Tags Posts tagged with "WannaCry"

WannaCry

0 67

Nell’ultimo decennio abbiamo visto il mondo convertirsi alla tecnologia mobile. La trasformazione digitale è diventata una realtà e la quarta rivoluzione industriale diventerà presto un capitolo nei libri di storia. Ora tutto è collegato: dispositivi IoT, wearable, computer portatili e dispositivi mobile. Ma i dispositivi mobile non sono solo collegati a Internet. Sono anche collegati a noi, in alcuni casi quasi in modo letterale – per molti di noi, i nostri cellulari sono diventati praticamente un’estensione del nostro corpo.

Per le imprese, questa non è stata altro che una vittoria. In teoria, afferma Check Point Software Technologies.

Fornendo ai dipendenti gli strumenti necessari per lavorare comodamente da remoto con i propri dispositivi mobile, le aziende beneficiano di una maggiore efficienza. I dipendenti sono essenzialmente disponibili sempre e ovunque. Ma la possibilità di accedere senza sforzo alle informazioni aziendali sensibili dai dispositivi mobile apre una nuova backdoor alle reti aziendali e, a sua volta, alle violazioni dei dati.

Mentre un caso WannaCry o NotPetya per Mobile non ha ancora avuto luogo, si stanno già verificando attacchi verso i dispositivi mobile. In realtà, stanno aumentando a un ritmo allarmante.

Nel 2018 gli attacchi verso i dispositivi mobile sono quasi raddoppiati rispetto all’anno precedente, raggiungendo i 116,5 milioni, con un’impennata di utenti unici, secondo GartnerLa maggior parte delle aziende soffre di una carenza di strumenti in grado di dare visibilità sui rischi per i dispostivi mobile, nonostante siano concreti i rischi che coinvolgono i dipendenti in lavoro da remoto e mobileLe soluzioni di gestione degli endpoint non sono sufficienti a proteggere le organizzazioni dal panorama delle minacce mobile in continua evoluzione. Gli attacchi di phishing, Man-in-the-Middle e bot si verificano sempre più spesso e stanno crescendo in portata e prestazioni, con gravi conseguenze in termini di tempi di inattività, violazioni dei dati e, di conseguenza, danni alla reputazione.

Nonostante ciò, molte aziende non affrontano seriamente il malware mobile. Ma che dire della regolamentazione e della compliance?

Gli ultimi due anni dell’ultimo decennio sono stati un importante punto di svolta per la gestione dei dati, con il 25 maggio del 2018 che è stato il “D-day”, ovvero quando siamo entrati nell’era del GDPR. Il regolamento generale sulla protezione dei dati considera le aziende responsabili di qualsiasi violazione delle informazioni personali dei cittadini dell’Unione Europea. Le organizzazioni devono disporre di un meccanismo adeguato per garantire la sicurezza dei dati in tutti i dispositivi da qualsiasi luogo in cui si accede ai dati. Non dimentichiamo che i dati sono dati, non importa dove sono ospitati o dove vengono trasmessi.

Ma la regolamentazione non si ferma al GDPR.

Nel tentativo di standardizzare le misure di prevenzione delle frodi e delle violazioni, diversi settori hanno creato i propri standard. Le organizzazioni sanitarie di diversi Paesi, ad esempio, devono conformarsi all’HIPAA per proteggere la privacy, la sicurezza e l’integrità delle informazioni sanitarie sensibili. Gli standard del settore delle carte di pagamento (PCI) chiedono la sicurezza dei dati dei titolari di carta in tutto il mondo; e poi c’è la Payment Services Directive 2 (PSD2), che richiede alle organizzazioni del settore dei servizi finanziari dell’Unione Europea e dello Spazio Economico Europeo di rendere più sicuri i servizi di pagamento. Questa direttiva comprende in particolare misure di sicurezza per le operazioni di pagamento mobile.

