Trend Micro - Securing Your Journey to the Cloud

one site fits all

Ondata crescente: nuovi attacchi minacciano le tecnologie pubbliche

Considerando le testimonianze dello scorso trimestre come suggerimenti, potremmo intravedere chiaramente l'arrivo di una nuova ondata di minacce che interesserà le persone a un livello più pronunciato e fisico. Gli aggressori hanno individuato ulteriori lacune di sicurezza da sfruttare, sia nelle esistenti tecnologie destinate al pubblico sia nei nuovi sviluppi dell'Internet delle cose. Un simile aumento di attacchi imminenti comporta anche l'ingresso in scena di nuovi criminali informatici, operatori indipendenti che utilizzano semplici minacce informatiche per compiere operazioni regionali su vasta scala. Anche se le forze dell'ordine stanno facendo passi in avanti nella lotta a favore della sicurezza informatica, le minacce persistono.


La recente violazione delle tecnologie causa l'interruzione dei servizi pubblici

In passato, abbiamo già avuto modo di capire quanto siano sensibili agli attacchi informatici alcuni sistemi di trasporto automatici e attualmente siamo in presenza di possibili minacce nel settore dell'aviazione. Il primo incidente si è verificato quando il ricercatore di sicurezza, Chris Roberts, ha inviato un tweet in cui sosteneva di aver manomesso i sistemi di bordo dell'aereo 737/800 su cui si trovava. A questo episodio ha fatto seguito un attacco DDoS all'aeroporto Okecie di Varsavia che ha provocato ritardi, tenendo a terra oltre 1.400 passeggeri di LOT Polish Airlines.

[Leggete: Attacchi in alta quota: c'è da preoccuparsi? (ingl.)]

I router sono stati il secondo bersaglio degli aggressori. I nostri ricercatori hanno rilevato un aumento degli attacchi che utilizzano le minacce informatiche che modificano il DNS mirati ai router domestici. La maggior parte delle infezioni rilevate ha interessato il Brasile, gli Stati Uniti e il Giappone. Il Brasile è stato il paese maggiormente colpito, con l'81% di infezioni. Questi attacchi avevano l'obiettivo di impadronirsi delle informazioni personali presenti sui dispositivi connessi ai router domestici utilizzando minacce informatiche.

[Leggete: Le minacce informatiche che modificano il DNS mettono gli occhi sui router domestici (ingl.)]

Questi attacchi avevano l'obiettivo di impadronirsi delle informazioni personali presenti sui dispositivi connessi ai router domestici utilizzando minacce informatiche che modificano il DNS. Come suggerisce il nome, le minacce informatiche che modificano il DNS cambiano il DNS di un router per fare in modo che tutti i dispositivi ad esso collegati carichino la versione dannosa dei siti Web ai quali tentano di accedere, inclusi i siti Web di home banking. Sebbene le minacce informatiche che modificano il DNS non siano una novità, la loro importanza continua ad aumentare poiché un numero sempre crescente di privati e aziende si connette a Internet delle cose.

[Leggete: Le minacce informatiche che modificano il DNS mettono gli occhi sui router domestici (ingl.)]

Infine, a inizio aprile, un attacco alla rete televisiva francese TV5 Monde ha paralizzato la rete aziendale, interrompendo tutte le trasmissioni per quattro ore. Gli aggressori inoltre hanno assunto il controllo degli account di social networking di TV5 Monde e li hanno utilizzati non solo per pubblicare propaganda ma anche per rivelare le informazioni personali dei parenti dei soldati francesi impegnati in operazioni militari.

[Leggete: L'attacco a TV5Monde: quattro ore che hanno cambiato il mondo (ingl.)]



Simili incidenti dimostrano che i criminali informatici stanno andando ben oltre i computer desktop e i dispositivi mobili. Stanno ampliando i propri obiettivi tanto da includere infrastrutture e gadget destinati al pubblico e per i quali in genere diamo per scontata la sicurezza.


