Catturati nella rete: Districare la matassa di minacce vecchie e nuove

Tra i problemi più significativi del 2018, abbiamo visto minacce persistenti e strategie mutevoli dei cyber criminali. Le aziende hanno affrontato diverse sfide, ma uno studio attento di questi problemi potrà presentare un'occasione di miglioramento.
  • Minacce via messaggi
  • Ransomware
  • Vulnerabilità critiche
  • Attacchi all'IoT
  • Ricerca Trend Micro
  • Panorama delle minacce
  • Scarica il PDF

Nel 2018 un insieme di problemi vecchi e nuovi connessi alla cybersecurity ha sommerso le imprese. I ricercatori hanno scoperto che quasi tutti i computer operativi hanno presentato gravi falle hardware, i ransomware hanno continuato a colpire le aziende, il mining non autorizzato della criptovaluta si è diffuso e diversificato e i dispositivi vulnerabili connessi nelle case sono stati colpiti da nuovi ed efficaci attacchi. Inoltre, come reazione a un panorama sempre più ampio di sistemi operativi e dispositivi, i cyber criminali sono passati da attacchi basati su exploit kit a una tattica vecchia ma sempre valida: l'ingegneria sociale. Gli exploit kit e i metodi automatici erano efficaci finché un ampio numero di utenti ha usato un software vulnerabile, ma nel 2018 molti autori di minacce hanno invece tentato di sfruttare vulnerabilità umane. 

Il nostro rapporto annuale sulla sicurezza esamina queste e altre importanti questioni in merito, fornendo una preziosa analisi ad aziende e utenti per aiutare loro a prepararsi a minacce critiche con consapevolezza.

. . .

Minacce via messaggi

Le email lavorative sono una piattaforma molto attraente per i cyber criminali, in quanto mezzo per importanti comunicazione all'interno della rete aziendale. Di conseguenza, il phishing e altri schemi di ingegneria sociale rappresentano alcune delle preoccupazioni principali per i professionisti della cybersecurity, perché email indesiderate dalla struttura e dalla stesura professionali possono facilmente ingannare destinatari che rispondono regolarmente a email simili.  

Nel 2018 siamo stati testimoni di un aumento nell'uso di svariate forme di minacce via messaggi. In particolare, abbiamo rilevato una crescita degli accessi bloccati a URL di phishing da indirizzi IP unici dei client pari all'82% rispetto all'anno precedente. Tradizionalmente il phishing arriva via email, perché le minacce basate su email sono molto più indipendenti dalla piattaforma rispetto ad altri tipi di attacchi che si affidano, per esempio, a exploit specifici.

2017
11,340,408
2018
20,617,181

Confronto anno per anno degli accessi bloccati a URL di phishing da indirizzi IP unici dei client (per esempio, un computer che ha eseguito l'accesso a un link tre volte è stato contato una sola)

Di recente, oltre alle email, gli attacchi di phishing hanno sfruttato chat, SMS, e altri metodi di comunicazione. La crescita in termini di quantità di attacchi di phishing, nonché di modalità con cui questi avvengono, mostra che i cyber criminali si stanno adattando a un panorama in mutamento. Una quantità più elevata di dispositivi connessi e un numero sempre più ampio di sistemi operativi significa che l'exploit di un particolare sistema operativo non offre ai cyber criminali profitti alti quanto in passato. Di conseguenza, si affidano a un attacco vecchio, ma ancora efficace.

28%
2017-2018

Un'altra forma di attacchi via messaggio che si è diffusa nel 2018 è stata la Business email compromise (BEC). In un attacco BEC tipo, l'aggressore avvia o intercetta una comunicazione per raggirare un impiegato di azienda che ha il potere di sbloccare o trasferire fondi.


  • CEO

  • Amministratore delegato/direttore

  • Presidente

  • Direttore generale/Manager

  • Presidente del consiglio di amministrazione

  • Altri

Posizioni dirigenziali oggetto di spoofing

Nonostante il numero ridotto di attacchi BEC, un tentativo andato a buon fine avrebbe potuto avere come conseguenza grosse perdite per l'azienda presa di mira. Al contrario, gli attacchi di phishing sono stati indirizzati a un gran numero di possibili vittime perché truffare anche una bassa percentuale di utenti rappresenterebbe un profitto per gli aggressori.

. . .

