Questa volta si tratta di una nuova minaccia persistente avanzata (APT) ancora poco conosciuta, soprannominata ToddyCat. 

Ha iniziato a muovere i suoi primi passi a fine 2020 contro limitati obiettivi tra Taiwan ed il Vietam, con uno schema di attacco complesso ma orientato esclusivamente ai server Microsoft Exchange. 

Nella prima campagna ha adottato una sofisticata backdoor passiva (su porte 80 e 443) introdotta mediante un malware già noto ai ricercatori e denominato Samurai: questo era infatti parte di altra catena di attacco vista in precedenza. In questa campagna però Samurai è stato inteso solo come apripista per l’infezione di un secondo malware denominato Ninja, molto più dannoso.

La pandemia COVID-19 è stata uno spartiacque: il mondo ha cominciato a girare in modo differente, molto è cambiato e molto cambierà ancora, tra paure e speranze. 

Solo una cosa è rimasta costante: le frodi telematiche hanno continuato a lavorare con la medesima forza ed efficacia, sfruttando il fenomeno pandemico e (al contrario) la voglia di uscirne. 

Se durante la pandemia (in realtà non ne siamo ancora fuori, ma indichiamo con questo il suo picco critico) gli agenti di minaccia hanno diffuso i loro strumenti di attacco grazie alla fame di notizie e l’attenzione per il tema COVID-19, ora che le persone tentano di uscire dal tunnel dei lockdown e altre forme di restrizioni personali (orientandosi al mercato del turismo e viaggi in generale) le mire degli agenti di minaccia hanno cominciato ad orientarsi verso l’industria dei viaggi e dell’intrattenimento e tempo libero, che ha trovato un rinnovato e naturale interesse nella popolazione mondiale

La formazione in ambito Cybersecurity non è mai stata sulla cresta dell’onda come questo periodo. Tra annunci di ransomware che bloccano le proprie vittime, KillNet che dichiara di mettere in ginocchio tutta l’Italia, Anonymous che promette di difenderci e contrattaccare al Russia ci si mette anche l’autorità nazionale per la cybersicurezza che annuncia di assumere nei prossimi 3 anni n-mila esperti di cybersecurity con n grande a piacere.

A parte gli scherzi, è vero che la richiesta di esperti in questo settore è notevolmente aumentata e che il classico skill shortage, in pratica differenza tra domanda e offerta, è in continuo aumento, ma è altrettanto vero che quando si parla di “Cybersecurity” si parla di aria fritta!

Le squadre blue conoscono bene lo stress del difensore: “troppi eventi in troppo poco tempo”. 

Il tempo di reazione è una chiave interpretativa della qualità di un servizio di difesa; ma perché possa essere valutato il tempo di reazione, il tempo di azione della minaccia deve essere sufficientemente dilatato da consentire il tempo di intercettazione, comprensione, ed infine di reazione. 

Dal punto di vista della prevenzione, invece, il tempo può essere considerato in relazione alla conoscenza dell’esistenza di una vulnerabilità e alla costatazione della sua presenza nel perimetro (Vulnerability Identification), al fine di misurare poi il tempo necessario a che la vulnerabilità sia sanata (Remediation), ammesso che sia già noto un metodo. L’urgenza dell’intervento correttivo è un ulteriore parametro in gioco (nel momento che esistano soluzioni) nella realizzazione di un “Remediation Plan”, in quanto il tempo a disposizione per risolvere è comune a tutte le problematiche, pertanto per avvicinare il momento che sani la vulnerabilità più insidiosa occorre fare delle scelte.