Per concludere, nella nuova era digitale e mobile, le organizzazioni saranno sottoposte a un maggiore controllo da parte dei loro stakeholder quando si tratta di proteggere i dati aziendali. Di conseguenza, l’aspettativa sarà che se si mettono i dati aziendali su un dispositivo, o se si permette il suo accesso attraverso di esso, quel dispositivo deve essere protetto con le misure di sicurezza appropriate. L’adozione di un approccio di sicurezza completo e Zero Trust per i dispositivi mobile non è più un’opzione.

“La tecnologia è una cosa strana. Ti porta grandi doni con una mano, e con l’altra ti pugnala alle spalle”, scrisse lo scrittore e scienziato C. P. Snow sul New York Times, nel 1971. Suona ancora vero oggi. Ogni nuovo strumento o tecnologia che usiamo introduce nuove vulnerabilità, dando ai criminali informatici opportunità di guadagno economico, e ai gruppi con sfondo politico nuove occasioni per spiare gli individui o causare disagi e danni agli avversari.

In questa continua corsa agli armamenti di sicurezza, quali saranno le prossime vulnerabilità delle nostre reti e dei nostri dispositivi? Ecco le previsioni per il 2019 di Check Point® Software Technologies Ltd., principale fornitore di soluzioni di cybersecurity a livello globale.

Ransomware e malware si moltiplicano

Il ransomware è stato una gallina dalle uova d’oro per i criminali, oltre che un diversivo per scopi più distruttivi: ad esempio, Petya sembrava un ransomware ma causava danni bloccando i dati. Tutti i tipi di utenti, dai consumatori alle aziende, sono diventati preda dei ransomware, creando il ragionevole sospetto che questi continueranno a crescere. Possiamo aspettarci di vedere attacchi su larga scala e ben orchestrati in tutto il mondo sulla falsariga dell’attacco di WannaCry che si è verificato a maggio del 2017. Possiamo anche aspettarci di vedere i criminali diventare creativi nelle loro tattiche di estorsione, come ad esempio “se contagi due contatti, ti restituiremo i dati a un costo inferiore”.

Nel complesso, dal momento che i sistemi operativi rafforzano la loro sicurezza, prevediamo un calo nell’uso degli exploit per colpire le vulnerabilità, a favore di un aumento nell’uso di tecniche di hacking di base basate sull’errore umano. Tuttavia, stanno emergendo attacchi mirati che utilizzano sofisticati strumenti sponsorizzati da alcune nazioni, e il tasso di attacco probabilmente continuerà a salire.

Preoccupazioni per il cloud

L’utilizzo del server-less computing e del data storage nel cloud sta diventando sempre più diffuso nel mondo degli affari. Tuttavia, vale la pena ricordare che la tecnologia cloud e l’infrastruttura che la supporta è relativamente nuova e in continua evoluzione e che esistono ancora gravi problemi di sicurezza che forniscono una backdoor agli hacker per accedere ai sistemi aziendali e diffondersi rapidamente attraverso le reti. Idee sbagliate circa le responsabilità e il livello di sicurezza necessario per operare in sicurezza all’interno di un ambiente cloud sono comuni, così come le errate configurazioni che lasciano la porta aperta alle violazioni.

Durante il 2017, oltre il 50% delle violazioni alla sicurezza gestite dal team di risposta agli incidenti di Check Point era correlato al cloud e oltre il 50% riguardavano la violazione di account di app SaaS o server hosted. Con l’aumento dell’utilizzo di servizi di condivisione di file basati su cloud, le perdite di dati continueranno a essere una delle principali preoccupazioni per le organizzazioni che si spostano verso il cloud. Questo si è visto anche di recente quando una violazione della società di consulenza Deloitte ha permesso agli hacker di accedere ai dati riservati di diversi clienti.

La crescente adozione di email basate su SaaS, come Office 365 e la G-Suite di Google, è un obiettivo attraente per i cybercriminali.