Ransomware

Nel complesso, dal 2017 al 2018, le minacce legate ai ransomware sono diminuite del 91% e nello stesso periodo è diminuito anche il numero di nuove famiglie di ransomware scoperte. Questo calo rapido e stabile ha portato avanti la traiettoria osservata nel nostro rapporto di metà anno. La causa si potrebbe ricercare in soluzioni contro i ransomware migliorate, in una maggiore consapevolezza della minaccia e, in parte, nel riconoscimento dell'inutilità di cercare di ragionare con gli aggressori.

2017
631,128,278
2018
55,470,005

Minacce legate al ransomware

2017
327
2018
222

Nuove famiglie di ransomware

Ciononostante, poiché il potenziale profitto degli aggressori superava lo sforzo richiesto per realizzare gli attacchi, abbiamo continuato ad assistere all'uso dei ransomware. I nostri rilevamenti per WannaCry, la famiglia che ha causato l'exploit globale del maggio 2017, si attestavano su una cifra stabile (616.399) e hanno messo in ombra con largo margine quelli di tutte le altre famiglie di ransomware.

Il mining della criptovaluta, da parte sua, ha raggiunto un nuovo picco nel 2018 con oltre 1,3 milioni di rilevamenti: una crescita del 237% rispetto all'anno precedente. 

1,350,951
2018
400,873
2017

Rilevamenti nel mining di criptovaluta

Oltre alla crescita dei rilevamenti, nel corso dell'anno è stata rilevata anche una "corsa all'oro" nei metodi di attacco al mining della criptovaluta: penetrazione di piattaforme pubblicitarie, annunci pop-up, estensioni dannose per browser, cellulari, botnet, aggregazione con software lecito, exploit kit e ransomware modificati

819%
di minacce fileless
Ago 2017 - Dic 2018

Si è verificata inoltre un'impennata in un metodo di attacco utilizzato per eludere le tradizionali tecniche di blacklisting: le minacce fileless. Queste particolari minacce tentano di eludere le soluzioni convenzionali e solitamente possono essere individuate solo tramite altri metodi come il controllo del traffico, gli indicatori di comportamento o il sandboxing.

. . .

Vulnerabilità critiche

Per quanto riguarda la sicurezza, l'anno è cominciato con l'innovativa divulgazione di Meltdown and Spectre, vulnerabilità a livello di processore basate su falle nell'esecuzione speculativa di istruzioni della CPU. Queste nuove classi di falle hanno riguardato diversi microprocessori e hanno generato nuovi attacchi alla CPU insieme a una grande quantità di problemi connessi alla migrazione. Alla fine dell'anno ancora non c'erano soluzioni dirette a queste debolezze legate alla micro-architettura.

Un'altra scoperta infelice del 2018 è stata quella della vulnerabilità critica nel software open source di orchestrazione su cloud Kubernetes. Per fortuna, questa falla specifica è stata risolta in fretta con una patch.

La maggior parte delle vulnerabilità vengono trovate e rese note da ricercatori sulla sicurezza e fornitori in modo che non possano essere utilizzate in attacchi su larga scala. Ma rendere nota una vulnerabilità al pubblico significa anche comunicarla agli autori delle minacce, quindi trovare una soluzione prima di rilasciare l'informazione è fondamentale. Gli autori delle minacce abusano attivamente delle vulnerabilità per creare exploit operativi.

Di recente non sono stati identificati attacchi exploit zero-day su larga scala, a differenza del passato, quando in un anno se ne rilevavano due o tre importanti. Gli attacchi scoperti nel 2018 sono stati invece di portata limitata. I cyber criminali hanno anche abusato di vulnerabilità che erano già state corrette, forti del presupposto che molti utenti non avevano applicato, o almeno non in fretta, le correzioni disponibili. 

*Passa il mouse per vedere la data dell'attacco

*Tocca per vedere la data dell'attacco

Vulnerabilità di Drupal utilizzate per consegnare miner di criptovaluta

CVE-2018-7602
DATA DELLA PATCH:
25 aprile 2018

DATA DELL'ATTACCO:
5 ore dopo il rilascio della patch

Vulnerabilità di Apache CouchDB utilizzate per consegnare miner di criptovaluta

CVE-2017-12635,
CVE-2017-12636
DATA DELLA PATCH:
14 novembre 2017

DATA DELL'ATTACCO:
15 febbraio 2018
dopo 3 mesi

Vulnerabilità di Oracle WebLogic WLS-WSAT usate per il mining di criptovaluta

CVE-2017-10271
DATA DELLA PATCH:
16 ottobre 2017

DATA DELL'ATTACCO:
26 febbraio 2018
dopo 4 mesi

Vulnerabilità che permette il rooting permanente di telefoni Android usata in AndroRat

