Il paradosso delle minacce cyber

Man mano che gli ambienti diventano gradualmente più interconnessi, le minacce diventano sempre più complesse. I principali eventi relativi alla sicurezza dell'anno scorso lo dimostrano, e le loro ripercussioni rendono ancora più importante l'implementazione di protezioni intelligenti.

L'anno scorso si sono verificati gravi attacchi ransomware, che si sono trasformati in eventi di portata mondiale e pare abbiano avuto per le aziende un costo di miliardi di dollari. È stato anche riscontrato che le minacce note, come la BEC (Business Email Compromise, Compromissione delle email aziendali), continuano a rappresentare un pericolo costante per le aziende. Al contempo, l'instabilità delle criptovalute ha destabilizzato il panorama delle minacce, poiché il valore delle prime è cresciuto in modo rapido e repentino. Per poter agire in questo ambiente, i criminali informatici hanno modificato le vecchie tecniche per trarre beneficio dalle cripto tendenze, cercando anche di sfruttare in modo nuovo le vulnerabilità note.




Il ransomware provoca un numero maggiore di attacchi a livello mondiale, nonostante l'esigua quantità di attori


Il ransomware provoca un numero maggiore di attacchi a livello mondiale, nonostante l'esigua quantità di attori

Nel 2016, il numero di nuove famiglie di ransomware è aumentato del 32% arrivando a 327, a dimostrazione del fatto che vi erano ancora sviluppatori di ransomware attivi che cercavano di trarre vantaggio dalla tendenza alla stasi. Tuttavia, le minacce legate al ransomware che sono state rilevate dall'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ sono andate nella direzione opposta e sono diminuite del 41%. A quanto risulta, nel 2017 solo un numero ristretto di queste nuove famiglie ha effettivamente avuto un impatto.



2016
2017
Nel 2017 sono emerse altre famiglie di ransomware: Confronto del numero totale delle nuove famiglie di ransomware rilevate
247
Nuove famiglie nel 2016
327
Nuove famiglie nel 2017



2016
2017
Meno attori importanti, nonostante l'aumento delle nuove famiglie di ransomware: Confronto del numero totale delle minacce legate al ransomware rilevate
1,078,091,703
Minacce legate al ransomware del 2016
631,128,278
Minacce legate al ransomware del 2017

Ma gli eventi di ransomware che hanno colpito gli utenti erano considerevolmente più grandi. Questi attacchi diffusi hanno colpito diversi paesi e pare abbiano provocato danni di miliardi di dollari statunitensi. Oltre ai due più noti, WannaCry e Petya, c'è stato il caso più recente di Bad Rabbit, a ottobre il ransomware ha colpito numerose aziende tra Russia, Europa dell'Est e Stati Uniti.

La differenza è stata netta rispetto al 2016, anno in cui sono stati registrati più incidenti di ransomware, ma l'entità dei danni in genere era circoscritta agli uffici locali e il riscatto richiesto era solo di decine di migliaia di dollari.

Famiglie di ransomware predominanti: Principali famiglie di ransomware del 2017 ancora attive dal 2016

Il ransomware rimane una minaccia evidente e costante, poiché molte vecchie famiglie colpiscono ancora gli utenti di tutto il mondo. Nel contempo, i recenti attacchi dimostrano che le nuove famiglie stanno diventando sempre più sofisticate e stanno raggiungendo obiettivi più consistenti. Gli sviluppatori sono in fase di costante sperimentazione e cercano di trovare strategie efficaci. Nel 2017, hanno utilizzato vari metodi nuovi; ad esempio, molti hanno utilizzato l'infezione senza file e delle tecniche aggiuntive di evasione del machine learning di pre-esecuzione per sfruttare le vecchie vulnerabilità.

Un ransomware efficace di solito viola le tecniche e gli exploit conosciuti. Le aziende dovrebbero quindi essere scrupolose e adottare politiche di patch adeguate, proteggendo al contempo i propri sistemi con soluzioni multilivello.


