Pubblicità dannose e minacce zero-day: il riemergere

Pubblicità dannose e minacce zero-day:
il riemergere di minacce note mette
a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TrendLabsSM - Verifica di sicurezza del 1° trimestre 2015
Sommario
DECLINAZIONE DI RESPONSABILITÀ
TREND MICRO
Le informazioni riportate nel presente documento
hanno finalità esclusivamente informative e di
divulgazione. Non vengono fornite e non devono
essere interpretate come consulenza legale. Le
informazioni contenute nel presente documento
potrebbero non essere applicabili a tutte le situazioni
e potrebbero non riflettere la situazione attuale. Le
informazioni del presente documento non devono
essere considerate come base affidabile o come
fondamento per intraprendere azioni, senza essere
accompagnate da un’adeguata consulenza legale
basata su fatti specifici; le circostanze e le altre
informazioni qui contenute non possono essere
interpretate diversamente. Trend Micro si riserva
il diritto di modificare il contenuto del presente
documento in qualsiasi momento senza preavviso.
La traduzione del presente materiale in lingue
diverse dalla lingua di origine è da intendersi
esclusivamente come supporto. L’accuratezza
della traduzione non è garantita e non è implicita.
Per qualsiasi domanda relativa all’accuratezza
della traduzione, fare riferimento alla versione
in lingua originale del documento. Qualsiasi
discrepanza o differenza presente nella traduzione
non è vincolante e non ha alcun effetto ai fini della
conformità o dell’esecuzione.
Sebbene Trend Micro si impegni in modo ragionevole
a inserire nel presente documento informazioni
accurate e aggiornate, Trend Micro non rilascia
alcuna garanzia o dichiarazione di alcun tipo in
relazione all’accuratezza, alla validità corrente
o alla completezza delle informazioni. L’utente
accetta di accedere, utilizzare e fare affidamento sul
presente documento e sul suo contenuto a proprio
rischio. Trend Micro esclude espressamente ogni
garanzia, espressa o implicita, di qualsiasi tipo. Trend
Micro ed eventuali terzi coinvolti nella creazione,
produzione o fornitura del presente documento
escludono qualsiasi responsabilità per qualsiasi tipo
di conseguenza, perdita o danno, incluse perdite
dirette, indirette, speciali, consequenziali di profitti
aziendali, nonché danni speciali di qualsiasi tipo
derivanti dall’accesso, l’utilizzo, l’impossibilità di
utilizzo del presente documento ovvero da errori od
omissioni nel contenuto del presente documento.
L’uso delle presenti informazioni costituisce
accettazione all’uso delle informazioni “così come
sono”.
4
I difetti del modello di business della
pubblicità Web mettono a rischio la
sicurezza degli utenti
11
Incremento del volume di infezioni da
crypto-ransomware, aziende minacciate
17
Macro malware, datato ma ancora
efficace
21
Difetto della sicurezza FREAK vecchio
di 10 anni causa problemi di gestione
delle patch
26
Settore sanitario colpito da gravi
violazioni, altri settori debilitati dagli
attacchi di minacce informatiche PoS
30
Ricomparsa dei responsabili delle minacce
con strumenti, tattiche e procedure nuovi
per campagne di attacchi mirati
32
Aumento continuo del grado di
sofisticatezza dei kit di exploit
36
Analisi del panorama delle minacce
Quando si parla delle minacce viste lo scorso trimestre, nessun livello di
prudenza sembra essere sufficiente a proteggere gli utenti. I criminali informatici
e i responsabili delle minacce non sono più costretti a creare nuovi canali per
raggiungere le loro vittime e i loro bersagli. Il lavoro preparatorio è già stato
svolto e a questo punto basta proseguire fino alla fine.
Le maggiori lacune della sicurezza sono quelle che vengono spesso sottovalutate.
I malvertisement, ad esempio, non sono una novità. Molti utenti sono da tempo
abituati a riceverli. Anche se gli utenti si dotano delle più recenti soluzioni di
sicurezza e del più avanzato know-how, non esiste nulla che possa prepararli
al malvertisement abbinato agli exploit zero-day. L’incidente Adobe® Flash®
occorso in febbraio ha dimostrato quanto siano efficaci gli attacchi di questo tipo.
Nemmeno gli utenti mobili sono stati risparmiati. L’adware ha continuato ad
essere una pericolosa minaccia, come dimostra il tentativo di smantellamento
delle app di Google Play™ nel corso dello stesso mese. I dispositivi dei milioni
di utenti che hanno scaricato app apparentemente ad alto rischio erano tuttavia
stati infettati prima del tentativo di smantellamento. È senz’altro il caso che le
reti pubblicitarie incrementino la sicurezza.
Molti utenti faticano anche a vedere la tecnologia datata come un problema
grave. Il forte aumento nel numero di infezioni da macro malware (incorporate
nei file Microsoft™ Word®) e la persistenza degli exploit OpenSSL ha messo in
luce in che misura possano prendere piede i criminali informatici sfruttando le
vulnerabilità vecchie e nuove.
Ma il settore che si è fatto cogliere maggiormente alla sprovvista in questi
ultimi mesi è stato forse quello della vendita al dettaglio, il che è interessante
se si considera che gli attacchi di minacce informatiche point-of-sale (PoS) sono
rimasti prevalenti. Analogamente al ransomware, anche le minacce informatiche
PoS apparentemente resistono, continuando a mettere a rischio i dati delle
aziende e dei loro clienti.
Stiamo davvero facendo abbastanza per proteggerci dalle minacce alla sicurezza?
Come hanno dimostrato i principali incidenti dei primi tre mesi del 2015, anche
gli utenti e le aziende più esperti nella protezione non sono immuni da questi
pericoli. I responsabili delle minacce, dopo tutto, non esiteranno a sfruttare il
più piccolo appiglio della sicurezza per raggiungere il loro scopo. Nell’ecosistema
informatico di oggi, non c’è spazio per gli errori.
NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui dispositivi degli
utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le cifre citate in
questo rapporto provengono dai dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart Protection Network™,
che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti in sede e i servizi in hosting.
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
I difetti del modello di business della
pubblicità Web mettono a rischio la
sicurezza degli utenti
Le pubblicità online sono diventate uno dei più diffusi vettori di exploit,
molto probabilmente perché gli utenti non possono controllare quali
pubblicità vedere. Anche i proprietari dei siti, come i loro visitatori, hanno
sofferto, perché non hanno avuto alcun controllo su quali pubblicità
apparivano di fatto sui loro siti.
Gli exploit zero-day che colpivano il software Adobe
soltanto siti affidabili e tenere le applicazioni
hanno recentemente subito un aggiornamento
aggiornate con le patch più recenti.
quando sono stati utilizzati negli attacchi di
malvertising. Un esempio di un exploit del
Secondo una relazione dello U.S. Senate Committee
genere (CVE-2015-0313), entrato poi a far parte
on Homeland Security and Governmental Affairs,
dell’Angler Exploit Kit, è stato scoperto all’inizio
farsi largo nel settore della pubblicità online è
di febbraio. Utilizzava malvertisement e non aveva
alquanto insidioso. “La complessità del settore
quindi più bisogno di vittime che visitassero o si
della pubblicità online rende difficile identificare
imbattessero nelle pagine dannose per infettare
e responsabilizzare le persone giuridiche rispetto
i computer.
ai danni causati dagli attacchi delle minacce
informatiche.”1, 2 Il malvertising è un problema
Alcuni recenti attacchi di malvertising sono
che affligge non solo gli utenti finali ma anche i
diventati una minaccia più seria con l’uso degli
titolari dei siti. È infatti possibile che nei siti Web
exploit zero-day. L’abbinamento malvertisement-
compaiano pubblicità dannose senza che i relativi
zero-day ha messo a repentaglio due delle più
proprietari abbiamo dato il consenso o ne siano
diffuse best practice di sicurezza attuali: visitare
informati.
4 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Vulnerabilità degne di nota nel 1° trimestre 2015
CVE-2015-0310
CVE-2015-0311
Tutte le versioni Adobe
Flash fino alla 16.0.0.257
Tutte le versioni Adobe
Flash fino alla 16.0.0.287
Exploit tramite SWF_ANGZIA.A
(arrivo non divulgato)
Exploit tramite SWF_ANGZIA.B,
SWF_ANGZIA.C o SWF_ANGZIA.F
tramite malvertisement
22 GEN
22 GEN
24 GEN
27 GEN
22 GEN
22 GEN
24 GEN
2 FEB
CVE-2015-0313
CVE-2015-0072
Tutte le versioni Adobe
Flash fino alla 16.0.0.296
Microsoft™ Internet
Explorer® versioni da 9 a 11
Exploit tramite backdoor BEDEP
mediante malvertisement
Exploit tramite Web injection
con l’ausilio di collegamenti
dannosi
2 FEB
2 FEB
ID vulnerabilità
comuni e punti
deboli esposti
(CVE)
4 FEB
10 FEB
Divulgazione
delle
vulnerabilità
5 FEB
Rilevamento
degli attacchi
5 FEB
10 MAR
Patching delle
vulnerabilità
3 FEB
Pubblicazione
delle regole
Trend Micro
Deep Security
Di tutti gli exploit zero-day identificati in quest’ultimo trimestre,
due hanno utilizzato il malvertisement come vettore dell’infezione.
5 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Come funziona il malvertising
Come funziona la pubblicità online
Come funziona il malvertising online
I pubblicitari vogliono
promuovere prodotti
o servizi.
I criminali informatici
si fingono pubblicitari
e propongono inserzioni
dannose.
Le reti pubblicitarie
collegano gli inserzionisti
ai siti che vogliono fornire
l’hosting delle pubblicità
online e gli inserzionisti
raggruppano e aggregano
più inserzioni da fornire ai
vari siti.
Le pubblicità dannose e
quelle legittime vengono
mischiate, probabilmente
per l’assenza di un
controllo accurato
durante l’invio da parte
delle reti pubblicitarie.
Chi pubblica le inserzioni
(i titolari dei siti) integra le
pubblicità nel contenuto
online del proprio sito
e può quindi visualizzare
più inserzioni in formati
diversi.
Gli utenti visualizzano
le pubblicità quando
visitano i siti che ospitano
inserzioni.
Le pubblicità dannose
vengono visualizzate sui
siti che offrono l’hosting
alla pubblicità.
Le pubblicità dannose
sfruttano le vulnerabilità
dei computer di chi visita
i siti per disseminare
minacce informatiche.