Incidenti mobile

I dispositivi mobile fanno parte del tessuto IT aziendale ovunque, eppure continuano a essere raramente, se non mai, protetti in modo appropriato, nonostante il rischio che presentano. Continueremo a scoprire difetti nei sistemi operativi mobile che evidenziano la necessità per le organizzazioni di adottare un approccio più serio alla protezione della loro infrastruttura mobile e dei dispositivi endpoint contro malware, spyware e altri attacchi informatici.

I malware mobile continueranno a proliferare, in particolare i malware per il mobile banking, dato che l’industria del Malware as a Service (MaaS) continua a crescere. Il MaaS consente, infatti, agli autori delle minacce di ridurre gli ostacoli tecnici necessari per lanciare un attacco. I cryptominer sono saliti alla ribalta nel 2017 e possiamo aspettarci di vedere altri malware crittografici rilasciati su dispositivi mobile per il mining di criptovalute nel prossimo futuro.

Infrastrutture critiche

Quasi tutte le infrastrutture sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici e, per questo motivo, anche i più semplici principi di sicurezza informatica non sono stati presi in considerazione all’interno dei progetti. Indipendentemente dal fatto che l’obiettivo coinvolga reti telefoniche/mobile, reti elettriche, centrali elettriche o impianti di trattamento delle acque, la nostra fortuna è che non ci sia stato un attacco su vasta scala e di successo su infrastrutture critiche che impattano su milioni di persone… ancora. L’attacco DDoS contro il servizio di domain directory di DynDNS nel 2016, che ha causato un’interruzione di Internet e che ha colpito utenti di grandi aziende del Web come Netflix e Amazon, offre un’idea di ciò che è possibile fare con un attacco informatico a un’infrastruttura critica. Un attacco di questo tipo e scala avverrà, e non sarebbe sorprendente vederlo accadere nei prossimi 12 mesi.

Internet delle cose (insicure)

Dal momento che sempre più dispositivi smart vengono integrati nel tessuto delle reti aziendali, le organizzazioni dovranno iniziare a utilizzare migliori pratiche di sicurezza per le proprie reti e i dispositivi stessi. La potenziale superficie di attacco si espande con la crescita dell’utilizzo dei dispositivi IoT e gli attacchi ai dispositivi IoT compromessi continueranno a crescere. Vedremo nuove varianti degli attacchi Mirai e BlueBorne nel 2018. Migliori pratiche di sicurezza nell’IoT saranno fondamentali per prevenire attacchi su larga scala e potrebbero persino essere imposte da normative internazionali.

Per ogni opportunità di business creata dal nostro mondo iperconnesso, quella stessa iperconnettività crea opportunità per i cybercriminali. Ogni ambiente è un potenziale obiettivo: reti aziendali, cloud, dispositivi mobile e IoT. La difesa di queste reti richiede proattività ovvero bloccare preventivamente le minacce prima che possano infettare e danneggiare. Utilizzando l’intelligence delle minacce per potenziare le misure di sicurezza unificate e consolidate, le aziende possono automaticamente proteggere, da nuovi ed emergenti tipi di attacco, tutti gli ambienti. La proattività unita all’innovazione segna la strada per vincere la corsa agli armamenti della sicurezza informatica.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il report H2 2017 Global Threat Intelligence Trends, rivelando come i criminali informatici si stiano rivolgendo sempre più ai cryptominer per creare nuovi flussi illegali di guadagni, mentre ransomware e adware “malvertising” continuano ad avere un forte impatto sulle aziende di tutto il mondo.

Durante il periodo luglio/dicembre 2017, un’azienda su cinque è stata colpita da un malware per il mining di criptovalute, strumenti che consentono ai criminali informatici di utilizzare la potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute, utilizzando fino al 65% della potenza della CPU dell’utente finale.

Il report H2 2017 Threat Global Intelligence Trends, che si basa sui dati provenienti dall’intelligence ThreatCloud di Check Point relativi al periodo luglio/dicembre 2017, offre una panoramica dettagliata sulle minacce informatiche nelle principali categorie di malware (ransomware, banking e mobile) ed evidenzia le tattiche chiave utilizzate dagli hacker per colpire le aziende.