Come in tutti i sistemi, sono presenti bug anche in questo sistema [aeroplano]; nessun sistema concepito dall'uomo e completamente privo di errori. Spetta ai governi e agli organismi di regolamentazione imporre ai fornitori (aerei e sistemi IFE) l'obbligo di andare oltre la semplice sicurezza mediante anonimato, di dimostrare la sicurezza dei sistemi esistenti e di risolvere le vulnerabilità che emergono. Chissà, forse i sistemi che vengono implementati verrebbero progettati in maniera solida e sicura e svolgerebbero un lavoro impeccabile nel tenere lontani gli aggressori. - Martin Rösler, Senior Director, ricerca sulle minacce

Gli operatori indipendenti della criminalità informatica si sono esposti in molte regioni; il ransomware e le minacce informatiche per PoS persistono

Nel secondo trimestre, è stato registrato un numero maggiore di istanze di operazioni di criminali informatici indipendenti. Frapstar, operatore canadese indipendente, ha tratto profitto dalla vendita di informazioni personali rubate. In Brasile, LordFenix ha fatto un colpaccio con la sua orda di cavalli di Troia per il banking online prodotti artigianalmente, ciascuno del valore di circa 300 dollari. Analogamente, AlejandroV è riuscito a sottrarre 22.000 numeri di carte di credito univoci con FighterPoS, la sua minaccia informatica per PoS.

[Leggete: FighterPoS: contrastare una nuova famiglia di minacce informatiche per PoS (ingl.)]

MalumPoS è un'altra minaccia informatica per PoS che ha fatto il suo ingresso in scena in questo stesso periodo. Questa minaccia informatica è stata rilevata mentre sottraeva informazioni dai sistemi in esecuzione su Oracle MICROS; ciò significa che 330.000 enti di tutto il mondo sono stati vulnerabili a questa minaccia, soprattutto negli Stati Uniti.


Numero di rilevamenti di minacce informatiche per PoS (1° trimestre 2014-2° trimestre 2015)

Il lieve declino di rilevamenti di minacce informatiche per PoS potrebbe essere dovuto al fatto che la minaccia ha raggiunto il suo punto di saturazione.
Le ultime versioni della minaccia nella prima metà dell'anno potrebbero costituire gli ultimi disperati tentativi di capitalizzare i guadagni realizzati.



[Leggete: Trend Micro individua MalumPoS (ingl.)]

Due criminali informatici nigeriani indipendenti hanno utilizzato Hawkeye, un semplice keylogger da 35 dollari, per prendere di mira le piccole imprese di tutto il mondo, in particolare quelle con sede in India, Egitto, Iran, Pakistan, Taiwan, Hong Kong, Russia, Francia, Germania e Stati Uniti.

[Leggete: In che modo due criminali informatici hanno guadagnato milioni utilizzando una minaccia informatica da 35 dollari (ingl.)]


Infezioni da ransomware a livello regionale (giugno 2015)

Paesi colpiti
Dal calendario riportato qui sopra emerge l'intenzione di distribuire ransomware in paesi specifici.
Questo ransomware include varianti TorrentLocker e CryptoWall.


Nel corso di questo trimestre, l'attività di ransomware è stata consistente. Nel solo mese di giugno, abbiamo rilevato infezioni da TorrentLocker e CryptoWall quasi ogni giorno negli Stati Uniti, nel Regno Unito, in Corea del Sud e in Cina. Abbiamo scoperto anche che in Cina tantissimi adolescenti (ingl.) guadagnano con il ransomware mobile.


Paesi colpiti da attacchi di minacce informatiche nel 2° trimestre 2015



HawkEye
Area Importo
India 1,8
Egitto 1,8
Iran 1,8
Pakistan 1,8
Taiwan 1,8
Stati Uniti 1,8
Hong Kong 1,8
Russia 1,8
Francia 1,8
Germania 1,8
LordFenix
Area Importo
Brasile 2,3
Argentina 0
Messico 0
Frapstar
Area Importo
Canada 4
Stati Uniti 4
EMOTET
Area Importo
Germania 2,3
Paesi Bassi 0
Italia 0
Ransomware mobile cinese
Area Importo
Cina 4
Mongolia 0
Thailandia 0
TorrentLocker
Area Importo
Australia 1,1
Turchia 1,1
Francia 1,1
Germania 1,1
Italia 1,1
Nuova Zelanda 1,1
Polonia 1,1
Spagna 1,1
Taiwan 1,1
Regno Unito 1,1
Stati Uniti 1,1
TorrentLocker
Area Importo
Australia 1,1
Taiwan 1,1
Corea del Sud 1,1
Giappone 1,1
Francia 1,1
India 1,1
Canada 1,1
Regno Unito 1,1
Stati Uniti 1,1