6 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di infezioni BEDEP e ROZENA distribuite tramite
malvertisement dal 4° trim. 2014 al 1° trim. 2015
4° trim. 2014
TOTALE: 2.503
4.000
1° trim. 2015
TOTALE: 10.031
3.568
2.385
2.480
2.000
1.858
1
0
1.660
313
106
6
5
152
0
OTT
NOV
DIC
2014
GEN
FEB
MAR
2015
BEDEP
TOTALE: 7.719
ROZENA
TOTALE: 4.815
I malvertisement reindirizzavano le vittime verso siti che ne infettavano
automaticamente i computer con vari tipi di minacce informatiche.
Un exploit zero-day Adobe Flash distribuito
52 modelli di laptop Lenovo® di fascia consumer
tramite malvertisement ha diffuso la minaccia
consegnati tra settembre e dicembre 2014.5, 6
informatica BEDEP.3 Gli utenti inconsapevoli che
Classificato come esemplare di bloatware o di
hanno scaricato le minacce informatiche BEDEP
software
hanno corso il rischio di diventare complici loro
quantità di spazio su disco e che viene preinstallato
malgrado delle operazioni botnet degli aggressori,
sui computer nuovi, Superfish aveva la capacità di
oltre a diventare vittime delle frodi e a scaricare
alterare i risultati delle ricerche (visualizzati come
altre minacce informatiche.
immagini) in base alle cronologie di navigazione
4
superfluo
che
consuma
un’enorme
degli utenti.7 Non solo si comportava come adware
Tra le minacce legate alle pubblicità in questo
ma consentiva anche ai criminali informatici di
trimestre è emerso anche Superfish, un add-on
spiare le comunicazioni presumibilmente protette.
del browser che è stato preinstallato su almeno
7 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Come funziona Superfish?
Su alcuni modelli di laptop
Lenovo, Superfish viene
preinstallato dal produttore;
è quindi possibile che gli utenti
non conoscano esattamente
e non siano d’accordo su ciò
che Superfish è e su ciò che fa.
Superfish installa il proprio
certificato root per poter
funzionare anche in HTTPS,
così da poter intercettare le
comunicazioni protette senza
innescare avvisi.
Superfish Visual Search
è un add-on del browser
che visualizza immagini
di pubblicità connesse ai
risultati delle ricerche.
I certificati Superfish utilizzano
la stessa chiave privata diffusa
al pubblico su tutti i laptop
e che implica una crittografia
e una sicurezza deboli a fronte
del possibile abuso.
Oltre ad essere preinstallato sui computer e a mostrare un comportamento da adware, Superfish rappresentata una
grave minaccia.
Il suo certificato debole mette enormemente a rischio anche le comunicazioni protette.
L’adware non si limitava a prendere di mira gli utenti,
(ANDROIDOS_ADMDASH.HRX) abbia infettato
ma diverse app Google Play che utilizzavano il kit
milioni di dispositivi prima che le app ad esso
di sviluppo software (SDK) MDash visualizzavano
abbinate venissero rimosse da Google Play. Nello
anche in modo aggressivo pubblicità dannose su
store sono anche state rilevate più di 2.000 app che
tutti i dispositivi mobili colpiti. Si dice che MDash
avevano un comportamento analogo.
8
8 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di app abbinate a MDash rilevate su Google Play
Prima e dopo il tentativo di smantellamento
FEB
3 FEBBRAIO
11 MARZO
Apparentemente, Google
ha eliminato dal suo store
tre app che nascondevano
in realtà degli adware.
Individuate dai nostri
ricercatori 2377 hash
SHA-256 di app su
Google Play al momento
dell’analisi.
MAR
26 MARZO
Google ha ricevuto la
segnalazione del problema
e ha dichiarato che avrebbe
continuato le indagini.
31 MARZO
682 app lasciate nello store
a seguito del controllo dei
nostri ricercatori.
APR
2 APRILE
15 APRILE
Pubblicato un post del
blog MDash.
Al nuovo controllo dei
ricercatori, su Google Play
sono state lasciate 85 app.
MAG
All’inizio di marzo, sono state rilevate su Google Play circa 2.000 app abbinate a MDash,
la maggior parte delle quali è stata smantellata nel giro di un mese dalla notifica.
Le minacce viste nel trimestre scorso hanno
le comunicazioni presumibilmente protette hanno
sfruttato la piattaforma di pubblicità online per
corso il rischio di cadere nelle mani degli aggressori.
compromettere la sicurezza dei dati degli utenti
A ulteriore dimostrazione che nessun dispositivo
e dei titolari dei siti. I malvertisement si sono
è al sicuro dalle minacce, gli aggressori hanno
dimostrati veicoli efficaci per gli exploit zero-day,
utilizzato MDash e app analoghe per impadronirsi
come osservato nei recenti attacchi zero-day che
delle preziose informazioni degli utenti.
hanno colpito Adobe. A causa di Superfish, persino
9 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
“Per la gente normale, il malvertisement rappresenta una
delle minacce peggiori che possano esistere. Più di qualsiasi
altra minaccia, le pubblicità dannose online note come
malvertisement dall’unione di “malware” e “advertisement”,
possono danneggiare le persone anche quando queste fanno
tutte le cose giuste. Il malvertisement può colpire le persone
che non cliccano sui collegamenti, che dispongono di soluzioni
di sicurezza aggiornate e che accedono soltanto ai siti affidabili.
In breve, nessun livello di prudenza può riuscire a proteggervi
dal malvertisement, è solo questione di fortuna.
- Christopher Budd,
Threat Communications Manager
“Gli utenti hanno gradualmente smesso di esporre materiale
pubblicitario sui mezzi di comunicazione online e tradizionali.
Se la tendenza all’abuso della pubblicità prosegue, è presumibile
che i produttori di browser comincino a integrare la funzionalità
di blocco della pubblicità, attualmente disponibile soltanto come
plug-in di terze parti, nei rispettivi prodotti. L’unico potenziale
metodo per evitare questa miriade di cambiamenti è che le reti
pubblicitarie alzino il tiro con le verifiche del contenuto che
propongono tramite il sandboxing pre-release, ad esempio,
e mediante l’autenticazione effettiva dei siti a cui offrono
i loro servizi.”
- Rik Ferguson,
Vicepresidente Security Research
10 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Incremento del volume di infezioni da
crypto-ransomware, aziende minacciate
Il crypto-ransomware ha ampliato il suo bacino target: non si accontenta
più di prendere di mira i clienti ma persegue anche le grandi società e i
tipi di utenti di nicchia.
Quasi la metà degli agenti di infezione del
ai propri computer come i suoi predecessori Police
ransomware del primo trimestre 2015 è stata
Trojan. Gli attuali e assai più letali discendenti,
riconosciuta come il tipo di crypto-ransomware
il crypto-ransomware, crittografano i file tenuti
più letale. Il ransomware di oggi, più potente, non
in ostaggio in cambio del riscatto per garantire il
si accontenta più di impedire alle vittime l’accesso
pagamento e mettono gli utenti molto più a rischio.
Confronto delle varianti note di crypto-ransomware
1
2 (Bandarchor)
3 CryptoFortress
Utilizza vecchie tecniche
anche se vengono pubblicate
con frequenza nuove varianti
(prende di mira più tipi di file;
lettere di riscatto passate da
russo a inglese).
Emula l’interfaccia utente
di TorrentLocker; utilizza
ampiamente i caratteri jolly
per cercare le estensioni dei
nomi file; crittografa i file
nelle condivisioni di rete.
Distribuito tramite spam e
sfruttamento delle vulnerabilità.
Incluso nel Nuclear Exploit
Kit.
4 TeslaCrypt
5 VaultCrypt
6 Troidesh
Utilizza un’interfaccia
utente simile a quella di
CryptoLocker; crittografa
i file legati ai giochi
separatamente dai
documenti.
Utilizza GnuPG per crittografare
i file; scarica gli strumenti di
hacking per appropriarsi delle
credenziali di accesso nella cache
del browser; utilizza sDelete
16 volte per impedire alle vittime di
recuperare i file dal backup; prende
di mira principalmente utenti russi.
Rinomina i file in {nome file
codificato}.xtbl; si appropria
degli indirizzi IP.
Incluso nell’Angler Exploit
Kit.
Distribuito tramite spam con
un downloader JavaScript™.
GulCrypt
TROJ_GULCRYPT.A
Utilizza .RAR per proteggere
i file archiviati tramite
password; la password viene
crittografata tramite PGP.
Scaricato da
TROJ_CRYPTOP.KLS
insieme ad altri componenti.
TROJ_CRYPAURA.F
TROJ_CRYPAURA.F
BAT_CRYPVAULT.A
TROJ_CRYPFORT.A
TROJ_CRYPSHED.A
Incluso nel Nuclear Exploit
Kit.
11 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
CARATTERISTICHE
1
2
Nuova famiglia?
Sì
No
Dati rubati
Non
pertinente
Comunicazione
C&C
3
Sì
4
5
6
Sì
Sì
Sì
Nome computer Non pertinente
e GUID
Indirizzo IP
Credenziali
Indirizzo IP
di accesso
nella cache
del browser
mediante uno
strumento di
hacking noto
come “Browser
Password Dump
by Security
Xploded” (HKTL_
BROWPASS)
No
Sì (a un server
command-andcontrol [C&C] a
codifica fissa)
No
Sì
(tramite
Tor2web)
Sì
(tramite Onion
City - Tor2web)
Nome file lettera di
riscatto
{nome
utente}_file
fud.bmp
(come sfondo)
LEGGI SE VUOI
RIVEDERE I
TUOI FILE.html
AIUTO_PER_
SALVARE_I_
TUOI_FILE.txt;
AIUTO_PER_
SALVARE_I_
TUOI_FILE.bmp
(come sfondo)
CASSAFORTE.txt LEGGIMI{da 1
a 10}.txt
Estensione
aggiunta al nome
dei file crittografati
.rar
.id-{id#}_fud@
india.com*
.frtrss
.ecc
.VAULT
Rinomina i file
in {nome file
codificato}.xtbl
Elimina le copie
ombra?
No
No
Sì
Sì
Sì
No
Numero di file presi 11
di mira
102 (da 39
nelle varianti
precedenti)
132+
185
15
342
Riscatto chiesto
€ 300
US$ 500 in
Bitcoin (BTC)
1 BTC
1,5 BTC
(US$ 1.000 se
si paga tramite
PayPal)
US$ 247 in BTC
(aumenta dopo
sette giorni)
Sconosciuto
perché le vittime
sono tenute
a contattare
i responsabili
della minaccia in
prima battuta via
e-mail; secondo
le segnalazioni,
ancora nessuno
ha pagato il
riscatto
Utilizza il Web
invisibile per i siti di
pagamento
Mail2Tor
(servizio
e-mail Tor)
No
(tramite e-mail)
Tor
Tor
Tor
No (tramite
e-mail)
Caratteristiche
freemium?