I trend chiave dei malware da luglio a dicembre 2017:

I ricercatori di Check Point hanno rilevato alcuni trend chiave relativi ai malware, tra cui:

  • Frenesia cryptominer – mentre i miner di criptovalute sono di solito utilizzati dagli utenti per minare le proprie criptovalute, la crescita dell’interesse da parte dell’opinione pubblica nei confronti delle valute virtuali ha rallentato il processo di estrazione, che dipende direttamente dal numero dei possessori delle valute. Questo rallentamento ha aumentato la potenza computazionale necessaria per minare le criptovalute e, di conseguenza, i criminali informatici hanno pensato a nuovi modi per sfruttare le risorse di calcolo di un pubblico ignaro di tutto.
  • Diminuzione degli exploit kit – fino a un anno fa, gli exploit kit erano il principale vettore di attacco. Nel corso del 2017, tuttavia, l’utilizzo degli Exploit Kit è diminuito in modo significativo man mano che le piattaforme sfruttate sono diventate più sicure. La rapida risposta da parte dei vendor e dei principali sviluppatori di browser alle nuove vulnerabilità, insieme al rilascio di aggiornamenti automatici alle versioni più recenti, hanno anche significativamente ridotto la vita dei nuovi exploit.
  • Aumento delle operazioni di truffa e di casi di Malspam (malware distribuiti tramite email) – durante il 2017, il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha attratto esperti attori delle minacce che hanno portato con sé una pratica avanzata che includeva vari exploit di vulnerabilità nei documenti, in particolare in Microsoft Office.
  • I malware mobile raggiungono il livello aziendale – nell’ultimo anno abbiamo assistito a numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. Ciò include i dispositivi mobile che agiscono come proxy, attivati dal malware MilkyDoor e utilizzati per raccogliere dati interni dalla rete aziendale. Un altro tipo di malware mobile, è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.

Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “La seconda metà del 2017 ha visto i criptominer prendere d’assalto il mondo fino a diventare uno dei vettori di attacco preferito per generare introiti illegali. Anche se questo non è un tipo di malware completamente nuovo, la crescente popolarità e il valore della criptovaluta ha portato a un significativo aumento nella distribuzione dei malware per il mining di criptovalute. Inoltre, altri trend persistono, come i ransomware, che risalgono al 2016 e che sono ancora uno dei principali vettori di attacco, utilizzato sia per attacchi globali sia per attacchi mirati contro organizzazioni specifiche. Il 25% degli attacchi che abbiamo visto in questo periodo sfruttano le vulnerabilità scoperte oltre un decennio fa e meno del 20% usa quelle degli ultimi due anni. Quindi è chiaro che c’è ancora molto che le organizzazioni devono fare per proteggersi completamente dagli attacchi”.

I malware più diffusi nella seconda metà del 2017:

  1. RoughTed (15,3%) – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
  2. Coinhive (8,3%) – un malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina Web, senza l’approvazione dell’utente. Coinhive installa un JavaScript, che utilizza alti livelli della CPU degli utenti finali, incidendo gravemente sulle prestazioni della macchina. Coinhive è emerso nel settembre 2017 e ha già infettato il 12% delle aziende a livello globale.
  3. Locky (7,9%)ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.

I ransomware più diffusi nella seconda metà del 2017:

  1. Locky (30%)ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
  2. Globeimposter (26%) – viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.
  3. WannaCry (15%) – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.

I malware mobile più diffusi nella seconda metà del 2017:

  1. Hiddad (55%) malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
  2. Triada (8%)malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
  3. Lotoor (8%) – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.

