Trend Micro - Securing Your Journey to the Cloud

one site fits all
Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice

Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice

All’inizio del 2015, ci siamo trovati di fronte a un paradosso: nessuna delle minacce prevalenti era nuova, gli schemi e gli attacchi osservati utilizzavano infatti tattiche estremamente comuni della criminalità informatica, e tuttavia tutte le minacce ancora eccezionalmente efficaci. A prescindere dall’efficienza con cui i singoli e le aziende implementavano misure di sicurezza di base, il più semplice dei punti ciechi aveva finito per lasciare tutti esposti. Chi poteva immaginare che le pubblicità online e mobili, le transazioni Over the Counter e persino i normali documenti Word potessero ancora causare tanti danni?


Gli attacchi delle pubblicità online distruggono la fiducia nella “catena di distribuzione”

Una fiducia completa e cieca nei fornitori o nei provider di servizi terzi può mettere a rischio gli utenti online. I criminali informatici utilizzavano pubblicità online infette per iniettare minacce informatiche BEDEP che si sarebbero automaticamente scaricate una volta visualizzate le pubblicità. Lenovo® ha indirettamente consentito che venissero sferrati attacchi di tipo man-in-the-middle (MitM) a seguito dell’inserimento di Superfish, una tecnologia di ricerca visiva che assume un comportamento simile all’adware, nei propri laptop di fascia consumer. Nel frattempo, gli aggressori dell’ambiente mobile hanno camuffato l’adware “MobiDash” o “MDash” su Google Play™ e lo hanno utilizzato per visualizzare pubblicità in grado di compromettere la sicurezza mobile degli utenti.

Questi attacchi sfruttano i sistemi di pubblicità online e mettono in luce lacune della sicurezza nella “catena di distribuzione”. Ciò a sua volta espone i visitatori dei siti alle minacce e potrebbe potenzialmente danneggiare la reputazione degli amministratori Web.

[Leggete: Malvertising: quando le pubblicità online sferrano l’attacco (ingl.)]

Come funziona il malvertising


prima
dopo
dopo
Schema sul funzionamento del malvertising

dopo
Schema sul funzionamento del malvertising

Per le persone normali, il malvertising rappresenta una delle più temibili minacce esistenti. Più di qualsiasi altra minaccia, le pubblicità dannose online note come malvertisement dall’unione di “malware” e “advertisement”, possono danneggiare le persone anche quando queste fanno tutte le cose giuste. Il malvertising può infatti colpire anche le persone che non cliccano sui collegamenti, che hanno aggiornato tutte le patch di sicurezza e che visitano soltanto siti fidati. In breve, non esiste un livello di prudenza capace di proteggervi dal malvertising: è soltanto questione di fortuna. - Christopher Budd (Global Threat Communications Manager)

Il crypto-ransomware penetra nelle aziende

I numeri legati al crypto-ransomware sono in costante aumento. Il numero delle infezioni è quadruplicato passando da 1540 nel 1° trimestre 2014 a 7844 nel 1° trimestre 2015. Le infezioni da crypto-ransomware costituiscono quasi la metà (49%) del volume totale del ransomware rilevato nell’ultimo trimestre.


Numero di infezioni da ransomware

Si prevede che il numero delle infezioni da crypto-ransomware continuerà a crescere. L’uso del ransomware è un ottimo metodo per monetizzare immediatamente un’infezione da minaccia informatica. Mettendo a confronto ricevere subito circa 500 USD e dover impostare una botnet, procurare gli utenti infetti, rubare le credenziali bancarie e ritirare il denaro dai conti bancari, è evidente che le infezioni da ransomware sono decisamente più immediate. In media, il ransomware frutta molto di più per singola infezione da minaccia informatica.
- Jon Oliver (Senior Architecture Director)

In particolare, la richiesta di riscatto per i file di lavoro è una costante. Alcune varianti di crypto-ransomware prevedono delle routine che prendono di mira direttamente le imprese. CryptoFortress, un software che emula TorrentLocker, è in grado di crittografare i file nelle condivisioni di rete con un comportamento legato alla condivisione delle risorse istituito in genere nelle reti aziendali.