Sì (tramite
e-mail)
No
Sì
Sì
Sì
No
Sì
(tramite Tor)
(* id# si riferisce al numero che identifica le vittime durante le transazioni di decrittografia.)
Sono state aggiunte sei famiglie alla lista crescente di crypto-ransomware degno di nota,
caratterizzato da livelli diversi di gravità e sofisticazione della domanda.
12 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di infezioni da ransomware
20.000
13.000
8.000
12.000
Ransomware
10.000
9.000
6.000
Crypto-ransomware
6.000
8.000
3.000
3.000
3.000
3.000
2° trim.
2014
3° trim.
2014
4° trim.
2014
2.000
0
4° trim.
2013
1° trim.
2014
1° trim.
2015
Dopo avere subito un calo dal primo al terzo trimestre 2014, molto probabilmente dovuto all’arresto
dell’autore di Blackhole Exploit Kit (Paunch) verso la fine del 2013, il volume del ransomware ha ripreso
quota prima della fine del 2014. (Il Blackhole Exploit Kit era noto per la distribuzione di ransomware.)
Paesi che hanno segnalato il maggior numero di infezioni da ransomware
nel 1° trimestre 2015
Stati Uniti
Australia
Giappone
Turchia
Italia
Francia
Germania
India
Canada
Filippine
Altri
34%
6%
6%
5%
5%
4%
3%
3%
2%
2%
30%
Gli Stati Uniti hanno raccolto la maggioranza delle infezioni da ransomware,
verosimilmente a causa dell’introduzione di nuove varianti di crypto-ransomware,
come CTB-Locker a inizio anno, che hanno preso di mira i residenti degli Stati Uniti.
13 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali famiglie di ransomware
CRYPCTB
REVETON
KOVTER
CRYPWALL
RANSOM
CRILOCK
CRYPTOPHP
VIRLOCK
MATSNU
CRYPTWALL
Altri
25%
20%
17%
11%
10%
6%
5%
1%
1%
1%
3%
CRYPCTB, che ha rappresentato una fetta del 25% dell’intero grafico a torta del ransomware, è il nome di
rilevamento di Trend Micro per le varianti CTB-Locker, che hanno tormentato gli utenti nei primi due mesi dell’anno.
Anche se l’arresto di Paunch nel 2013 ha comportato
Ancora più allarmante è tuttavia il fatto che il
una diminuzione del numero di infezioni da
ransomware oggi non si limiti a minacciare solo
ransomware, l’incidente non ha scoraggiato altri
i privati ma anche le aziende. CryptoFortress, un
criminali informatici dal distribuire varianti più
emulo di CryptoLocker (TROJ_CRYPFORT.A),
letali della minaccia. In realtà oggi gli utenti
potrebbe crittografare i file nelle cartelle condi­
vengono tormentati da varianti di ransomware
vise.10 CRYPWEB, a sua volta, potrebbe critto­
ancora più letali.
grafare i database dei server Web.11 Le aziende
9
devono assolutamente vedere il ransomware come
una seria minaccia alla loro infrastruttura e al loro
business.
14 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di infezioni da ransomware per segmento
nel 4° trim. 2014 e nel 1° trim. 2015
16.433
15.532
4° trim. 2014
1° trim. 2015
72%
Privati
52%
16%
Aziende
28%
6%
Piccole e medie imprese (PMI)
14%
6%
Altri
6%
Il numero di infezioni da ransomware che colpiscono le aziende è quasi raddoppiato nell’ultimo trimestre.
La causa potrebbe essere attribuibile all’incremento nel numero di ransomware che prende di mira
le aziende rispetto ai normali utenti.
Oltre alle aziende, anche i gamer online sono
esempio, ha tenuto in ostaggio un totale di 102 tipi
entrati a far parte del lungo elenco di bersagli
di file rispetto ai 39 soliti.
del
crypto-ransomware.
Teslacrypt
(TROJ_
CRYPTESLA.A) sarebbe in grado di crittografare i
Il ransomware può essere paragonato a FAKEAV
dati dei giochi e del software Steam® come pure i
nella misura in cui ha indotto praticamente
documenti insieme ai file multimediali e di backup
chiunque a pagare il riscatto per riottenere
degli utenti.12, 13Oltre a raggirare i gamer, persino
l’accesso ai propri computer e file. Si scoprirà col
i funzionari di polizia del Massachusetts sono
tempo se il ransomware avrà creato altrettanti
stati indotti a pagare un riscatto di 500 dollari per
problemi di FAKEAV. Forse però, a differenza di
riottenere l’accesso ai propri file crittografati.14
FAKEAV, dove educare gli utenti si è dimostrata
una mossa estremamente efficace (finché gli utenti
Anche gli utenti australiani e neozelandesi (ANZ)
ignoravano gli irritanti messaggi a comparsa non
hanno subito attacchi di ransomware. Gli attacchi
avrebbero infatti corso rischi), con il ransomware
sferrati con TorrentLocker a cui si è assistito in
la storia è assai diversa. Il ransomware infatti non
gennaio si sono fatti strada da un mercato all’altro.
lascia alcuna scelta agli utenti. L’unica speranza
Anche
che nutrono è riuscire a ripristinare i file presi in
altre
varianti
di
crypto-ransomware
viste nello scorso trimestre hanno dato segno
ostaggio dal relativo backup.
di miglioramenti sul mercato. CRYPAURA, ad
15 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
“Il crypto-ransomware è un ottimo metodo con cui i criminali
informatici monetizzano gli attacchi. I responsabili delle prime
varianti hanno guadagnato milioni di dollari in pochi mesi. Il
fatto che il ransomware possa essere facilmente trasformato in
crypto-ransomware con l’aggiunta di crypto-librerie potrebbe
avere contribuito allo sviluppo della minaccia. I crypto-algoritmi
sono irreversibili. Le vittime che non conservano il backup non
avrebbero altra scelta a quel punto se non pagare il riscatto per
recuperare i loro file più importanti.”
- Anthony Melgarejo,
Threat Response Engineer
16 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Macro malware, datato ma ancora efficace
Il ritorno del macro malware potrebbe facilmente essere il modo con cui
i criminali informatici sfruttano l’assenza di consapevolezza degli utenti.
Dopo tutto sono molto pochi gli utenti che capiscono realmente cosa siano
le macro e come funzionino.
Il ritorno del macro malware è stato osservato alla
delle soluzioni di scansione e-mail potrebbero
fine del 2014, come dimostrato dall’incremento nel
essere meno sensibili alle infezioni da macro
numero di messaggi di spam con allegati carichi di
malware, poiché queste rilevano gli eseguibili
macro dannose e la comparsa di nuove varianti.
anziché cercare le macro dannose incorporate che
Il macro malware utilizzava spesso frasi chiave
possono venire facilmente offuscate e passano
e termini di ricerca diffusi per indurre i target a
quindi inosservate dalle soluzioni anti-malware.
scaricarlo ed eseguirlo.
15
Anche VAWTRAK, la
minaccia informatica di banking online tristemente
Come funziona il macro malware
nota, utilizzava le macro per infettare i computer,
con uno stile molto diverso dai suoi metodi
iniziali. Si serviva di spam in grado di convincere
i destinatari ad attivare le macro per visualizzare
correttamente
allegati
Word
appositamente
congegnati. Così facendo, veniva eseguito il macro
malware (W2KM_VLOAD.A), che scaricava le
varianti VAWTRAK.16 Altre minacce che sfruttavano
Lo spam invita gli utenti
a scaricare ed aprire gli
allegati, che solitamente
sono vuoti o presentano
soltanto contenuto
illeggibile.
in precedenza macro malware come vettore delle
infezioni erano ad esempio i programmi per il furto
di dati DRIDEX e ROVNIX.17, 18
I criminali informatici tenterebbero di cogliere
gli utenti alla sprovvista, da cui il successo degli
I messaggi chiedono ai
destinatari di “Attivare le
macro per visualizzare il
contenuto” e forniscono
istruzioni in tal senso.
attacchi di macro malware. Essi hanno sfruttato il
fatto che gli utenti non hanno idea di cosa siano
le macro né di cosa facciano. Quindi, quando
agli utenti viene chiesto di attivare le macro
per visualizzare correttamente un allegato a un
messaggio di spam molto convincente, lo fanno.
Appena si attiva la macro,
viene eseguita la carica
distruttiva.
Le macro stanno rapidamente diventando il vettore
di attacco preferito per la loro capacità di bypassare
le tradizionali soluzioni anti-malware. E poiché
eseguire le macro presuppone l’intervento umano,
anche le tecnologie di sandboxing potrebbero non
essere efficaci per vanificare la minaccia. Gli utenti
Il social engineering ha avuto un ruolo essenziale
nei recenti attacchi delle macro. Gli utenti sono
stati indotti ad attivare le macro per visualizzare
correttamente gli allegati senza sapere che in
background erano in esecuzione delle routine dannose.
17 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Nuovo macro malware rilevato al 1° trim. 2015
436
500
250
180
79
29
0
2011
2012
19
2013
2014
2015
A partire dal 2014 è stato osservato un ritorno del macro malware.
Anche il cavallo di Troia del banking online, VAWTRAK, ha iniziato a servirsene.
Numero di infezioni da macro malware al 1° trimestre 2015
93.000
100.000
48.000
50.000
32.000
0
20.000
22.000
1° trim.
2° trim.
2014
3° trim.
4° trim.
1° trim.
2015
Il numero di infezioni da macro malware è aumentato costantemente dal primo
trimestre 2014. La causa potrebbe dipendere dalla pubblicazione di nuove varianti
e dall’aumento nella quantità di spam contenente allegati carichi di macro dannose.
18 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Paesi che hanno segnalato il maggior numero di
infezioni da macro malware nel 1° trimestre 2015
Cina
Stati Uniti
Regno Unito
Giappone
Australia
Francia
Italia
Taiwan
Germania
India
Altri
22%
14%
12%
7%
5%
5%
4%
3%
3%
2%
23%
La Cina è salita in testa alla classifica dei paesi che hanno segnalato il maggior numero di computer
infettati da macro malware nei primi tre mesi del 2015. Benché Microsoft abbia disattivato le macro
di Office per impostazione predefinita, gli utenti delle versioni precedenti sono ancora a rischio.
