Trend Micro - Securing Your Journey to the Cloud

one site fits all
Pericolo all’orizzonte: le attuali vulnerabilità premettono attacchi imminenti

Pericolo all’orizzonte: le attuali vulnerabilità premettono attacchi imminenti

Le catastrofi, siano esse opera dell’uomo o naturali, arrivano spesso senza preavviso. Ma le crisi possono essere evitate, se i segnali vengono individuati per tempo. Abbiamo analizzato nel dettaglio i più significativi incidenti verificatisi nell’ambito della sicurezza nell’ultimo trimestre, e abbiamo ipotizzato che possano annunciare pericoli più gravi e distruttivi nel prossimo futuro. Possiamo considerare queste minacce come le onde di un sismografo: importanti segnali di un terremoto imminente. Sono movimenti che nei prossimi mesi potrebbero dare una reale scossa al settore della sicurezza. Siamo preparati a prevenire queste eventualità prima che si concretizzino?

Le informazioni ottenute dalle violazioni di dati hanno innescato estorsioni e ulteriori attacchi

Il terzo trimestre del 2015 ha visto realizzarsi una delle ipotesi più pessimistiche mai avanzate in materia di sicurezza: che le informazioni ottenute da una violazione di dati fossero utilizzate per sferrare altri attacchi, come ricatti ed estorsioni.

[Leggi: Difetti di Flash Player senza patch: altri POC rilevati nella violazione Hacking Team (ingl.)]

L’attacco contro Hacking Team, segnalato all’inizio di luglio, rappresenta un caso esemplare di questo scenario. Il dump di 400 GB di informazioni rubate ha condotto alla scoperta di cinque importanti vulnerabilità zero day e di alcuni strumenti di spionaggio per iOS e Android. Alcune di queste vulnerabilità sono quindi state utilizzate negli attacchi Angler Exploit Kit in Giappone e Corea e nell’operazione che ha compromesso i siti Web dei governi di Taiwan e Hong Kong.

[Leggi: Vulnerabilità Flash Zero-Day di Hacking Team integrata nei kit di exploit (ingl.)]

Siamo convinti che assisteremo a molti altri di questi attacchi a “reazione a catena”. Anche le aziende più grandi e sicure possono essere vittime di violazioni, se gli aggressori riescono a carpire dati dai partner più piccoli e meno protetti. Anche i dati personali dei consumatori possono essere esposti a rischi, se le aziende continuano a subire violazioni a causa di questa serie di attacchi paralleli.

[Leggi: Vulnerabilità Flash Zero-Day di Hacking Team legata agli attacchi in Corea e Giappone del 1° luglio (ingl.)]

Le organizzazioni e le aziende devono ora assegnare la massima priorità alla sicurezza e prepararsi agli inevitabili tentativi di violazione dei dati.


Il cyberspazio è diventato più pericoloso. Quelli descritti non sono casi isolati. Per questo motivo, le aziende devono rettificare i loro piani di risposta agli incidenti per gestire l’arrivo di fasi secondarie di attacco, siano esse ulteriori violazioni o l’impiego dei dati rubati per compiere azioni criminali o estorsioni ai danni degli utenti cui appartengono. L’obiettivo principale dei sistemi di protezione sarà vanificare le intrusioni, per cui è essenziale ridurre al minimo il tempo di permanenza dell’aggressore. Dobbiamo cioè contrastare la sua capacità di mantenere una presenza negli host e impedirgli di far propagare la minaccia. Schermatura virtuale, integrazione dei sistemi di rilevamento delle violazioni con SIEM e monitoraggio dell’integrità dei file diventeranno strategie chiave per contenere gli attacchi del 2016. – Tom Kellermann, Chief Cybersecurity Officer

I nuovi attacchi hanno replicato i già esistenti problemi di iOS e Android

Il terzo trimestre del 2015 non è stato un periodo favorevole per le piattaforme mobili consolidate. È stato in questo periodo che si sono osservate le principali vulnerabilità, non solo su Android, ma anche su iOS di Apple. A causa dei difetti appena scoperti, sarebbe la prima volta che entrambe le piattaforme rischiano di essere vittima di una grave compromissione.

[Leggi: Trend Micro scopre una vulnerabilità che silenzia i dispositivi Android (ingl.)]

Posizione

Vulnerabilità Stagefright (CVE-2015-3824)

Data di rilevamento: luglio
Piattaforma: Android
Impatto: 94,1% di tutti i dispositivi Android
Descrizione: installazione di malware tramite MMS, un'app dannosa o un URL creato appositamente.

