Tags Posts tagged with "ransomware"

ransomware

0 71

I malware e i ransomware continuano a flagellare l’Italia, che nel 2019 risulta il secondo Paese più colpito in Europa dai ransomware. Nelle classifiche mondiali invece, l’Italia è settima per attacchi malware subiti e quarta per macromalware. I dati emergono da “The Sprawling Reach of Complex Threats” il report di Trend Micro Research sulle minacce informatiche che hanno colpito l’anno passato.

Mondo: tornano a crescere gli attacchi ransomware

In tutto il mondo tornano a crescere i ransomware, che in Italia non si erano mai fermati. Nel 2018 il nostro Paese era infatti primo per attacchi in Europa. A livello generale Trend Micro ha rilevato nel 2019 un aumento del 10% di questo genere di attacco, nonostante una decrescita delle nuove famiglie del 57%, bloccando un totale di oltre 61 milioni di ransomware. Il settore più colpito rimane quello della sanità, con oltre 700 organizzazioni attaccate in tutto il mondo. Un altro trend che si mantiene in costante crescita è quello delle vulnerabilità, nel 2019 la Zero Day Initiative Trend Micro ha scoperto il 171% di vulnerabilità critiche in più rispetto all’anno precedente. Per proteggersi dalle moderne minacce, Trend Micro raccomanda una strategia di connected threat defense che metta al sicuro i gateway, le reti, i server e gli endpoint.

Italia: cosa è successo nel 2019

  • Ransomware – Nel 2019 l’Italia è stato il secondo Paese più colpito in Europa, con il 12,68% dei ransomware di tutto il continente. La percentuale è uguale al 2018. Al primo posto l’Italia è stata preceduta dalla Germania, segue la Francia.
  • Malware – Il numero totale di malware intercettati in Italia nel 2019 è di 17.120.526. L’Italia occupa la posizione numero sette a livello mondiale
  • Visite a siti maligni – Le visite ai siti maligni sono state 7.915.566. I siti maligni ospitati in Italia e bloccati sono stati 851.725
  • Le minacce arrivate via mail sono state 384.376.157
  • Online Banking – i malware di online banking intercettati sono stati 4.326
  • App maligne – Il numero di app maligne scaricate nel 2019 è di 185.747
  • Exploit Kit – Gli attacchi Exploit Kit sono stati 4.222

In tutto il mondo, Trend Micro ha bloccato nel 2019 un totale di 52 miliardi di minacce (52.265.509.014).

 

I malware e i ransomware continuano ad abbattersi sull’Italia, che risulta ai primi posti delle classifiche mondiali per questo genere di attacchi. Il nostro Paese è infatti il quarto al mondo più colpito dai malware e il dodicesimo per quanto riguarda le incursioni ransomware. Il dato emerge da “Evasive Threats, Pervasive Effects”, il report sulle minacce informatiche del primo semestre 2019, a cura di Trend Micro Research.

A livello globale, il report mostra come nei primi sei mesi dell’anno gli attacchi fileless siano cresciuti del 265% e come gli attaccanti stiano sviluppando minacce sempre più invisibili ai tradizionali filtri di security, nel momento in cui possono essere eseguite nella memoria del sistema, risiedere nel registro o abusare di strumenti legittimi. Nella prima metà dell’anno sono aumentati anche gli exploit kit, registrando un +136%. Ma la minaccia maggiormente rilevata rimane quella dei malware per il cryptomining, liberati nei server e negli ambienti cloud. Anche i router coinvolti in possibili attacchi sono cresciuti del 64%. Gli schemi di digital extorsion sono aumentati vertiginosamente del 319% dalla seconda metà del 2018 e le truffe Business Email Compromise si confermano tra le maggiori minacce, con un aumento del 52%.

Italia: i numeri della prima metà del 2019

  • Malware – Il numero totale di malware intercettati in Italia nella prima metà del 2019 è di 9.336.995. L’Italia è il quarto Paese più colpito al mondo. Sul podio Stati Uniti, Giappone e Francia
  • Ransomware – Nel primo semestre 2019 l’Italia è il dodicesimo Paese più colpito al mondo con una percentuale di attacchi del’1,96%. In Europa perde il triste primato mantenuto per tutto il 2018 ed è seconda solo alla Germania
  • Le minacce arrivate via mail sono state 225.602.240
  • Gli URL maligni visitati sono stati 3.886.272
  • Il numero di app maligne scaricate nella prima metà del 2019 è di 12.660, in crescita rispetto alle 10.662 della prima metà del 2018
  • Nella prima metà del 2019 sono stati 2.146 i malware di online banking che hanno colpito l’Italia. In crescita rispetto ai 1.901 del primo semestre 2018
  • Gli Exploit Kit rilevati sono stati 1.308, in linea con la media del Paese

In tutto il mondo, Trend Micro ha bloccato nel primo semestre un totale di 27 miliardi di minacce (26.804.076.261), 6 miliardi in più rispetto allo stesso periodo dell’anno precedente.