Principali varianti di macro malware nel 1° trimestre 2015
W97M_MARKER.BO
8%
X97M_OLEMAL.A
5%
W2KM_DLOADR.JS
3%
X2KM_DLOADR.C
2%
W97M_SATELLITE
2%
W97M_DLOADR.XTRZ
2%
W2KM_DLOAD.NB
2%
W97M_DLOADER.GHV 2%
X2KM_DLOAD.A
2%
X97M_LAROUX.CO
2%
Altri
70%
19 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Applicazioni più sfruttate come vettori di macro dannose nel 1° trim. 2015
Word
75%
Excel®
21%
PowerPoint®
1%
Altri
3%
I documenti Microsoft Word e i fogli di calcolo Excel si sono rivelati
i vettori di macro dannose preferiti dai criminali informatici.
Principali famiglie di macro malware nel 1° trimestre 2015
DLOADR
DLOAD
MARKER
BARTALEX
DLOADER
DLOADE
OLEMAL
LAROUX
BURSTED
MDROP
Altri
30%
10%
8%
8%
6%
5%
4%
4%
3%
2%
20%
Il macro malware è diventato un popolare vettore di attacco perché è in grado di eludere facilmente
le soluzioni anti-malware autonome installate sulla maggior parte dei computer. Le principali famiglie
di macro malware erano i downloader, il che fa pensare che le altre minacce informatiche li utilizzino
come metodo per infettare i sistemi.
20 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
“Il recente successo del macro malware potrebbe essere dovuto
all’uso di efficaci lusinghe di social engineering e al fatto che
le minacce possono venire facilmente offuscate. Vengono
anche normalmente incorporate nei file di Office, che vengono
trattati con meno severità dalle soluzioni di scansione per
minacce informatiche. Addirittura, le macro possono essere
attivate tramite file batch e di script, che a loro volta eludono
il rilevamento anti-malware.”
- Anthony Melgarejo,
Threat Response Engineer
21 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Difetto della sicurezza FREAK vecchio di
10 anni causa problemi di gestione delle patch
FREAK e GHOST hanno spaventato gli utenti dei computer e delle
applicazioni vulnerabili. Queste vulnerabilità hanno messo in luce dei
problemi di gestione delle patch esterni al normale ciclo gestito dagli
amministratori IT, a causa della varietà di piattaforme e di dispositivi da
proteggere. Man mano che l’anno avanza, si prevede che emergano altri
difetti maggiormente sfruttabili su tutte le piattaforme e i dispositivi.
Lo
scorso
marzo
è
stata
rilevata
FREAK,
OpenSSL distribuite prima della 1.0.1k e i client
abbreviazione di “Factoring RSA Export Keys”
Apple Transport Layer Security (TLS)/Secure
che sta per scomposizione delle chiavi di
Sockets Layer (SSL) sono risultati vulnerabili agli
esportazione RSA, una vulnerabilità che obbliga
attacchi MiTM (man-in-the-middle).19 Gli utenti
i siti e le applicazioni protetti colpiti a utilizzare
Windows® colpiti hanno rischiato di assistere al
una crittografia più debole. Tutte le versioni di
furto dei loro dati riservati.20
Attualmente
vulnerabile
Modifica dal
3 marzo
Server HTTPS nei primo milione di nomi di dominio di Alexa
8,5%
In calo dal 9,6%
Server HTTPS con certificati dei browser affidabili
6,5%
In calo dal 36,7%
Tutti i server HTTPS
11,8%
In calo dal 26,3%
Il numero di server interessati dalla vulnerabilità FREAK è diminuito dalla scoperta avvenuta lo scorso marzo.21
Anche GHOST, una vulnerabilità di overflow del
occorre applicare le patch prima che intervenga
buffer nei sistemi operativi Linux™ (glibc o le
l’abuso. Questo può infatti mettere seriamente
versioni della GNU C Library prima della 2.2)
a rischio i dati relativi all’attività e archiviati in
è emersa a gennaio. Questo difetto viene attivato
database back-end probabilmente vulnerabili.
quando vengono richiamate certe funzioni in glibc
che consentono l’esecuzione di codice arbitrario.
I dati di Trend Micro Deep Security hanno mostrato
Fortunatamente non è facile da sfruttare e può
come gli attacchi cross-site scripting (XSS) e SQL
interessare un numero assai ristretto di sistemi.22
injection siano stati utilizzati prevalentemente per
prendere di mira le applicazioni Web nei server
Come accade alle vulnerabilità lato client e lato
aziendali. I dati Open Web Application Security
server, anche ai difetti delle applicazioni Web
Project (OWASP) supportano questo risultato.
22 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Prime vulnerabilità delle applicazioni Web rilevate nel 1° trimestre 2015
Rappresenta una seria minaccia per qualsiasi applicazione Web orientata dal database, deriva da input
insufficienti o non convalidati trasmessi dagli utenti tramite le applicazioni Web colpite ai server del
database sotto forma di comandi SQL, può consentire agli aggressori di leggere, modificare, integrare
o eliminare i dati dai database, con conseguenze disastrose.
CRITICA
SQL Injection
Cross-site scripting (XSS) non persistente
Consente agli aggressori di iniettare script dannosi (generalmente lato client) nelle applicazioni Web; XSS
sfrutta le applicazioni che non convalidano, filtrano o codificano i dati forniti dall’utente; comporta spesso
l’induzione delle vittime a cliccare su collegamenti dall’aspetto legittimo che forniscono in realtà altri dati
per sferrare gli attacchi.
Sfrutta la convalida di sicurezza insufficiente nelle applicazioni Web, affinché gli aggressori possano
accedere ai file dai percorsi di sistema ad accesso limitato tramite la navigazione dei sistemi di file dei
server; è noto anche come attacchi “dot dot slash” o “scansione trasversale delle directory”.
ALTA
Scansione trasversale del percorso
Rilevata potenziale risorsa sensibile
Consente agli aggressori di ottenere informazioni sulle risorse che possono o meno essere collegate
alla struttura delle applicazioni, come un backup precedente, una configurazione del server, un registro
del server o del database, una configurazione del database, un database dump o dei file di applicazioni
sensibili per poter sferrare altri attacchi sofisticati.
Indicizzazione delle directory
Interessa i server Web che visualizzano la pagina dell’indice delle rispettive directory o sottodirectory
virtuali quando vi accedono gli agent degli utenti; consente agli aggressori di sferrare ulteriori attacchi
analizzando la struttura o il contenuto delle directory delle applicazioni Web sensibili e di ottenere
l’accesso non autorizzato ai file delle directory.
Consente agli aggressori di ottenere l’accesso alle informazioni sensibili, compresa la logica interna delle
applicazioni Web, preparata con i codici HTML che gli utenti vedono quando si verificano gli errori o le
eccezioni della applicazioni Web.
MEDIA
Messaggi dettagliati di errore delle applicazioni
Dati dei moduli sensibili trasmessi senza SSL
Consente agli aggressori di ottenere dati sensibili trasmessi tramite applicazioni che non utilizzano il
protocollo SSL.
Include divulgazione codice sorgente dei file
Consente agli aggressori di ottenere l’accesso e di sfruttare illegalmente le informazioni sulla logica delle
applicazioni sensibili individuate nel codice sorgente.
Causato dalla generazione di risultati inaspettati; le applicazioni Web che divulgano i percorsi locali
possono dare agli aggressori un’idea delle cartelle webroot cosicché questi possano utilizzarle per
congegnare attacchi personalizzati volti ad accedere a file system interni.
BASSA
Divulgazione del percorso locale
Fuga di indirizzi IP interni
Può divulgare le informazioni sullo schema di indirizzi IP delle reti interne, che possono quindi essere
utilizzate per congegnare gli attacchi personalizzati.
La vulnerabilità delle applicazioni Web più comune è il cross-site scripting (XSS) non persistente.
Secondo il progetto OWASP, “si verificano difetti XSS ogni volta che un’applicazione prende dei dati
non affidabili e li invia a un browser Web senza la corretta convalida.” Questo può consentire agli
aggressori di eseguire script dannosi inducendo gli utenti a cliccare su collegamenti appositamente creati.
23 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Anche i dati Deep Security hanno dimostrato
progettato per lo sviluppo Web e talvolta come
che le vulnerabilità dei server PHP erano di gran
linguaggio di programmazione multiuso. Nelle più
lunga prevalenti tra le imprese. In effetti, tutte
recenti versioni PHP, alla maggior parte di queste
le prime 10 vulnerabilità dei server erano legate
vulnerabilità classificate da “alta” a “critica” sono
al linguaggio dello scripting lato server PHP
state applicate delle patch.
Prime vulnerabilità delle piattaforme rilevate nel 1° trimestre 2015
ID CVE
Classificazione Software
di gravità
interessato
Descrizione
Soluzione
CVE-20122688
Critica
PHP
Non specificata
Aggiornamento a PHP 5.3.15,
5.4.5 o versione successiva
CVE-20122376
Critica
PHP
Consente agli aggressori di eseguire
codice arbitrario
Non sono ancora stati
distribuiti aggiornamenti
o patch per risolvere questo
problema
CVE-20113268
Critica
PHP
Consente agli aggressori di eseguire
codice arbitrario o di causare il crash
delle applicazioni interessate
Aggiornamento a PHP 5.3.7
o versione successiva
CVE-20149427
Alta
PHP
Consente agli aggressori di causare
il crash delle applicazioni interessate,
ottenere informazioni sensibili dalla
memoria del processo php-cgi o
avviare l’esecuzione inaspettata di
codice
Contattare i fornitori delle
applicazioni per informazioni
su come risolvere il problema
CVE-20131635
Alta
PHP
Consente agli aggressori di
bypassare le limitazioni di accesso
previste
Aggiornamento a PHP 5.3.22,
5.4.13 o versione successiva
CVE-20111092
Alta
PHP
Consente agli aggressori di causare
il crash delle applicazioni interessate
Aggiornamento a PHP 5.3.6
o versione successiva
CVE-20121823
Alta
PHP
Consente agli aggressori di eseguire
codice arbitrario
Aggiornamento a PHP 5.4.2
o versione successiva
CVE-20122311
Alta
PHP
Consente agli aggressori di eseguire
codice arbitrario
Aggiornamento a PHP 5.3.13,
5.4.3 o versione successiva
CVE-20122386
Alta
PHP
Consente agli aggressori di causare
il crash delle applicazioni interessate
Aggiornamento a PHP 5.3.14,
5.4.4 o versione successiva
CVE-20111153
Alta
PHP
Consente agli aggressori di ottenere
informazioni sensibili e congegnare
attacchi DoS (denial-of-service)
Aggiornamento a PHP 5.3.6
o versione successiva
PHP è stata la piattaforma più vulnerabile nello scorso trimestre con difetti individuati in versioni diverse
del linguaggio di scripting. Utenti e amministratori IT devono mantenere aggiornate le applicazioni con
le patch più recenti o aggiornarle alle versioni più recenti. Deep Security dispone di soluzioni capaci
di risolvere le vulnerabilità connesse.