Nel frattempo, Ransomweb (CRYPWEB) è in grado di crittografare i siti e i server Web. Anche se lo scorso anno sono state osservate routine analoghe, l’emergere di due routine nuove ha confermato l’elezione delle aziende a bersaglio preferito del crypto-ransomware.

Una nuova variante crypto-ransomware, CRYPAURA, è in grado di crittografare più di cento tipi di file. E nel frattempo, Teslacrypt prende di mira i gamer online. Sfruttando il modello “freemium” per determinare la buona fede, i criminali informatici sono stati in grado di ingannare i gamer prima di procedere alla loro distruzione.

[Leggete: Avvistamenti e tendenze del crypto-ransomware per il 1° trimestre 2015 (ingl.)]

Dato l’aumento nei numeri del crypto-ransomware e l’apparente espansione della sua copertura ai target aziendali, sono sempre di più i motivi che dovrebbero indurre i singoli e le aziende e potenziare i sistemi di backup e a garantire la protezione dei file.

[Fate il quiz: Come ve la cavereste in una reale catastrofe dei dati?]




Macro malware, modello primario per vecchie minacce rispetto ai nuovi utenti

La consapevolezza è mezza battaglia. L’incremento continuo del macro malware insegna alle nuove generazioni a guardare indietro alle vecchie minacce; l’ignoranza dei fatti potrebbe essere usata per sfruttarli. Le macro automatizzano le attività ripetitive in Microsoft Office® per risparmiare tempo, ma sono state disattivate per impostazione predefinita in Office 2003 per evitare che vengano sfruttate dalle minacce informatiche.


Numero di infezioni da macro malware al 1° trimestre 2015

Quando è stato aggiornato il formato da .DOC a .DOCX, Microsoft ha modificato la propria implementazione delle macro nei documenti Office, ma le macro sono comunque eseguibili. In passato, i criminali informatici utilizzavano il social engineering per indurre gli utenti ad eseguire le macro dannose nei documenti. Oggi, essi sfruttano anche le vulnerabilità in Office per eseguire la macro. - Numaan Huq (Senior Threat Researcher)

Affinché la minaccia informatica funzioni, gli utenti devono tuttavia attivare la funzione macro. Lo scorso trimestre, i criminali informatici hanno utilizzato allegati e-mail e hanno indicato alle loro vittime di attivare le macro per poterli leggere. Ciò ha consentito di scaricare la minaccia informatica per il banking online VAWTRAK. Anche il cavallo di Troia BARTALEX utilizzava i messaggi di spam e incorporava le macro affinché si diffondessero automaticamente nei sistemi degli utenti.

L’uso delle macro può anche essere visto come un tentativo compiuto dalle minacce per bypassare le tradizionali soluzioni anti-malware. Le macro utilizzate in queste minacce sono spesso offuscate e riescono quindi a superare potenzialmente i filtri o gli scanner dello spam, che sono molto più efficaci delle macro nel rilevare programmi eseguibili. Anche le macro attivabili tramite file in batch sono difficili da rilevare. Il sandboxing potrebbe non funzionare a causa dell’offuscamento o perché agli utenti era già stato chiesto esplicitamente di confermare l’apertura della macro, consentendo inconsapevolmente alle minacce informatiche di venire eseguite nel sistema.


La vulnerabilità FREAK evidenzia i problemi delle patch di vulnerabilità mancanti

La vulnerabilità FREAK arriva sulla scia delle note vulnerabilità dello scorso anno Shellshock, Heartbleed e POODLE. FREAK è una vulnerabilità che interessa il protocollo di autenticazione Transport Layer Security/Secure Sockets Layer (TLS/SSL) utilizzato da una miriade di siti e browser, compreso circa il 10% dei principali domini e i browser Web Android e Safari. Scoperto tramite la scomposizione delle chiavi di esportazione RSA (FREAK, factoring RSA export keys) e così battezzato, questo bug stabilisce in modo forzato una connessione sicura per utilizzare una crittografia più debole e rende così più facile ai criminali informatici decifrare le informazioni riservate.