Il 91% di queste minacce è entrato nelle reti attraverso la posta elettronica. Per mitigare questo genere di minacce avanzate è necessario una smart defense profonda, capace di correlare i dati attraverso i gateway, le reti, i server e gli endpoint, per identificare e fermare l’attacco al meglio.

Fortinet, leader mondiale nelle soluzioni di cyber sicurezza integrate e automatizzate, presenta il Global Threat Landscape Report per il secondo trimestre 2019.

La varietà e il livello di sofisticazione sempre maggiori dei metodi di attacco deve far pensare a come i cybercriminali siano in grado di sfruttare al massimo, a loro vantaggio, velocità e connettività. Pertanto, è importante difendersi adeguatamente e dare la giusta priorità alla sicurezza informatica: solo così le aziende sono nelle condizioni di gestire al meglio e mitigare i rischi informatici. Un approccio di sicurezza completo basato sul Security Fabric, che abbraccia la segmentazione e l’integrazione, l’intelligence sulle minacce e l’automazione combinata con il machine learning è essenziale per essere vantaggioso”, ha commentato Phil Quade, Chief Information Security Officer di Fortinet.

Di seguito i principali highlights emersi:

  • La ricerca rivela che i criminali informatici continuano a cercare nuove opportunità di attacco e stanno sfruttando sempre più tecniche di evasione e tattiche anti-analisi man mano che i loro tentativi diventano più sofisticati.
  • Il Threat Landscape Index ha raggiunto un nuovo traguardo nel trimestre che si è appena concluso. È aumentato di quasi il 4% anno su anno. Il punto più alto durante tale periodo di tempo è anche il picco di chiusura del secondo trimestre del 2019. L’aumento è stato guidato da una crescente attività di malware e exploit.
  • Per una visione completa e dettagliata del Threat Landscape Index e dei sottoindici per exploit, malware e botnet, nonché alcuni importanti dati per i CISO, fare riferimento al blog.

Gli hacker alzano il tiro sulle tattiche di evasione

Molti moderni strumenti malware includono già funzionalità per eludere antivirus o altre misure di rilevamento delle minacce, ma i cybercriminali stanno perfezionando e sofisticando le loro pratiche di offuscamento e anti-analisi, per evitare di venire scoperti.

Ad esempio, un’importante campagna antispam dimostra come gli hacker stiano usando e modificando queste tecniche per eludere i controlli. La campagna prevede l’uso di un’email di phishing con un allegato file excel con una macro malevola. La macro è pensata per disabilitare gli strumenti di sicurezza, eseguire arbitrariamente i comandi, provocare criticità e danni di memoria e garantire il funzionamento solo su sistemi giapponesi. Sembra impossibile documentare una proprietà particolare, una variante xlDate.

Un altro esempio riguarda una variante del trojan bancario Dridex che cambia i nomi e gli hash dei file ogni volta che la vittima accede, rendendo difficile individuare il malware su sistemi host infetti.

L’uso crescente di tecniche anti-analisi e tattiche di evasione più ampie deve far riflettere sulla necessità di sistemi di difesa multi-layered e rilevamento di minacce behavior-based (approccio comportamentale).

Gli attacchi nel mirino puntano al lungo termine

Il malware infostealer Zegost è protagonista di una campagna di spear phishing e contiene tecniche avanzate. Come altri infostealer, l’obiettivo principale di Zegost è raccogliere ed estrapolare informazioni dal dispositivo della vittima. Tuttavia, se paragonato ad altri infostealer, Zegost è configurato in modo unico per rimanere nel radar. Include, ad esempio, funzionalità progettate per cancellare i log degli eventi del sistema. Questo tipo di pulizia non si vede nel tipico malware. Un altro interessante sviluppo nelle capacità di evasione di Zegost è un comando che ha mantenuto l’infostealer “in stasi” fino a dopo il 14 febbraio 2019, momento in cui ha iniziato la sua routine di infezione.

Gli attori della minaccia dietro Zegost utilizzano un arsenale di exploit per assicurarsi di stabilire e mantenere una connessione con le vittime, rendendola una minaccia a lungo termine.

Il ransomware continua a evolversi, verso attacchi sempre più mirati

Gli attacchi a più città, governi locali, enti e sistemi educative, servono a ricordare che il ransomware non sta sparendo, ma continua a rappresentare una seria minaccia per moltissime  realtà, adesso e in  futuro. I ransomware stanno evolvendo: da attacchi di massa a sempre più mirati verso le realtà percepite come disponibili e aperte a pagare un riscatto. In alcuni casi, per massimizzare le opportunità, i criminali informatici conducono una precisa ricognizione prima di diffondere il loro ransomware e lo fanno su sistemi accuratamente selezionati.

Ad esempio, il ransomware RobbinHood è progettato per attaccare l’infrastruttura di rete di un’organizzazione ed è in grado di disabilitare i sistemi di Windows che impediscono la crittografia dei dati e di disconnettersi dalle unità condivise.