24 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Con la scoperta crescente di vulnerabilità nei
di una responsabilità diretta nella divulgazione
sistemi operativi e nelle applicazioni open source,
o nell’applicazione delle patch ai difetti, che si
gli amministratori IT troveranno sempre più
aggiungerebbe al problema di proteggere tutti i
difficile mitigare i rischi ad esse connessi. Un grave
sistemi operativi e le applicazioni potenzialmente
problema di base potrebbe essere la mancanza
vulnerabili.
“L’attacco di FREAK ci ha ricordato ancora una volta che
a prescindere da quanto pensiamo siano protetti i nostri sistemi
e le nostre reti, c’è sempre qualcosa di nuovo da scoprire.
È consigliabile aggiornare i sistemi preesistenti il più possibile.
Le aziende devono conservare i codici sorgente delle applicazioni
personalizzate che i fornitori hanno creato per loro. Come
Heartbleed, anche FREAK deve servire a ribadire la fragilità
di OpenSSL. Si tratta di una tecnologia datata che deve essere
sostituita da librerie di crittografia più efficaci. Le aziende che
fanno affidamento su software e librerie open source devono
rivedere e potenziare i propri criteri di protezione. Dovrebbero
utilizzare soluzioni di sicurezza che valutano la reputazione di
IP e dominio, monitorano il traffico di rete tramite sistemi di
rilevamento delle violazioni e bloccano, tra le altre, minacce
note e sconosciute con la prevenzione delle intrusioni.”
- Pawan Kinger,
Direttore di Deep Security Labs
25 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Settore sanitario colpito da gravi violazioni,
altri settori debilitati dagli attacchi di
minacce informatiche PoS
L’inadeguatezza della sicurezza e la mancata implementazione di soluzioni
di alto profilo, nonostante l’enorme quantità di dati riservati archiviati
sulle reti dei fornitori di servizi sanitari, potrebbero spiegare il motivo
per cui tali settori sono diventati gli obiettivi preferiti degli attacchi.
I principali fornitori di servizi sanitari, Premera
Queste violazioni di dati hanno evitato al servizio
Blue Cross e Anthem, a marzo hanno subito
sanitario britannico, che ha messo a rischio più di
violazioni di dati che hanno messo a rischio milioni
8,6 milioni di record, di diventare il fornitore di
di cartelle cliniche e informazioni finanziarie dei
servizi sanitari più colpito dal 2011.25
propri clienti.23 Si presume che la violazione subita
da Anthem abbia interessato 80 milioni di clienti
I fornitori di servizi sanitari detengono molte più
e dipendenti.
D’altro canto, l’attacco rilevato a
informazioni sui clienti di quante non ne possiedano
gennaio nei confronti di Premera Blue Cross ha
altri tipi di aziende, ma non necessariamente
messo a rischio i record di 11 milioni di clienti.
utilizzano i mezzi più efficaci per proteggerle.26
24
Gli attacchi di violazione dei dati più noti contro i fornitori
di servizi sanitari dal 2009 al 2015
Virginia Department of Health | U.S.A.
National Health Services | R.U.
Record dei pazienti, prescrizioni
Record dei pazienti non crittografati
2009
Record persi: 8,3 milioni
Record persi: 8,6 milioni
2010
Advocate Medical Group | U.S.A.
Nomi, indirizzi, date di nascita,
numeri di previdenza sociale
Community Health Systems | U.S.A.
2011
Cinque anni di dati dei pazienti, nomi,
indirizzi e numeri di previdenza sociale
Record persi: 4 milioni
2012
Record persi: 4,5 milioni
Premera Blue | U.S.A.
2013
Anthem | U.S.A.
Nomi, date di nascita, indirizzi e-mail,
indirizzi, numeri di telefono, numeri di
previdenza sociale, ID dei membri,
informazioni sui conti correnti bancari,
informazioni su richieste di risarcimento,
informazioni cliniche
Record persi: 11 milioni
2014
Nomi, date di nascita, ID dei membri,
numeri di previdenza sociale, indirizzi,
numeri di telefono, indirizzi e-mail,
informazioni di lavoro
2015
Record persi: 80 milioni
Le violazioni di dati che hanno interessato Anthem e Premera, entrambe rilevate all’inizio dell’anno, sono state
le peggiori tra quelle individuate finora.27 L’ultima violazione di questo tipo era stata nel 2011, quando al sistema
sanitario nazionale britannico furono sottratti i laptop contenenti i record non crittografati dei pazienti.
(Nota: la copertura era limitata alle aziende che hanno perso almeno 4 milioni di record.)
26 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Quante delle violazioni dei dati osservate tra il 2005 e il 2014
erano legate al sistema sanitario?
10%
14%
14%
15%
2005
2006
2007
2008
14%
25%
24%
36%
2009
2010
2011
2012
44%
43%
2013
2014
Violazioni dei dati legate
al settore sanitario
Nell’arco di anni tra il 2005 e il 2014, il numero di vittime delle violazioni dei fornitori di servizi sanitari
è quasi quadruplicato. Tra il 2012 e il 2014, il settore sanitario è stato quello maggiormente
colpito rispetto ai settori commerciale, militare e pubblico.28
Nel settore della vendita al dettaglio e dei servizi,
Gli utenti continuano a essere afflitti da una vasta
il numero di RAM scraper PoS è continuato
gamma di varianti, vecchie e nuove, di RAM
a salire. La sicurezza insufficiente dei sistemi
scraper PoS. A febbraio, FighterPoS è stato inserito
PoS ha consentito ai RAM scraper di diventare
nell’elenco delle minacce informatiche per PoS in
mezzi idonei con cui violare le reti, sebbene senza
continuo aumento, mentre il classico ma sempre
coordinare necessariamente gli attacchi mirati.
valido BlackPOS ha continuato ad affliggere le
Le minacce informatiche per PoS hanno offerto
aziende, conquistando una quota considerevole del
agli aggressori gratifiche immediate, sotto forma
numero totale di infezioni.29
di enormi profitti.
27 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di sistemi infettati da RAM scraper PoS
116
259
300
120
86
65
156
124
150
123
60
73
0
1° trim. 2° trim. 3° trim. 4° trim. 1° trim.
2014
0
GEN
FEB
MAR
2015
Il numero di rilevamenti di RAM scraper PoS è più che raddoppiato da quando è stato avviato il rilevamento un anno
fa, probabilmente grazie ai miglioramenti delle minacce informatiche PoS esistenti, come nel caso di BlackPOS.30
Paesi che hanno segnalato il maggior numero di
infezioni da RAM scraper PoS nel 1° trimestre 2015
Stati Uniti
Australia
Taiwan
Austria
Italia
Brasile
Canada
Filippine
Francia
Giappone
Altri
23%
10%
8%
7%
5%
4%
4%
4%
3%
2%
30%
Gli Stati Uniti sono stati i più presi di mira dagli attacchi di minacce informatiche PoS,
a causa dell’enorme bacino di vittime potenziali. L’80% della popolazione USA utilizza infatti
con regolarità le carte di pagamento anziché il contante.31
28 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali famiglie di RAM scraper PoS nel 1° trimestre 2015
POCARDL
DEXTR
POSLOGR
POSNEWT
JACKPOS
POCARDLER
POSLUSY
ALINAOS
POSHOOK
ALINA
Altri
20%
14%
11%
7%
7%
6%
6%
5%
5%
5%
14%
POCARDL, che si è impadronito delle credenziali delle carte di credito, è stato avvistato per la prima volta
nell’ottobre 2012 e ha rappresentato la famiglia di RAM scraper PoS di maggiore rilievo nei primi tre mesi del 2015.32
“Le minacce informatiche per PoS diventeranno una costante
del settore della sicurezza, proprio come scareware, FAKEAV
e ransomware. Ciò vale in special modo per i paesi come gli
Stati Uniti dove la gente preferisce le carte al contante.”
- Jay Yaneza,
Cyberthreat Researcher
29 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Ricomparsa dei responsabili delle minacce
con strumenti, tattiche e procedure nuovi
per campagne di attacchi mirati
Rocket Kitten e i responsabili dell’Operazione Pawn Storm hanno messo
gli occhi su nuovi obiettivi, a dimostrazione del fatto che gli attacchi
mirati continuano a persistere e ad evolversi.
L’Operazione Pawn Storm, un’operazione di
spionaggio informatico di tipo politico ed economico
tuttora in corso, sfruttava i dispositivi iOS™ per
infiltrarsi nelle reti prese di mira.33 Benché non
fosse la prima campagna a fare uso delle minacce
informatiche mobili per orchestrare attacchi mirati,
Pawn Storm è stata la prima a mettere specificamente
gli occhi su iOS. I responsabili hanno utilizzato due
app iOS dannose, XAgent (IOS_XAGENT.A) e una
versione fasulla di MadCap (IOS_ XAGENT.B),
paragonabili alle varianti di SEDNIT sui computer
Windows.
In linea con i continui miglioramenti nell’area
degli attacchi mirati, Rocket Kitten ha migliorato
i propri strumenti, tattiche e procedure (TTP).34
I responsabili dell’operazione hanno abusato di
OneDrive® per l’hosting dei keylogger WOOLERG.
Attacchi mirati mobili degni di nota dal 2011
Pawn Storm
Legato ai 90 attacchi sferrati a vari settori e/o comunità in Giappone e in India; ha utilizzato una minaccia
informatica Android™ simile a RAT (remote-access-tool) per raccogliere informazioni e caricare/scaricare
file dai dispositivi infetti.
Ha preso di mira gli attivisti tibetani e uiguri; ha utilizzato trabocchetti di social engineering per sfruttare
i sistemi Windows e Mac OS X vulnerabili; ha diffuso ANDROIDOS_CHULI.A tramite gli account e-mail
degli attivisti presi di mira di cui aveva ottenuto il controllo.
