Report McAfee Labs sulle minacce

Transcript

1 Report McAfee Labs sulle minacce Marzo 218 STATISTICHE SULLE MINACCE Malware Casi Minacce di web e rete 1 Report McAfee Labs sulle minacce: marzo 218

2 Nel quarto trimestre McAfee Labs ha contato la cifra record di 63,4 milioni di nuovi esempi di malware. Introduzione Benvenuti nel Report McAfee Labs sulle minacce, marzo 218 In questo numero evidenziamo le notizie e statistiche raccolte nel quarto trimestre 217 dai team McAfee Advanced Threat Research e McAfee Labs. Abbiamo assistito a un interessante fine d anno, non solo per le statistiche sulle minacce incluse nel presente report, ma anche per i risultati delle nostre ultime ricerche. Uno dei maggiori sviluppi del cybercrime è la maggiore attenzione posta sul sequestro delle criptovalute, che ha coinciso con l aumentato interesse del mercato nelle valute digitali. L impennata del valore di Bitcoin, con il picco di dicembre a oltre 19. dollari per moneta, ha spinto molti criminali informatici a estendere le proprie attività verso il controllo dei portafogli di Bitcoin e Monero. Si tratta di una conferma del fatto che i malintenzionati cercheranno sempre di combinare alti profitti in tempi brevissimi con il minimo rischio. I ricercatori della sicurezza hanno inoltre scoperto di recente l utilizzo di alcune app di Android per il mining delle criptovalute. Nei forum clandestini osserviamo attualmente delle discussioni indicanti lo spostamento da Bitcoin a Litecoin, dato che quest ultimo è un modello più sicuro con minore possibilità di esposizione. Alcuni criminali informatici stanno tuttora sviluppando dei botnet per sfruttare l Internet delle Cose, usare il codice esistente o svilupparne di nuovo. Per ora vediamo tali botnet utilizzati soprattutto per gli attacchi a negazione di servizio (denial of service). La sfida per il settore della sicurezza consiste nel predisporre una difesa adeguata contro questi attacchi, che aumentano in larghezza di banda e frequenza. Report preparato e redatto da: Alex Bassett Christiaan Beek Niamh Minihane Eric Peterson Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun 2 Report McAfee Labs sulle minacce: marzo 218

3 Tendenze fondamentali: la svolta dei criminali informatici verso nuove tattiche e strategie Nel quarto trimestre del 217 McAfee Labs ha registrato in media otto nuovi esempi di malware al secondo, il doppio rispetto ai quattro nuovi esempi al secondo del terzo trimestre. Nel complesso il trimestre è stato caratterizzato da strumenti e schemi nuovi, come il malware di PowerShell e il mining delle criptovalute, cresciuto insieme al valore di Bitcoin. PowerShell: nel quarto trimestre 217 McAfee Labs ha visto crescere il malware di PowerShell del 267% e del 432% su base annua. Questo tipo di minaccia è infatti diventato un must per i criminali informatici. Il linguaggio degli script ha esercitato un attrazione irresistibile, così gli aggressori hanno cercato di utilizzarlo all interno dei file di Microsoft Office per eseguire la prima fase degli attacchi. A dicembre è stata scoperta Operation Gold Dragon, una campagna di malware che prendeva di mira le Olimpiadi Invernali 218. La campagna è un caso esemplare di utilizzo del malware di PowerShell in un attacco. Mining delle criptovalute: le valute online alimentano gran parte del crimine informatico, essendo usate fra l altro per gli acquisti di malware e i pagamenti del ransomware. I criminali informatici preferiscono cercare altrove la potenza di calcolo piuttosto che usare i propri dispositivi, perché il prezzo di una macchina dedicata al mining può superare i 5. dollari. Nel quarto trimestre gli analisti di McAfee Advanced Threat Research hanno segnalato questa crescita, spiegando in che modo i criminali informatici cercano spesso di introdurre a fini di dolo un malware che userà la potenza di calcolo della vittima per estrarre le criptovalute o semplicemente individuare e rubare quelle dell utente stesso. Ransomware: nel 217 McAfee Labs ha osservato un aumento del ransomware pari al 59% su base annua, compresa una crescita del 35% nel solo quarto trimestre. Questa attività comprende nuove e creative tattiche da parte dei criminali informatici, che spingono la categoria oltre il tipico obiettivo dell estorsione di denaro o di compromissione delle reti aziendali. I criminali hanno elaborato delle strategie per creare degli specchietti per le allodole e distrarre i difensori dagli attacchi reali. Si è visto con l emergere del pseudoransomware, osservato in NotPetya e nella truffa a una banca di Taiwan. Nonostante la continua crescita del ransomware, nel quarto trimestre le forze dell ordine hanno sferrato un duro colpo alle reti dei criminali informatici, con l arresto dei presunti responsabili della diffusione del ransomware CTB Locker. 3 Report McAfee Labs sulle minacce: marzo 218