I malware bancari più diffusi nella seconda metà del 2017:

  1. Ramnit (34%) – un trojan bancario che ruba credenziali bancarie, le password FTP, i cookie della sessione e i dati personali.
  2. Zeus (22%) – un trojan che colpisce le piattaforme Windows e spesso le utilizza per rubare informazioni bancarie tramite attacchi man-in-the-browser di tipo keystroke logging e acquisizione dei moduli.
  3. Tinba (16%) – un trojan bancario che ruba le credenziali della vittima tramite web-injects, attivato quando l’utente tenta di accedere al proprio sito web bancario.

I dati di questo report, si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce, relativa al periodo luglio-dicembre 2017. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

Che cosa dobbiamo imparare da questo recente attacco?

Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, avverte:

  1. l’attacco poteva essere evitato… oltre il 93% delle aziende non utilizza nel modo corretto le tecnologie esistenti che possono proteggerle da questi tipi di attacchi, quindi non deve sorprendere se questi attacchi si diffondono così velocemente. Le aziende devono adottare soluzioni che prevengono questi tipi di attacchi e assicurarsi di mantenere e far mantenere dai propri dipendenti i sistemi aggiornati. È fondamentale poi un’eccellente gestione delle patch.
  2. È giunto il momento per le aziende, i governi e le organizzazioni in genere di includere la cybersecurity nella loro agenda: questi attacchi dimostrano che le aziende devono investire nel futuro della cybersecurity. È fondamentale che le nuove tecnologie di cybersecurity vengano sfruttate a livello governativo per prevenire il verificarsi di nuovi attacchi. Sappiamo infatti che questi attacchi continueranno a succedere, quindi dobbiamo prendere provvedimenti per proteggere i nostri dati e le nostre organizzazioni.
  3. La frammentarietà della sicurezza è parte del problema: ci sono troppe tecnologie disgiunte all’interno di un’azienda che rilevano l’attacco solo dopo che ha colpito. È necessario che le organizzazioni di tutte le dimensioni e di tutti i settori adottino un’architettura unificata, come per esempio Check Point Infinity, focalizzata sulla prevenzione dell’attacco prima che questo colpisca.

Come puoi proteggere te stesso e la tua azienda/organizzazione?

Questo attacco è l’ennesima dimostrazione di come:

  • nuove varianti di malware possono essere create e diffuse su scala globale a una velocità incredibile
  • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete

Questi attacchi hanno il potenziale per creare un danno ingente e massiccio, si vede per esempio l’impatto che ha avuto in Ucraina su alcune infrastrutture critiche. La conseguenza è un rapidissimo propagarsi delle infezioni che hanno un effetto drammatico sulle nostre vite quotidiane, con il blocco dei servizi e delle nostre routine.

Tra le cose che più sorprendono Check Point è il fatto che spesso le organizzazioni non applicano le patch immediatamente, anche se come nel caso di Petya e WannaCry, erano disponibili da mesi.

Un’analisi completa di quello che è successo nelle scorse ore è disponibile qui:

http://blog.checkpoint.com/2017/06/28/preventing-petya-stopping-next-ransomware-attack/

0 1032

L’anno prossimo entrerà in vigore il GPDR e un attacco simile a quello di WannaCry rischia di penalizzare ancora di più le aziende che non si faranno trovare conformi al nuovo regolamento.

Nonostante il panico che ha generato, sembra che alla fine le aziende e le organizzazioni in tutto il mondo siano riuscite a fermare WannaCry, ma non è ancora il momento di archiviare questo episodio. Sono molte le lezioni che possiamo imparare da questo attacco, sul perché ha avuto così tanto successo e cosa può essere fatto per evitare che accada di nuovo. La verità sconcertante è che molte aziende cadute vittima di WannaCry potrebbero incorrere anche in sanzioni punitive se la stessa tipologia di attacco accadesse fra un anno.

Il General Data Protection Regulation (GDPR) sta arrivando infatti e porta con sé un nuovo livello di urgenza per le aziende, che devono considerare una seria revisione delle loro strategie di cybersecurity dopo WannaCry.