Il fatto che la vulnerabilità FREAK esista da decenni e sfrutti il codice scritto anni addietro mette in luce gli annosi problemi della divulgazione delle vulnerabilità. L’assenza di responsabilità diretta per il patching di queste vulnerabilità rende assai più difficile agli amministratori IT mitigare i rischi. Situazioni di questo tipo richiedono soluzioni di terzi che cercano le vulnerabilità in modo indipendente e proattivo nei sistemi esistenti per abbreviare la finestra di esposizione ed evitare gli exploit.

[Leggete: Sviluppo di protezione senza tempo: non solo per le vulnerabilità zero-day o preesistenti (ingl.)]

Lo scorso trimestre abbiamo anche fatto la conoscenza di Ghost, una vulnerabilità di overflow del buffer nei sistemi operativi Linux. Anche se era stata inizialmente ritenuta una grave fonte di preoccupazioni, la vulnerabilità era già stata resa innocua con il patching ed era stata ridotta a una superficie di attacco estremamente limitata.


Principali vulnerabilità delle applicazioni Web rilevate nel 1° trimestre 2015



CLASSIFICAZIONE DELLA GRAVITÀ:

  • Fuga di indirizzi IP interni
    Rivelazione di informazioni sullo schema degli indirizzi IP delle reti interne.

    Gravità:
    BASSA
  • Divulgazione del percorso locale
    Può fornire agli aggressori un’idea sulle cartelle Webroot ecc. che essi possono utilizzare per plasmare attacchi personalizzati.

    Gravità:
    BASSA
  • Include la divulgazione del codice sorgente dei file
    Consente agli aggressori di ottenere l’accesso e compiere l’abuso delle informazioni sulla logica delle applicazioni sensibili individuate nei codici sorgente.

    Gravità:
    BASSA
  • Indicizzazione delle directory
    Interessa i server Web che visualizzano la pagina indice delle rispettive directory/sottodirectory virtuali quando vi hanno accesso gli agenti degli utenti.

    Gravità:
    MEDIA
  • Messaggi di errore dettagliati delle applicazioni
    Consente agli aggressori di poter accedere alle informazioni sensibili, compresa la logica delle applicazioni Web interne.

    Gravità:
    MEDIA
  • Dati di moduli sensibili trasmessi senza Secure Sockets Layer (SSL)
    Consente agli aggressori di ottenere i dati sensibili trasmessi tramite le applicazioni che non utilizzano SSL.

    Gravità:
    MEDIA
  • Cross-site scripting (XSS) non persistente
    Consente agli aggressori di iniettare script dannosi (generalmente lato client) nelle applicazioni Web.

    Gravità:
    ALTA
  • Scansione trasversale dei percorsi
    Sfrutta la convalida di sicurezza insufficiente nelle applicazioni Web note anche come attacchi “dot dot slash” o “scansione trasversale delle directory”.

    Gravità:
    ALTA
  • Possibili risorse sensibili rilevate
    Consente agli aggressori di ottenere informazioni sulle risorse che possono o meno essere collegate alla struttura delle applicazioni (vecchi backup, configurazione server, registro server/database, configurazione database ecc.)

    Gravità:
    ALTA
  • SQL injection
    Presenta gravi minacce a qualsiasi applicazione Web orientata dal database.

    Gravità:
    CRITICA






iOS, settore sanitario preso di mira nei recenti attacchi informatici e nelle violazioni dei dati

Lo scorso trimestre ha messo in luce due tendenze degne di nota osservate negli attacchi mirati e nelle violazioni dei dati: organizzazioni sanitarie come bersaglio e dispositivi iOS™ come vettori di attacco.

Il valore dei dati sanitari non è passato inosservato ai responsabili delle diverse violazioni dei dati sferrate contro gli assicuratori sanitari Anthem e Premera Blue Cross. Gli aggressori si sono impadroniti di nomi, indirizzi e-mail e altre informazioni personali di milioni di clienti e pazienti delle compagnie di assicurazione.


