C'è bisogno di cooperazione (e intelligenza artificiale) per far fronte a tattiche e tecniche di attacco sempre più sofisticate e senza scrupoli. Questa la conclusione cui si giunge leggendo il Report sullo Stato di Internet/Security Carrier Insights realizzato da Akamai in collaborazione con Nominum e relativo alla primavera 2018. Il rapporto sulla sicurezza della Rete, primo di questo genere realizzato dal gigante statunitense del Content delivery network, si basa sui dati di 14 mila miliardi di query DNS (ossia, le richieste inviate dagli utenti via browser a server DNS per visitare pagine e portali Internet) analizzate con strumenti e algoritmi realizzati da Nominum.
Tra i mesi di settembre 2017 e febbraio 2018 (semestre di riferimento per il primo report Security Carrier Insights) sono state analizzate milioni e milioni di richieste provenienti da dispositivi IoT per tentare di risalire ai server di controllo di Mirai, la botnet capace di mettere KO un consistente pezzo di Rete tra fine 2016 e inizio 2017. A questo si unisce un'analisi approfondita del fenomeno ransomware e, soprattutto, dei criptomalware, virus legati in vario modo al mondo delle criptovalute.
DNS e intelligenza artificiale contro Mirai
Da più parti, l'intelligenza artificiale è considerata come la miglior alleata di qualunque esperto di sicurezza informatica. Sfruttando archivi Big data e analizzando la "situazione corrente", gli algoritmi AI sono in grado di rilevare eventuali affinità o modelli operativi che si ripresentano così da riuscire a delineare una strategia difensiva ben prima che l'attacco hacker si dispieghi in tutta la sua potenza.
Ed è proprio in questo modo che i tecnici ed esperti di sicurezza di Akamai e Nominum hanno utilizzato l'intelligenza artificiale per seguire le tracce lasciate dai gestori della botnet Mirai. Sfruttando parte dei 14 mila miliardi di query DNS, le due aziende specializzate (anche) in cybersecurity sono state in grado di risalire agli indirizzi IP di 500 serve C&C (Command and Control), utilizzati dagli hacker per controllare il traffico della botnet e mettere a segno attacchi DDoS in tutto il globo.
Questa attività ha permesso di scoprire un forte legame tra Mirai e il ransomware Petya, segno che i gruppi di cybercriminali provano a diversificare il loro "affari", trasformando quella che era una botnet per attacchi DDoS in una sorta di centro smistamento ransomware e cruptomalware (criptojacker in particolare).
Quanto costano i criptominer
Grazie all'analisi incrociata realizzata da Akamai e Nominum, è stato possibile studiare il fenomeno dei malware delle criptovalute nelle sue varie sfaccettature (criptominer e criptojacker in particolare, ma non solo) e valutarne l'impatto economico sulle tasche delle ignare vittime. Come si sa, produrre Bitcoin e altcoin è particolarmente costoso, da un punto di vista energetico: si calcola, ad esempio, che minare Bitcoin richieda più energia di quella sufficiente ad alimentare per un anno uno stato come la Serbia o la Danimarca.
Per questo motivo, sono comparsi – e continuano a comparire – malware che sfruttano le risorse di altri utenti per creare criptovalute che andranno ad arricchire i wallet digitali degli hacker. Due, come detto, le tattiche utilizzate dai cibercriminali per appropriarsi di Bitcoin ed Ethereum prodotti da altri: i criptominer, veri e propri virus che infettano computer e smartphone per sfruttarne la potenza di calcolo; e i criptojacker, script Javascript presenti all'interno di siti web e pensati per creare Bitcoin mentre si naviga online.
Le minacce del futuro
Le analisi condotte da Akama e Nominum hanno permesso di scoprire anche delle tattiche di attacco innovative che potrebbero trovare larga applicazione nel futuro prossimo. Si è così scoperto, ad esempio, che sempre più gruppi criminali puntano a rubare credenziali social – sfruttando tattiche di social engineering – per poi diffondere fake news grazie agli account rubati. Sul fronte delle botnet e delle reti di distribuzione malware, invece, l'azione congiunta delle due aziende ha portato alla scoperta di strumenti sempre offensivi sempre più raffinati che, puntando sulla modularità, riescono a mutare pelle nell'arco di poco tempo, permettendo così ai loro gestori di colpire più obiettivi contemporaneamente.