Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TrendLabsSM - Verifica di sicurezza del 1° trimestre 2015 Sommario DECLINAZIONE DI RESPONSABILITÀ TREND MICRO Le informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non essere applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non devono essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da un’adeguata consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere interpretate diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento senza preavviso. La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto. L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione, fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non è vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione. Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate, Trend Micro non rilascia alcuna garanzia o dichiarazione di alcun tipo in relazione all’accuratezza, alla validità corrente o alla completezza delle informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto a proprio rischio. Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali terzi coinvolti nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo di conseguenza, perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali di qualsiasi tipo derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori od omissioni nel contenuto del presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come sono”. 4 I difetti del modello di business della pubblicità Web mettono a rischio la sicurezza degli utenti 11 Incremento del volume di infezioni da crypto-ransomware, aziende minacciate 17 Macro malware, datato ma ancora efficace 21 Difetto della sicurezza FREAK vecchio di 10 anni causa problemi di gestione delle patch 26 Settore sanitario colpito da gravi violazioni, altri settori debilitati dagli attacchi di minacce informatiche PoS 30 Ricomparsa dei responsabili delle minacce con strumenti, tattiche e procedure nuovi per campagne di attacchi mirati 32 Aumento continuo del grado di sofisticatezza dei kit di exploit 36 Analisi del panorama delle minacce Quando si parla delle minacce viste lo scorso trimestre, nessun livello di prudenza sembra essere sufficiente a proteggere gli utenti. I criminali informatici e i responsabili delle minacce non sono più costretti a creare nuovi canali per raggiungere le loro vittime e i loro bersagli. Il lavoro preparatorio è già stato svolto e a questo punto basta proseguire fino alla fine. Le maggiori lacune della sicurezza sono quelle che vengono spesso sottovalutate. I malvertisement, ad esempio, non sono una novità. Molti utenti sono da tempo abituati a riceverli. Anche se gli utenti si dotano delle più recenti soluzioni di sicurezza e del più avanzato know-how, non esiste nulla che possa prepararli al malvertisement abbinato agli exploit zero-day. L’incidente Adobe® Flash® occorso in febbraio ha dimostrato quanto siano efficaci gli attacchi di questo tipo. Nemmeno gli utenti mobili sono stati risparmiati. L’adware ha continuato ad essere una pericolosa minaccia, come dimostra il tentativo di smantellamento delle app di Google Play™ nel corso dello stesso mese. I dispositivi dei milioni di utenti che hanno scaricato app apparentemente ad alto rischio erano tuttavia stati infettati prima del tentativo di smantellamento. È senz’altro il caso che le reti pubblicitarie incrementino la sicurezza. Molti utenti faticano anche a vedere la tecnologia datata come un problema grave. Il forte aumento nel numero di infezioni da macro malware (incorporate nei file Microsoft™ Word®) e la persistenza degli exploit OpenSSL ha messo in luce in che misura possano prendere piede i criminali informatici sfruttando le vulnerabilità vecchie e nuove. Ma il settore che si è fatto cogliere maggiormente alla sprovvista in questi ultimi mesi è stato forse quello della vendita al dettaglio, il che è interessante se si considera che gli attacchi di minacce informatiche point-of-sale (PoS) sono rimasti prevalenti. Analogamente al ransomware, anche le minacce informatiche PoS apparentemente resistono, continuando a mettere a rischio i dati delle aziende e dei loro clienti. Stiamo davvero facendo abbastanza per proteggerci dalle minacce alla sicurezza? Come hanno dimostrato i principali incidenti dei primi tre mesi del 2015, anche gli utenti e le aziende più esperti nella protezione non sono immuni da questi pericoli. I responsabili delle minacce, dopo tutto, non esiteranno a sfruttare il più piccolo appiglio della sicurezza per raggiungere il loro scopo. Nell’ecosistema informatico di oggi, non c’è spazio per gli errori. NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui dispositivi degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le cifre citate in questo rapporto provengono dai dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart Protection Network™, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti in sede e i servizi in hosting. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 I difetti del modello di business della pubblicità Web mettono a rischio la sicurezza degli utenti Le pubblicità online sono diventate uno dei più diffusi vettori di exploit, molto probabilmente perché gli utenti non possono controllare quali pubblicità vedere. Anche i proprietari dei siti, come i loro visitatori, hanno sofferto, perché non hanno avuto alcun controllo su quali pubblicità apparivano di fatto sui loro siti. Gli exploit zero-day che colpivano il software Adobe soltanto siti affidabili e tenere le applicazioni hanno recentemente subito un aggiornamento aggiornate con le patch più recenti. quando sono stati utilizzati negli attacchi di malvertising. Un esempio di un exploit del Secondo una relazione dello U.S. Senate Committee genere (CVE-2015-0313), entrato poi a far parte on Homeland Security and Governmental Affairs, dell’Angler Exploit Kit, è stato scoperto all’inizio farsi largo nel settore della pubblicità online è di febbraio. Utilizzava malvertisement e non aveva alquanto insidioso. “La complessità del settore quindi più bisogno di vittime che visitassero o si della pubblicità online rende difficile identificare imbattessero nelle pagine dannose per infettare e responsabilizzare le persone giuridiche rispetto i computer. ai danni causati dagli attacchi delle minacce informatiche.”1, 2 Il malvertising è un problema Alcuni recenti attacchi di malvertising sono che affligge non solo gli utenti finali ma anche i diventati una minaccia più seria con l’uso degli titolari dei siti. È infatti possibile che nei siti Web exploit zero-day. L’abbinamento malvertisement- compaiano pubblicità dannose senza che i relativi zero-day ha messo a repentaglio due delle più proprietari abbiamo dato il consenso o ne siano diffuse best practice di sicurezza attuali: visitare informati. 4 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Vulnerabilità degne di nota nel 1° trimestre 2015 CVE-2015-0310 CVE-2015-0311 Tutte le versioni Adobe Flash fino alla 16.0.0.257 Tutte le versioni Adobe Flash fino alla 16.0.0.287 Exploit tramite SWF_ANGZIA.A (arrivo non divulgato) Exploit tramite SWF_ANGZIA.B, SWF_ANGZIA.C o SWF_ANGZIA.F tramite malvertisement 22 GEN 22 GEN 24 GEN 27 GEN 22 GEN 22 GEN 24 GEN 2 FEB CVE-2015-0313 CVE-2015-0072 Tutte le versioni Adobe Flash fino alla 16.0.0.296 Microsoft™ Internet Explorer® versioni da 9 a 11 Exploit tramite backdoor BEDEP mediante malvertisement Exploit tramite Web injection con l’ausilio di collegamenti dannosi 2 FEB 2 FEB ID vulnerabilità comuni e punti deboli esposti (CVE) 4 FEB 10 FEB Divulgazione delle vulnerabilità 5 FEB Rilevamento degli attacchi 5 FEB 10 MAR Patching delle vulnerabilità 3 FEB Pubblicazione delle regole Trend Micro Deep Security Di tutti gli exploit zero-day identificati in quest’ultimo trimestre, due hanno utilizzato il malvertisement come vettore dell’infezione. 5 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Come funziona il malvertising Come funziona la pubblicità online Come funziona il malvertising online I pubblicitari vogliono promuovere prodotti o servizi. I criminali informatici si fingono pubblicitari e propongono inserzioni dannose. Le reti pubblicitarie collegano gli inserzionisti ai siti che vogliono fornire l’hosting delle pubblicità online e gli inserzionisti raggruppano e aggregano più inserzioni da fornire ai vari siti. Le pubblicità dannose e quelle legittime vengono mischiate, probabilmente per l’assenza di un controllo accurato durante l’invio da parte delle reti pubblicitarie. Chi pubblica le inserzioni (i titolari dei siti) integra le pubblicità nel contenuto online del proprio sito e può quindi visualizzare più inserzioni in formati diversi. Gli utenti visualizzano le pubblicità quando visitano i siti che ospitano inserzioni. Le pubblicità dannose vengono visualizzate sui siti che offrono l’hosting alla pubblicità. Le pubblicità dannose sfruttano le vulnerabilità dei computer di chi visita i siti per disseminare minacce informatiche. 