Cronologia delle violazioni sanitarie degne di nota

Località

Anthem

Paese: Stati Uniti
Record perduti: 80 mil.
Tipi di informazioni compromesse: nomi, date di nascita, ID dei membri, numeri di previdenza sociale, indirizzi, numeri di telefono, indirizzi e-mail, informazioni di lavoro


Premera Blue Cross

Paese: Stati Uniti
*rilevato in gennaio 2015 ma potrebbe essere avvenuto persino in maggio 2014
Record perduti: 11 mil.
Tipi di informazioni compromesse: nomi, date di nascita, indirizzi e-mail, indirizzi, numeri di telefono, numeri di previdenza sociale, ID dei membri, informazioni sui conti bancari, informazioni sulle richieste di indennizzo, informazioni cliniche

2015
Località

Sistemi sanitari locali

Paese: Stati Uniti
Record perduti: 4,5 mil.
Tipi di informazioni compromesse: cinque anni di dati dei pazienti, nomi, indirizzi, numeri di previdenza sociale

2014
Località

Advocate Medical Group

Paese: Stati Uniti
Record perduti: 4 mil.
Tipi di informazioni compromesse: nomi, indirizzi, date di nascita, numeri di previdenza sociale

2013
Località

National Health Service (NHS)

Paese: Regno Unito
Record perduti: 8,3 mil.
Tipi di informazioni compromesse: record dei pazienti non crittografati

2011
Località

Virginia Department of Health

Paese: Stati Uniti
Record perduti: 8,3 mil.
Tipi di informazioni compromesse: record dei pazienti, prescrizioni

2009

Milioni di dispositivi iOS che utilizzavano ancora iOS 7 sono stati messi a rischio tramite le app utilizzate nell’Operazione Pawn Storm. I ricercatori hanno individuato due app spyware compatibili con iOS 7 in grado di utilizzare il dispositivo per lo spionaggio. Sia quelli che hanno subito il jailbreaking che quelli che non l’hanno subito sono stati colpiti perché le app possono essere scaricate tramite la fornitura aziendale.

Nel frattempo, l’Operazione Woolen Goldfish, una campagna con motivazione politica che ha proseguito le operazioni avviate nel precedente trimestre, ha sferrato un attacco a diverse organizzazioni pubbliche e private israeliane ed europee tramite un file dannoso con hosting in Microsoft OneDrive®. Questa operazione è una delle due campagne gestite dal gruppo criminale Rocket Kitten, mentre l’altro è la campagna di minacce informatiche GHOLE.

Anche i rivenditori al dettaglio restano il bersaglio degli attacchi informatici mentre le infezioni da minacce informatiche Point-of-Sale (PoS) continuano ad aumentare. La campagna di minacce informatiche PoS orchestrata da un uomo solo, FighterPOS, aveva carpito oltre 22.000 numeri univoci di carte di credito dalla fine di febbraio all’inizio di aprile 2015.

Nel frattempo, la minaccia informatica PwnPOS, datata ma rilevata solo di recente e che si pensa sia esistita dal 2013, ha utilizzato un RAM scraper per cercare i dati e collegarsi a SMTP e carpire informazioni preziose.


I dati sanitari rappresentano il “sacro Graal” in termini di furto dei dati. Quando vengono rubati i dati delle carte di credito, i criminali hanno tempo fino all’annullamento per utilizzarli. Ma come si fa ad “annullare” il proprio numero di previdenza sociale? Non è possibile. I dati sanitari possono infatti essere utilizzati più volte per la frode finanziaria mentre i criminali aprono un conto dopo l’altro a vostro nome. Ma non è solo il vostro nome: i dati sanitari possono garantire informazioni sufficienti a facilitare il furto di identità non solo della vostra ma potenzialmente del vostro coniuge e dei vostri figli. Il ricatto è un altro ambito in cui le tattiche criminali tradizionali si sposteranno nell’arena della criminalità informatica. - Christopher Budd (Global Threat Communications Manager)

Kit di exploit nuovi e in evoluzione prevalenti sul Web

I kit di exploit, noti per essere metodi efficaci per erogare tattiche basate sul Web, sono esistiti dal 2006 e si sono poi sviluppati per adattare le nuove tecnologie alle loro routine. Nel mercato sommerso, i kit di exploit vengono facilmente venduti come programmi di minacce Web in movimento.

Rispetto allo stesso trimestre dello scorso anno, è stato rilevato un aumento del 30% negli attacchi con kit di exploit. In questi attacchi, le app più sfruttate sono state Java™, Adobe® e Internet Explorer.