Violazione o ransomware?
A una prima occhiata sembrerebbe poco opportuno collegare un attacco ransomware al nuovo regolamento europeo per la protezione dati, le aziende colpite da WannaCry infatti si sono ritrovate i dati criptati e non rubati. Ad ogni modo, un’esamina più approfondita del GDPR ci permette ulteriori considerazioni.

L’articolo 4.12 afferma:

Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.

In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.

In modo simile, l’articolo 5.1 precisa:

I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.

E ancora, l’articolo 32 afferma che l’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione “lo stato dell’arte” per “implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio”.

E aggiunge:

Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.

WannaCry poteva essere impedito

In che modo le aziende sono state colpite da WannaCry? Fallendo nel non patchare una vulnerabilità Windows SMB (CVE-?2017-0144). Questo ha permesso agli attaccanti di liberare un file ransomware nei sistemi infettati e  crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Ovviamente, tra questi file c’erano anche quelli dei clienti che devono essere regolati dal GDPR.

Cosa significa tutto questo agli occhi del regolamento? Innanzitutto che ogni azienda che gestisce dati di clienti che sono stati colpiti da WannaCry potrebbe essere colpevole di aver permesso “il trattamento non autorizzato o illegale” di questi dati. Tecnicamente è stata subita anche una violazione di dati personali, nonostante nessun dato sia stato rubato, in virtù del fatto che questi dati sono stati persi o distrutti nell’attacco ransomware.

Ancora più grave, nel momento in cui una patch ufficiale di Microsoft era a disposizione settimane prima dell’attacco, le organizzazioni colpite hanno fallito nel prendere adeguate misure di sicurezza. Inoltre, le tecnologie di virtual patching esistono appunto per proteggere i sistemi non patchati o non supportati.

Se l’attacco di WannaCry fosse avvenuto un anno dopo, le aziende sarebbero responsabili anche di non essere compliance con i principi del GDPR. Le multe in questo caso potrebbero raggiungere il 4% del fatturato annuo o i 20 milioni di euro.

Il GDPR entrerà in vigore fra un anno e il messaggio è semplice: le best practice di security hanno protetto le organizzazioni contro WannaCry e aiuteranno anche con il GDPR, a partire dal 25 maggio 2018.

Carla Targa, Marketing and Communication Manager Trend Micro Italia

0 1147

Secondo il Global Threat Impact Index di maggio di Check Point® Software Technologies Ltd.l’Italia scende di quindici posizioni nella classifica dei paesi più attaccati al mondo piazzandosi al 50esimo posto. Se si considerano le minacce, Fireball, il malware cinese che prende il controllo dei browser, ha colpito duramente anche nel nostro Paese aggiudicandosi il primo posto nella classifica dei malware più diffusi. Al secondo posto si è piazzato Roughted, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, mentre al terzo posto appare Conficker, warm che punta ai sistemi operativi Windows. Gli utenti di Facebook e Skype sono stati tra le prime vittime di questo malware che da tempo compare in classifica. WannaCry, il ransomware che ha sconvolto mezzo mondo lo scorso mese, è fermo invece alla posizione numero quattro nella classifica italiana dei 10 malware più diffusi.

Check Point rivela che due delle tre famiglie malware che hanno infettato a livello mondiale le reti erano zero-day, cioè non erano mai state identificate prima. In particolare, Fireball ha colpito un’organizzazione su cinque, mentre RoughTed, secondo classificato anche nel mondo, è responsabile del 16% dei casi di infezione alle aziende, infine, il terzo classificato WannaCry ha infettato l’8% delle aziende. Si è notato inoltre che altre varianti di Fireball e WannaCry si sono diffuse rapidamente a livello mondiale durante il mese di maggio.

Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione. Fireball attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Al contrario, RoughTed è una campagna di malvertising su larga scala, mentre WannaCry sfrutta un exploit di Windows SMB chiamato EternalBlue capace di diffondersi all’interno delle reti e tra le reti. WannaCry è diventato famoso a maggio per avere bloccato un larghissimo numero di reti e dispositivi in tutto il mondo.

