure di contrasto nella prima metà del 2024, la situazione delle minacce rimane complessa:
- LockBit: Nonostante i notevoli disagi e le sanzioni, LockBit sta cercando di mantenere la sua posizione. Trend Micro ha analizzato una nuova versione, LockBit-NG-Dev, che è scritta in .NET e potrebbe essere indipendente dalla piattaforma.
- Reti di malware DropperAnche dopo l'eliminazione di botnet come IcedID e Trickbot, i gruppi di ransomware continuano a trovare vulnerabilità, ad abusare di strumenti di monitoraggio e gestione remota (RMM), ad effettuare attacchi BYOVD (bring-your-own-vulnerable-driver) e a utilizzare script di shell personalizzati.
- Nuovi strumenti e tattiche: Sia gli attori sostenuti dallo Stato che i criminali informatici utilizzano router compromessi come livello di anonimizzazione. Mentre gruppi come Sandworm utilizzano le proprie botnet di proxy, altri come APT29 utilizzano reti di proxy commerciali. Il gruppo APT Earth Lusca ha utilizzato le relazioni tese tra Cina e Taiwan come esca di social engineering per infettare le vittime mirate in una campagna analizzata.
I giocatori continuano a spingere i limiti dell'IA
Trend Micro ha osservato che gli attori delle minacce nascondono malware in software di intelligenza artificiale legittimi, eseguono LLM (Large Language Models) criminali e vendono persino offerte di jailbreak-as-a-service. Queste ultime consentono ai criminali informatici di ingannare i bot di intelligenza artificiale generativa e di rispondere a domande che violano le loro politiche, soprattutto per sviluppare malware e esche di ingegneria sociale. Le offerte di deepfake sono state perfezionate dagli attori per effettuare dirottamenti virtuali, commettere frodi mirate sotto forma di BEC (business email compromise) e aggirare i controlli KYC (know-your-customer). Per quest'ultimo è stato sviluppato anche un malware che intercetta i dati biometrici.
"La sicurezza informatica si è evoluta negli ultimi anni per far fronte ad attacchi sempre più complessi e mirati", spiega Udo Schneider, Governance, Risk & Compliance Lead Europe di Trend Micro. "Nei prossimi anni, per il settore della sicurezza diventerà essenziale essere proattivi. I leader aziendali e i team di sicurezza dovranno gestire le minacce e i rischi in continua evoluzione con un approccio resiliente e guidato dai dati e una strategia completa di gestione del rischio (informatico)".
Fonte: www.trendmicro.com