6 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di infezioni BEDEP e ROZENA distribuite tramite malvertisement dal 4° trim. 2014 al 1° trim. 2015 4° trim. 2014 TOTALE: 2.503 4.000 1° trim. 2015 TOTALE: 10.031 3.568 2.385 2.480 2.000 1.858 1 0 1.660 313 106 6 5 152 0 OTT NOV DIC 2014 GEN FEB MAR 2015 BEDEP TOTALE: 7.719 ROZENA TOTALE: 4.815 I malvertisement reindirizzavano le vittime verso siti che ne infettavano automaticamente i computer con vari tipi di minacce informatiche. Un exploit zero-day Adobe Flash distribuito 52 modelli di laptop Lenovo® di fascia consumer tramite malvertisement ha diffuso la minaccia consegnati tra settembre e dicembre 2014.5, 6 informatica BEDEP.3 Gli utenti inconsapevoli che Classificato come esemplare di bloatware o di hanno scaricato le minacce informatiche BEDEP software hanno corso il rischio di diventare complici loro quantità di spazio su disco e che viene preinstallato malgrado delle operazioni botnet degli aggressori, sui computer nuovi, Superfish aveva la capacità di oltre a diventare vittime delle frodi e a scaricare alterare i risultati delle ricerche (visualizzati come altre minacce informatiche. immagini) in base alle cronologie di navigazione 4 superfluo che consuma un’enorme degli utenti.7 Non solo si comportava come adware Tra le minacce legate alle pubblicità in questo ma consentiva anche ai criminali informatici di trimestre è emerso anche Superfish, un add-on spiare le comunicazioni presumibilmente protette. del browser che è stato preinstallato su almeno 7 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Come funziona Superfish? Su alcuni modelli di laptop Lenovo, Superfish viene preinstallato dal produttore; è quindi possibile che gli utenti non conoscano esattamente e non siano d’accordo su ciò che Superfish è e su ciò che fa. Superfish installa il proprio certificato root per poter funzionare anche in HTTPS, così da poter intercettare le comunicazioni protette senza innescare avvisi. Superfish Visual Search è un add-on del browser che visualizza immagini di pubblicità connesse ai risultati delle ricerche. I certificati Superfish utilizzano la stessa chiave privata diffusa al pubblico su tutti i laptop e che implica una crittografia e una sicurezza deboli a fronte del possibile abuso. Oltre ad essere preinstallato sui computer e a mostrare un comportamento da adware, Superfish rappresentata una grave minaccia. Il suo certificato debole mette enormemente a rischio anche le comunicazioni protette. L’adware non si limitava a prendere di mira gli utenti, (ANDROIDOS_ADMDASH.HRX) abbia infettato ma diverse app Google Play che utilizzavano il kit milioni di dispositivi prima che le app ad esso di sviluppo software (SDK) MDash visualizzavano abbinate venissero rimosse da Google Play. Nello anche in modo aggressivo pubblicità dannose su store sono anche state rilevate più di 2.000 app che tutti i dispositivi mobili colpiti. Si dice che MDash avevano un comportamento analogo. 8 8 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di app abbinate a MDash rilevate su Google Play Prima e dopo il tentativo di smantellamento FEB 3 FEBBRAIO 11 MARZO Apparentemente, Google ha eliminato dal suo store tre app che nascondevano in realtà degli adware. Individuate dai nostri ricercatori 2377 hash SHA-256 di app su Google Play al momento dell’analisi. MAR 26 MARZO Google ha ricevuto la segnalazione del problema e ha dichiarato che avrebbe continuato le indagini. 31 MARZO 682 app lasciate nello store a seguito del controllo dei nostri ricercatori. APR 2 APRILE 15 APRILE Pubblicato un post del blog MDash. Al nuovo controllo dei ricercatori, su Google Play sono state lasciate 85 app. MAG All’inizio di marzo, sono state rilevate su Google Play circa 2.000 app abbinate a MDash, la maggior parte delle quali è stata smantellata nel giro di un mese dalla notifica. Le minacce viste nel trimestre scorso hanno le comunicazioni presumibilmente protette hanno sfruttato la piattaforma di pubblicità online per corso il rischio di cadere nelle mani degli aggressori. compromettere la sicurezza dei dati degli utenti A ulteriore dimostrazione che nessun dispositivo e dei titolari dei siti. I malvertisement si sono è al sicuro dalle minacce, gli aggressori hanno dimostrati veicoli efficaci per gli exploit zero-day, utilizzato MDash e app analoghe per impadronirsi come osservato nei recenti attacchi zero-day che delle preziose informazioni degli utenti. hanno colpito Adobe. A causa di Superfish, persino 9 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 “Per la gente normale, il malvertisement rappresenta una delle minacce peggiori che possano esistere. Più di qualsiasi altra minaccia, le pubblicità dannose online note come malvertisement dall’unione di “malware” e “advertisement”, possono danneggiare le persone anche quando queste fanno tutte le cose giuste. Il malvertisement può colpire le persone che non cliccano sui collegamenti, che dispongono di soluzioni di sicurezza aggiornate e che accedono soltanto ai siti affidabili. In breve, nessun livello di prudenza può riuscire a proteggervi dal malvertisement, è solo questione di fortuna. - Christopher Budd, Threat Communications Manager “Gli utenti hanno gradualmente smesso di esporre materiale pubblicitario sui mezzi di comunicazione online e tradizionali. Se la tendenza all’abuso della pubblicità prosegue, è presumibile che i produttori di browser comincino a integrare la funzionalità di blocco della pubblicità, attualmente disponibile soltanto come plug-in di terze parti, nei rispettivi prodotti. L’unico potenziale metodo per evitare questa miriade di cambiamenti è che le reti pubblicitarie alzino il tiro con le verifiche del contenuto che propongono tramite il sandboxing pre-release, ad esempio, e mediante l’autenticazione effettiva dei siti a cui offrono i loro servizi.” - Rik Ferguson, Vicepresidente Security Research 10 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Incremento del volume di infezioni da crypto-ransomware, aziende minacciate Il crypto-ransomware ha ampliato il suo bacino target: non si accontenta più di prendere di mira i clienti ma persegue anche le grandi società e i tipi di utenti di nicchia. Quasi la metà degli agenti di infezione del ai propri computer come i suoi predecessori Police ransomware del primo trimestre 2015 è stata Trojan. Gli attuali e assai più letali discendenti, riconosciuta come il tipo di crypto-ransomware il crypto-ransomware, crittografano i file tenuti più letale. Il ransomware di oggi, più potente, non in ostaggio in cambio del riscatto per garantire il si accontenta più di impedire alle vittime l’accesso pagamento e mettono gli utenti molto più a rischio. Confronto delle varianti note di crypto-ransomware 1 2 (Bandarchor) 3 CryptoFortress Utilizza vecchie tecniche anche se vengono pubblicate con frequenza nuove varianti (prende di mira più tipi di file; lettere di riscatto passate da russo a inglese). Emula l’interfaccia utente di TorrentLocker; utilizza ampiamente i caratteri jolly per cercare le estensioni dei nomi file; crittografa i file nelle condivisioni di rete. Distribuito tramite spam e sfruttamento delle vulnerabilità. Incluso nel Nuclear Exploit Kit. 4 TeslaCrypt 5 VaultCrypt 6 Troidesh Utilizza un’interfaccia utente simile a quella di CryptoLocker; crittografa i file legati ai giochi separatamente dai documenti. Utilizza GnuPG per crittografare i file; scarica gli strumenti di hacking per appropriarsi delle credenziali di accesso nella cache del browser; utilizza sDelete 16 volte per impedire alle vittime di recuperare i file dal backup; prende di mira principalmente utenti russi. Rinomina i file in {nome file codificato}.xtbl; si appropria degli indirizzi IP. Incluso nell’Angler Exploit Kit. Distribuito tramite spam con un downloader JavaScript™. GulCrypt TROJ_GULCRYPT.A Utilizza .RAR per proteggere i file archiviati tramite password; la password viene crittografata tramite PGP. Scaricato da TROJ_CRYPTOP.KLS insieme ad altri componenti. TROJ_CRYPAURA.F TROJ_CRYPAURA.F BAT_CRYPVAULT.A TROJ_CRYPFORT.A TROJ_CRYPSHED.A Incluso nel Nuclear Exploit Kit. 11 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 CARATTERISTICHE 1 2 Nuova famiglia? Sì No Dati rubati Non pertinente Comunicazione C&C 3 Sì 4 5 6 Sì Sì Sì Nome computer Non pertinente e GUID Indirizzo IP Credenziali Indirizzo IP di accesso nella cache del browser mediante uno strumento di hacking noto come “Browser Password Dump by Security Xploded” (HKTL_ BROWPASS) No Sì (a un server command-andcontrol [C&C] a codifica fissa) No Sì (tramite Tor2web) Sì (tramite Onion City - Tor2web) Nome file lettera di riscatto {nome utente}_file fud.bmp (come sfondo) LEGGI SE VUOI RIVEDERE I TUOI FILE.html AIUTO_PER_ SALVARE_I_ TUOI_FILE.txt; AIUTO_PER_ SALVARE_I_ TUOI_FILE.bmp (come sfondo) CASSAFORTE.txt LEGGIMI{da 1 a 10}.txt Estensione aggiunta al nome dei file crittografati .rar .id-{id#}_fud@ india.com* .frtrss .ecc .VAULT Rinomina i file in {nome file codificato}.xtbl Elimina le copie ombra? No No Sì Sì Sì No Numero di file presi 11 di mira 102 (da 39 nelle varianti precedenti) 132+ 185 15 342 Riscatto chiesto € 300 US$ 500 in Bitcoin (BTC) 1 BTC 1,5 BTC (US$ 1.000 se si paga tramite PayPal) US$ 247 in BTC (aumenta dopo sette giorni) Sconosciuto perché le vittime sono tenute a contattare i responsabili della minaccia in prima battuta via e-mail; secondo le segnalazioni, ancora nessuno ha pagato il riscatto Utilizza il Web invisibile per i siti di pagamento Mail2Tor (servizio e-mail Tor) No (tramite e-mail) Tor Tor Tor No (tramite e-mail) Caratteristiche freemium? Sì (tramite e-mail) No Sì Sì Sì No Sì (tramite Tor) (* id# si riferisce al numero che identifica le vittime durante le transazioni di decrittografia.) Sono state aggiunte sei famiglie alla lista crescente di crypto-ransomware degno di nota, caratterizzato da livelli diversi di gravità e sofisticazione della domanda. 