Oltre ai malware citati sopra, la classifica presenta altri nuovi malware, tra cui il ransomware Jaff (ottava posizione) che si è dimostrato particolarmente profittevole per i cybercriminali.

I tre malware più terribili a maggio 2017 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.

  1. ? Fireball – si tratta di un browser hijacker che si trasforma in un malware downloader completo. Dato che è in grado di eseguire un qualsiasi codice sui computer vittime, riesce a compiere un’ampia serie di azioni come rubare credenziali e rilasciare altri malware.
  2. ? RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
  3. ? WannaCry – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.

Per quanto riguarda il mobile, Hummingbad ritorna al primo posto della classifica, marcato stretto da Hiddad e Triada:

I tre malware per dispositivi mobili più terribili di maggio 2017:

  1. Hummingbad malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
  2. Hiddadmalware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
  3. Triadamalware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità

Vedere così tante nuove famiglie di malware nei più importanti attacchi hacker del mondo sottolinea quanto innovativi possono essere i cybercriminali e mostra quanto sia pericoloso per le aziende diventare tolleranti”, ha dichiarato Maya Horowitz, Threat Intelligence, Group Manager di Check Point. “Le aziende devono ricordarsi che l’impatto economico di un attacco hacker va al di là dell’incidente iniziale. Ripristinare i servizi chiave e riparare i danni d’immagine può essere un processo lungo e costoso. Le organizzazioni in ogni settore hanno bisogno di un approccio multlivello per la propria cybersecurity. Le nostre soluzioni SandBlast™ Zero-Day Protection e Mobile Threat Prevention, per esempio, offrono protezione completa nei confronti della più ampia gamma di tipi di attacchi in continua evoluzione e delle varianti dei malware zero-day”.

La ThreatCloud Map si avvale dell’intelligence ThreatCloud di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

 

I laboratori Trend Micro, leader globale nelle soluzioni di sicurezza informatica, avvisano sulla pericolosità del nuovo malware EternalRocks. Questo malware utilizza EternalBlue e DoublePulsar, i due exploit della National Security Agency (NSA) rivelati dal ShadowBrokers hacking group e utilizzati dal famoso ransomware WannaCry, ma anche altri cinque exploit simili: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch e SMBTouch. La maggior parte di questi exploit prende di mira il MicrosoftServer Message Block (SMB), che gestisce la condivisione degli accessi tra i nodi di una rete.

EternalRocks, dopo aver infettato l’obiettivo, ha un ciclo di installazione che si divide in due fasi. Nella prima il malware scarica il TOR client per utilizzarlo come un canale di comunicazione e per raggiungere il suo Command & Control (C&C) server. Il C&C server, sorprendentemente, non manda una risposta immediata ma dopo 24 ore e questa potrebbe essere una tattica per bypassare le analisi di sicurezza e le sandbox. Una volta che il C&C server risponde, invia il file zip shadowbrokers.zip che contiene gli exploit NSA. Una volta spacchettato, EternalRocks scansiona internet alla ricerca di sistemi con la porta 445 aperta, che utilizza per l’infezione virale.

EternalRocks al contrario di WannaCry sembra non avere nessun payload maligno, ma la sua abilità a propagarsi velocemente a causa della sua componente infettiva significa che i sistemi infettati possono subire gravi conseguenze nel momento in cui il malware venisse armato. Al momento il malware non blocca i PC, non invia file corrotti, non crea botnet, ma lascia comunque i computer infetti e vulnerabili a comandi remoti. Il fatto che questa minaccia non abbia neanche un interruttore di emergenza, renderebbe molto più difficile fermare l’attacco.

EternalRocks utilizza gli stessi exploit di WannaCry, gli amministratori di sistema e gli utenti dovrebbero patchare immediatamente i loro sistemi, se non lo hanno già fatto.

Si è concluso ieri a Milano l’edizione 2017 del CPX Europe, l’evento dedicato ai clienti e ai partner di Check Point Software Technologies, azienda israeliana specializzata nella sicurezza informatica.

