Attacchi mirati: Trend Micro presenta il primo report che analizza le campagne di attacco più diffuse nel mondo, i loro obiettivi e le tattiche utilizzate

Un fenomeno in forte crescita che non prende di mira solo le organizzazioni governative ma anche target specifici nel mondo dei media e dell’industria. L’Italia è al quinto posto tra i Paesi scelti dal cybercrime dal quale fare partire gli attacchi

Tags: Trend Micro, #TrendMicro, APT, attacchi mirati, 2Q Report on Targeted Attack Campaigns

Trend Micro, leader globale nel mercato della sicurezza in-the-cloud, dei server e della virtualizzazione, presenta il primo di una serie di report trimestrali che saranno dedicati al fenomeno degli attacchi mirati – 2Q Report on Targeted Attack Campaigns. L’analisi basata sia sulla propria esperienza diretta nella protezione delle infrastrutture dei clienti sia sui dati raccolti dall’intelligence di Trend Micro ha permesso di esaminare le tendenze principali e approfondire lo studio delle dinamiche e delle implicazioni dei casi specifici verificatesi nel corso del trimestre.

Gli attacchi altamente mirati e le minacce costanti evolute (APT) sono processi di attacco sofisticati che seguono schemi precisi e si compongono di una serie continua di tentativi volti a compromettere un obiettivo nel tempo, stabilendo delle persistenze nelle reti attaccate, per poi trafugare informazioni sensibili, sabotare le organizzazioni, danneggiare i sistemi e altro ancora. In genere il malware viene utilizzato come vettore di attacco ma la vera minaccia è rappresentata dagli individui malintenzionati che ogni giorno migliorano e mettono appunto nuove metodologie mirate, basate sui sistemi di difesa adottati dalle loro vittime.

Secondo le indagini Trend Micro, gli attacchi stanno diventando sempre più sofisticati e diretti. Se l’obiettivo principale dei malintenzionati restano i governi e le organizzazioni governative, con una maggiore concentrazione in Asia e in Europa (86% degli attacchi), crescono le campagne indirizzate alle le aziende nei diversi settori di mercato, in particolare rivolte al mondo dell’informatica e delle telecomunicazioni.

Le tecniche più diffuse: spear phishing e file compressi – come sfruttare le vulnerabilità delle persone e dei sistemi
In base a quanto rilevato da Trend Micro, lo spear phishing, una categoria di phishing altamente mirato che sfrutta le informazioni disponibili su un utente-obiettivo per rendere gli attacchi maggiormente specifici e “personali”, si è confermato il principale veicolo di attacco nel 2012, il 92% degli attacchi infatti è stato avviato tramite questa modalità. I criminali online sfruttano l'attenzione di un determinato individuo e lo spingono ad aprire allegati pericolosi o a cliccare su un link che rimanda a un sito dove sono nascosti exploit o malware in grado di compromettere la rete della vittima. Tra gli allegati più utilizzati, il report dell’ultimo trimestre evidenzia che nel 59% sono stati adottati file compressi (la maggior parte archivi zip) che una volta aperta la compressione avviavano direttamente il processo di attacco.

Server C&C – l’Italia al quinto posto come hub del cybercrime
Gli attacchi mirati sono in genere orchestrati a distanza tramite comunicazioni C&C tra i sistemi infiltrati e gli stessi cybercriminali. Durante l'attacco, i cybercriminali utilizzano questo canale per aprire e modificare l’accesso alle backdoor di rete in modo da trovare e appropriarsi dei dati-obiettivo.

I PC infettati con il malware, attraverso le email di spam o altri veicoli, svolgono un ruolo fondamentale negli attacchi perché trasformati in server di C&C possono essere utilizzati in qualsiasi momento, anche a distanza di tempo per promuovere gli attacchi mirati su larga scala.

Trend Micro ha monitorato il volume delle attività dei server di C&C e ha scoperto i paesi dove sono ubicati. La maggior parte degli attacchi sono partiti dall’Australia (32%) ma anche l’Italia svolge il suo ruolo per il cybercrime internazionale ed è al quinto posto nella classifica con il 6% delle attività C&C.

Le campagne di attacco più rilevanti: il caso di EvilGrab
Monitorando il panorama degli attacchi mirati, Trend Micro ha identificato le campagne in corso in modo da fornire un’ulteriore intelligence sulle minacce che consenta di rilevare e identificare queste stesse campagne quando aggrediscono il network aziendale.

Un approfondimento particolare è stato riservato al caso EvilGrab, che ha colpito organizzazioni governative in Asia ed Europa. Una caratteristica fondamentale che differenzia questa tipologia di attacco è l’essere indirizzato in modo specifico ai software di sicurezza e l’aver sfruttato un insieme di componenti audio e visive per catturare le informazioni sullo schermo e quelle accessibili dal microfono o da qualsiasi altro dispositivo audio collegato. Un processo analogo è avvenuto recentemente nell’attacco condotto ai danni del New York Times.

EvilGrab testimonia ancora una volta come i criminali informatici si stiano evolvendo nella preparazione e nello studio e come, a partire dalla conoscenza delle infrastrutture di sicurezza delle proprie vittime, riescano a mettere a punto strategie sempre più mirate.

Come combattere gli attacchi mirati? La Difesa Personalizzata di Trend Micro
Contro gli attacchi mirati Trend Micro propone una Difesa Personalizzata che integra software, informazioni e intelligence globale con strumenti e servizi specializzati per garantire nozioni personalizzate sulla minaccia specifica e sui criminali informatici coinvolti. In particolare, la soluzione Trend Micro Deep Discovery non solo consente di analizzare e rivelare le minacce in tempo reale ma anche di adattare rapidamente i sistemi di protezione, garantendo la visibilità e l'intelligence necessarie a identificare e rispondere agli attacchi, prima che l’azienda subisca il danno.

Un ruolo fondamentale è svolto dall’infrastruttura di protezione in-the-cloud di Trend Micro, Smart Protection Network, che identifica automaticamente i siti C&C attivi in tutto il mondo elaborando ogni giorno 12 miliardi di richieste IP/ URL e mettendo in correlazione tra loro oltre sei terabyte di dati. I suoi motori di correlazione rispondono perfettamente alla natura mutevole degli indirizzi C&C; il network sfrutta inoltre le più recenti innovazioni proposte da 1.200 esperti di sicurezza Trend Micro, che si occupano costantemente di identificare le misure evasive adottate dai cybercriminali.