Vulnerabilità ANDROID-21296336

Data di rilevamento: luglio
Piattaforma: Android
Impatto: 50% di tutti i dispositivi Android
Descrizione: blocco dello schermo/audio dei dispositivi

Luglio 2015
Posizione

Vulnerabilità CVE-2015-3823

Data di rilevamento: agosto
Piattaforma: Android
Impatto: 89% di tutti i dispositivi Android
Descrizione: esecuzione casuale di codici e cicli di riavvio

CVE-2015-3842 (vulnerabilità Audioeffect)

Data di rilevamento: agosto
Piattaforma: Android
Impatto: versioni dalla 2.3 alla 5.1.1
Descrizione: esecuzione casuale di codici

Agosto 2015
Posizione

Vulnerabilità Quicksand

Data di rilevamento: agosto
Piattaforma: iOS
Descrizione: fughe di dati

Agosto 2015
Posizione

Rilevamento di minacce nei tool per sviluppatori (Xcode e Unity)

Data di rilevamento: settembre
Piattaforma: iOS
Descrizione: pubblicazione di app dannose nell’app store ufficiale di Apple

Vulnerabilità AirDrop

Data di rilevamento: settembre
Piattaforma: iOS
Descrizione: installazione di malware tramite vicinanza

Settembre 2015

[Leggi: MMS non è l’unico vettore di attacco per StageFright (ingl.)]

Tutte le vulnerabilità Android sopra elencate interessano mediaserver, il servizio Android responsabile dell’apertura e della visualizzazione dei file multimediali digitali (file d’immagine, audio e video) sulla piattaforma. I ricercatori Trend Micro hanno individuato in mediaserver un focolaio di queste gravi vulnerabilità, e avvertono che saranno sempre più numerose. Dopo tale scoperta, Google ha annunciato di voler passare in futuro a un processo di aggiornamento delle patch più regolare, per risolvere le vulnerabilità con maggiore efficienza.

[Leggi: Bug di Android Mediaserver blocca i dispositivi in un riavvio senza fine (ingl.)]

Anche se si può prevedere che le vulnerabilità di Android continueranno a esistere e perdurare, le rivelazioni su iOS di questo trimestre rendono la piattaforma vulnerabile ad attacchi più arditi e nocivi in futuro.


La quota di mercato della telefonia mobile di Apple stimola gli aggressori a compiere tentativi più decisi per sfruttare le app iOS. I severi criteri di protezione di Apple per la pubblicazione delle app iOS, tuttavia, stanno spingendo gli aggressori a ideare stratagemmi ancora più ingegnosi, come l’attacco tramite i tool e le librerie per sviluppatori. Siamo destinati a vedere altre minacce simili a “Ghost” in futuro. Gli aggressori potrebbero anche decidere di abusare di certificati e API (Application Programming Interfaces) per distribuire il malware su iOS. Per contrastare questa situazione, Apple deve irrigidire costantemente i propri criteri di pubblicazione delle app. – Ju Zhu, Mobile Threat Researcher

Gli indiscriminati attacchi malware ai POS hanno interessato un numero crescente di PMI

Nel terzo trimestre del 2015, le piccole e medie imprese sono state duramente colpite dagli attacchi malware ai POS (Point Of Sale), che hanno preso di mira una serie numerosa e casuale di obiettivi, nella speranza di colpire almeno uno o due tra quelli realmente ambiti.

[Leggi: Nuova minaccia GamaPOS si diffonde negli USA tramite Andromeda Botnet e colpisce 13 stati (ingl.)]

Il fenomeno è stato osservato a luglio, nell’ambito di una campagna di spam con tecnologia botnet Andromeda che ha distribuito una variante GamaPOS. Gli stessi messaggi di spam sono stati inviati anche a destinatari non nel mirino, nella speranza di colpire i dispositivi POS. Gli aggressori hanno quindi utilizzato l’Angler Exploit Kit per trovare e attaccare i sistemi POS. Con l’uso di malvertisement e siti compromessi, sono stati in grado di portare il numero dei rilevamenti al 40% rispetto al trimestre precedente.

A settembre, gli aggressori hanno inviato messaggi di spam con varianti Kasidet/Neutrino dotate di funzionalità POS RAM scraping. Nel terzo trimestre, i rilevamenti di Kasidet hanno rappresentato il 12% del numero totale di rilevamenti di malware POS.

Il fatto che siano le PMI ad essere colpite si spiega, forse, con l’adozione di tecnologie di sicurezza più efficaci da parte delle grandi aziende. Le PMI, dotate di una protezione più debole, sono quindi un bersaglio più facile e invitante. Questo, insieme alla lentezza con cui si stanno adottando i sistemi di pagamento EMV/chip e PIN, è un chiaro segnale che altre PMI cadranno vittime del malware POS.


Il malware POS che prende di mira le PMI non è una novità, anzi è da tempo che se ne parla. Quel che è nuovo, invece, è che i criminali informatici siano passati dagli attacchi mirati alle tecniche tradizionali di attacco di massa, come spam, botnet e kit di exploit.

Ciò che non cambia è la minaccia che il malware rappresenta per il singolo che effettua pagamenti con carta di credito. Una rete a maglie più larghe è una strategia rischiosa perché il malware viene rilevato e neutralizzato in fretta, anche se è certo che mieterà nuove vittime. Probabilmente, una volta che i criminali informatici hanno individuato una nuova vittima e le hanno sottratto dei dati, la prendono ulteriormente di mira per rinnovati attacchi.– Numaan Huq, Senior Threat Researcher

Personaggi politici: obiettivi prediletti dello spionaggio informatico

Questo trimestre, Pawn Storm ha intensificato le proprie operazioni scegliendo di concentrare gli attacchi sulle forze armate di un paese NATO e su un’organizzazione del Ministero della Difesa statunitense. Ha anche ampliato i propri obiettivi fino a includere personalità di stampo politico in Russia, come attivisti, celebrità mediatiche e diplomatici. Anche il CEO di un’azienda di crittografia locale è stato attaccato, come pure uno sviluppatore di mail.ru.