In futuro, assisteremo a un'integrazione di minacce vecchie e nuove, combinate per raggiungere lo stesso obiettivo. Chi si occupa di protezione deve iniziare a prendere in considerazione le minacce nuove e imminenti mentre affronta quelle vecchie e controlla i potenziali attacchi mirati. Per combattere le minacce, raccomando di utilizzare una strategia definita chiaramente. Oltre a esaminare gli eventi particolari all'interno di un host, è opportuno assicurarsi anche di poterli mettere in relazione con gli eventi all'interno della rete. - Jay Yaneza, Threats Analyst

Le iniziative delle forze dell'ordine hanno dato i loro frutti poiché i governi hanno privilegiato la sicurezza

Alcune delle vittorie ottenute in questo trimestre in materia di sicurezza sono state possibili attraverso le partnership tra pubblico e privato. Trend Micro ha collaborato con l'Interpol e l'Europol per neutralizzare due noti botnet: SIMDA e BEEBONE. "La serie di successi continua", ha affermato a maggio Ross Ulbricht, creatore di Silk Road. Il suo esperimento è servito a fare ulteriormente luce sui mercati del Web invisibile in cui è possibile trovare dai passaporti contraffatti ai contratti di omicidio.


[Leggete: Mondo sommerso: alla scoperta del Web invisibile (ingl.)]

Sono degni di nota alcuni passi da gigante compiuti in materia di legislazione sulla sicurezza e a favore della privacy. Le novità più rilevanti sono state introdotte negli Stati Uniti con la firma del Freedom Act e con l'obbligo imposto dal governo statunitense di utilizzare HTTPS per tutti i siti Web federali.


Uno dei maggiori problemi che la criminalità informatica pone alla legislazione è rappresentato dalla sua rapida evoluzione. La maggior parte delle leggi impiega dai 3 ai 5 anni per essere approvata. Pertanto, la normativa generale che è in circolazione da più tempo è quella più pertinente. Di conseguenza, come è successo negli Stati Uniti, è stato possibile arrestare persone accusate di far parte della criminalità organizzata o di racket. Queste leggi non sono specifiche per i crimini "informatici", ma sono risultate utili. In generale, sarebbe necessario standardizzare le leggi dei vari paesi.

In fin dei conti, Internet è globale. Pertanto, anche la criminalità informatica è globale, quindi sarebbe molto più semplice perseguire le persone se la legge in merito agli attacchi contro i server fosse esattamente la stessa in Germania, in Irlanda o in Francia. Ci sarebbero meno complicazioni in occasioni di simili incidenti. Ecco quindi che la cosa più importante è riuscire a semplificare la comunicazione all'interno delle partnership tra pubblico e privato. Se la comunicazione è semplice, le forze dell'ordine e i ricercatori di sicurezza riescono a scambiarsi agevolmente le informazioni. - Robert McArdle, Senior Threat Research Manager

La violazione dei dati dell'OPM è, ad oggi, l'incidente di maggiore portata mai avvenuto per l'impatto nazionale e politico che ha avuto

A giugno, le informazioni personali di oltre 21 milioni di dipendenti federali (ex e attuali), nonché dei membri delle rispettive famiglie e dei candidati esclusi, sono state rese vulnerabili in seguito a una serie di violazioni di dati ai danni dell'Office of Personal Management degli Stati Uniti. I dati includevano codici fiscali e persino impronte digitali.

[LEGGETE: Violazione dei dati federali: il più prolifico della storia (ingl.)]

Anche l'IRS è stato oggetto di una violazione di dati che ha interessato 100.000 contribuenti. Gli aggressori dell'attacco hanno sottratto i dati con un'applicazione Web dell'IRS contraffatta.


Principali violazioni di dati rilevate (2° trimestre 2015)

Luogo

Japan Pension Service

Data rilevamento: 1 giugno 2015
Settore: rendita
Impatto: 1 milione di vittime (dati personali, tra cui codici fiscali)

OPM, Washington DC

Data rilevamento: 4 giugno 2015
Settore: pubblica amministrazione
Impatto: 21,5 milioni di vittime (codici fiscali)

Giugno 2015
Luogo

CareFirst BlueCross BlueShield, Baltimora, Maryland

Data rilevamento: 20/05/2015
Settore: assistenza sanitaria
Impatto: 1,1 milioni di vittime

IRS, Washington DC

Data rilevamento: 26/05/2015
Settore: pubblica amministrazione
Impatto: 100.000 vittime

Maggio 2015
I principali obiettivi degli attacchi di questo trimestre sono state le pubbliche amministrazioni. La violazione dell'OPM è stato l'incidente di maggiore portata mai avvenuto finora, in quanto ha reso vulnerabili oltre 20 milioni di dati personali.