Un ransomware più recente, chiamato Sodinokibi, potrebbe diventare un’altra minaccia per le imprese. A livello di funzionamento non è molto diverso dalla maggior parte dei ransomware in circolazione. È problematico a causa del vettore di attacco, che sfrutta una vulnerabilità più recente, che consente l’esecuzione arbitraria di codice e non richiede alcuna interazione dell’utente, come invece altri ransomware forniti tramite email di phishing.

Indipendentemente dal vettore, il ransomware continua a rappresentare una seria minaccia per le aziende oggi e in futuro, e fa riflettere sull’importanza di dare priorità alla formazione e alla consapevolezza del patching e della sicurezza informatica. Inoltre, le vulnerabilità di Remote Desktop Protocol (RDP), come BlueKeep, mettono in guardia sul fatto che i servizi di accesso remoto possono essere opportunità per i criminali informatici e che possono anche essere utilizzati come vettore di attacco per diffondere i ransomware.

Nuove opportunità nell’area di attacco digitale

Tra la stampante domestica e l’infrastruttura critica c’è un’ampia gamma di sistemi di controllo per uso residenziale e per piccole imprese. Questi sistemi intelligenti attirano relativamente meno l’attenzione dei cybercriminali rispetto alle controparti in ambito industriale, ma questa situazione è destinata a cambiare. Si osserva infatti un aumento dell’attività indirizzata a questi dispositivi, come ad esempio i sistemi di controllo ambientale, telecamere e sistemi di sicurezza. Si è scoperto che una signature relativa alle soluzioni di gestione degli edifici è stata attivata nell’1% dei casi dalle aziende: potrebbe non sembrare molto, ma è comunque un dato più alto di quanto comunemente si vede per i prodotti ICS o SCADA.

I criminali informatici sono sempre più alla ricerca di nuove opportunità per mirare ai dispositivi di controllo nelle case e nelle aziende. A volte questo tipo di dispositivi non rientrano nell’ambito della gestione IT tradizionale. La sicurezza dei sistemi residenziali intelligenti e delle piccole imprese merita un’attenzione elevata soprattutto perché l’accesso potrebbe avere gravi conseguenze a livello di security. Ciò è particolarmente rilevante per gli ambienti di lavoro remoti in cui è importante l’accesso sicuro.

Come proteggere la propria azienda: sicurezza ampia, integrata e automatizzata

La Threat Intelligence, che è dinamica, proattiva e disponibile in tempo reale, può aiutare a identificare le tendenze che mostrano l’evoluzione dei metodi di attacco e individuare le priorità di cyber hygiene. Il valore e la capacità di agire sull’intelligence delle minacce vengono drasticamente ridotti se non può essere attuabile in tempo reale su ogni dispositivo di sicurezza. Solo un security fabric ampio, integrato e automatizzato può fornire protezione per l’intero ambiente di rete, dall’IoT all’edge, dal network core e ai multi-cloud alla velocità sufficiente e in scala.

Overview su Report e Index

L’ultimo Fortinet Threat Landscape rappresenta una panoramica trimestrale, risultato da FortiGuard Labs. I dati di ricerca sono a livello globale e locale. Nel report è incluso anche l’indice Fortinet Threat Landscape (TLI), composto da singoli indici per tre aspetti centrali e complementari che sono gli exploit, i malware e i botnet, in un determinato trimestre.

Bitdefender, società leader globale nella sicurezza informatica che protegge più di 500 milioni di sistemi nel mondo, annuncia oggi un nuovo strumento di decrittografia per contrastare l’ultima versione del ransomware GandCrab. Realizzato in collaborazione con Europol, polizia rumena, DIICOT, FBI, NCA, Metropolitan Police, e con gli uffici di polizia di Francia, Bulgaria e di altre forze dell’ordine, il componente di decrittografia neutralizza le ultime versioni di GandCrab – la più prolifica famiglia di malware in grado di crittografare i file.

Il nuovo strumento consente alle vittime di riconquistare l’accesso alle informazioni e ai file sottratti dagli hacker, senza pagare alcun riscatto. Il nuovo strumento di decrittografia è utilizzabile per le versioni 1 e 4, e per quelle da 5 a 5.2, l’ultima utilizzata dai criminali informatici.

I precedenti strumenti di decrittografia per il ransomware GandCrab rilasciati da Bitdefender e dalle forze dell’ordine in collaborazione, hanno aiutato più di 30.000 vittime a recuperare i dati e a risparmiare più di 50 milioni di dollari senza pagare alcun riscatto.

GandCrab, che ha fatto la sua prima apparizione nel gennaio 2018, è cresciuto rapidamente grazie al suo schema di monetizzazione basato su affiliati, che gli ha permesso di raggiungere una quota enorme, vale a dire il 50% del mercato dei ransomware ad agosto 2018.

Nelle recenti interazioni su forum clandestini privati, i criminali informatici dietro a GandCrab hanno affermato di aver estorto più di 2 miliardi di dollari alle loro vittime. Gli sforzi congiunti di Bitdefender e delle forze dell’ordine partner hanno indebolito la posizione di questi hacker e hanno spinto gli affiliati criminali a diffidare del servizio, portando alla fine e alla chiusura definitiva della rete illecita.