12 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di infezioni da ransomware 20.000 13.000 8.000 12.000 Ransomware 10.000 9.000 6.000 Crypto-ransomware 6.000 8.000 3.000 3.000 3.000 3.000 2° trim. 2014 3° trim. 2014 4° trim. 2014 2.000 0 4° trim. 2013 1° trim. 2014 1° trim. 2015 Dopo avere subito un calo dal primo al terzo trimestre 2014, molto probabilmente dovuto all’arresto dell’autore di Blackhole Exploit Kit (Paunch) verso la fine del 2013, il volume del ransomware ha ripreso quota prima della fine del 2014. (Il Blackhole Exploit Kit era noto per la distribuzione di ransomware.) Paesi che hanno segnalato il maggior numero di infezioni da ransomware nel 1° trimestre 2015 Stati Uniti Australia Giappone Turchia Italia Francia Germania India Canada Filippine Altri 34% 6% 6% 5% 5% 4% 3% 3% 2% 2% 30% Gli Stati Uniti hanno raccolto la maggioranza delle infezioni da ransomware, verosimilmente a causa dell’introduzione di nuove varianti di crypto-ransomware, come CTB-Locker a inizio anno, che hanno preso di mira i residenti degli Stati Uniti. 13 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali famiglie di ransomware CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Altri 25% 20% 17% 11% 10% 6% 5% 1% 1% 1% 3% CRYPCTB, che ha rappresentato una fetta del 25% dell’intero grafico a torta del ransomware, è il nome di rilevamento di Trend Micro per le varianti CTB-Locker, che hanno tormentato gli utenti nei primi due mesi dell’anno. Anche se l’arresto di Paunch nel 2013 ha comportato Ancora più allarmante è tuttavia il fatto che il una diminuzione del numero di infezioni da ransomware oggi non si limiti a minacciare solo ransomware, l’incidente non ha scoraggiato altri i privati ma anche le aziende. CryptoFortress, un criminali informatici dal distribuire varianti più emulo di CryptoLocker (TROJ_CRYPFORT.A), letali della minaccia. In realtà oggi gli utenti potrebbe crittografare i file nelle cartelle condi­ vengono tormentati da varianti di ransomware vise.10 CRYPWEB, a sua volta, potrebbe critto­ ancora più letali. grafare i database dei server Web.11 Le aziende 9 devono assolutamente vedere il ransomware come una seria minaccia alla loro infrastruttura e al loro business. 14 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di infezioni da ransomware per segmento nel 4° trim. 2014 e nel 1° trim. 2015 16.433 15.532 4° trim. 2014 1° trim. 2015 72% Privati 52% 16% Aziende 28% 6% Piccole e medie imprese (PMI) 14% 6% Altri 6% Il numero di infezioni da ransomware che colpiscono le aziende è quasi raddoppiato nell’ultimo trimestre. La causa potrebbe essere attribuibile all’incremento nel numero di ransomware che prende di mira le aziende rispetto ai normali utenti. Oltre alle aziende, anche i gamer online sono esempio, ha tenuto in ostaggio un totale di 102 tipi entrati a far parte del lungo elenco di bersagli di file rispetto ai 39 soliti. del crypto-ransomware. Teslacrypt (TROJ_ CRYPTESLA.A) sarebbe in grado di crittografare i Il ransomware può essere paragonato a FAKEAV dati dei giochi e del software Steam® come pure i nella misura in cui ha indotto praticamente documenti insieme ai file multimediali e di backup chiunque a pagare il riscatto per riottenere degli utenti.12, 13Oltre a raggirare i gamer, persino l’accesso ai propri computer e file. Si scoprirà col i funzionari di polizia del Massachusetts sono tempo se il ransomware avrà creato altrettanti stati indotti a pagare un riscatto di 500 dollari per problemi di FAKEAV. Forse però, a differenza di riottenere l’accesso ai propri file crittografati.14 FAKEAV, dove educare gli utenti si è dimostrata una mossa estremamente efficace (finché gli utenti Anche gli utenti australiani e neozelandesi (ANZ) ignoravano gli irritanti messaggi a comparsa non hanno subito attacchi di ransomware. Gli attacchi avrebbero infatti corso rischi), con il ransomware sferrati con TorrentLocker a cui si è assistito in la storia è assai diversa. Il ransomware infatti non gennaio si sono fatti strada da un mercato all’altro. lascia alcuna scelta agli utenti. L’unica speranza Anche che nutrono è riuscire a ripristinare i file presi in altre varianti di crypto-ransomware viste nello scorso trimestre hanno dato segno ostaggio dal relativo backup. di miglioramenti sul mercato. CRYPAURA, ad 15 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 “Il crypto-ransomware è un ottimo metodo con cui i criminali informatici monetizzano gli attacchi. I responsabili delle prime varianti hanno guadagnato milioni di dollari in pochi mesi. Il fatto che il ransomware possa essere facilmente trasformato in crypto-ransomware con l’aggiunta di crypto-librerie potrebbe avere contribuito allo sviluppo della minaccia. I crypto-algoritmi sono irreversibili. Le vittime che non conservano il backup non avrebbero altra scelta a quel punto se non pagare il riscatto per recuperare i loro file più importanti.” - Anthony Melgarejo, Threat Response Engineer 16 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Macro malware, datato ma ancora efficace Il ritorno del macro malware potrebbe facilmente essere il modo con cui i criminali informatici sfruttano l’assenza di consapevolezza degli utenti. Dopo tutto sono molto pochi gli utenti che capiscono realmente cosa siano le macro e come funzionino. Il ritorno del macro malware è stato osservato alla delle soluzioni di scansione e-mail potrebbero fine del 2014, come dimostrato dall’incremento nel essere meno sensibili alle infezioni da macro numero di messaggi di spam con allegati carichi di malware, poiché queste rilevano gli eseguibili macro dannose e la comparsa di nuove varianti. anziché cercare le macro dannose incorporate che Il macro malware utilizzava spesso frasi chiave possono venire facilmente offuscate e passano e termini di ricerca diffusi per indurre i target a quindi inosservate dalle soluzioni anti-malware. scaricarlo ed eseguirlo. 15 Anche VAWTRAK, la minaccia informatica di banking online tristemente Come funziona il macro malware nota, utilizzava le macro per infettare i computer, con uno stile molto diverso dai suoi metodi iniziali. Si serviva di spam in grado di convincere i destinatari ad attivare le macro per visualizzare correttamente allegati Word appositamente congegnati. Così facendo, veniva eseguito il macro malware (W2KM_VLOAD.A), che scaricava le varianti VAWTRAK.16 Altre minacce che sfruttavano Lo spam invita gli utenti a scaricare ed aprire gli allegati, che solitamente sono vuoti o presentano soltanto contenuto illeggibile. in precedenza macro malware come vettore delle infezioni erano ad esempio i programmi per il furto di dati DRIDEX e ROVNIX.17, 18 I criminali informatici tenterebbero di cogliere gli utenti alla sprovvista, da cui il successo degli I messaggi chiedono ai destinatari di “Attivare le macro per visualizzare il contenuto” e forniscono istruzioni in tal senso. attacchi di macro malware. Essi hanno sfruttato il fatto che gli utenti non hanno idea di cosa siano le macro né di cosa facciano. Quindi, quando agli utenti viene chiesto di attivare le macro per visualizzare correttamente un allegato a un messaggio di spam molto convincente, lo fanno. Appena si attiva la macro, viene eseguita la carica distruttiva. Le macro stanno rapidamente diventando il vettore di attacco preferito per la loro capacità di bypassare le tradizionali soluzioni anti-malware. E poiché eseguire le macro presuppone l’intervento umano, anche le tecnologie di sandboxing potrebbero non essere efficaci per vanificare la minaccia. Gli utenti Il social engineering ha avuto un ruolo essenziale nei recenti attacchi delle macro. Gli utenti sono stati indotti ad attivare le macro per visualizzare correttamente gli allegati senza sapere che in background erano in esecuzione delle routine dannose. 17 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Nuovo macro malware rilevato al 1° trim. 2015 436 500 250 180 79 29 0 2011 2012 19 2013 2014 2015 A partire dal 2014 è stato osservato un ritorno del macro malware. Anche il cavallo di Troia del banking online, VAWTRAK, ha iniziato a servirsene. Numero di infezioni da macro malware al 1° trimestre 2015 93.000 100.000 48.000 50.000 32.000 0 20.000 22.000 1° trim. 2° trim. 2014 3° trim. 4° trim. 1° trim. 2015 Il numero di infezioni da macro malware è aumentato costantemente dal primo trimestre 2014. La causa potrebbe dipendere dalla pubblicazione di nuove varianti e dall’aumento nella quantità di spam contenente allegati carichi di macro dannose. 