CVE-2015-1805
DATA DELLA PATCH:
16 marzo 2016

DATA DELL'ATTACCO:
13 febbraio 2018
dopo 23 mesi

Attacchi degni di nota del 2018 che hanno incluso exploit di vulnerabilità note e corrette da patch

Tra le vulnerabilità trovate nel 2018, una percentuale considerevole è dovuta al software usato nei sistemi per il controllo industriale (ICSs). E la maggior parte di queste vulnerabilità si trovava nel software di interfaccia uomo-macchina (HMI) per gli ICS e per gli ambienti per il controllo di supervisione e l'acquisizione dati (SCADA). L'HMI è l'hub principale per il controllo, la gestione e l'implementazione degli stati di diversi processi nelle strutture. L'exploit di una vulnerabilità critica dell'HMI può permettere a un aggressore di incidere sulla funzionalità dei componenti fisici di una struttura aziendale. 

. . .

Attacchi all'IoT

Gli attacchi basati su router proseguono implacabili nonostante le ripercussioni affrontate dai creatori di Mirai e Satori. Nel 2018, abbiamo scoperto che il codice Mirai riciclato era ancora in uso per bersagliare i router. E VPNFilter, un'altra forma di malware per router, era stato aggiornato con abilità aggiuntive, quali componenti per la ricognizione e la persistenza che hanno portato ad abusare dei router attraverso il distributed denial of service (DDoS). Abbiamo rilevato anche router utilizzati nel mining della criptovaluta e in attacchi di pharming, che hanno proseguito il trend delle funzionalità aumentate osservato nel rapporto di metà anno.

Nel 2018 ci sono stati due esempi di attacchi:


  1. Cryptojacking

    Gli aggressori hanno sfruttato una falla di sicurezza corretta da una patch nei router MikroTik in Brasile e hanno inserito lo script dannoso Coinhive per eseguire il mining di Monero.


  2. Reindirizzamenti dannosi

    L'exploit kit Novidade poteva cambiare le impostazioni del DNS (Domain Name System) del router in modo che un utente ignaro fosse reindirizzato a pagine false controllate dall'aggressore.

Al crescere dei dispositivi connessi all'Internet delle cose (IoT), molti consumatori stanno diventando "amministratori di reti smart home". Pertanto devono assicurarsi che il loro router non diventi un punto di ingresso per gli aggressori. Poiché i router fungono da hub principale per gestire le connessioni da e verso i diversi dispositivi che hanno bisogno di Internet, la loro sicurezza è di vitale importanza.

. . .

Ricerca Trend Micro


Soluzioni machine learning

  • Un passo avanti agli altri: Approfondimento sulle minacce della rete attraverso il machine learning
  • Generazione di esempi antagonistici: Rendere i sistemi di machine learning solidi in merito alla sicurezza
  • Scoperta di minacce sconosciute attraverso la machine learning comprensibile dall'uomo

Ospedali connessi, fornitori di energia, aziende di erogazione dell'acqua

  • Infrastrutture critiche esposte e vulnerabili: Industrie dell'acqua e dell'energia
  • Fragilità della base dati dell'Internet delle cose industriale
  • Rendere sicuri gli ospedali connessi: Ricerca sui sistemi medicali esposti e i rischi della catena di produzione

Indagini e rimozione dei cyber criminali

  • Ascesa e declino di Scan4You
  • L'evoluzione dei cyber crimini e della cyber difesa

. . .

Panorama delle minacce

48387151118

Minacce totali bloccate nel 2018

Componenti di minacce bloccati1° semestre 20182° semestre 2018Totale 2018
Minacce via email16,997,711,54724,521,948,29741,519,659,844
File dannosi2,956,153,1122,867,738,6535,823,891,765
URL dannosi534,534,550509,064,9591,043,599,509
Minacce totali20,488,399,20927,898,751,90948,387,151,118

Confronto semestrale delle minacce via email, file e URL bloccate


AnnoFamiglia WannaCryAltre famiglie ransomware
2017321,814244,716
2018616,399126,518

Confronto anno per anno di rilevamenti di WannaCry in rapporto ai rilevamenti combinati di altri ransomware



Confronto mensile dei rilevamenti di minacce fileless


  •  
  • 147%
  • 33%
  • 35%
  • 38%
  • 94%
  • 27%

Confronto anno per anno tra le vulnerabilità di fornitori di software selezionati

Per altre analisi dei problemi più importanti legati alla cybersecurity del 2018, scarica il nostro rapporto annuale sulla sicurezza.

. . .

SCARICA IL RAPPORTO COMPLETO

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.