I nostri sforzi nel fornire sempre strumenti di decrittografia aggiornati per le vittime di GandCrab hanno indebolito i criminali che operano attraverso questo ransomware colpendo e interrompendo i loro meccanismi di monetizzazione“, hanno dichiarato i rappresentanti di Bitdefender.Oltre a risolvere la situazione di chi è stato colpito da questo tipo di attacchi, tutti gli sforzi compiuti in questa direzione hanno contribuito a creare una mentalità positiva tra le ultime vittime, che preferiscono aspettare un nuovo decodificatore piuttosto che cedere alle richieste di riscatto dei criminali“.

Per prevenire le infezioni ransomware, gli utenti dovrebbero implementare una soluzione di sicurezza con diversi livelli di difesa, eseguire regolarmente il backup dei dati ed evitare di aprire gli allegati che arrivano da email indesiderate con mittenti sconosciuti.

Bitdefender e le forze dell’ordine partner consigliano alle vittime di non cedere alle richieste di riscatto dei malintenzionati che diffondono il ransomware. Dovrebbero invece eseguire il backup delle informazioni crittografate e informare immediatamente la polizia.

Il nuovo strumento di decrittografia è disponibile da oggi e può essere scaricato gratuitamente da Bitdefender Labs e No More Ransom Project.

0 784

I ransomware continuano a colpire l’Italia, che nel 2018 risulta il primo Paese in Europa e il decimo Paese nel mondo più interessato da questo fenomeno. Il dato emerge da “Catturati nella rete: Districare la matassa di minacce vecchie e nuove”, il report di Trend Micro Research sulle minacce informatiche che hanno colpito l’anno passato.

Se il trend ransomware si conferma nel nostro Paese, a livello globale si assiste a una diminuzione del 91% rispetto al 2017. La scena cybercriminale sta cambiando, sia nell’approccio che nelle tattiche. Questo è dimostrato da un aumento del 237% nel mining di cripto valute e dalla crescita del 269% degli URL di phishing.

Gli attacchi oggi sono più studiati, in contrasto con tecniche del passato, che miravano più a colpire grandi quantità di utenti. Questo si riflette nell’aumento del 28% degli attacchi BEC (Business Email Compromise), che hanno sottratto una cifra media di $132,000 ad attacco. Questa è una tipologia di truffa che non prevede l’utilizzo di malware e riesce a oltrepassare le tradizionali soluzioni di sicurezza. Le aziende devono implementare soluzioni smart che analizzano lo stile di scrittura della mail, per identificare i tentativi di frode. È a questo, ad esempio, che serve la soluzione Trend Micro Writing Style DNA. Nel 2018 sono aumentate anche le vulnerabilità, con la Zero Day Initiative (ZDI) Trend Micro che ne ha scoperte più di ogni altro anno, incluso un aumento del 224% dei bug in ambito Industrial Control System. In questo ambito, i cybercriminali spesso sfruttano vulnerabilità per le quali sono già state rilasciate delle patch, ma che le aziende non hanno ancora implementato.

Italia: cosa è successo nel 2018:

  • Ransomware – Nel 2018 l’Italia è stato il Paese più colpito in Europa, con il 12,92% dei ransomware di tutto il continente e tra i 10 più colpiti al mondo. Questa la top ten globale: Stati Uniti, Brasile, India, Vietnam, Messico, Turchia, Indonesia, Cina, Bangladesh e Italia
  • Malware – Il numero totale di malware intercettati in Italia nel 2018 è di 26.353.635. L’Italia occupa la posizione numero 12 in questa categoria, a livello mondiale
  • Visite a siti maligni – Le visite a siti maligni sono state 10.182.915, l’Italia occupa la posizione numero 18 a livello mondiale. I siti maligni ospitati in Italia e bloccati sono stati 1.485.794
  • Le minacce arrivate via mail sono state 611.651.947. L’Italia occupa la posizione numero 12 in questa categoria, a livello mondiale
  • Online Banking – i malware di online banking intercettati sono stati 4.295. L’Italia occupa la posizione numero 18 nel mondo
  • App maligne – Il numero di app maligne scaricate nel 2018 è di 25.128
  • Exploit Kit – Gli attacchi Exploit Kit sono stati 2.656. L’Italia occupa la posizione numero 10 al mondo

In tutto il mondo, Trend Micro ha bloccato nel 2018 un totale di 48 miliardi di minacce (48.387.151.118).

“La tecnologia è una cosa strana. Ti porta grandi doni con una mano, e con l’altra ti pugnala alle spalle”, scrisse lo scrittore e scienziato C. P. Snow sul New York Times, nel 1971. Suona ancora vero oggi. Ogni nuovo strumento o tecnologia che usiamo introduce nuove vulnerabilità, dando ai criminali informatici opportunità di guadagno economico, e ai gruppi con sfondo politico nuove occasioni per spiare gli individui o causare disagi e danni agli avversari.

In questa continua corsa agli armamenti di sicurezza, quali saranno le prossime vulnerabilità delle nostre reti e dei nostri dispositivi? Ecco le previsioni per il 2019 di Check Point® Software Technologies Ltd., principale fornitore di soluzioni di cybersecurity a livello globale.