18 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Paesi che hanno segnalato il maggior numero di infezioni da macro malware nel 1° trimestre 2015 Cina Stati Uniti Regno Unito Giappone Australia Francia Italia Taiwan Germania India Altri 22% 14% 12% 7% 5% 5% 4% 3% 3% 2% 23% La Cina è salita in testa alla classifica dei paesi che hanno segnalato il maggior numero di computer infettati da macro malware nei primi tre mesi del 2015. Benché Microsoft abbia disattivato le macro di Office per impostazione predefinita, gli utenti delle versioni precedenti sono ancora a rischio. Principali varianti di macro malware nel 1° trimestre 2015 W97M_MARKER.BO 8% X97M_OLEMAL.A 5% W2KM_DLOADR.JS 3% X2KM_DLOADR.C 2% W97M_SATELLITE 2% W97M_DLOADR.XTRZ 2% W2KM_DLOAD.NB 2% W97M_DLOADER.GHV 2% X2KM_DLOAD.A 2% X97M_LAROUX.CO 2% Altri 70% 19 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Applicazioni più sfruttate come vettori di macro dannose nel 1° trim. 2015 Word 75% Excel® 21% PowerPoint® 1% Altri 3% I documenti Microsoft Word e i fogli di calcolo Excel si sono rivelati i vettori di macro dannose preferiti dai criminali informatici. Principali famiglie di macro malware nel 1° trimestre 2015 DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Altri 30% 10% 8% 8% 6% 5% 4% 4% 3% 2% 20% Il macro malware è diventato un popolare vettore di attacco perché è in grado di eludere facilmente le soluzioni anti-malware autonome installate sulla maggior parte dei computer. Le principali famiglie di macro malware erano i downloader, il che fa pensare che le altre minacce informatiche li utilizzino come metodo per infettare i sistemi. 20 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 “Il recente successo del macro malware potrebbe essere dovuto all’uso di efficaci lusinghe di social engineering e al fatto che le minacce possono venire facilmente offuscate. Vengono anche normalmente incorporate nei file di Office, che vengono trattati con meno severità dalle soluzioni di scansione per minacce informatiche. Addirittura, le macro possono essere attivate tramite file batch e di script, che a loro volta eludono il rilevamento anti-malware.” - Anthony Melgarejo, Threat Response Engineer 21 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Difetto della sicurezza FREAK vecchio di 10 anni causa problemi di gestione delle patch FREAK e GHOST hanno spaventato gli utenti dei computer e delle applicazioni vulnerabili. Queste vulnerabilità hanno messo in luce dei problemi di gestione delle patch esterni al normale ciclo gestito dagli amministratori IT, a causa della varietà di piattaforme e di dispositivi da proteggere. Man mano che l’anno avanza, si prevede che emergano altri difetti maggiormente sfruttabili su tutte le piattaforme e i dispositivi. Lo scorso marzo è stata rilevata FREAK, OpenSSL distribuite prima della 1.0.1k e i client abbreviazione di “Factoring RSA Export Keys” Apple Transport Layer Security (TLS)/Secure che sta per scomposizione delle chiavi di Sockets Layer (SSL) sono risultati vulnerabili agli esportazione RSA, una vulnerabilità che obbliga attacchi MiTM (man-in-the-middle).19 Gli utenti i siti e le applicazioni protetti colpiti a utilizzare Windows® colpiti hanno rischiato di assistere al una crittografia più debole. Tutte le versioni di furto dei loro dati riservati.20 Attualmente vulnerabile Modifica dal 3 marzo Server HTTPS nei primo milione di nomi di dominio di Alexa 8,5% In calo dal 9,6% Server HTTPS con certificati dei browser affidabili 6,5% In calo dal 36,7% Tutti i server HTTPS 11,8% In calo dal 26,3% Il numero di server interessati dalla vulnerabilità FREAK è diminuito dalla scoperta avvenuta lo scorso marzo.21 Anche GHOST, una vulnerabilità di overflow del occorre applicare le patch prima che intervenga buffer nei sistemi operativi Linux™ (glibc o le l’abuso. Questo può infatti mettere seriamente versioni della GNU C Library prima della 2.2) a rischio i dati relativi all’attività e archiviati in è emersa a gennaio. Questo difetto viene attivato database back-end probabilmente vulnerabili. quando vengono richiamate certe funzioni in glibc che consentono l’esecuzione di codice arbitrario. I dati di Trend Micro Deep Security hanno mostrato Fortunatamente non è facile da sfruttare e può come gli attacchi cross-site scripting (XSS) e SQL interessare un numero assai ristretto di sistemi.22 injection siano stati utilizzati prevalentemente per prendere di mira le applicazioni Web nei server Come accade alle vulnerabilità lato client e lato aziendali. I dati Open Web Application Security server, anche ai difetti delle applicazioni Web Project (OWASP) supportano questo risultato. 22 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Prime vulnerabilità delle applicazioni Web rilevate nel 1° trimestre 2015 Rappresenta una seria minaccia per qualsiasi applicazione Web orientata dal database, deriva da input insufficienti o non convalidati trasmessi dagli utenti tramite le applicazioni Web colpite ai server del database sotto forma di comandi SQL, può consentire agli aggressori di leggere, modificare, integrare o eliminare i dati dai database, con conseguenze disastrose. CRITICA SQL Injection Cross-site scripting (XSS) non persistente Consente agli aggressori di iniettare script dannosi (generalmente lato client) nelle applicazioni Web; XSS sfrutta le applicazioni che non convalidano, filtrano o codificano i dati forniti dall’utente; comporta spesso l’induzione delle vittime a cliccare su collegamenti dall’aspetto legittimo che forniscono in realtà altri dati per sferrare gli attacchi. Sfrutta la convalida di sicurezza insufficiente nelle applicazioni Web, affinché gli aggressori possano accedere ai file dai percorsi di sistema ad accesso limitato tramite la navigazione dei sistemi di file dei server; è noto anche come attacchi “dot dot slash” o “scansione trasversale delle directory”. ALTA Scansione trasversale del percorso Rilevata potenziale risorsa sensibile Consente agli aggressori di ottenere informazioni sulle risorse che possono o meno essere collegate alla struttura delle applicazioni, come un backup precedente, una configurazione del server, un registro del server o del database, una configurazione del database, un database dump o dei file di applicazioni sensibili per poter sferrare altri attacchi sofisticati. Indicizzazione delle directory Interessa i server Web che visualizzano la pagina dell’indice delle rispettive directory o sottodirectory virtuali quando vi accedono gli agent degli utenti; consente agli aggressori di sferrare ulteriori attacchi analizzando la struttura o il contenuto delle directory delle applicazioni Web sensibili e di ottenere l’accesso non autorizzato ai file delle directory. Consente agli aggressori di ottenere l’accesso alle informazioni sensibili, compresa la logica interna delle applicazioni Web, preparata con i codici HTML che gli utenti vedono quando si verificano gli errori o le eccezioni della applicazioni Web. MEDIA Messaggi dettagliati di errore delle applicazioni Dati dei moduli sensibili trasmessi senza SSL Consente agli aggressori di ottenere dati sensibili trasmessi tramite applicazioni che non utilizzano il protocollo SSL. Include divulgazione codice sorgente dei file Consente agli aggressori di ottenere l’accesso e di sfruttare illegalmente le informazioni sulla logica delle applicazioni sensibili individuate nel codice sorgente. Causato dalla generazione di risultati inaspettati; le applicazioni Web che divulgano i percorsi locali possono dare agli aggressori un’idea delle cartelle webroot cosicché questi possano utilizzarle per congegnare attacchi personalizzati volti ad accedere a file system interni. BASSA Divulgazione del percorso locale Fuga di indirizzi IP interni Può divulgare le informazioni sullo schema di indirizzi IP delle reti interne, che possono quindi essere utilizzate per congegnare gli attacchi personalizzati. La vulnerabilità delle applicazioni Web più comune è il cross-site scripting (XSS) non persistente. Secondo il progetto OWASP, “si verificano difetti XSS ogni volta che un’applicazione prende dei dati non affidabili e li invia a un browser Web senza la corretta convalida.” Questo può consentire agli aggressori di eseguire script dannosi inducendo gli utenti a cliccare su collegamenti appositamente creati. 23 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Anche i dati Deep Security hanno dimostrato progettato per lo sviluppo Web e talvolta come che le vulnerabilità dei server PHP erano di gran linguaggio di programmazione multiuso. Nelle più lunga prevalenti tra le imprese. In effetti, tutte recenti versioni PHP, alla maggior parte di queste le prime 10 vulnerabilità dei server erano legate vulnerabilità classificate da “alta” a “critica” sono al linguaggio dello scripting lato server PHP state applicate delle patch. Prime vulnerabilità delle piattaforme rilevate nel 1° trimestre 2015 ID CVE Classificazione Software di gravità interessato Descrizione Soluzione CVE-20122688 Critica PHP Non specificata Aggiornamento a PHP 5.3.15, 5.4.5 o versione successiva CVE-20122376 Critica PHP Consente agli aggressori di eseguire codice arbitrario Non sono ancora stati distribuiti aggiornamenti o patch per risolvere questo problema CVE-20113268 Critica PHP Consente agli aggressori di eseguire codice arbitrario o di causare il crash delle applicazioni interessate Aggiornamento a PHP 5.3.7 o versione successiva CVE-20149427 Alta PHP Consente agli aggressori di causare il crash delle applicazioni interessate, ottenere informazioni sensibili dalla memoria del processo php-cgi o avviare l’esecuzione inaspettata di codice Contattare i fornitori delle applicazioni per informazioni su come risolvere il problema CVE-20131635 Alta PHP Consente agli aggressori di bypassare le limitazioni di accesso previste Aggiornamento a PHP 5.3.22, 5.4.13 o versione successiva CVE-20111092 Alta PHP Consente agli aggressori di causare il crash delle applicazioni interessate Aggiornamento a PHP 5.3.6 o versione successiva CVE-20121823 Alta PHP Consente agli aggressori di eseguire codice arbitrario Aggiornamento a PHP 5.4.2 o versione successiva CVE-20122311 Alta PHP Consente agli aggressori di eseguire codice arbitrario Aggiornamento a PHP 5.3.13, 5.4.3 o versione successiva CVE-20122386 Alta PHP Consente agli aggressori di causare il crash delle applicazioni interessate Aggiornamento a PHP 5.3.14, 5.4.4 o versione successiva CVE-20111153 Alta PHP Consente agli aggressori di ottenere informazioni sensibili e congegnare attacchi DoS (denial-of-service) Aggiornamento a PHP 5.3.6 o versione successiva PHP è stata la piattaforma più vulnerabile nello scorso trimestre con difetti individuati in versioni diverse del linguaggio di scripting. Utenti e amministratori IT devono mantenere aggiornate le applicazioni con le patch più recenti o aggiornarle alle versioni più recenti. Deep Security dispone di soluzioni capaci di risolvere le vulnerabilità connesse. 