[Leggi: Pawn Storm colpisce la squadra di indagine MH17 (ingl.)]

Nel mirino del gruppo criminale Rocket Kitten è stato riconosciuto un professore universitario di linguistica e cultura iraniana pre-islamica che aiutava dei ricercatori informatici con lo studio Thamar Reservoir. Il gruppo ha anche attaccato il personale di infosec, e in particolare un ricercatore ClearSky.

Obiettivi della campagna Pawn Storm

I politici statunitensi e russi sono costantemente tra gli obiettivi di Pawn Storm sin dal 2011.


Obiettivi di Rocket Kitten di marzo e settembre 2015

Rocket Kitten ha colpito principalmente personale diplomatico e del settore affari internazionali oltre a ricercatori politici mediorientali.


Angler è ancora il kit di exploit più usato

Angler Exploit Kit è stato aggiornato all’inizio di luglio affinché includesse la vulnerabilità zero-day scoperta nel dump di dati di Hacking Team; ciò ha contribuito ad alimentare la sua reputazione di kit di exploit più aggressivo in termini di scelta delle vulnerabilità.

[Leggi: I kit di exploit Angler e Nuclear integrano l’exploit Flash Pawn Storm (ingl.)]


Numero di exploit integrati in Angler per trimestre

Diversi kit di exploit (HanJuan, SweetOrange e Fiesta) non hanno evidenziato alcuna attività questo trimestre.


Oltre a essere stato utilizzato per l’infezione malware dei POS, Angler è anche stato impiegato nell’attacco di malvertising che a fine settembre ha coinvolto 3.000 siti di alto profilo in Giappone.

A settembre gli aggressori sono stati scoperti a utilizzare il kit di exploit sul protocollo di crittografia Diffie-Helman per nascondere il traffico di rete.


Dispositivi Internet-ready: tormentati da problemi di sicurezza

Le ricerche basate sul nostro sistema di monitoraggio dei serbatoi delle pompe di benzina, Gaspot, hanno permesso di capire meglio come gli aggressori riescano a compromettere la sicurezza pubblica assumendo il controllo dei serbatoi di carburante e modificandone gli attributi. Ulteriori consultazioni con SHODAN hanno evidenziato che le forniture destinate all’uso da parte del pubblico, come impianti di riscaldamento, sistemi di sorveglianza e centrali elettriche, siano ugualmente prive di una protezione adeguata.

I ricercatori di Infosecurity Charlie Miller e Chris Valasek sono stati in grado di dimostrare come l’hacking remoto delle auto fosse una possibilità concreta. Per farlo hanno usato una Jeep Cherokee e sono stati in grado di assumere il controllo del motore, dei freni e di altri sistemi del mezzo semplicemente disponendo dell’indirizzo IP pubblico dell’auto.


Panorama delle minacce

Nell’ultimo trimestre, Trend Micro Smart Protection Network™ ha bloccato oltre 12 miliardi di minacce, proseguendo la tendenza di un calo complessivo del 20% dal 2012. La causa potrebbe essere individuata nel fatto che gli aggressori continuano a preferire l’attacco mirato a vittime ben selezionate (prevalentemente PMI e grandi aziende) per ottenere i risultati migliori.

Numero totale di minacce bloccate

3° trim. 2015

Livello di rilevamento (numero di minacce bloccate ogni secondo)

3° trim. 2015

Di queste minacce, le prime tre famiglie di malware conteggiate nell’ultimo trimestre sono state SALITY (81.000), DOWNAD/CONFICKER (71.000) e BARTALEX (48.000). Le varianti SALITY sono note per le loro routine dannose che prevedono la diffusione di file .EXE e .SCR infetti. Le varianti DOWNAD/CONFICKER sono note per la loro persistenza nello sfruttamento delle vulnerabilità e per l’elevata velocità di propagazione. A sette anni dalla sua comparsa, DOWNAD continua a essere uno degli esempi principali di malware. La ragione potrebbe risiedere nel fatto che gli utenti (tendenzialmente aziende) utilizzano ancora versioni di Windows obsolete e non supportate come XP, che sono quindi vulnerabili alla minaccia.

BARTALEX si è unito in questo trimestre alle fila del malware principale a causa degli attacchi malware basati sulle macro dello scorso luglio. BARTALEX utilizza generalmente i documenti Microsoft Word® allegati che funzionano come downloader UPATRE.


Principali famiglie di malware

*sulla base dei rilevamenti su PC


SCARICA IL RAPPORTO COMPLETO (PDF/INGL.)


Pericolo all’orizzonte: le attuali vulnerabilità premettono attacchi imminenti