Ransomware e malware si moltiplicano

Il ransomware è stato una gallina dalle uova d’oro per i criminali, oltre che un diversivo per scopi più distruttivi: ad esempio, Petya sembrava un ransomware ma causava danni bloccando i dati. Tutti i tipi di utenti, dai consumatori alle aziende, sono diventati preda dei ransomware, creando il ragionevole sospetto che questi continueranno a crescere. Possiamo aspettarci di vedere attacchi su larga scala e ben orchestrati in tutto il mondo sulla falsariga dell’attacco di WannaCry che si è verificato a maggio del 2017. Possiamo anche aspettarci di vedere i criminali diventare creativi nelle loro tattiche di estorsione, come ad esempio “se contagi due contatti, ti restituiremo i dati a un costo inferiore”.

Nel complesso, dal momento che i sistemi operativi rafforzano la loro sicurezza, prevediamo un calo nell’uso degli exploit per colpire le vulnerabilità, a favore di un aumento nell’uso di tecniche di hacking di base basate sull’errore umano. Tuttavia, stanno emergendo attacchi mirati che utilizzano sofisticati strumenti sponsorizzati da alcune nazioni, e il tasso di attacco probabilmente continuerà a salire.

Preoccupazioni per il cloud

L’utilizzo del server-less computing e del data storage nel cloud sta diventando sempre più diffuso nel mondo degli affari. Tuttavia, vale la pena ricordare che la tecnologia cloud e l’infrastruttura che la supporta è relativamente nuova e in continua evoluzione e che esistono ancora gravi problemi di sicurezza che forniscono una backdoor agli hacker per accedere ai sistemi aziendali e diffondersi rapidamente attraverso le reti. Idee sbagliate circa le responsabilità e il livello di sicurezza necessario per operare in sicurezza all’interno di un ambiente cloud sono comuni, così come le errate configurazioni che lasciano la porta aperta alle violazioni.

Durante il 2017, oltre il 50% delle violazioni alla sicurezza gestite dal team di risposta agli incidenti di Check Point era correlato al cloud e oltre il 50% riguardavano la violazione di account di app SaaS o server hosted. Con l’aumento dell’utilizzo di servizi di condivisione di file basati su cloud, le perdite di dati continueranno a essere una delle principali preoccupazioni per le organizzazioni che si spostano verso il cloud. Questo si è visto anche di recente quando una violazione della società di consulenza Deloitte ha permesso agli hacker di accedere ai dati riservati di diversi clienti.

La crescente adozione di email basate su SaaS, come Office 365 e la G-Suite di Google, è un obiettivo attraente per i cybercriminali.

Incidenti mobile

I dispositivi mobile fanno parte del tessuto IT aziendale ovunque, eppure continuano a essere raramente, se non mai, protetti in modo appropriato, nonostante il rischio che presentano. Continueremo a scoprire difetti nei sistemi operativi mobile che evidenziano la necessità per le organizzazioni di adottare un approccio più serio alla protezione della loro infrastruttura mobile e dei dispositivi endpoint contro malware, spyware e altri attacchi informatici.

I malware mobile continueranno a proliferare, in particolare i malware per il mobile banking, dato che l’industria del Malware as a Service (MaaS) continua a crescere. Il MaaS consente, infatti, agli autori delle minacce di ridurre gli ostacoli tecnici necessari per lanciare un attacco. I cryptominer sono saliti alla ribalta nel 2017 e possiamo aspettarci di vedere altri malware crittografici rilasciati su dispositivi mobile per il mining di criptovalute nel prossimo futuro.

Infrastrutture critiche

Quasi tutte le infrastrutture sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici e, per questo motivo, anche i più semplici principi di sicurezza informatica non sono stati presi in considerazione all’interno dei progetti. Indipendentemente dal fatto che l’obiettivo coinvolga reti telefoniche/mobile, reti elettriche, centrali elettriche o impianti di trattamento delle acque, la nostra fortuna è che non ci sia stato un attacco su vasta scala e di successo su infrastrutture critiche che impattano su milioni di persone… ancora. L’attacco DDoS contro il servizio di domain directory di DynDNS nel 2016, che ha causato un’interruzione di Internet e che ha colpito utenti di grandi aziende del Web come Netflix e Amazon, offre un’idea di ciò che è possibile fare con un attacco informatico a un’infrastruttura critica. Un attacco di questo tipo e scala avverrà, e non sarebbe sorprendente vederlo accadere nei prossimi 12 mesi.

Internet delle cose (insicure)

Dal momento che sempre più dispositivi smart vengono integrati nel tessuto delle reti aziendali, le organizzazioni dovranno iniziare a utilizzare migliori pratiche di sicurezza per le proprie reti e i dispositivi stessi. La potenziale superficie di attacco si espande con la crescita dell’utilizzo dei dispositivi IoT e gli attacchi ai dispositivi IoT compromessi continueranno a crescere. Vedremo nuove varianti degli attacchi Mirai e BlueBorne nel 2018. Migliori pratiche di sicurezza nell’IoT saranno fondamentali per prevenire attacchi su larga scala e potrebbero persino essere imposte da normative internazionali.