24 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Con la scoperta crescente di vulnerabilità nei di una responsabilità diretta nella divulgazione sistemi operativi e nelle applicazioni open source, o nell’applicazione delle patch ai difetti, che si gli amministratori IT troveranno sempre più aggiungerebbe al problema di proteggere tutti i difficile mitigare i rischi ad esse connessi. Un grave sistemi operativi e le applicazioni potenzialmente problema di base potrebbe essere la mancanza vulnerabili. “L’attacco di FREAK ci ha ricordato ancora una volta che a prescindere da quanto pensiamo siano protetti i nostri sistemi e le nostre reti, c’è sempre qualcosa di nuovo da scoprire. È consigliabile aggiornare i sistemi preesistenti il più possibile. Le aziende devono conservare i codici sorgente delle applicazioni personalizzate che i fornitori hanno creato per loro. Come Heartbleed, anche FREAK deve servire a ribadire la fragilità di OpenSSL. Si tratta di una tecnologia datata che deve essere sostituita da librerie di crittografia più efficaci. Le aziende che fanno affidamento su software e librerie open source devono rivedere e potenziare i propri criteri di protezione. Dovrebbero utilizzare soluzioni di sicurezza che valutano la reputazione di IP e dominio, monitorano il traffico di rete tramite sistemi di rilevamento delle violazioni e bloccano, tra le altre, minacce note e sconosciute con la prevenzione delle intrusioni.” - Pawan Kinger, Direttore di Deep Security Labs 25 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Settore sanitario colpito da gravi violazioni, altri settori debilitati dagli attacchi di minacce informatiche PoS L’inadeguatezza della sicurezza e la mancata implementazione di soluzioni di alto profilo, nonostante l’enorme quantità di dati riservati archiviati sulle reti dei fornitori di servizi sanitari, potrebbero spiegare il motivo per cui tali settori sono diventati gli obiettivi preferiti degli attacchi. I principali fornitori di servizi sanitari, Premera Queste violazioni di dati hanno evitato al servizio Blue Cross e Anthem, a marzo hanno subito sanitario britannico, che ha messo a rischio più di violazioni di dati che hanno messo a rischio milioni 8,6 milioni di record, di diventare il fornitore di di cartelle cliniche e informazioni finanziarie dei servizi sanitari più colpito dal 2011.25 propri clienti.23 Si presume che la violazione subita da Anthem abbia interessato 80 milioni di clienti I fornitori di servizi sanitari detengono molte più e dipendenti. D’altro canto, l’attacco rilevato a informazioni sui clienti di quante non ne possiedano gennaio nei confronti di Premera Blue Cross ha altri tipi di aziende, ma non necessariamente messo a rischio i record di 11 milioni di clienti. utilizzano i mezzi più efficaci per proteggerle.26 24 Gli attacchi di violazione dei dati più noti contro i fornitori di servizi sanitari dal 2009 al 2015 Virginia Department of Health | U.S.A. National Health Services | R.U. Record dei pazienti, prescrizioni Record dei pazienti non crittografati 2009 Record persi: 8,3 milioni Record persi: 8,6 milioni 2010 Advocate Medical Group | U.S.A. Nomi, indirizzi, date di nascita, numeri di previdenza sociale Community Health Systems | U.S.A. 2011 Cinque anni di dati dei pazienti, nomi, indirizzi e numeri di previdenza sociale Record persi: 4 milioni 2012 Record persi: 4,5 milioni Premera Blue | U.S.A. 2013 Anthem | U.S.A. Nomi, date di nascita, indirizzi e-mail, indirizzi, numeri di telefono, numeri di previdenza sociale, ID dei membri, informazioni sui conti correnti bancari, informazioni su richieste di risarcimento, informazioni cliniche Record persi: 11 milioni 2014 Nomi, date di nascita, ID dei membri, numeri di previdenza sociale, indirizzi, numeri di telefono, indirizzi e-mail, informazioni di lavoro 2015 Record persi: 80 milioni Le violazioni di dati che hanno interessato Anthem e Premera, entrambe rilevate all’inizio dell’anno, sono state le peggiori tra quelle individuate finora.27 L’ultima violazione di questo tipo era stata nel 2011, quando al sistema sanitario nazionale britannico furono sottratti i laptop contenenti i record non crittografati dei pazienti. (Nota: la copertura era limitata alle aziende che hanno perso almeno 4 milioni di record.) 26 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Quante delle violazioni dei dati osservate tra il 2005 e il 2014 erano legate al sistema sanitario? 10% 14% 14% 15% 2005 2006 2007 2008 14% 25% 24% 36% 2009 2010 2011 2012 44% 43% 2013 2014 Violazioni dei dati legate al settore sanitario Nell’arco di anni tra il 2005 e il 2014, il numero di vittime delle violazioni dei fornitori di servizi sanitari è quasi quadruplicato. Tra il 2012 e il 2014, il settore sanitario è stato quello maggiormente colpito rispetto ai settori commerciale, militare e pubblico.28 Nel settore della vendita al dettaglio e dei servizi, Gli utenti continuano a essere afflitti da una vasta il numero di RAM scraper PoS è continuato gamma di varianti, vecchie e nuove, di RAM a salire. La sicurezza insufficiente dei sistemi scraper PoS. A febbraio, FighterPoS è stato inserito PoS ha consentito ai RAM scraper di diventare nell’elenco delle minacce informatiche per PoS in mezzi idonei con cui violare le reti, sebbene senza continuo aumento, mentre il classico ma sempre coordinare necessariamente gli attacchi mirati. valido BlackPOS ha continuato ad affliggere le Le minacce informatiche per PoS hanno offerto aziende, conquistando una quota considerevole del agli aggressori gratifiche immediate, sotto forma numero totale di infezioni.29 di enormi profitti. 27 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di sistemi infettati da RAM scraper PoS 116 259 300 120 86 65 156 124 150 123 60 73 0 1° trim. 2° trim. 3° trim. 4° trim. 1° trim. 2014 0 GEN FEB MAR 2015 Il numero di rilevamenti di RAM scraper PoS è più che raddoppiato da quando è stato avviato il rilevamento un anno fa, probabilmente grazie ai miglioramenti delle minacce informatiche PoS esistenti, come nel caso di BlackPOS.30 Paesi che hanno segnalato il maggior numero di infezioni da RAM scraper PoS nel 1° trimestre 2015 Stati Uniti Australia Taiwan Austria Italia Brasile Canada Filippine Francia Giappone Altri 23% 10% 8% 7% 5% 4% 4% 4% 3% 2% 30% Gli Stati Uniti sono stati i più presi di mira dagli attacchi di minacce informatiche PoS, a causa dell’enorme bacino di vittime potenziali. L’80% della popolazione USA utilizza infatti con regolarità le carte di pagamento anziché il contante.31 28 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali famiglie di RAM scraper PoS nel 1° trimestre 2015 POCARDL DEXTR POSLOGR POSNEWT JACKPOS POCARDLER POSLUSY ALINAOS POSHOOK ALINA Altri 20% 14% 11% 7% 7% 6% 6% 5% 5% 5% 14% POCARDL, che si è impadronito delle credenziali delle carte di credito, è stato avvistato per la prima volta nell’ottobre 2012 e ha rappresentato la famiglia di RAM scraper PoS di maggiore rilievo nei primi tre mesi del 2015.32 “Le minacce informatiche per PoS diventeranno una costante del settore della sicurezza, proprio come scareware, FAKEAV e ransomware. Ciò vale in special modo per i paesi come gli Stati Uniti dove la gente preferisce le carte al contante.” - Jay Yaneza, Cyberthreat Researcher 29 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Ricomparsa dei responsabili delle minacce con strumenti, tattiche e procedure nuovi per campagne di attacchi mirati Rocket Kitten e i responsabili dell’Operazione Pawn Storm hanno messo gli occhi su nuovi obiettivi, a dimostrazione del fatto che gli attacchi mirati continuano a persistere e ad evolversi. L’Operazione Pawn Storm, un’operazione di spionaggio informatico di tipo politico ed economico tuttora in corso, sfruttava i dispositivi iOS™ per infiltrarsi nelle reti prese di mira.33 Benché non fosse la prima campagna a fare uso delle minacce informatiche mobili per orchestrare attacchi mirati, Pawn Storm è stata la prima a mettere specificamente gli occhi su iOS. I responsabili hanno utilizzato due app iOS dannose, XAgent (IOS_XAGENT.A) e una versione fasulla di MadCap (IOS_ XAGENT.B), paragonabili alle varianti di SEDNIT sui computer Windows. In linea con i continui miglioramenti nell’area degli attacchi mirati, Rocket Kitten ha migliorato i propri strumenti, tattiche e procedure (TTP).34 I responsabili dell’operazione hanno abusato di OneDrive® per l’hosting dei keylogger WOOLERG. Attacchi mirati mobili degni di nota dal 2011 Pawn Storm Legato ai 90 attacchi sferrati a vari settori e/o comunità in Giappone e in India; ha utilizzato una minaccia informatica Android™ simile a RAT (remote-access-tool) per raccogliere informazioni e caricare/scaricare file dai dispositivi infetti. Ha preso di mira gli attivisti tibetani e uiguri; ha utilizzato trabocchetti di social engineering per sfruttare i sistemi Windows e Mac OS X vulnerabili; ha diffuso ANDROIDOS_CHULI.A tramite gli account e-mail degli attivisti presi di mira di cui aveva ottenuto il controllo. 