Fonte: https://www.privacyrights.org/data-breach

In un certo senso, è più grave se sono le informazioni personali a venire rubate. Posso cambiare facilmente la mia carta di credito ma, a meno che non traslochi, non posso cambiare il mio indirizzo. Né posso cambiare la mia data di nascita. Le informazioni di identificazione personale non solo identificano gli utenti, ma sono anche spesso difficili, se non impossibili, da cambiare. - Raimund Genes, Chief Technology Officer

Gli ultimi attacchi contro le pubbliche amministrazioni hanno evidenziato la presenza di motivazioni politiche dietro alle campagne mirate

La Casa Bianca e la NATO sono state le ultime vittime di Operation Pawn Storm, una campagna di spionaggio informatico di tipo politico ed economico scoperta lo scorso anno. Al contempo, gli enti pubblici di Filippine e Taiwan sono state vittime di due altre campagne di attacchi mirati: Tropic Trooper e ESILE.

[Leggete: Operation Pawn Storm intensifica la propria attività e prende di mira NATO e Casa Bianca (ingl.)]

I paesi che hanno cercato di arrestare le capacità di sviluppo nucleare dell'Iran hanno dovuto far fronte agli attacchi Duqu 2.0 che utilizzavano numerose vulnerabilità zero-day. Contemporaneamente, altri autori di minacce hanno iniziato a utilizzare il macro malware nelle campagne di attacchi mirati, quali GHOLE. Questo spiega la costante crescita del volume di macro malware registrata nell'ultimo trimestre.


Rilevamenti di macro malware (2014 - 1° semestre 2015)

Il numero di rilevamenti di macro malware aumenta leggermente trimestre dopo trimestre, molto probabilmente a causa di un maggiore uso negli attacchi di malvertisement che indirizzava sui siti per il download di macro malware.


Generalmente, gli attacchi mirati contro gli obiettivi politici e contro le aziende sono piuttosto simili. Tuttavia, si differenziano leggermente per motivazione e risultato finale. Spesso gli attacchi politici utilizzano minacce zero-day in abbinamento ai "tradizionali" vettori di attacco. Di contro, gli attacchi contro le aziende utilizzano generalmente metodologie "standard" dal momento che fanno quasi sempre affidamento sull'elemento umano, l'anello più debole della catena. - Kyle Wilhoit, Senior Threat Researcher

Le infezioni secondarie proliferano per via di tre fenomeni infausti. In primo luogo, un numero sempre maggiore di aggressori prende di mira la catena di approvvigionamento di informazioni delle aziende, sfruttando island hopping per compromettere gli host interni. In secondo luogo, in seguito a una compromissione, l'uso della steganografia consente di stabilire un secondo canale C&C all'interno dei sistemi compromessi, permettendo all'avversario di contrastare con efficacia la risposta agli incidenti. In terzo luogo, dopo essersi impossessati della proprietà intellettuale o delle informazioni di identificazione personale, i criminali informatici utilizzano il marchio dell'azienda per attaccare il relativo bacino di utenti mediante attacchi watering-hole. Questi attacchi sono aumentati in maniera esponenziale nei primi sei mesi del 2015. - Tom Kellermann, Chief Cybersecurity Officer


Le vulnerabilità hanno minacciato i siti Web e i dispositivi mobili destinati al pubblico



Ad aprile, WordPress, piattaforma di blog, è stata interessata da una vulnerabilità che ha consentito agli aggressori di inserire codice JavaScript dannoso nella finestra del browser dell'amministratore. Magento, piattaforma di e-commerce utilizzata da eBay e da più di altri 240.000 siti di shopping online a livello mondiale, è stata sconvolta da una vulnerabilità identificata a fine giugno. L'ampio bacino di utenti di queste applicazioni Web dimostra che le vulnerabilità di queste piattaforme sono tanto pericolose quanto quelle rilevate nel software tradizionale.

[Leggete: La piattaforma di e-commerce utilizzata da eBay, Magento, è stata attaccata da ladri di dati di carte di credito (ingl.)]