Le minacce adattabili sfruttano le vulnerabilità note in modi nuovi


Le minacce adattabili sfruttano le vulnerabilità note in modi nuovi

Diverse vulnerabilità cruciali e controverse sono state sfruttate dai criminali informatici e utilizzate per le principali operazioni di ransomware. In particolare, queste hanno incluso quelle note che sono state sfruttate dagli exploit EternalBlue ed EternalRomance. Il primo è stato utilizzato negli attacchi di WannaCry e Petya , mentre il secondo è stato utilizzato anche negli attacchi di Petya e successivamente nel caso di Bad Rabbit.

Le vulnerabilità note sono state sfruttate anche per scopi diversi dalla diffusione del ransomware. EternalBlue è stato utilizzato anche da un malware criptominer per diffondersi senza file. La vulnerabilità Dirty COW di Linux, invece, è stata utilizzata da ZNIU per compromettere dispositivi Android specifici.


VULNERABILITÀ ZERO-DAY
VULNERABILITÀ ZERO-DAY (SCADA)
2016
60
2017
119
2016
46
2017
113


Un netto aumento delle vulnerabilità zero-day: Confronto tra il numero delle vulnerabilità zero-day e le vulnerabilità zero-day legate a SCADA tra il 2016 e il 2017

Nel 2017 si è registrato anche un aumento sostanziale, del 98%, delle vulnerabilità zero-day rilevate. Inoltre, delle 119 vulnerabilità zero-day, tutte tranne sei erano legate al controllo di supervisione e acquisizione dati (SCADA, Supervisory Control and Data Acquisition). Questa maggiore attenzione allo SCADA è particolarmente significativa, in quanto i grandi complessi industriali e le infrastrutture importanti si affidano a questa architettura di sistemi di controllo per svolgere le loro funzioni. Se sfruttate, le vulnerabilità zero-day possono comportare perdite e danni enormi.


In un clima di crescente consapevolezza della minaccia, le truffe BEC sono ancora in aumento


In un clima di crescente consapevolezza della minaccia,le truffe BEC sono ancora in aumento

I casi che si sono verificati in passato hanno messo in evidenza il rischio che le truffe BEC rappresentano per tutti i tipi di azienda, dalle grandi multinazionali alle piccole imprese. Ma nonostante la crescente consapevolezza, le truffe BEC hanno ancora prevalso e sono cresciute nel 2017. Un episodio, che è costato a un'azienda di trasporti giapponese 3,4 milioni di dollari statunitensi, è avvenuto proprio a dicembre. Nello specifico, questa truffa si è avvalsa di una tecnica diffusa, chiamata truffa del fornitore: impersonare un fornitore terzo e raggirare l'azienda per trasferire fondi. In un altro episodio avvenuto a luglio, diverse aziende in Germania hanno ricevuto falsi promemoria da parte di "dirigenti" che chiedevano al personale contabile di inviare fondi su conti fraudolenti.

I dati in nostro possesso mostrano che i tentativi sono aumentati rapidamente del 106% dal primo al secondo semestre del 2017. Sulla linea dell'anno precedente, le posizioni lavorative più mirate sono state quelle legate all'ambito finanziario: chief financial officer (CFO), controllore finanziario, responsabile finanziario e direttore finanziario. Quelle più raggirate, invece, sono state quelle dell'alta dirigenza: chief executive officer (CEO), amministratore delegato e presidente.

Tentativi di BEC registrati nel 2017

1° semestre
3175
2° semestre
6533

I tentativi di BEC sono aumentati più del doppio nel secondo semestre del 2017 rispetto al primo: Confronto tra i tentativi di BEC tra il primo e il secondo semestre del 2017


L'ascesa vertiginosa delle criptovalute fa da stimolo a nuovi malware di mining e ad altre minacce


L'ascesa vertiginosa delle criptovalute fa da stimolo a nuovi malware di mining e ad altre minacce

Il valore della criptovaluta, in particolare del bitcoin, è salito alle stelle nel secondo semestre del 2017. All'inizio di luglio, 1 bitcoin valeva circa 2.500 dollari statunitensi, mentre al 31 dicembre ne valeva più di 13.800. Questo aumento forte e rapido ha chiaramente spinto i criminali informatici a prendere di mira la criptovaluta con vari metodi. Alcuni hanno utilizzato attacchi di ingegneria sociale per arrivare direttamente ai portafogli di criptovalute, mentre altri hanno sviluppato vecchie minacce di ransomware per raggiungere lo stesso scopo. Ci sono stati persino tentativi di minare le criptovalute tramite malware mobili, sebbene il guadagno di cifre consistenti con questo metodo fosse improbabile.

