Le attività criminali informatiche guidate da obiettivi di guadagno finanziario, anche conosciute sotto il termine di “eCrime”, avvengono ciclicamente, man mano che gli avversari sviluppano nuovi strumenti e prendono di mira le vittime più vulnerabili: analogamente a come gli investitori seguono l’attività del mercato azionario utilizzando vari indici, CrowdStrike monitora l’eCrime usando molteplici elementi osservabili e codifica l’attività nel CrowdStrike eCrime Index (ECX).
Tuttavia, mentre la maggior parte dei fattori che influenzano il mercato azionario – come i tassi di interesse, i prezzi del petrolio e gli avvenimenti politici – sono ormai noti e argomenti all’ordine del giorno, quelli che riguardano l’eCrime sono meno conosciuti.
Bart Lenaerts-Bergmans, Sr. Product Marketing Manager of Threat Intelligence, CrowdStrike, esplora i fattori che hanno influenzato l’ECX di CrowdStrike negli ultimi 12 mesi ed elabora alcune previsioni per le prossime settimane.
Il CrowdStrike eCrime Index (ECX)
Il CrowdStrike ECX è stato introdotto all’inizio del 2021 per valutare lo stato di salute dell’economia digitale sommersa esaminando una varietà di fattori, incluse le richieste di riscatto, le fluttuazioni delle criptovalute, le vulnerabilità e le esposizioni, oltre ad una serie di elementi osservabili che, se ponderati e mediati, forniscono un’idea di ciò che sta avvenendo nel mondo di Internet, in cui criminali informatici traggono profitto dalle vittime.
I trend che influenzano l’ECX di CrowdStrike includono le festività di fine anno (più precisamente quel periodo che si estende dal Giorno del Ringraziamento, il 24 novembre, fino a Natale), quando calano le difese degli utenti, emergono vulnerabilità che possono essere sfruttate da strumenti di nuova concezione e si verifica una diminuzione dell’attività eCriminale a seguito di incidenti su larga scala o di un intervento delle forze dell’ordine.
Le fluttuazioni dell’eCrime Index negli ultimi 12 mesi
CrowdStrike aggiorna il CrowdStrike ECX settimanalmente. Negli ultimi 12 mesi si sono verificati due picchi, uno nel mese di novembre 2021 e un altro da metà marzo ad aprile 2022, generati dalla sovrapposizione di diversi elementi, tra cui:
- L’attività SPAM tra i punti bassi e quelli alti è oscillata otto volte. Il picco più elevato è avvenuto da metà novembre 2021 fino a metà febbraio 2022, mentre un secondo picco, più corto, si è verificato immediatamente dopo l’invasione russa in Ucraina alla fine di febbraio 2022, terminato a metà aprile 2022.
- L’attività BOTNET (i comandi ricevuti e le risposte inviate) è stata in costante aumento, con un balzo che si è verificato all’inizio dell’invasione russa in Ucraina.
- Il numero di vittime di big game hunting (estorsioni e ransomware) è anch’esso fluttuato fino a sei volte tra i punti bassi e quelli alti. Il primo picco, nonché quello più elevato, ha avuto inizio il 21 settembre 2021 ed è terminato la settimana prima di Natale. Un secondo picco, più debole, è stato osservato agli inizi di marzo 2022 fino agli inizi di maggio 2022.
Queste variazioni possono rivelare alcune tendenze su come agiscono gli “eCriminali”. La prima lezione è certamente che la fine dell’anno è il miglior periodo per le attività di spam, e nella prossima parte esamineremo perché le persone sono particolarmente sensibili allo spam e al phishing proprio alla fine dell’anno.
Una seconda evidenza è che i server command-and-control (C2), i sistemi che controllano i bot, rimangono difficili da conquistare e non sono mai spenti, nemmeno durante le festività. Infine, i big game hunter (come gli operatori ransomware e i loro affiliati) hanno avuto una campagna molto attiva prima delle vacanze dello scorso anno e poi si sono presi una pausa prima di tornare operativi.
La mente umana rimane un punto debole
Analizzando più da vicino i picchi di spam alla fine del 2021 e il motivo per cui proprio lo spam rimanga uno strumento critico per gli avversari, emerge una relazione diretta tra spam, phishing e truffe via mail. L’obiettivo del mittente è semplice: truffare o ingannare il lettore per indurlo a rivelare informazioni sensibili, distribuire software malevoli o rubare denaro attraverso schemi fraudolenti.