Anche le piattaforme mobili sono state interessate da una discreta quantità di vulnerabilità, come la vulnerabilità SwiftKey Android (ingl.), che consente agli aggressori di assumere il controllo dei dispositivi mobili degli utenti. È stata distribuita una patch, ma la frammentazione dei dispositivi ne impedisce ancora l'implementazione sui dispositivi colpiti. Sono stati rilevati imponenti difetti alla sicurezza anche nelle sandbox di applicazioni che proteggono i sistemi OSX e iOS.



Gli aggressori sfruttano le vulnerabilità e i punti deboli di tutte le piattaforme. Hanno solo bisogno di trovare il modo di entrare. Le aziende devono prestare molta attenzione alle vulnerabilità dei principali software e plug-in utilizzati. È necessario integrare un programma di valutazione delle vulnerabilità mirato e continuo con un programma di valutazione delle configurazioni. Anche se le vulnerabilità del software standard, come Flash, Java, Firefox e Internet Explorer®, vengono utilizzate come criteri per tracciare il panorama delle minacce, non dobbiamo dimenticare che le vulnerabilità delle applicazioni personalizzate (soprattutto applicazioni Web) sono numerose e che molte non compaiono nell'elenco CVE. Le applicazioni personalizzate vanno sottoposte a verifiche personalizzate. Un ottimo test di penetrazione da eseguire sulle applicazioni personalizzate ripaga sempre. - Pawan Kinger, Director, Deep Security Labs

I numeri di accesso di Angler Exploit Kit sono triplicati, si tratta dell'integrazione di exploit nei kit più veloce mai avvenuta prima

In seguito all'individuazione di ulteriori vulnerabilità, anche i kit di exploit sono stati rapidamente aggiornati affinché le includessero. Angler Exploit Kit è l'esempio lampante di tale comportamento. Si tratta del primo kit in cui le vulnerabilità sono state integrate quasi contemporaneamente alla loro individuazione. Questo spiega l'aumento del conteggio delle infezioni dal 1° al 2° trimestre 2015, nonché l'incremento del numero di utenti che ha eseguito l'accesso a URL connessi al kit di exploit tra maggio e giugno. Angler è particolarmente noto perché utilizza vari exploit di Adobe Flash Player, insieme ad altri kit di exploit, come Nuclear e Magnitude.


Cronologia delle vulnerabilità di Adobe Flash integrate nei kit di exploit, 2° trimestre 2015


Gli exploit per le vulnerabilità di Adobe Flash sono state integrate in un numero sempre crescente di kit di exploit (soprattutto Angler) dall'inizio dell'anno.



Gli sviluppatori di Angler Exploit Kit aggiungono al kit gli exploit di Adobe Flash in modo attivo e aggressivo. Gli sviluppatori dei kit di exploit Magnitude e Nuclear fanno altrettanto. Per proteggere meglio i nostri clienti, dobbiamo continuare a studiare e monitorare questa agilità. - Joseph C. Chen, Threats Analyst

Panorama delle minacce

Trend Micro Smart Protection Network™ ha bloccato oltre 12 miliardi di minacce nell'ultimo trimestre, registrando un calo rispetto ai 14 miliardi di minacce dell'inizio dell'anno. Questo calo potrebbe essere dovuto al fatto che adesso i criminali informatici si concentrano sugli attacchi piuttosto che sull'uso di un approccio che mira a infettare chiunque.

Numero totale di minacce bloccate

2° trimestre 2015

Livello di rilevamento (numero di minacce bloccate ogni secondo)

2° trimestre 2015

Di queste minacce, le prime tre famiglie di minacce informatiche conteggiate nell'ultimo trimestre sono state SALITY (88.000), DOWNAD/CONFICKER (77.000) e GAMARUE (58.000). Le varianti SALITY sono note per le loro routine dannose che includono la diffusione di file .EXE e .SCR infetti. Le varianti DOWNAD/CONFICKER sono note per la loro persistenza nello sfruttamento delle vulnerabilità e per l'elevata velocità di propagazione. Le varianti GAMARUE sono in grado di sottrarre informazioni e di assumere il controllo di un sistema per sferrare attacchi su altri sistemi.


Principali famiglie di minacce informatiche

*sulla base dei rilevamenti su PC

Il numero totale di applicazioni dannose e ad alto rischio per Android sale a circa 7,1 milioni. Si tratta di un aumento del 31% rispetto al 1° trimestre 2014 (5,4 milioni).

SCARICA IL RAPPORTO COMPLETO


Ondata crescente: nuovi attacchi minacciano le tecnologie pubbliche