Per ogni opportunità di business creata dal nostro mondo iperconnesso, quella stessa iperconnettività crea opportunità per i cybercriminali. Ogni ambiente è un potenziale obiettivo: reti aziendali, cloud, dispositivi mobile e IoT. La difesa di queste reti richiede proattività ovvero bloccare preventivamente le minacce prima che possano infettare e danneggiare. Utilizzando l’intelligence delle minacce per potenziare le misure di sicurezza unificate e consolidate, le aziende possono automaticamente proteggere, da nuovi ed emergenti tipi di attacco, tutti gli ambienti. La proattività unita all’innovazione segna la strada per vincere la corsa agli armamenti della sicurezza informatica.

0 886

I laboratori Trend Micro, leader globale nelle soluzioni di cybersecurity, comunicano che ad agosto l’italia si classifica come nona nel ranking globale dei Paesi in cui hanno origine attacchi o eventi legati alla cybersecurity. Ai primi tre posti si trovano Russia, Stati Uniti ed Egitto.

Ogni mese, i laboratori Trend Micro condividono gli aggiornamenti relativi al panorama delle minacce, basati sulle analisi effettuate dalla Trend Micro Smart Protection Network, ai quali si aggiungono i dati dei ricercatori Trend Micro, del Team Zero Day Initiative (ZDI), del PH Threat Hunting Team, del Mobile App Reputation Service (MARS) Team e della Smart Home Network (SHN).

In questo caso i dati provengono dalla Smart Home Network e le analisi coinvolgono gli indirizzi IP dei router attivi, per determinare la fonte di un evento o possibile attacco. Nel momento in cui un router, che supporta le soluzioni Trend Micro e ha abilitato le funzionalità di security, attiva un evento di sicurezza, i laboratori Trend Micro confermano da quale direzione proviene l’attacco controllando ulteriormente quale origine ha attivato l’evento di sicurezza. In questo modo è possibile capire i Paesi da dove provengono gli attacchi.

I dati raccolti ad agosto, mostrano che la maggior parte degli attacchi ha sfruttato IoT worm o Ransomware. Nella top 5 relativa alle principali tipologie di attacchi partiti dall’Italia, troviamo:

  • Attacchi alla vulnerabilità GoAhead attraverso IoT worm (396.646 eventi)
  • Attacchi ai dispositivi D-Link DSL-2750B (86.058 eventi)
  • Esecuzione di comandi da remoto attraverso Shell Script, in relazione a IoT worm (63.837 eventi)
  • Attacchi a Microsoft Windows SMB Server (37.776 eventi)
  • Attacchi da remoto sfruttando il ransomware LockCrypt (17.261 eventi)

I cinque Paesi più colpiti da attacchi provenienti dall’Italia sono stati: Stati Uniti, Taiwan, Hong Kong, Regno Unito e Olanda.

Per quanto riguarda invece gli attacchi in generale, che hanno colpito l’Italia sempre ad agosto, i laboratori Trend Micro hanno rilevato 1.229.390 malware e 57.430.080 minacce via mail.

0 968

Trend Micro, leader globale nelle soluzioni di cybersecurity, rende note le minacce informatiche che hanno colpito nel mese di aprile. I dati raccolti dalla Smart Protection Network Trend Micro, la rete globale cloud-based per il rilevamento delle minacce, rivelano che le minacce sono aumentate del 24% rispetto al mese di marzo. Le soluzioni Trend Micro hanno infatti bloccato un totale di 3,6 miliardi di minacce, contro i 2,9 miliardi del mese precedente. Le minacce neutralizzate includono attacchi email, file e URL maligni e le nazioni più colpite sono state Stati Uniti, Cina e Francia.

Le famiglie ransomware sono aumentate del 59% in aprile, passando dalle 17 di marzo a 27, così come i ransomware che hanno colpito i dispositivi mobili, passati da 7.637 a 8.196 (+7%). In particolare, i malware per Android si confermano in crescita costante da gennaio e raggiungono i 230 milioni.

I dati italiani

Tra marzo e aprile, l’Italia rimane tra i Paesi più colpiti dalle infezioni PoS, anche se in calo, e si distingue come 4° al mondo per numero di macro malware. Le truffe Business Email Compromise, che hanno colpito l’Italia, arrivano a un totale di 23. Ma il dato importante è che l’Italia, in aprile, è il Paese dell’Europa centro-meridionale più colpito dai ransomware, con un totale del 13% di attacchi subiti. Solo la Romania ne ha incassati di più, raggiungendo il 31%.

Il 2017 ha registrato una crescita globale dei ransomware, delle truffe Business Email Compromise e dei fenomeni di mining delle cripto valute. Questi trend continueranno nel 2018, i cybercriminali progetteranno sempre più nel dettaglio i loro attacchi, per avere dei guadagni sempre maggiori e l’entrata in vigore del GDPR provocherà una nuova ondata di tentativi di estorsione, facendo alzare le richieste di riscatto, che si avvicineranno a quelle delle eventuali multe.

