Kaspersky: le previsioni APT per il 2024

Milano, 18 dicembre 2023

Gli esperti del Kaspersky Global Research and Analyses Team (GReAT) presentano le previsioni per il 2024 contenute nel Kaspersky Security Bulletin con un focus specifico sull’evoluzione delle Advanced Persistent Threat (APT).

I ricercatori di Kaspersky prevedono che gli autori di APT introdurranno nuovi exploit su dispositivi smart, mobile e wearable per creare botnet e perfezionare i metodi di attacco alla supply chain. Inoltre, sfrutteranno l’IA per uno spear phishing più efficace. Si prevede che queste innovazioni intensificheranno gli attacchi e la cyber criminalità a sfondo politico.

Furti di identità basati sull’IA, aumento degli exploit creativi per dispositivi mobile e nuove botnet

I nuovi strumenti basati sull’intelligenza artificiale semplificheranno la creazione di messaggi di spear phishing, consentendo persino di impersonificare determinate persone. I truffatori potrebbero ideare metodi di elaborazione creativi, raccogliendo dati online e affidandoli ai LLM per scrivere messaggi simili a quelli di una persona vicina alla vittima.

“Operation Triangulation” segna un punto di svolta importante per gli exploit mobile e potrebbe ispirare ulteriori indagini sulle ATP che colpiscono dispositivi smart, mobile e wearable. Probabilmente assisteremo a un aumento degli sforzi di sorveglianza da parte dei criminali informatici, che colpiranno i device degli utenti finali sfruttando le vulnerabilità e metodi “silenziosi” di consegna degli exploit, tra cui attacchi zero-click via messanger e one-click tramite SMS o app di messaggistica così come le intercettazioni del traffico di rete. La protezione dei dispositivi personali e aziendali è diventata sempre più importante.

Lo sfruttamento delle vulnerabilità nei software e nei dispositivi di uso comune è un altro aspetto a cui fare attenzione. La scoperta di gravi vulnerabilità a volte viene studiata in modo limitato e risolta in ritardo, spianando potenzialmente la strada a nuove botnet invisibili su larga scala, capaci di attacchi mirati.

L’aumento dei cyber attacchi da parte di attori State-sponsored e Hacktivism sono la nuova normalità

A fronte delle crescenti tensioni geopolitiche, il numero degli attacchi informatici promossi da uno Stato potrebbe aumentare nel corso del prossimo anno. Questi attacchi saranno probabilmente la causa di furti o crittografia dei dati, violazione delle infrastrutture IT, spionaggio a lungo termine e sabotaggi informatici.

Un’altra tendenza rilevante è l’hacktivism che è sempre più diffuso nell’ambito dei conflitti geopolitici. Le tensioni politiche indicano un probabile aumento dell’hacktivism, sia di carattere distruttivo sia finalizzato alla diffusione di fake news, portando a indagini inutili e alla conseguente stanchezza degli analisti SOC e dei ricercatori specializzati nella sicurezza informatica.

Altre previsioni sulle ATP per il 2024 includono:

-  Attacchi alla supply chain sottoforma di servizio: accesso degli operatori al bulk-buying

Attacchi alla supply chain che mirano alle piccole aziende per colpire quelle più grandi: le violazioni di Okta nel 2022-2023 evidenziano l’entità della minaccia. Le motivazioni che spingono questi attacchi possono spaziare dai guadagni finanziari fino allo spionaggio. Nel 2024 potrebbero esserci a nuovi sviluppi nelle attività di accesso al mercato dark web riguardanti la supply chain, portando ad attacchi più efficienti su larga scala.

- Sempre più gruppi offrono servizi di hack-for-hire

Il numero di gruppi che offrono servizi di hacking a pagamento è in aumento e offrono il furto dei dati a diversi clienti, dagli investigatori privati ai competitor aziendali. Questa tendenza è destinata a crescere nel corso del prossimo anno.

- I rootkit in modalità kernel sono tornati in voga

Nonostante le nuove misure di sicurezza come Kernel Mode Code Signing, PatchGuard, HVCI (Hypervisor-Protected Code Integrity), le protezioni per l’esecuzione del codice a livello di Kernel vengono aggirate dalle APT e dai gruppi di criminali informatici. Gli attacchi al kernel di Windows sono in aumento, grazie alle violazioni WHCP. Inoltre, il mercato illegale dei certificati EV e dei codici di firma rubati è in crescita. I criminali informatici sfruttano sempre più il BYOVD (Bring Your Own Vulnerable Driver) nel loro modo di operare.

- I sistemi di Managed File Transfer (MFT) utilizzati per attacchi avanzati

I sistemi di Managed File Transfer (MFT) sono soggetti a crescenti minacce informatiche, come dimostrano gli attacchi subiti nel 2023 da MOVEit e GoAnywhare. Questa tendenza è destinata a intensificarsi con i cyber criminali che mirano a guadagni finanziari e interruzioni operative. La complessa architettura dei MFT, integrata in reti più ampie, presenta alcuni punti deboli dal punto di vista della sicurezza. Le aziende devono implementare robuste misure di cybersecurity, tra cui la Data Loss Prevention e la crittografia, e promuovere una maggiore consapevolezza in materia di sicurezza informatica per rafforzare i sistemi MFT contro minacce in continua evoluzione.

“Nel 2023 l’importante aumento della disponibilità di strumenti di IA non è sfuggito all’attenzione dei cyber criminali più esperti, impegnati in campagne estese e altamente sofisticate. Tuttavia, riteniamo che le previsioni future vadano oltre le possibili applicazioni dell’IA comead esempio nuovi metodi per eseguire attacchi alla supply chain, l'emergere di servizi hack-for-hire, nuovi exploit per i device degli utenti e molto altro ancora. Il nostro obiettivo è quello di fornire ai professionisti della sicurezza informatica un’intelligence avanzata sulle minacce che sia in grado di anticipare gli ultimi sviluppi, migliorando la loro capacità di respingere gli attacchi informatici in modo più efficace”, ha dichiarato Igor Kuznetsov, Director, Global Research and Analysis Team (GReAT) di Kaspersky.

Le previsioni sulle APT sono state realizzate grazie ai servizi di Threat Intelligence di Kaspersky che operano a livello globale. Il report completo è disponibile su Securelist.