2013
Chuli
2012
Luckycat
2011
Attacchi di spionaggio economico e politico istigati da un gruppo di responsabili che ha preso di mira
principalmente il personale dei collaboratori esterni del settore militare, dell’ambasciata e della difesa degli
Stati Uniti e dei suoi alleati; i primi a utilizzare specificamente le minacce informatiche iOS per infiltrarsi
nelle reti obiettivo.
Xsser mRAT
Regin
2014
Ritenuto una campagna lanciata da aggressori di lingua cinese contro i manifestanti cinesi; una minaccia
informatica per più piattaforme, Xsser mRAT (ANDROIDOS_Code4HK.A) ha colpito i dispositivi Android
e iOS; ANDROIDOS_Code4HK.A ha esposto testo, e-mail, messaggi istantanei, dati sulla località, nomi
utente, password, registri delle chiamate ed elenchi di contatti delle vittime.
Ha preso di mira pubbliche amministrazioni, istituzioni finanziarie, operatori di telecomunicazioni, enti di
ricerca e altre organizzazioni in vari paesi; ha sfruttato illegalmente i controller della stazione base GSM
(Global System for Mobile Communications) per raccogliere le credenziali necessarie per manipolare la
rete GSM di un paese mediorientale.
Gli aggressori prendono di mira i dispositivi mobili perché tutti li usano.
Abitudini non sicure nell’uso dei dispositivi mobili tenute nel tempo libero possono facilmente
venire mutuate sul posto di lavoro, grazie alla tendenza BYOD (bring-your-own-device).35
30 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Come i responsabili di Pawn Storm hanno bypassato
le misure di sicurezza aziendali degli app store
Gli aggressori creano minacce
informatiche dotate di un
certificato aziendale.
Gli aggressori offrono l’hosting
alle minacce informatiche su un
server e utilizzano i servizi ITMS
per generare un collegamento
di installazione.
Il collegamento viene inviato ai
singoli presi di mira che vengono
indotti a cliccare mediante
ingegnose tattiche di social
engineering.
Quando si clicca sul
collegamento, viene installata
una minaccia informatica.
Anche se i metodi esatti per l’installazione delle minacce informatiche XAgent restano
ignoti, è noto che possono colpire anche i dispositivi non affetti da jailbreaking se le
relative app vettore dispongono di un certificato aziendale di Apple. Anche le lusinghe
di social engineering possono incrementare le possibilità di infezione dei dispositivi.
31 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Aumento continuo del grado di
sofisticatezza dei kit di exploit
I kit di exploit aggiungono costantemente exploit al proprio arsenale
per un numero crescente di vulnerabilità, diventando così sempre più
appetibili per aggressori di ogni tipo, sempre alla ricerca di opportunità
e convenienza. Il loro coinvolgimento negli attacchi di malvertisement del
trimestre scorso si è dimostrato un metodo efficace di consegna illegale.
Più di 70 kit di exploit che agiscono liberi possono
precedenza. Nuclear Exploit Kit, dal canto suo,
sfruttare oltre 100 vulnerabilità.
è stato il più utilizzato nei primi tre mesi del 2015.
36
Dall’arresto di
Paunch nel 2013, il numero di kit di exploit in uso
è significativamente calato. Ma ciò che perdono
Il Giappone è stato il paese target preferito dagli
in volume lo acquistano in sofisticazione. I kit
aggressori, come dimostrano vari attacchi di
di exploit, dopo tutto, vengono continuamente
malvertising particolarmente mirati agli utenti
aggiornati affinché possano sfruttare un numero
giapponesi.37
crescente di vulnerabilità.
Come in passato, i kit più diffusi contenevano
Hanjuan Exploit Kit, ad esempio, è stato utilizzato
exploit per Adobe Flash e Internet Explorer,
nell’attacco zero-day di Adobe Flash citato in
verosimilmente per l’enorme bacino di utenza dei
due software.
Vulnerabilità utilizzate nei kit di exploit
Nuclear
Sweet
Orange
FlashPack
Internet
Explorer
CVE-2013-2551
CVE-2013-2551
CVE-2014-0322
CVE-2014-6332
CVE-2013-2551
CVE-2013-3918
CVE-2014-0322
Microsoft
Silverlight®
CVE-2013-0074
Adobe
Flash
CVE-2014-0515
CVE-2014-0569 CVE-2014-0515
CVE-2014-8439 CVE-2014-0569
CVE-2015-0311
Adobe
Acrobat®
Reader
CVE-2010-0188
Oracle
JavaTM
CVE-2012-0507
XMLDOM
ActiveX
CVE-2013-7331
CVE-2013-0634
CVE-2014-0497
CVE-2014-0515
CVE-2014-0569
Rig
Angler
CVE-20132551
CVE-2013-2551
CVE-20130074
CVE-2013-0074
CVE-20140569
CVE-20150311
CVE-2014-0515
CVE-2014-0569
CVE-2015-0311
Magnitude
CVE-20132551
CVE-20140515
Fiesta
Styx
CVE-2013-2551
CVE-20132551
CVE-2013-0074
CVE-20130074
CVE-2014-0497
CVE-2014-0569
CVE-2015-0311
CVE-20140515
Hanjuan
CVE-20150313
CVE-2010-0188
CVE-2013-2460
CVE-2013-5471
CVE-2013-2465
CVE-20137331
CVE-2013-7331
CVE-2012-0507
CVE-2014-2465
CVE-20137331
Gli exploit di Adobe Flash erano disponibili in tutti i kit utilizzati negli attacchi
più rilevanti nel primo trimestre del 2015.
32 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di volte in cui si è acceduto ai server
dei kit di exploit nel 4° trim. 2014 e nel 1° trim. 2015
Sweet
Orange
Angler
4° trim.
2014
1.077.223
363.982
155.816
140.604
14.671
26.943
25.133
Nessun
1.804.372
dato
1° trim.
2015
264.897
590.063
255.593
42.424
740.037
321.712
61.952
103.924 2.380.602
-75,4%
62,1%
64,0%
-69,8%
4.944,2%
1.094%
146,5%
Nessun
dato
Crescita
Magnitude
Rig
Nuclear
Neutrino
Fiesta
Hanjuan
Totale
31,9%
Kit di exploit a cui gli utenti hanno avuto maggiormente accesso nel 1° trim. 2015
Nuclear
Angler
Neutrino
Sweet Orange
Magnitude
Hanjuan
Fiesta
Rig
31%
25%
13%
11%
11%
4%
3%
2%
Nel corso di questo trimestre, è stato osservato un aumento del 30% nel numero di attività connesse
ai kit di exploit. Nuclear Exploit Kit ha registrato il numero più elevato di utenti colpiti, verosimilmente
a causa di attacchi di malvertising. D’altro canto, la diminuzione del numero di attacchi contro il
kit Sweet Orange potrebbe essere dovuta alla disinfezione delle pubblicità dannose eseguita sulle
piattaforme di alcune reti pubblicitarie.
33 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Paesi maggiormente colpiti dagli attacchi connessi ai kit di exploit
Giappone
Stati Uniti
Australia
Canada
Danimarca
Francia
Regno Unito
Italia
Brasile
Spagna
Altri
52%
31%
5%
1%
1%
1%
1%
1%
1%
1%
5%
Il Giappone è stato il paese più colpito, probabilmente a causa dell’ondata di attacchi di malvertising
connessi ai kit di exploit, all’inizio dell’anno, mirati specificamente agli utenti giapponesi.
Nonostante il calo degli attacchi connessi ai nuovi kit di exploit, nell’ultimo trimestre ne è rimasto attivo
un numero considerevole. Che sia la quiete prima della tempesta? Oppure gli sviluppatori dei kit di exploit
stanno tenendo un basso profilo mentre migliorano silenziosamente la propria offerta prima di immetterla
sul mercato?
Attività quotidiana nota dei kit di exploit nel 1° trimestre 2015
5
100.000
Nuclear
Angler
4
Neutrino
Sweet Orange
2
50.000
Magnitude
Hanjuan
3
Fiesta
1
Rig
0
GEN
FEB
MAR
(Nota: i picchi nel diagramma qui sopra corrispondono ai dettagli numerati di seguito.)
Le misure adottate da AOL per rimuovere il malvertisement dalla sua piattaforma hanno comportato il declino
dell’attività del kit di exploit Sweet Orange (1). Angler (2 e 4) e Hanjuan (2) sono stati utilizzati per il push delle
minacce informatiche BEDEP zero-day sui computer da fine gennaio a inizio febbraio, cosa che ha contribuito
all’aumento del numero di accessi ai server. Nuclear Exploit Kit (3 e 5), dal canto suo, è stato utilizzato in un
attacco di malvertising mediante siti pornografici.
34 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
“Sempre più attacchi di exploit utilizzano il malvertisement
anziché siti compromessi e spam. L’abuso delle reti pubblicitarie
legittime, dopo tutto, ha consentito loro di dissimulare le proprie
intenzioni dannose. Gli aggressori migliorano costantemente
i propri strumenti e le proprie tattiche per aumentare l’efficacia
delle loro campagne e sviluppare la loro attività. Nel corso del
2015, assisteremo probabilmente ad altri attacchi simili.”
- Joseph C. Chen,
Engineer
35 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Analisi del panorama delle minacce
Il volume complessivo delle minacce è generalmente
il volume dello spam ha segnato un’impennata.
diminuito rispetto a quello registrato nel quarto
Questo potrebbe indicare un ritorno all’uso delle
trimestre del 2014. Nonostante il calo nel numero
e-mail come vettore preferito delle infezioni con
dei domini dannosi di cui abbiamo bloccato
cui distribuire vecchie minacce, come il macro
l’accesso agli utenti e delle minacce informatiche
malware, ai computer vulnerabili.
a cui abbiamo impedito di infettare i dispositivi,
Numero totale di minacce bloccate
nel 1° trimestre del 2015
6 miliardi
Livello di rilevamento di Trend Micro:
numero di minacce bloccate al secondo
nel 1° trimestre del 2015
2.000/s
1.931
5,2
5
miliardi
1.858
1.595
miliardi
3,9
miliardi
3 miliardi
1.000/s
0
0
GEN
FEB
MAR
Abbiamo bloccato una media di 4,7 miliardi di
minacce al mese lo scorso trimestre, segnando così un
aumento di 1,5 miliardi rispetto al numero registrato
nell’ultimo trimestre del 2014.
GEN
FEB
MAR
Abbiamo bloccato una media di 1.800 minacce al
secondo nell’ultimo trimestre. Questo dato indica un
aumento di 600 minacce al secondo rispetto al dato
registrato in precedenza di 1.200 minacce al secondo.