2013 Chuli 2012 Luckycat 2011 Attacchi di spionaggio economico e politico istigati da un gruppo di responsabili che ha preso di mira principalmente il personale dei collaboratori esterni del settore militare, dell’ambasciata e della difesa degli Stati Uniti e dei suoi alleati; i primi a utilizzare specificamente le minacce informatiche iOS per infiltrarsi nelle reti obiettivo. Xsser mRAT Regin 2014 Ritenuto una campagna lanciata da aggressori di lingua cinese contro i manifestanti cinesi; una minaccia informatica per più piattaforme, Xsser mRAT (ANDROIDOS_Code4HK.A) ha colpito i dispositivi Android e iOS; ANDROIDOS_Code4HK.A ha esposto testo, e-mail, messaggi istantanei, dati sulla località, nomi utente, password, registri delle chiamate ed elenchi di contatti delle vittime. Ha preso di mira pubbliche amministrazioni, istituzioni finanziarie, operatori di telecomunicazioni, enti di ricerca e altre organizzazioni in vari paesi; ha sfruttato illegalmente i controller della stazione base GSM (Global System for Mobile Communications) per raccogliere le credenziali necessarie per manipolare la rete GSM di un paese mediorientale. Gli aggressori prendono di mira i dispositivi mobili perché tutti li usano. Abitudini non sicure nell’uso dei dispositivi mobili tenute nel tempo libero possono facilmente venire mutuate sul posto di lavoro, grazie alla tendenza BYOD (bring-your-own-device).35 30 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Come i responsabili di Pawn Storm hanno bypassato le misure di sicurezza aziendali degli app store Gli aggressori creano minacce informatiche dotate di un certificato aziendale. Gli aggressori offrono l’hosting alle minacce informatiche su un server e utilizzano i servizi ITMS per generare un collegamento di installazione. Il collegamento viene inviato ai singoli presi di mira che vengono indotti a cliccare mediante ingegnose tattiche di social engineering. Quando si clicca sul collegamento, viene installata una minaccia informatica. Anche se i metodi esatti per l’installazione delle minacce informatiche XAgent restano ignoti, è noto che possono colpire anche i dispositivi non affetti da jailbreaking se le relative app vettore dispongono di un certificato aziendale di Apple. Anche le lusinghe di social engineering possono incrementare le possibilità di infezione dei dispositivi. 31 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Aumento continuo del grado di sofisticatezza dei kit di exploit I kit di exploit aggiungono costantemente exploit al proprio arsenale per un numero crescente di vulnerabilità, diventando così sempre più appetibili per aggressori di ogni tipo, sempre alla ricerca di opportunità e convenienza. Il loro coinvolgimento negli attacchi di malvertisement del trimestre scorso si è dimostrato un metodo efficace di consegna illegale. Più di 70 kit di exploit che agiscono liberi possono precedenza. Nuclear Exploit Kit, dal canto suo, sfruttare oltre 100 vulnerabilità. è stato il più utilizzato nei primi tre mesi del 2015. 36 Dall’arresto di Paunch nel 2013, il numero di kit di exploit in uso è significativamente calato. Ma ciò che perdono Il Giappone è stato il paese target preferito dagli in volume lo acquistano in sofisticazione. I kit aggressori, come dimostrano vari attacchi di di exploit, dopo tutto, vengono continuamente malvertising particolarmente mirati agli utenti aggiornati affinché possano sfruttare un numero giapponesi.37 crescente di vulnerabilità. Come in passato, i kit più diffusi contenevano Hanjuan Exploit Kit, ad esempio, è stato utilizzato exploit per Adobe Flash e Internet Explorer, nell’attacco zero-day di Adobe Flash citato in verosimilmente per l’enorme bacino di utenza dei due software. Vulnerabilità utilizzate nei kit di exploit Nuclear Sweet Orange FlashPack Internet Explorer CVE-2013-2551 CVE-2013-2551 CVE-2014-0322 CVE-2014-6332 CVE-2013-2551 CVE-2013-3918 CVE-2014-0322 Microsoft Silverlight® CVE-2013-0074 Adobe Flash CVE-2014-0515 CVE-2014-0569 CVE-2014-0515 CVE-2014-8439 CVE-2014-0569 CVE-2015-0311 Adobe Acrobat® Reader CVE-2010-0188 Oracle JavaTM CVE-2012-0507 XMLDOM ActiveX CVE-2013-7331 CVE-2013-0634 CVE-2014-0497 CVE-2014-0515 CVE-2014-0569 Rig Angler CVE-20132551 CVE-2013-2551 CVE-20130074 CVE-2013-0074 CVE-20140569 CVE-20150311 CVE-2014-0515 CVE-2014-0569 CVE-2015-0311 Magnitude CVE-20132551 CVE-20140515 Fiesta Styx CVE-2013-2551 CVE-20132551 CVE-2013-0074 CVE-20130074 CVE-2014-0497 CVE-2014-0569 CVE-2015-0311 CVE-20140515 Hanjuan CVE-20150313 CVE-2010-0188 CVE-2013-2460 CVE-2013-5471 CVE-2013-2465 CVE-20137331 CVE-2013-7331 CVE-2012-0507 CVE-2014-2465 CVE-20137331 Gli exploit di Adobe Flash erano disponibili in tutti i kit utilizzati negli attacchi più rilevanti nel primo trimestre del 2015. 32 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di volte in cui si è acceduto ai server dei kit di exploit nel 4° trim. 2014 e nel 1° trim. 2015 Sweet Orange Angler 4° trim. 2014 1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Nessun 1.804.372 dato 1° trim. 2015 264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602 -75,4% 62,1% 64,0% -69,8% 4.944,2% 1.094% 146,5% Nessun dato Crescita Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Totale 31,9% Kit di exploit a cui gli utenti hanno avuto maggiormente accesso nel 1° trim. 2015 Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig 31% 25% 13% 11% 11% 4% 3% 2% Nel corso di questo trimestre, è stato osservato un aumento del 30% nel numero di attività connesse ai kit di exploit. Nuclear Exploit Kit ha registrato il numero più elevato di utenti colpiti, verosimilmente a causa di attacchi di malvertising. D’altro canto, la diminuzione del numero di attacchi contro il kit Sweet Orange potrebbe essere dovuta alla disinfezione delle pubblicità dannose eseguita sulle piattaforme di alcune reti pubblicitarie. 33 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Paesi maggiormente colpiti dagli attacchi connessi ai kit di exploit Giappone Stati Uniti Australia Canada Danimarca Francia Regno Unito Italia Brasile Spagna Altri 52% 31% 5% 1% 1% 1% 1% 1% 1% 1% 5% Il Giappone è stato il paese più colpito, probabilmente a causa dell’ondata di attacchi di malvertising connessi ai kit di exploit, all’inizio dell’anno, mirati specificamente agli utenti giapponesi. Nonostante il calo degli attacchi connessi ai nuovi kit di exploit, nell’ultimo trimestre ne è rimasto attivo un numero considerevole. Che sia la quiete prima della tempesta? Oppure gli sviluppatori dei kit di exploit stanno tenendo un basso profilo mentre migliorano silenziosamente la propria offerta prima di immetterla sul mercato? Attività quotidiana nota dei kit di exploit nel 1° trimestre 2015 5 100.000 Nuclear Angler 4 Neutrino Sweet Orange 2 50.000 Magnitude Hanjuan 3 Fiesta 1 Rig 0 GEN FEB MAR (Nota: i picchi nel diagramma qui sopra corrispondono ai dettagli numerati di seguito.) Le misure adottate da AOL per rimuovere il malvertisement dalla sua piattaforma hanno comportato il declino dell’attività del kit di exploit Sweet Orange (1). Angler (2 e 4) e Hanjuan (2) sono stati utilizzati per il push delle minacce informatiche BEDEP zero-day sui computer da fine gennaio a inizio febbraio, cosa che ha contribuito all’aumento del numero di accessi ai server. Nuclear Exploit Kit (3 e 5), dal canto suo, è stato utilizzato in un attacco di malvertising mediante siti pornografici. 34 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 “Sempre più attacchi di exploit utilizzano il malvertisement anziché siti compromessi e spam. L’abuso delle reti pubblicitarie legittime, dopo tutto, ha consentito loro di dissimulare le proprie intenzioni dannose. Gli aggressori migliorano costantemente i propri strumenti e le proprie tattiche per aumentare l’efficacia delle loro campagne e sviluppare la loro attività. Nel corso del 2015, assisteremo probabilmente ad altri attacchi simili.” - Joseph C. Chen, Engineer 35 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Analisi del panorama delle minacce Il volume complessivo delle minacce è generalmente il volume dello spam ha segnato un’impennata. diminuito rispetto a quello registrato nel quarto Questo potrebbe indicare un ritorno all’uso delle trimestre del 2014. Nonostante il calo nel numero e-mail come vettore preferito delle infezioni con dei domini dannosi di cui abbiamo bloccato cui distribuire vecchie minacce, come il macro l’accesso agli utenti e delle minacce informatiche malware, ai computer vulnerabili. a cui abbiamo impedito di infettare i dispositivi, Numero totale di minacce bloccate nel 1° trimestre del 2015 6 miliardi Livello di rilevamento di Trend Micro: numero di minacce bloccate al secondo nel 1° trimestre del 2015 2.000/s 1.931 5,2 5 miliardi 1.858 1.595 miliardi 3,9 miliardi 3 miliardi 1.000/s 0 0 GEN FEB MAR Abbiamo bloccato una media di 4,7 miliardi di minacce al mese lo scorso trimestre, segnando così un aumento di 1,5 miliardi rispetto al numero registrato nell’ultimo trimestre del 2014. GEN FEB MAR Abbiamo bloccato una media di 1.800 minacce al secondo nell’ultimo trimestre. Questo dato indica un aumento di 600 minacce al secondo rispetto al dato registrato in precedenza di 1.200 minacce al secondo. 