Questo è quello che emerge dal report delle minacce informatiche che hanno colpito l’anno scorso, dal titolo “Il paradosso delle minacce cyber” a cura dei laboratori Trend Micro, leader globale nelle soluzioni di cybersecurity. Lo studio conferma anche le previsioni Trend Micro per il 2018, con i cybercriminali che abbandonano gli exploit kit e le tattiche di attacco alla cieca, a favore di azioni più strategiche.

Nel 2017 le famiglie ransomware sono cresciute del 32% rispetto all’anno precedente e gli attacchi hanno coinvolto più dispositivi mobile rispetto al passato. Le truffe Business Email Compromise sono raddoppiate tra il primo e il secondo semestre e abbiamo assistito anche a una impennata dei malware per il mining di cripto valute, che hanno raggiunto le 100.000 rilevazioni in ottobre. Trend Micro ha individuato, infatti, più di 45,6 milioni di eventi di mining di cripto valute nel corso dell’anno, che rappresentano una grande percentuale di tutti gli eventi IoT osservati. Nel 2017 i cybercriminali hanno anche continuato a sfruttare le vulnerabilità software, la Trend Micro Zero Day Initiative ne ha scoperte e rese pubbliche 1.009.

In totale, nel 2017, la Trend Micro Smart Protection Network ha bloccato più di 66 miliardi di minacce, i file maggiormente sfruttati per attacchi spam attraverso allegati sono stati gli Excel, seguiti dai PDF e dai JavaScript.

Cosa è successo in Italia nel 2017:

  • Malware – Il numero totale di malware intercettati in Italia nel 2017 è 37.458.245. Nel 2016 i malware si erano fermati a 22.104.954
  • App maligne – Il numero di app maligne scaricate nel 2017 è di 4.489.536. Nel 2016 erano state

2.646.804. L’Italia si conferma tra i Paesi con il numero maggiore di app maligne scaricate e in Europa è terza, dietro a Francia e Germania

  • Visite a siti maligni – Le visite a siti maligni sono state 17.496.317
  • Online Banking – Nel 2017 sono stati 3.268 i malware di online banking che hanno colpito l’Italia

Una nota a parte meritano i ransomware. A livello globale, il numero di ransomware identificati nel 2017 è di 631.128.278. Il totale, a partire da quando è iniziata la loro rilevazione a gennaio 2016, è di 1,7 miliardi. L’Italia è nel tempo la seconda nazione più colpita in Europa (ha perso il precedente primato a favore della Turchia) ed è tra le prime dieci nel mondo.

Nelle scorse settimane un nuovo ransomware denominato Bad Rabbit ha colpito Russia, Ucraina, Turchia, Germania, Bulgaria, USA e Giappone. Russia e Ucraina hanno subito l’attacco maggiore, poiché l’infezione è partita da alcuni siti Web di notizie russi hackerati. Le agenzie media russe Interfax e Fontanka, nonché le organizzazioni per il trasporto in Ucraina tra cui l’aeroporto di Odessa, la metropolitana di Kiev e il Ministro delle infrastrutture locale sono stati i primi a essere infettati.

Bad Rabbit si basa su codice NonPetya o exPetr, tuttavia risulta notevolmente riprogettato, nonostante il comportamento e gli effetti reali dell’infezione siano rimasti quasi inalterati. Nello stesso momento abbiamo notato che include alcune parti di altri ransomware, per esempi gli approcci utilizzati in HDDCryptor. Tuttavia, chi si cela dietro Bad Rabbit ha apportato dei fix e combinando tutto in una sola soluzione, un approccio più unico che raro. Hanno inoltre firmato il codice con un certificato fasullo di sicurezza Symantec. Un’altra caratteristica di questo software malevolo è la capacità di rilevare le password utente all’interno dei computer infetti e scaricare moduli malevoli aggiuntivi.

Il ransomware non ricorrere a nuovi trucchi, bensì al contrario si affida a un approccio malware molto datato che consiste nell’indurre gli utenti a installare un aggiornamento Adobe Flash fasullo. Sorprendentemente, questo approccio funziona ancora, il che indica che la consapevolezza della sicurezza informatica è ancora poco sentita tra le aziende e i consumatori. È necessaria ancora molta formazione per rendere questi attacchi meno efficaci. Fino ad allora, in assenza di appropriate misure di sicurezza e protezione dei dati, il rischio di diventare vittima del ransomware rimane alto.