36 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Numero di query di Email
Reputation bloccate come spam
nel 1° trimestre 2015
Numero di visite degli utenti
a siti dannosi bloccate nel
1° trimestre 2015
350 milioni
5 miliardi
4,6
315
miliardi
milioni
4,1
miliardi
236
3,3
milioni
miliardi
2,5 miliardi
252
milioni
175 milioni
0
0
GEN
FEB
GEN
MAR
Abbiamo impedito a 12 miliardi di e-mail,
provenienti da indirizzi IP dedicati all’invio di spam,
di raggiungere le caselle di posta dei destinatari.
FEB
MAR
Nello scorso trimestre, abbiamo registrato più
di 800 milioni di visite di utenti a siti dannosi,
con un incremento di mese in mese.
Numero di file dannosi bloccati nel 1° trimestre 2015
600 milioni
522
milioni
361
300 milioni
351
milioni
milioni
GEN
FEB
0
MAR
Nello scorso trimestre, abbiamo impedito a oltre un miliardo
di file dannosi di infettare dispositivi. Il numero delle minacce
informatiche è quasi raddoppiato da febbraio a marzo scorsi.
37 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
La famiglia di cavalli di Troia KRYPTIK che
Molti dei principali domini a cui abbiamo impedito
ha colpito più duramente i privati è andata
l’accesso agli utenti nello scorso trimestre erano
ad ingrossare le fila delle principali minacce
legati all’adware. Ciò potrebbe essere legato
informatiche dello scorso trimestre. Questi cavalli
all’aumento del numero di attacchi di malvertising
di Troia, noti in precedenza per la capacità di
registrati. Tra l’altro, anche l’adware ha raggiunto
intimorire gli utenti con la comparsa di avvisi
la testa della classifica delle minacce mobili.
sui loro schermi, tentano di scaricare altri file
In sintesi, abbiamo registrato ad oggi più di
dannosi su computer già infetti. Non sono tuttavia
5 milioni di minacce Android, una cifra che ci
riusciti a scalzare SALITY e DOWNAD dalle prime
avvicina alla nostra previsione totale di 8 milioni
2 posizioni.
entro la fine del 2015.
Principali domini dannosi che è stato impedito agli utenti di visitare
nel 1° trimestre 2015
Dominio
Motivo per il blocco dell’accesso
files-download-131.com
Download di file potenzialmente indesiderati (PUA)38
enhizlitakip.com
Connesso a uno scam turco sui follower di Twitter
cnfg.toolbarservices.com
Connesso ad adware che si fingeva una barra degli
strumenti del browser
s.trk-u.com
Connesso ad adware che si fingeva una barra degli
strumenti del browser
s.ad120m.com
Sito con cui comunica una variante di TROJ_GEN
sso.anbtr.com
Sito con cui comunica PE_SALITY.RL
f0fff0.com
Apre pagine a comparsa che scaricano adware
fa8072.com
Apre pagine a comparsa che scaricano adware
creative.ad120m.com
Sito con cui comunica una variante di TROJ_GEN
lovek.info
Legato alla frode tramite clic
La maggior parte dei domini dannosi a cui abbiamo impedito l’accesso agli utenti nello scorso
trimestre era coinvolta nella distribuzione di adware e legata ad altri tipi di frodi.
38 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Paesi con il maggior numero di URL dannosi in hosting nel 1° trimestre 2015
Stati Uniti
Paesi Bassi
Cina
Russia
Costa Rica
Germania
Regno Unito
Portogallo
Giappone
Corea del Sud
Altri
29%
7%
6%
3%
2%
1%
1%
1%
1%
1%
48%
Gli Stati Uniti hanno continuato a piazzarsi ai primi posti nella classifica dei principali paesi per hosting
di URL dannosi. Francia e Ungheria sono state scalzate dalla classifica da Costa Rica e Portogallo.
Paesi che hanno segnalato il numero più alto di utenti
che hanno cliccato sugli URL dannosi nel 1° trimestre 2015
Stati Uniti
Giappone
Australia
Taiwan
India
Cina
Francia
Germania
Canada
Italia
Altri
33%
24%
5%
4%
3%
3%
3%
2%
2%
2%
19%
Oltre ad essere il primo paese per hosting di URL dannosi, gli Stati Uniti sono anche il paese che ha
segnalato il maggior numero di utenti che cliccano sui collegamenti dannosi.
39 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Lingue principali usate per lo spam nel 1° trimestre 2015
Inglese
Cinese
Tedesco
Giapponese
Russo
Portoghese
Spagnolo
Polacco
Francese
Italiano
Altri
84,49%
1,86%
1,27%
1,15%
0,70%
0,61%
0,54%
0,43%
0,38%
0,09%
8,48%
L’inglese resta la lingua più utilizzata per lo spam.
Principali paesi per invio di spam nel 1° trimestre 2015
Stati Uniti
Russia
Cina
Giappone
Vietnam
Italia
Spagna
Argentina
Iran
Germania
Altri
16%
5%
5%
5%
5%
4%
4%
4%
3%
3%
46%
In linea con la principale lingua utilizzata per lo spam, l’inglese, sono gli Stati Uniti a piazzarsi in testa
alla classifica dei paesi per invio di spam. L’Iran ha scalzato l’Ucraina dall’ultima posizione in classifica.
40 |Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali famiglie di minacce informatiche nel 1° trimestre 2015
Nome rilevamento
Volume
SALITY
86.000
DOWNAD
83.000
KRYPTIK
71.000
BROWSEVIEW
69.000
GAMARUE
65.000
DUNIHI
49.000
VIRUX
42.000
UPATRE
41.000
FORUCON
39.000
RAMNIT
29.000
Principali famiglie di minacce informatiche per segmento nel 1° trimestre 2015
Segmento
Aziende
PMI
Privati
Nome rilevamento
Volume
DOWNAD
62.000
SALITY
35.000
DUNIHI
29.000
DOWNAD
12.000
DLOADR
11.000
UPATRE
10.000
KRYPTIK
61.000
GAMARUE
38.000
SALITY
36.000
Sebbene KRYPTIK sia rapidamente balzata in testa alla classifica delle principali minacce informatiche
nell’ultimo trimestre, non è comunque riuscita a spodestare le minacce che occupano da tempo
le prime posizioni in classifica, SALITY e DOWNAD.
41 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali famiglie di adware nel 1° trimestre 2015
Nome rilevamento
Volume
OPENCANDY
454.000
DEALPLY
224.000
MYPCBACKUP
183.000
MYPCBaACKUP
142.000
PULSOFT
122.000
TOMOS
113.000
MULTIPLUG
109.000
INSTALLCORE
102.000
ELEX
90.000
SPROTECT
67.000
Principali famiglie di adware per segmento nel 1° trimestre 2015
Segmento
Aziende
PMI
Nome rilevamento
OPENCANDY
68.000
DEALPLY
46.000
TOMOS
18.000
OPENCANDY
29.000
DEALPLY
23.000
MYPCBACKUP
Privati
Volume
8.000
OPENCANDY
346.000
MYPCBACKUP
156.000
DEALPLY
135.000
Il principale adware, OPENCANDY, è costantemente in testa alla classifica degli agenti
di infezione dei dispositivi nei segmenti di utenti.
42 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali famiglie di minacce informatiche Android nel 1° trimestre 2015
Danpay
Inoco
Youm
Agent
AdultPlayer
Jxt
Gexin
Guidead
AppInst
FakeApp
Altri
14%
12%
6%
6%
4%
4%
2%
2%
1%
1%
48%
Danpay è stata la minaccia informatica Android più nota nel corso dell’ultimo trimestre.
Le sue routine includono l’accesso ai server C&C, dove attende i comandi dannosi mentre
scarica silenziosamente altre app sui dispositivi già infetti.
Principali famiglie di adware Android nel 1° trimestre 2015
AdLeak
Igexin
AdFeiwo
Noiconads
FeiwoDown
Appquanta
Arpush
RevMob
SnailCut
GoYear
Altri
8%
7%
6%
5%
5%
4%
4%
4%
3%
3%
51%
AdLeak, nome di rilevamento generico di Trend Micro per le app che potrebbero mettere a rischio
la privacy degli utenti, è in testa alla classifica dell’adware mobile di quest’ultimo trimestre.
43 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Principali tipi di minacce Android osservati nel 1° trimestre 2015
50%
48%
25%
18%
14%
14%
4%
2%
0
ADWARE
PROGRAMMI
PER IL FURTO
DI DATI
PAYWARE
PREMIUM
SERVICE
ABUSERS
DOWNLOADER
DI MINACCE
ALTRI
L’adware ha continuato a essere il principale tipo di minaccia per i dispositivi Android. Il payware si riferisce ai PUA
che manipolano gli utenti al punto di convincerli ad accettare di pagare tariffe o spese fraudolente. I PUA non sono
dannosi di per sé, ma è possibile che presentino funzionalità in grado di compromettere la sicurezza dei dati degli
utenti o di ostacolare la loro esperienza mobile.
Crescita cumulativa delle minacce Android al 1° trimestre 2015
5,4 milioni
6 milioni
4,9 milioni
3,8 milioni
4,1 milioni
4,3 milioni
4,6 milioni
3 milioni
0
OTT
2014
NOV
DIC
GEN
2015
FEB
MAR
Un numero consistente di minacce Android rilevate in quest’ultimo trimestre è costituito dai PUA.
44 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Paesi che hanno fornito l’hosting al maggior numero di server C&C
nel 1° trimestre 2015
Stati Uniti
Ucraina
Germania
Russia
Francia
Regno Unito
Paesi Bassi
Cina
Corea del Sud
Portogallo
Altri
29%
9%
7%
7%
4%
4%
4%
3%
3%
2%
28%
I server C&C erano ampiamente distribuiti in paesi diversi come Stati Uniti, Ucraina e
Germania. Gli aggressori non devono necessariamente risiedere in questi paesi per accedere ai
rispettivi server C&C, che possono essere gestiti in remoto. La maggior parte dei paesi di questo
elenco comparivano anche nella classifica dei principali paesi per hosting di URL dannosi.
Ciò potrebbe indicare per tali paesi un abuso del servizio di hosting e dell’infrastruttura.
Paesi con il maggior numero di connessioni ai server C&C nel 1° trimestre 2015
Stati Uniti
Giappone
Australia
Taiwan
Germania
India
Canada
Francia
Malesia
Italia
Altri
51%
9%
5%
4%
4%
4%
2%
2%
2%
1%
16%
Gli Stati Uniti hanno fatto registrare il maggior numero di connessioni C&C. Non a caso,
gli Stati Uniti si sono anche piazzati in testa alla classifica dei paesi con il maggior numero
di clic degli utenti sugli URL dannosi. Ciò potrebbe indicare che la maggior parte dei
tentativi di accesso sono legati alle botnet.