36 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Numero di query di Email Reputation bloccate come spam nel 1° trimestre 2015 Numero di visite degli utenti a siti dannosi bloccate nel 1° trimestre 2015 350 milioni 5 miliardi 4,6 315 miliardi milioni 4,1 miliardi 236 3,3 milioni miliardi 2,5 miliardi 252 milioni 175 milioni 0 0 GEN FEB GEN MAR Abbiamo impedito a 12 miliardi di e-mail, provenienti da indirizzi IP dedicati all’invio di spam, di raggiungere le caselle di posta dei destinatari. FEB MAR Nello scorso trimestre, abbiamo registrato più di 800 milioni di visite di utenti a siti dannosi, con un incremento di mese in mese. Numero di file dannosi bloccati nel 1° trimestre 2015 600 milioni 522 milioni 361 300 milioni 351 milioni milioni GEN FEB 0 MAR Nello scorso trimestre, abbiamo impedito a oltre un miliardo di file dannosi di infettare dispositivi. Il numero delle minacce informatiche è quasi raddoppiato da febbraio a marzo scorsi. 37 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 La famiglia di cavalli di Troia KRYPTIK che Molti dei principali domini a cui abbiamo impedito ha colpito più duramente i privati è andata l’accesso agli utenti nello scorso trimestre erano ad ingrossare le fila delle principali minacce legati all’adware. Ciò potrebbe essere legato informatiche dello scorso trimestre. Questi cavalli all’aumento del numero di attacchi di malvertising di Troia, noti in precedenza per la capacità di registrati. Tra l’altro, anche l’adware ha raggiunto intimorire gli utenti con la comparsa di avvisi la testa della classifica delle minacce mobili. sui loro schermi, tentano di scaricare altri file In sintesi, abbiamo registrato ad oggi più di dannosi su computer già infetti. Non sono tuttavia 5 milioni di minacce Android, una cifra che ci riusciti a scalzare SALITY e DOWNAD dalle prime avvicina alla nostra previsione totale di 8 milioni 2 posizioni. entro la fine del 2015. Principali domini dannosi che è stato impedito agli utenti di visitare nel 1° trimestre 2015 Dominio Motivo per il blocco dell’accesso files-download-131.com Download di file potenzialmente indesiderati (PUA)38 enhizlitakip.com Connesso a uno scam turco sui follower di Twitter cnfg.toolbarservices.com Connesso ad adware che si fingeva una barra degli strumenti del browser s.trk-u.com Connesso ad adware che si fingeva una barra degli strumenti del browser s.ad120m.com Sito con cui comunica una variante di TROJ_GEN sso.anbtr.com Sito con cui comunica PE_SALITY.RL f0fff0.com Apre pagine a comparsa che scaricano adware fa8072.com Apre pagine a comparsa che scaricano adware creative.ad120m.com Sito con cui comunica una variante di TROJ_GEN lovek.info Legato alla frode tramite clic La maggior parte dei domini dannosi a cui abbiamo impedito l’accesso agli utenti nello scorso trimestre era coinvolta nella distribuzione di adware e legata ad altri tipi di frodi. 38 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Paesi con il maggior numero di URL dannosi in hosting nel 1° trimestre 2015 Stati Uniti Paesi Bassi Cina Russia Costa Rica Germania Regno Unito Portogallo Giappone Corea del Sud Altri 29% 7% 6% 3% 2% 1% 1% 1% 1% 1% 48% Gli Stati Uniti hanno continuato a piazzarsi ai primi posti nella classifica dei principali paesi per hosting di URL dannosi. Francia e Ungheria sono state scalzate dalla classifica da Costa Rica e Portogallo. Paesi che hanno segnalato il numero più alto di utenti che hanno cliccato sugli URL dannosi nel 1° trimestre 2015 Stati Uniti Giappone Australia Taiwan India Cina Francia Germania Canada Italia Altri 33% 24% 5% 4% 3% 3% 3% 2% 2% 2% 19% Oltre ad essere il primo paese per hosting di URL dannosi, gli Stati Uniti sono anche il paese che ha segnalato il maggior numero di utenti che cliccano sui collegamenti dannosi. 39 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Lingue principali usate per lo spam nel 1° trimestre 2015 Inglese Cinese Tedesco Giapponese Russo Portoghese Spagnolo Polacco Francese Italiano Altri 84,49% 1,86% 1,27% 1,15% 0,70% 0,61% 0,54% 0,43% 0,38% 0,09% 8,48% L’inglese resta la lingua più utilizzata per lo spam. Principali paesi per invio di spam nel 1° trimestre 2015 Stati Uniti Russia Cina Giappone Vietnam Italia Spagna Argentina Iran Germania Altri 16% 5% 5% 5% 5% 4% 4% 4% 3% 3% 46% In linea con la principale lingua utilizzata per lo spam, l’inglese, sono gli Stati Uniti a piazzarsi in testa alla classifica dei paesi per invio di spam. L’Iran ha scalzato l’Ucraina dall’ultima posizione in classifica. 40 |Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali famiglie di minacce informatiche nel 1° trimestre 2015 Nome rilevamento Volume SALITY 86.000 DOWNAD 83.000 KRYPTIK 71.000 BROWSEVIEW 69.000 GAMARUE 65.000 DUNIHI 49.000 VIRUX 42.000 UPATRE 41.000 FORUCON 39.000 RAMNIT 29.000 Principali famiglie di minacce informatiche per segmento nel 1° trimestre 2015 Segmento Aziende PMI Privati Nome rilevamento Volume DOWNAD 62.000 SALITY 35.000 DUNIHI 29.000 DOWNAD 12.000 DLOADR 11.000 UPATRE 10.000 KRYPTIK 61.000 GAMARUE 38.000 SALITY 36.000 Sebbene KRYPTIK sia rapidamente balzata in testa alla classifica delle principali minacce informatiche nell’ultimo trimestre, non è comunque riuscita a spodestare le minacce che occupano da tempo le prime posizioni in classifica, SALITY e DOWNAD. 41 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali famiglie di adware nel 1° trimestre 2015 Nome rilevamento Volume OPENCANDY 454.000 DEALPLY 224.000 MYPCBACKUP 183.000 MYPCBaACKUP 142.000 PULSOFT 122.000 TOMOS 113.000 MULTIPLUG 109.000 INSTALLCORE 102.000 ELEX 90.000 SPROTECT 67.000 Principali famiglie di adware per segmento nel 1° trimestre 2015 Segmento Aziende PMI Nome rilevamento OPENCANDY 68.000 DEALPLY 46.000 TOMOS 18.000 OPENCANDY 29.000 DEALPLY 23.000 MYPCBACKUP Privati Volume 8.000 OPENCANDY 346.000 MYPCBACKUP 156.000 DEALPLY 135.000 Il principale adware, OPENCANDY, è costantemente in testa alla classifica degli agenti di infezione dei dispositivi nei segmenti di utenti. 42 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali famiglie di minacce informatiche Android nel 1° trimestre 2015 Danpay Inoco Youm Agent AdultPlayer Jxt Gexin Guidead AppInst FakeApp Altri 14% 12% 6% 6% 4% 4% 2% 2% 1% 1% 48% Danpay è stata la minaccia informatica Android più nota nel corso dell’ultimo trimestre. Le sue routine includono l’accesso ai server C&C, dove attende i comandi dannosi mentre scarica silenziosamente altre app sui dispositivi già infetti. Principali famiglie di adware Android nel 1° trimestre 2015 AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Altri 8% 7% 6% 5% 5% 4% 4% 4% 3% 3% 51% AdLeak, nome di rilevamento generico di Trend Micro per le app che potrebbero mettere a rischio la privacy degli utenti, è in testa alla classifica dell’adware mobile di quest’ultimo trimestre. 43 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Principali tipi di minacce Android osservati nel 1° trimestre 2015 50% 48% 25% 18% 14% 14% 4% 2% 0 ADWARE PROGRAMMI PER IL FURTO DI DATI PAYWARE PREMIUM SERVICE ABUSERS DOWNLOADER DI MINACCE ALTRI L’adware ha continuato a essere il principale tipo di minaccia per i dispositivi Android. Il payware si riferisce ai PUA che manipolano gli utenti al punto di convincerli ad accettare di pagare tariffe o spese fraudolente. I PUA non sono dannosi di per sé, ma è possibile che presentino funzionalità in grado di compromettere la sicurezza dei dati degli utenti o di ostacolare la loro esperienza mobile. Crescita cumulativa delle minacce Android al 1° trimestre 2015 5,4 milioni 6 milioni 4,9 milioni 3,8 milioni 4,1 milioni 4,3 milioni 4,6 milioni 3 milioni 0 OTT 2014 NOV DIC GEN 2015 FEB MAR Un numero consistente di minacce Android rilevate in quest’ultimo trimestre è costituito dai PUA. 44 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Paesi che hanno fornito l’hosting al maggior numero di server C&C nel 1° trimestre 2015 Stati Uniti Ucraina Germania Russia Francia Regno Unito Paesi Bassi Cina Corea del Sud Portogallo Altri 29% 9% 7% 7% 4% 4% 4% 3% 3% 2% 28% I server C&C erano ampiamente distribuiti in paesi diversi come Stati Uniti, Ucraina e Germania. Gli aggressori non devono necessariamente risiedere in questi paesi per accedere ai rispettivi server C&C, che possono essere gestiti in remoto. La maggior parte dei paesi di questo elenco comparivano anche nella classifica dei principali paesi per hosting di URL dannosi. Ciò potrebbe indicare per tali paesi un abuso del servizio di hosting e dell’infrastruttura. Paesi con il maggior numero di connessioni ai server C&C nel 1° trimestre 2015 Stati Uniti Giappone Australia Taiwan Germania India Canada Francia Malesia Italia Altri 51% 9% 5% 4% 4% 4% 2% 2% 2% 1% 16% Gli Stati Uniti hanno fatto registrare il maggior numero di connessioni C&C. Non a caso, gli Stati Uniti si sono anche piazzati in testa alla classifica dei paesi con il maggior numero di clic degli utenti sugli URL dannosi. Ciò potrebbe indicare che la maggior parte dei tentativi di accesso sono legati alle botnet. 