I fatti chiave di Bad Rabbit

  • Utilizza pezzi di codice di NonPetya/ExPetr
  • Viene distribuito come un aggiornamento Flash fasullo che richiede l’installazione manuale dell’utente
  • Usa il driver di sistema per la crittografia
  • Tenta di espandersi tramite una rete locale in modo primitivo
  • Sostituisce il MBR e rende il PC inutilizzabile
  • Crash su Windows 10
  • Colpito principalmente utenti Windows aziendali

Schema di infezione e dettagli tecnici

Per lanciare l’attacco, i criminali informatici hanno hackerato alcuni siti Web di media popolari postando un link a un installer fasullo di Adobe Flash e chiedendo agli utenti di eseguire l’aggiornamento una volta visitata la pagina. Molti utenti sono cascati nel tranello, sebbene le compagnie di sicurezza continuino ad avvisare da anni di non installare aggiornamenti software provenienti da fonti non affidabili. Inoltre, si consiglia di controllare tutti gli aggiornamenti con un prodotto anti-malware prima dell’installazione per accertarsi che non siano stati hackerati o non contengano codici maligni. Alcuni aggiornamenti software Adobe fasulli erano schemi di infezione simile e molto popolare alcuni anni fa e, come vediamo, sfortunatamente continuano a essere efficaci.

Il dropper del ransomware viene distribuito da hxxp://1dnscontrol[.]com/flash_install.php. Successivamente, l’utente scarica il file install_flash_player.exe, che richiede diritti di amministratore nel sistema. È insolito che cerchi di ottenere questi privilegi utilizzando il prompt UAC standard. Se avviato, il dropper estrae un modulo di crittografia a livello file infpub.dat (che in realtà è un dll) e un modulo di crittografia a livello disco dispci.exe e il driver modalità kernel cscc.dat (che in realtà è il file legale dcrypt.sys).

Dopo che l’utente ha infettato volontariamente la macchina, Bad Rabbit cerca di espandersi utilizzando la rete locale e un tool mimikatz conosciuto che consente di estrarre le credenziali Windows dalla Local Security Authority in forma aperta, nonché l’elenco delle credenziali integrate che includono alcuni degli esempi di password peggiori. Gli assalitori sanno che “12345” o “password” si trovano in cima agli elenchi di password da anni e che queste password continuano a essere efficaci.

Come abbiamo già suggerito, Bad Rabbit usa due tipi di crittografia: a livello file e disco. Non imita chkdsk.exe come faceva NonPetya per nascondere la crittografia, e non sfrutta neppure alcuna vulnerabilità nel file server Microsoft srv.sys. Innanzitutto, Bad Rabbit lancia la crittografia a livello file (infpub.dat tramite rundll32) qualora trovi abbastanza file da criptare. Dopodiché, crea i processi nello Scheduler per lanciare dispci.exe che cripta i drive e successivamente forza un riavvio di sistema. Dopo il primo riavvio, dispci.exe scrive un loader esteso alla fine del disco, che otterrà il controllo completo tramite l’MBR malevolo successivamente. In conclusione, l’intero disco sarà criptato con un driver legittimo, l’MBR sarà riscritto e il PC si avvierà nuovamente per visualizzare un messaggio di riscatto chiedendo 0,05 bitcoin (pari ad approssimativamente $275).

Un punto interessante è che in Windows 10 il modulo driver utilizzato per la crittografia causa spesso un BSOD (Blue Screen Of Death) a seguito dei problemi di compatibilità. Un altro aspetto è che quando crittografa il file, l’estensione rimane la stessa, il che può ingannare l’euristica utilizzata da alcuni antivirus, che reagisce ai cambiamenti delle estensioni file. Bad Rabbit può lavorare offline e ciò significa potenzialmente che il campione può infettare altre macchine se archiviato e distribuito su un drive flash.

L’obiettivo principale di Bad Rabbit è costituito da compagnie e aziende e al livello attuale possiamo constatare che i livelli di infezione stanno già calando. Il server malevolo non è più attivo e la maggior parte dei siti infetti che ospitavano lo script del Flash pericoloso attualmente sono inattivi oppure disinfettati. Questo non significa, tuttavia, che in quanto azienda o utente privato ci si possa rilassare, in quanto un nuovo attacco può verificarsi in qualsiasi momento.

Acronis Active Protection rileva e blocca Bad Rabbit dal primo giorno

I prodotti Acronis, che hanno assicurato l’Acronis Active Protection, come Acronis True Image e Acronis Backup 12.5, rilevano e bloccano la minaccia con facilità, ripristinando qualsiasi danno ai dati in pochissimi secondi:

Acronis Active Protection protegge il Master Boot Record (MBR)
Acronis Active Protection rileva e blocca i ransomware Bad Rabbit

Consigliamo di rispettare le seguenti semplici regole per la sicurezza:

  • Installare e abilitare soluzioni affidabili di backup e anti-malware. Il metodo migliore per proteggersi dai ransomware è ricorrere al backup di Acronis con Acronis Active Protection. Proteggere dalle moderne minacce ransomware in modo significativamente migliore rispetto agli antivirus tradizionali.
  • Installare solamente aggiornamenti software provenienti da siti Web ufficiali oppure quando lo richieda il software in Windows. Molti fornitori software esterni, come Adobe, aggiornano i propri programmi automaticamente, in modo che l’utente non visualizza di alcuna richiesta per gli aggiornamenti, specialmente quando si sta leggendo il proprio sito di news preferito. Nel migliore dei casi è possibile rimuovere completamente Flash se non lo si utilizza.