45 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Famiglie di minacce informatiche con il maggior numero di server C&C correlati
nel 1° trimestre 2015
1.500
1.316
750
745
385
379
TROJAN
GOZEUS
348
0
CRILOCK
DUNIHI
ZEUS
Nell’ultimo trimestre, le varianti del ransomware CRILOCK hanno avuto accesso al maggior numero di server C&C.
Famiglie di minacce informatiche con il maggior numero di vittime
nel 1° trimestre 2015
350.000
349.000
379
175.000
36.000
31.000
PUSHDO/
WIGON
CLACK
18.000
0
POWELIKS
BADUR
POWELIKS ha fatto registrare il maggior numero di vittime nello scorso trimestre, probabilmente
a causa del suo meccanismo silenzioso che gli consente di restare nascosto nei sistemi infetti.
46 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
Bibliografia
1.
U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 maggio 2014). U.S. Senate Committee on Homeland
Security & Governmental Affairs. “Permanent Subcommittee on Investigations Releases Report: ‘Online Advertising and Hidden
Hazards to Consumer Security and Data Privacy.’” Ultimo accesso 7 maggio 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy.
2.
Brooks Li and Joseph C. Chen. (16 marzo 2015). TrendLabs Security Intelligence Blog. “Exploit Kits and Malvertsing:
A Troublesome Combination.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-andmalvertising-a-troublesome-combination/.
3.
Peter Pi. (2 febbraio 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used
in Malvertisements.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-newadobe-flash-zero-day-exploit-used-in-malvertisements/.
4.
Alvin Bacani. (5 febbraio 2015). TrendLabs Security Intelligence Blog. “BEDEP Malware Tied to Adobe Zero Days.” Ultimo accesso
16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/.
5.
Trend Micro Incorporated. (20 febbraio 2015). TrendLabs Security Intelligence Blog. “Superfish Adware in Lenovo Consumer
Laptops Violates SSL, Affects Companies via BYOD.” Ultimo accesso 16 aprile 2015, http://www.trendmicro.com/vinfo/us/security/
news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl.
6.
Lenovo. (19 febbraio 2015). Lenovo. “Lenovo Statement on Superfish.” Ultimo accesso 16 aprile 2015, http://news.lenovo.com/article_
display.cfm?article_id=1929.
7.
Vangie Beal. (2015). Webopedia. “Bloatware.” Ultimo accesso 20 aprile 2015, http://www.webopedia.com/TERM/B/bloatware.html.
8.
Seven Shen. (2 aprile 2015). TrendLabs Security Intelligence Blog. “The Fine Line Between Ad and Adware: A Closer Look at
the MDash SDK.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-ad-andadware-a-closer-look-at-the-mdash-sdk/.
9.
Trend Micro Incorporated. (13 febbraio 2013). TrendLabs Security Intelligence Blog. “Key Figure in Police Ransomware Activity
Nabbed.” Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-police-ransomwareactivity-nabbed-2/.
10. David John Agni. (2015). Enciclopedia delle minacce. “TROJ_CRYPFORT.A.” Ultimo accesso 16 aprile 2015, http://www.trendmicro.
com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A.
11. Francis Xavier Antazo. (2015). Enciclopedia delle minacce. “PHP_CRYPWEB.A.” Ultimo accesso 16 aprile 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A.
12. Anthony Joe Melgarejo. (1 aprile 2015). TrendLabs Security Intelligence Blog. “Crypto-Ransomware Sightings and Trends for
1Q 2015.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/.
13. David John Agni. (2015). Enciclopedia delle minacce. “TROJ_CRYPTESLA.A.” Ultimo accesso 16 aprile 2015, http://www.trendmicro.
com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A.
14. Shirley Siluk. (13 aprile 2015). CIO Today. “Ransomware Hackers Hitting Police Departments.” Ultimo accesso 16 aprile 2015,
http://www.cio-today.com/article/index.php?story_id=033001297WKR.
15. Maydalene Salvador. (24 marzo 2015). TrendLabs Security Intelligence Blog. “Macro-Based Malware Increases Along with Spam
Volume, Now Drops BARTALEX.” Ultimo accesso 16 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/macrobased-malware-increases-along-with-spam-volume-now-drops-bartalex/.
16. Trend Micro Incorporated. (16 febbraio 2015). TrendLabs Security Intelligence Blog. “Banking Malware VAWTRAK Now Uses
Malicious Macros, Abuses Windows PowerShell.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-securityintelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/.
17. Rhena Inocencio. (5 novembre 2014). TrendLabs Security Intelligence Blog. “Banking Trojan DRIDEX Uses Macros for Infection.”
Ultimo accesso 6 maggio 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/.
47 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
18. Joie Salvio. (19 novembre 2014). TrendLabs Security Intelligence Blog. “ROVNIX Infects Systems with Password-Protected
Macros.” Ultimo accesso 6 maggio 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-passwordprotected-macros/.
19. Trend Micro Incorporated. (4 marzo 2015). TrendLabs Security Intelligence Blog. “FREAK Vulnerability Forces Weaker
Encryption.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forces-weakerencryption/.
20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago
Zanella-Béguelin, Jean-Karim Zinzindohoué e Benjamin Beurdouche. (2015). MiTLS. “SMACK: State Machine AttaCKs.” Ultimo
accesso 17 aprile 2015, https://www.smacktls.com/#freak.
21. Tracking the FREAK Attack.” (2015). Ultimo accesso 30 aprile 2015, https://freakattack.com/.
22. Pawan Kinger. (28 gennaio 2015). TrendLabs Security Intelligence Blog. “Not So Spooky: Linux ‘GHOST’ Vulnerability.” Ultimo
accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/.
23. Trend Micro Incorporated. (20 marzo 2015). Trend Micro Security News. “Premera Blue Cross Admits to Data Breach, Exposes
Records of 11 Million Patients.” Ultimo accesso 17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/premerablue-cross-data-breach-exposes-11m-patient-records.
24. Christopher Budd. (5 febbraio 2015). Trend Micro Simply Security. “The Anthem Data Breach: What You Need to Know.” Ultimo
accesso 17 aprile 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/.
25. Jack Clark. (15 giugno 2011). ZDNet. “NHS Laptop Loss Could Put Millions of Records at Risk.” Ultimo accesso 30 aprile 2015,
http://‌www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/.
26. Trend Micro Incorporated. (10 febbraio 2015). Trend Micro Security News. “Millions Affected in Anthem Breach, Healthcare
Companies Prime Attack Targets.” Ultimo accesso 17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/
millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets.
27. Miriam Quick, Ella Hollowood, Christian Miles e Dan Hampson. (30 marzo 2015). Information Is Beautiful. “World’s Biggest Data
Breaches.” Ultimo accesso 23 aprile 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/.
28. Identity Theft Resource Center. (2015). ITRC. “2008 Data Breaches.” Ultimo accesso 23 aprile 2015, http://www.idtheftcenter.org/
ITRC-Surveys-Studies/2008-data-breaches.html.
29. Jay Yaneza. (3 marzo 2015). TrendLabs Security Intelligence Blog. “PwnPOS: Old Undetected PoS Malware Still Causing Havoc.”
Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malware-still-causinghavoc/.
30. Rhena Inocencio. (29 agosto 2014). TrendLabs Security Intelligence Blog. “New BlackPOS Malware Emerges in the Wild, Targets
Retail Accounts.” Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackpos-malwareemerges-in-the-wild-targets-retail-accounts/.
31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. “Infographic: Cash Vs. Card.” Ultimo accesso 23 aprile 2015,
http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx.
32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La criminalità informatica colpisce obiettivi inattesi:
verifica di sicurezza TrendLabs del 1° trimestre 2014.” Ultimo accesso 23 aprile 2015, http://www.trendmicro.it/media/misc/cybercrimehits-the-unexpected-it.pdf.
33. Lambert Sun, Brooks Hong e Feike Hacquebord. (4 febbraio 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update:
iOS Espionage App Found.” Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-updateios-espionage-app-found/.
34. Cedric Pernet. (18 marzo 2015). TrendLabs Security Intelligence Blog. “Operation Woolen-Goldfish: When Kittens Go Phishing.”
Ultimo accesso 17 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-when-kittens-gophishing/.
48 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2015
35. Trend Micro Incorporated. (27 febbraio 2015). Trend Micro Security News. “Pawn Storm in iOS Apps and Other Cases of Mobile
Links in Targeted Attacks.” Ultimo accesso 23 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/pawn-stormin-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks.
36. Trend Micro Incorporated. (16 marzo 2015). Trend Micro Security News. “Exploit Kits: Past, Present and Future.” Ultimo accesso
17 aprile 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future.
37. Peter Pi. (20 marzo 2015). TrendLabs Security Intelligence Blog. “Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.”
Ultimo accesso 23 aprile 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-to-nuclearexploit-kit/.
38. Trend Micro Incorporated. (2015). Enciclopedia delle minacce. “Potentially Unwanted Application.” Ultimo accesso 30 aprile 2015,
http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app.
49 | Pubblicità dannose e minacce zero-day: il riemergere di minacce note mette a dura prova la fiducia nelle catene
di distribuzione e nelle best practice
Realizzato da:
Supporto tecnico globale e ricerca e sviluppo di TREND MICRO
TREND MICRO TM
Trend Micro Incorporated, leader mondiale delle soluzioni di sicurezza
in-the-cloud, crea un mondo sicuro per lo scambio di informazioni digitali
grazie alla protezione dei contenuti Internet e alle soluzioni di gestione
delle minacce per aziende e privati. Come pionieri della protezione dei
server con più di 20 anni di esperienza, offriamo una sicurezza di punta
per client, server e in-the-cloud che si adatta perfettamente alle esigenze
dei nostri clienti e partner, blocca più rapidamente le nuove minacce e
protegge i dati in ambienti fisici, virtualizzati e in-the-cloud. Grazie alla
tecnologia dell’infrastruttura Trend Micro™ Smart Protection Network™,
la nostra tecnologia e le nostre soluzioni e servizi leader del settore per la
protezione in ambito di cloud computing bloccano le minacce non appena
si presentano, su Internet, e sono supportati da più di 1.000 esperti di
minacce informatiche a livello globale. Per ulteriori informazioni visitate
www.trendmicro.com.
©2015 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati
di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.