45 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Famiglie di minacce informatiche con il maggior numero di server C&C correlati nel 1° trimestre 2015 1.500 1.316 750 745 385 379 TROJAN GOZEUS 348 0 CRILOCK DUNIHI ZEUS Nell’ultimo trimestre, le varianti del ransomware CRILOCK hanno avuto accesso al maggior numero di server C&C. Famiglie di minacce informatiche con il maggior numero di vittime nel 1° trimestre 2015 350.000 349.000 379 175.000 36.000 31.000 PUSHDO/ WIGON CLACK 18.000 0 POWELIKS BADUR POWELIKS ha fatto registrare il maggior numero di vittime nello scorso trimestre, probabilmente a causa del suo meccanismo silenzioso che gli consente di restare nascosto nei sistemi infetti. 46 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 Bibliografia 1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 maggio 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. “Permanent Subcommittee on Investigations Releases Report: ‘Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.’” Ultimo accesso 7 maggio 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy. 2. Brooks Li and Joseph C. Chen. (16 marzo 2015). TrendLabs Security Intelligence Blog. “Exploit Kits and Malvertsing: A Troublesome Combination.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-andmalvertising-a-troublesome-combination/. 3. Peter Pi. (2 febbraio 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-newadobe-flash-zero-day-exploit-used-in-malvertisements/. 4. Alvin Bacani. (5 febbraio 2015). TrendLabs Security Intelligence Blog. “BEDEP Malware Tied to Adobe Zero Days.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/. 5. Trend Micro Incorporated. (20 febbraio 2015). TrendLabs Security Intelligence Blog. “Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD.” Ultimo accesso 16 aprile 2015, http://www.trendmicro.com/vinfo/us/security/ news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl. 6. Lenovo. (19 febbraio 2015). Lenovo. “Lenovo Statement on Superfish.” Ultimo accesso 16 aprile 2015, http://news.lenovo.com/article_ display.cfm?article_id=1929. 7. Vangie Beal. (2015). Webopedia. “Bloatware.” Ultimo accesso 20 aprile 2015, http://www.webopedia.com/TERM/B/bloatware.html. 8. Seven Shen. (2 aprile 2015). TrendLabs Security Intelligence Blog. “The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-ad-andadware-a-closer-look-at-the-mdash-sdk/. 9. Trend Micro Incorporated. (13 febbraio 2013). TrendLabs Security Intelligence Blog. “Key Figure in Police Ransomware Activity Nabbed.” Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-police-ransomwareactivity-nabbed-2/. 10. David John Agni. (2015). Enciclopedia delle minacce. “TROJ_CRYPFORT.A.” Ultimo accesso 16 aprile 2015, http://www.trendmicro. com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Enciclopedia delle minacce. “PHP_CRYPWEB.A.” Ultimo accesso 16 aprile 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1 aprile 2015). TrendLabs Security Intelligence Blog. “Crypto-Ransomware Sightings and Trends for 1Q 2015.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/. 13. David John Agni. (2015). Enciclopedia delle minacce. “TROJ_CRYPTESLA.A.” Ultimo accesso 16 aprile 2015, http://www.trendmicro. com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13 aprile 2015). CIO Today. “Ransomware Hackers Hitting Police Departments.” Ultimo accesso 16 aprile 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24 marzo 2015). TrendLabs Security Intelligence Blog. “Macro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/macrobased-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16 febbraio 2015). TrendLabs Security Intelligence Blog. “Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-securityintelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/. 17. Rhena Inocencio. (5 novembre 2014). TrendLabs Security Intelligence Blog. “Banking Trojan DRIDEX Uses Macros for Infection.” Ultimo accesso 6 maggio 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/. 47 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 18. Joie Salvio. (19 novembre 2014). TrendLabs Security Intelligence Blog. “ROVNIX Infects Systems with Password-Protected Macros.” Ultimo accesso 6 maggio 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-passwordprotected-macros/. 19. Trend Micro Incorporated. (4 marzo 2015). TrendLabs Security Intelligence Blog. “FREAK Vulnerability Forces Weaker Encryption.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forces-weakerencryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué e Benjamin Beurdouche. (2015). MiTLS. “SMACK: State Machine AttaCKs.” Ultimo accesso 17 aprile 2015, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack.” (2015). Ultimo accesso 30 aprile 2015, https://freakattack.com/. 22. Pawan Kinger. (28 gennaio 2015). TrendLabs Security Intelligence Blog. “Not So Spooky: Linux ‘GHOST’ Vulnerability.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20 marzo 2015). Trend Micro Security News. “Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients.” Ultimo accesso 17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/premerablue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5 febbraio 2015). Trend Micro Simply Security. “The Anthem Data Breach: What You Need to Know.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15 giugno 2011). ZDNet. “NHS Laptop Loss Could Put Millions of Records at Risk.” Ultimo accesso 30 aprile 2015, http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10 febbraio 2015). Trend Micro Security News. “Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets.” Ultimo accesso 17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/ millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles e Dan Hampson. (30 marzo 2015). Information Is Beautiful. “World’s Biggest Data Breaches.” Ultimo accesso 23 aprile 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/. 28. Identity Theft Resource Center. (2015). ITRC. “2008 Data Breaches.” Ultimo accesso 23 aprile 2015, http://www.idtheftcenter.org/ ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3 marzo 2015). TrendLabs Security Intelligence Blog. “PwnPOS: Old Undetected PoS Malware Still Causing Havoc.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malware-still-causinghavoc/. 30. Rhena Inocencio. (29 agosto 2014). TrendLabs Security Intelligence Blog. “New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts.” Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackpos-malwareemerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. “Infographic: Cash Vs. Card.” Ultimo accesso 23 aprile 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La criminalità informatica colpisce obiettivi inattesi: verifica di sicurezza TrendLabs del 1° trimestre 2014.” Ultimo accesso 23 aprile 2015, http://www.trendmicro.it/media/misc/cybercrimehits-the-unexpected-it.pdf. 33. Lambert Sun, Brooks Hong e Feike Hacquebord. (4 febbraio 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update: iOS Espionage App Found.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-updateios-espionage-app-found/. 34. Cedric Pernet. (18 marzo 2015). TrendLabs Security Intelligence Blog. “Operation Woolen-Goldfish: When Kittens Go Phishing.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-when-kittens-gophishing/. 48 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015 35. Trend Micro Incorporated. (27 febbraio 2015). Trend Micro Security News. “Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks.” Ultimo accesso 23 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/pawn-stormin-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16 marzo 2015). Trend Micro Security News. “Exploit Kits: Past, Present and Future.” Ultimo accesso 17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future. 37. Peter Pi. (20 marzo 2015). TrendLabs Security Intelligence Blog. “Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.” Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-to-nuclearexploit-kit/. 38. Trend Micro Incorporated. (2015). Enciclopedia delle minacce. “Potentially Unwanted Application.” Ultimo accesso 30 aprile 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app. 49 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene di distribuzione e nelle best practice Realizzato da: Supporto tecnico globale e ricerca e sviluppo di TREND MICRO TREND MICRO TM Trend Micro Incorporated, leader mondiale delle soluzioni di sicurezza in-the-cloud, crea un mondo sicuro per lo scambio di informazioni digitali grazie alla protezione dei contenuti Internet e alle soluzioni di gestione delle minacce per aziende e privati. Come pionieri della protezione dei server con più di 20 anni di esperienza, offriamo una sicurezza di punta per client, server e in-the-cloud che si adatta perfettamente alle esigenze dei nostri clienti e partner, blocca più rapidamente le nuove minacce e protegge i dati in ambienti fisici, virtualizzati e in-the-cloud. Grazie alla tecnologia dell’infrastruttura Trend Micro™ Smart Protection Network™, la nostra tecnologia e le nostre soluzioni e servizi leader del settore per la protezione in ambito di cloud computing bloccano le minacce non appena si presentano, su Internet, e sono supportati da più di 1.000 esperti di minacce informatiche a livello globale. Per ulteriori informazioni visitate www.trendmicro.com. ©2015 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.