Alcune aziende hanno cercato di investire sulle criptovalute utilizzando software di mining in alternativa alla pubblicità sul web, ma i criminali informatici sono stati in grado velocemente di trarre vantaggio anche da questi. A metà del 2017, i criminali informatici hanno iniziato a violare lo strumento di mining open source più conosciuto: Coinhive. A novembre, una variante violata di Coinhive si è classificata al sesto posto tra i malware più comuni al mondo, nonostante fosse stato concepito come un metodo alternativo legale per i siti web per guadagnare.

Queste minacce sono particolarmente rilevanti poiché le aziende stanno iniziando a utilizzare le criptovalute e persino a mettere in circolo le proprie; anche alcuni governi, compresi quello del Venezuela e quello di Dubai; negli Emirati Arabi, stanno creando le proprie criptovalute. Le soluzioni di sicurezza che prevedono machine learning ad alta fedeltà, servizi di reputazione web, monitoraggio del comportamento e controllo delle applicazioni possono contribuire a ridurre al minimo le conseguenze di tali minacce.

Panorama delle minacce

Nel 2017, l'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ ha bloccato oltre 66 miliardi di minacce. Oltre l'85% di queste minacce erano email con contenuti dannosi. Le email sono sempre state il canale di accesso più utilizzato dai criminali informatici per raggiungere gli utenti.

Panorama delle minacce

Nel 2017, l'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ ha bloccato oltre 66 miliardi di minacce. Oltre l'85% di queste minacce erano email con contenuti dannosi. Le email sono sempre state il canale di accesso più utilizzato dai criminali informatici per raggiungere gli utenti.

Minacce totali bloccate

66436980714


1° semestre 2016
28,658,837,969
1° semestre 2017
38,451,584,224
2° semestre 2016
53,226,272,934
2° semestre 2017
27,985,396,490


Meno minacce bloccate nel 2017 rispetto al 2016: Minacce complessive bloccate dall'infrastruttura Trend Micro Smart Protection Network, confronto tra 2016 e 2017

In confronto, nel 2016 sono state bloccate oltre 81 miliardi di minacce. Riteniamo che il calo del numero di minacce possa essere attribuito al passaggio da metodi approssimativi a un approccio più mirato agli attacchi.


Una variazione nella direzione del calcolo delle vulnerabilità: Confronto tra il numero di vulnerabilità per fornitore rilevate tra il 2016 e il 2017


Evento Numero di eventi
Mining delle criptovalute 45,630,097
Accesso con password predefinita TELNET 30,116,181
MS17-010 SMB 12,125,935
Accesso con forza bruta 3,714,051
ICMP BlackNurse 1,792,854
Altri 16,701,211

Il mining delle criptovalute e gli eventi TELNET hanno superato gli altri: Eventi di rete del 2017 in base ai dati forniti dalla soluzione Trend Micro™ Smart Home Network


Anno Violazioni dei dati divulgate Archivi colpiti
2016 813 3,310,435,941
2017 553 4,923,053,245

Meno divulgazioni, numero maggiore di archivi colpiti: Confronto tra il numero di violazioni di dati divulgate e il numero degli archivi colpiti tra il 2016 e il 2017

* Nota: La divulgazione della violazione dei dati da parte di Yahoo, comunicata nell'ottobre 2017, si riflette nel numero di archivi colpiti per il 2017. I valori sono calcolati sulla base dei dati forniti dalla Privacy Rights Clearinghouse.

Altre vicende rilevanti in materia di sicurezza del 2017 sono incluse nel nostro rapporto, nel quale forniamo dettagli su come i criminali informatici hanno violato i dispositivi IoT interconnessi e su quanto le grandi aziende siano state colpite da gravi violazioni dei dati. Leggi il nostro report annuale sulla sicurezza e scopri quali sono le novità nello scenario delle minacce e quali sono le strategie di sicurezza che è possibile utilizzare contro le minacce attuali ed emergenti.

SCARICA IL REPORT COMPLETO (PDF/ingl.)