È stato registrato un sensibile calo nel numero dei kit di exploit pubblicati di recente. Anche in questo caso, l’uso prevalente di kit di exploit vecchi e sviluppati dimostra che gli utenti Internet possono aspettarsi il proseguimento delle relative infezioni per il resto dell’anno e oltre.

Anche gli analisti delle minacce Brooks Li e Joseph Chen hanno osservato un andamento tormentato e hanno dichiarato che “gli exploit zero-day vengono ora distribuiti immediatamente nelle pubblicità dannose anziché essere utilizzati prima negli attacchi mirati contro le aziende o altre grandi organizzazioni.”

[Leggete: Kit di exploit e malvertising: una problematica combinazione (ingl.)]


I paesi più colpiti dagli attacchi legati ai kit di exploit


Non sorprende scoprire che gli attacchi dei kit di exploit sono ancora in aumento, persino dopo la nota operazione di smantellamento di Blackhole (BHEK) alla fine del 2013. La combinazione di malvertising e kit di exploit è uno dei principali motivi dell’aumento dei kit di exploit. Questa unione consente agli aggressori di dirottare i visitatori dei siti Web più seguiti, come YouTube, e di sfruttare le reti pubblicitarie per nascondersi. - Joseph Chen (Threat Analyst)

Difetti critici delle applicazioni Web, principali punti di ingresso

Come per le vulnerabilità lato client e lato server, è necessario applicare le patch alle vulnerabilità delle applicazioni Web, che rappresentano dei possibili punti di ingresso per gli aggressori. Tali applicazioni sono in grado di elaborare dati relativi all’attività aziendale e di archiviarli nei database back-end, che a loro volta potrebbero avere lacune nella sicurezza.

Le aziende sono particolarmente esposte agli attacchi che sfruttano le vulnerabilità della diffusa piattaforma PHP e che sono quasi totalmente legate alle vulnerabilità relative al server. A questi difetti, classificati da alti a critici, è stato applicato il patching nelle ultime versioni del programma.

Molte applicazioni Web sono particolarmente vulnerabili al cross-site scripting (XSS) non persistente (PDF/ingl.), un grave difetto a cui serve soltanto che gli utenti visitino gli URL inviati dagli aggressori perché questi ultimi possano accedere agli account personali degli utenti. Altri difetti critici delle applicazioni Web sono SQL injection, ovvero attacchi che emettono dichiarazioni SQL dannose per ottenere l’accesso, e OS commanding, attacchi che eseguono comandi a livello di sistema.


PANORAMA DELLE MINACCE

Trend Micro Smart Protection Network™ ha bloccato un totale di 14.006.002.252 minacce, vale a dire 14 miliardi di minacce, solo nel 1° trimestre 2015.

Numero totale di minacce bloccate

1° trimestre 2015

Tasso di rilevamento (numero di minacce bloccate al secondo)

1° trimestre 2015

Di queste minacce, le prime tre famiglie di minacce informatiche conteggiate lo scorso trimestre erano SALITY (85.000), DOWNAD/CONFICKER (83.000) e KRYPTIK (71.000). Le varianti di SALITY sono note per danneggiare in modo critico le routine tramite la diffusione di file .EXE e .SCR infetti. Le varianti di DOWNAD/CONFICKER sono note nel panorama delle minacce per la loro persistenza nello sfruttamento delle vulnerabilità e per la velocità di propagazione. Le varianti di KRYPTIK sono un tipo di cavallo di Troia utilizzato di recente per sferrare attacchi alle vittime nel periodo della dichiarazione dei redditi.

   

Principali famiglie di minacce informatiche

*in base ai rilevamenti PC

Esistono oggi 5.395.718, ovvero circa 5,4 milioni, di app Android dannose e ad alto rischio, pari a un aumento del 27% rispetto al 4° trimestre del 2014 (4,3 milioni). Di queste app, circa la metà sono app di adware che visualizzano contenuto pubblicitario generalmente senza il consenso degli utenti dei dispositivi mobili.


SCARICA IL RAPPORTO COMPLETO (PDF)