2017 April Top Malware

Secondo Check Point® Software Technologies Ltd. , il mese di aprile è stato davvero drammatico per l’Italia che ha scalato la classifica dei paesi più colpiti dai malware di altre 7 posizioni, raggiungendo quota 35.

In particolare, le principali minacce attualmente in atto nel nostro Paese sono Conficker, warm che punta ai sistemi operativi Windows; HackerDefender, un rootkit user-mode per Windows, che modifica parecchi sistemi Windows e API native e li rende introvabili dai sistemi di sicurezza e Rig EK, un exploit rilevato la prima volta nel 2014 che si diffonde con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit. A livello globale, Check Point ha rilevato una costante crescita nell’uso di exploit da parte dei cybercriminali con Rig EK che è diventato addirittura la più diffusa forma di attacco, secondo il Global Threat Impact Index di aprile.

Aggiornamento su WannaCry

L’azienda lancia la mappa WannaCry Ransomware Infection Map che mostra l’entità della diffusione epidemica del ramsomware internazionale “WannaCry”.

I ricercatori di Check Point hanno investigato nel dettaglio la campagna ransomware, a partire da quando è stata segnalata per la prima volta. I ricercatori sono riusciti a tracciare 34.300 tentativi di attacco in 97 Paesi. La media degli attacchi oggi è pari a un tentativo in ogni tre secondi, in calo rispetto al dato registrato qualche giorno fa quando la media era pari a un tentativo al secondo. La nazione in cui è stato registrato il maggior numero di attacchi è l’India, seguita da USA e Russia.

Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha dichiarato: “Sebbene stiamo registrando un calo nel numero degli attacchi, WannaCry si diffonde velocemente e nel mirino finiscono le organizzazioni di tutto il mondo. WannaCry è un campanello d’allarme che mostra quanto dannosi i ransomware possano essere, e quanto velocemente possano causare interruzioni a servizi essenziali.

Trend Micro, leader globale nelle soluzioni di sicurezza informatica, ha rilevato per la prima volta il ransomware WannaCry/Wcry in data 14 aprile 2017. La variante iniziale (RANSOM_WCRY.C) è stata distribuita attraverso attacchi phishing che portavano gli utenti a scaricare il malware da Dropbox. Questa variante iniziale non era di particolare rilevanza.

Venerdì 12 maggio 2017, una nuova variante di WannaCry (RANSOM_WCRY.I / RANSOM_WCRY.A) costruita sulla variante di aprile, ha aggiunto l’exploit per CVE-2017-0144, conosciuto meglio come EternalBlue o MS17-10. Questo exploit ha permesso al ransomware di diffondersi come un parassita attraverso le reti non protette. Lo scorso venerdì sera Microsoft ha rilasciato una patch disponibile pubblicamente per le versioni non supportate di Windows (Windows XP, Windows 8, Windows Server 2003) e aiutare a risolvere la criticità.

 

Come difendersi?
Un’azione decisa di patch management è la chiave per proteggersi da quelle vulnerabilità come MS17-010, caratteristica che apparentemente distingue WannaCry dalle altre varianti di ransomware. I cybercriminali sono a conoscenza che le grandi aziende hanno bisogno di molto tempo per porre rimedio alle vulnerabilità e hanno colto tutte le opportunità attraverso questo attacco.

Trend Micro offre uno strumento gratuito  che può rilevare il ransomware WannaCry. Questo strumento utilizza il machine learning e altre tecniche simili a quelle di OfficeScan XG per potenziare la protezione fornita dagli strumenti di sicurezza avanzata endpoint. Oltre a una forte protezione endpoint, Trend Micro raccomanda anche una soluzione di sicurezza e-mail per aiutare a prevenire l’infezione iniziale (il 79% degli attacchi ransomware nel 2016 sono iniziati da un’azione di phishing) e una forte strategia di backup per riprendersi da un attacco ransomware di successo.