Una recente indagine della BBB ha rivelato quanto segue sull’efficacia delle truffe online e su come le persone interagiscono con esse:
- Le truffe realizzate attraverso i canali online sono diventate più preferibili e più diffuse rispetto all’utilizzo di altri metodi di consegna, come ad esempio per via telefonica, e comportano una percentuale più elevata di perdite di denaro per le vittime prese di mira.
- Le persone sono più attratte dalle “carote” che dai “bastoni”. Secondo l’indagine, il 70% dei rispondenti ha dichiarato di essersi fatta coinvolgere online nella speranza di guadagnare o vendere qualcosa, oppure perché era curioso di saperne di più. Rispetto ad un 30% che si è lasciato coinvolgere per timore di perdere qualcosa, di essere minacciato o perché pensava che ci fosse una situazione urgente da affrontare.
- Le truffe più comuni che hanno portato ad una perdita di denaro sono state quelle relative agli acquisti online (89%), seguite dalle criptovalute (87%), dal romanticismo (85%), dagli investimenti (73%), dal lavoro (68%) e dalle sovvenzioni governative (64%).
- Le persone hanno riportato di essere state presi di mira da una truffa soprattutto mentre navigavano sui social media (25%), seguito dallo shopping online (24%), dallo scambio di email (14%), durante l’utilizzo di un motore di ricerca (10%) o durante la ricerca di lavoro (7%).
La stagione pre-natalizia è il momento perfetto per le truffe di phishing. È un periodo in cui le persone sono sensibili ad almeno tre dei quattro risultati dell’indagine di cui sopra, poiché effettuano più acquisti online, ricevono tonnellate di “carote” nella loro casella postale sotto forma di promozioni per il Black Friday e il Cyber Monday, e spendono maggior tempo sui social media o sui siti dedicati allo shopping.
Minacce ai consumatori o ai retailer
È importante notare come le vittime prese di mira durante la stagione pre-natalizia non siano soltanto consumatori ingannati da truffe online, ma anche retailer o venditori di ecommerce. Black Friday, Cyber Monday, Giving Tuesday e tutto il periodo di shopping pre-natalizio forniscono ampie opportunità per gli autori di eCrime, aprendo la strada a campagne malevole dirette sia contro i consumatori che i retailer.
CrowdStrike Intelligence ritiene che in questo periodo gli autori di eCrime utilizzino maggiormente le campagne di phishing, truffe opportunistiche, attacchi ai sistemi di pagamento e operazioni di disturbo sotto forma di furto di dati, campagne ransomware o estorsioni, al fine di raggiungere il loro obiettivo di guadagno finanziario.
Il furto dei dati di pagamento rimane una minaccia persistente per i rivenditori di tutto il mondo, in particolare dopo l’impennata avvenuta durante la pandemia. Questa minaccia è spesso condotta attraverso campagne di “form jacking”. I dati rubati e i kit di exploit di “form jacking” che prendono di mira i comuni sistemi di gestione dei negozi online (come i plugin di OpenCart) sono messi in vendita su numerosi forum clandestini.
Un’altra minaccia notevole e di tendenza per la fine dell’anno riguarda le truffe di “rimborso e restituzione”. Gli avversari, ad esempio, possono inviare per email un documento di richiesta di rimborso dell’acquisto ad un servizio clienti, ad un rappresentante delle vendite o ad un consumatore, inducendo il lettore ad aprire un documento malevolo e ad installare un tipo di malware. Questa tattica, combinata con l’utilizzo di cross site scripting (come Java Scripting) e di server web malevoli, ha lo scopo di rubare informazioni sensibili, come i dati della carta di credito, l’identità e l’account che, successivamente, possono diventare fonte di denaro.
Stare un passo avanti grazie alla threat intelligence e al monitoraggio del rischio digitale
CrowdStrike monitora continuamente l’attività criminale informatica e l’economia sommersa usando l’ECX di CrowdStrike. Ad esempio, i big game hunter possono restare silenti per un paio di settimane alla fine dell’anno, magari quando le attività di business si interrompono, mentre l’infrastruttura C2 rimane attiva. Lo spam di fine anno crea un nuovo funnel delle vittime di phishing, traendo vantaggio da un momento in cui le persone sono più suscettibili, quando l’attività online è diversa dal resto dell’anno e in un contesto in cui il consumatore si lascia coinvolgere da un numero infinito di promozioni.
L’ECX di CrowdStrike, la threat intelligence e il monitoraggio costante dell’economia sommersa offrono ai gestori dei rischi di sicurezza, nonché agli esperti in sicurezza informatica, la capacità di agire precocemente e di comprendere al meglio le attività delle minacce, così da essere preparati a qualsiasi evenienza.