Si parla sempre di spesso dei malware e di come possano mettere in pericolo la sicurezza. Non solo dei dispositivi degli utenti finali, ma anche dei network aziendali.
I professionisti che operano nel settore della sicurezza utilizzano gli strumenti open source per analizzare gli exploit, effettuare test per la difesa e sfruttare esempi concreti, contestualizzandoli in scenari creati a scopo formativo. Questi tool consentono inoltre agli esperti di monitorare nel tempo i comportamenti del malware e dei cybercriminali, offrendo insight su come identificare gli sviluppatori di codice maligno e prevedendo sia quali saranno le caratteristiche dei malware di prossima generazione sia le possibili strategie di attacco.
Sfortunatamente, anche gli hacker hanno accesso agli stessi siti web che possono essere consultati dai ricercatori e stanno sempre più puntando lo sguardo su strumenti malware open source, da utilizzare per le loro attività criminali.
Come sono usati i tool open source
Secondo Anthony Giandomenico di Fortinet, i cybercriminali che sviluppano i tool sono guidati dagli stessi modelli economici di ROI del loro target, perciò “perché costruire un attacco da zero quando qualcun altro ha già fatto gran parte del lavoro per te?” I tool open source per la sicurezza informatica e per la prevenzione dei malware possono essere trasformati facilmente in nuovi attacchi. Ironia della sorte, dopo che gli sviluppatori della botnet IoT Mirai hanno rilasciato il codice sorgente, diversi siti l’hanno pubblicato online. Ora, a più di due anni dalla sua disponibilità, continuano a esserne rilevate nuove varianti.
I vantaggi dei professionisti del cybercrime
Gli hacker più esperti sono in grado di combinare il codice open source con uno strumento per l’evasione come Veil-Framework, anch’esso open source, per riconfezionare il codice con l’obiettivo di provare ad aggirare l’anti-malware. Ovviamente, la capacità di chi sta effettuando l’attacco informatico di accedere facilmente a questo codice malevolo può dare un vantaggio nella modifica e nel test delle nuove versioni con funzionalità aggiuntive.
Sfortunatamente, mentre trasformare in armi alcuni di questi strumenti open source richiede un certo livello di sofisticatezza da parte degli sviluppatori, è possibile cambiare con facilità le finalità di molti dei tool malware disponibili gratuitamente. Se un “newbie” vuole cominciare a operare nell’ambito del cybercrime e, per esempio, tiene in ostaggio alcuni computer infettati da ransomware per chiedere un riscatto, non avrà difficoltà a sfruttare uno dei molti ransomware proof-of-concept facendo alcuni semplici aggiornamenti, come cambiare l’indirizzo del wallet a cui inviare i pagamenti, e così sarà pronto per iniziare l’attacco.
Come affrontare il malware open source
Gli strumenti open source sono spesso il risultato di una ricerca avanzata da parte dei migliori professionisti della sicurezza. Proprio per questa loro caratteristica, forniscono ai cybercrimininali nuovi target da raggiungere. In questo modo sarà meno probabile che le loro vittime dispongano di adeguate misure di sicurezza. Questo significa che essi possono penetrare rapidamente la superficie di attacco, stabilire e oscurare un punto di ingresso senza che l’attività venga rilevata e quindi spostarsi attraverso il network con facilità.
Per affrontare in modo adeguato questa sfida, le imprese devono implementare specifiche contromisure, che secondo Fortinet che includono: segmentazione per prevenire i movimenti laterali attraverso il network, analisi comportamentale per rilevare anche i minimi cambiamenti nel traffico, automazione per migliorare il rilevamento delle minacce e la conseguente risposta, threat intelligence in real time per prendere decisioni critiche in tempo reale, automazione e machine learning per occuparsi delle attività più dispendiose in termini di tempo, protezione avanzata dalle minacce (come per esempio il sandboxing), per rilevare le minacce sconosciute. Infine, soluzioni per la sicurezza pienamente integrate che possano condividere informazoni e rispondere alla threat intelligence come un sistema unico, indipendentemente da quanto ampiamente sono distribuite.
Implementando un Security Fabric integrato che copre i network estesi, i team dell’IT security possono anticipare la curva delle minacce informatiche per rilevare e rispondere al meglio agli attacchi che si verificano ovunque nell’intera superficie di attacco.