4 La sanità nel mirino: nel 217 il settore sanitario ha visto un aumento del 21% delle violazioni rese pubbliche rispetto al 216, anche se nel quarto trimestre i casi sono calati del 78%. Analizzando gli attacchi, gli esperti di McAfee Advanced Threat Research hanno concluso che molti di essi sono stati causati dalla mancata aderenza alle migliori pratiche in materia di sicurezza o dalla mancata risoluzione delle vulnerabilità nel software medicale. Necurs e Gamut: nel quarto trimestre il 97% del traffico dei botnet di spam è stato generato da solo due botnet, per i quali i criminali informatici pagano un canone di accesso. Necurs, un nuovo botnet che diffonse spam di tipo "ragazze sole", spam azionario di tipo "pump and dump" e di downloader del ransomware Locky, ha superato in prevalenza Gamut, che invia di phishing sotto forma di offerte di lavoro e per il riciclaggio di denaro. STATISTICHE McAfee Global Threat Intelligence Ogni trimestre, la dashboard cloud di McAfee Global Threat Intelligence ci consente di vedere e analizzare gli schemi di attacco usati nel mondo reale, per proteggere meglio la clientela. Queste informazioni ci danno la visibilità sul volume degli attacchi subiti dai nostri clienti. Ogni giorno McAfee GTI ha analizzato in media 4. URL e 8. file. Nel quarto trimestre i nostri clienti hanno riscontrato i seguenti volumi di attacchi: QQ QQ QQ QQ nel quarto trimestre McAfee GTI ha ricevuto in media 48 miliardi di interrogazioni al giorno; nel quarto trimestre le protezioni di McAfee GTI dai file pericolosi sono aumentate a 45 milioni al giorno rispetto ai 4 milioni del terzo trimestre; nel quarto trimestre le protezioni di McAfee GTI dagli URL rischiosi sono crollate a 57 milioni al giorno rispetto ai 99 milioni del terzo trimestre, nonostante un impennata degli URL ad alto rischio dopo il 19 dicembre. Le protezioni di McAfee GTI dagli indirizzi IP pericolosi sono aumentate a 84 milioni al giorno nel quarto trimestre rispetto ai 48 milioni al giorno del terzo trimestre. 4 Report McAfee Labs sulle minacce: marzo 218

5 Campagne principali: continua l escalation della guerra informatica asimmetrica All inizio del 217 gli analisti McAfee avevano previsto quali sarebbero state le più difficili sfide per il settore della sicurezza informatica nell anno a venire, in particolare il problema dell asimmetria delle informazioni. In breve, i malintenzionati hanno il lusso di accedere alle ricerche svolte dalla comunità tecnica e possono scaricare e usare gli strumenti open source per supportare le proprie campagne. Il livello di conoscenza delle attività dei criminali informatici da parte di coloro che devono difendersi è molto più limitato e l identificazione delle tattiche in evoluzione avviene spesso dopo l inizio delle campagne di pirateria. I prinipali attacchi del quarto trimestre hanno dimostrato che la guerra informatica asimmetrica è in pieno corso e in crescita. Novembre 217: APT28, detto anche Fancy Bear, ha sfruttato la tecnica Microsoft Office Dynamic Data Exchange, resa pubblica appena qualche settimana prima, per lanciare una campagna di di phishing che citava gli attacchi terroristici di New York. Dicembre 217: le organizzazioni coinvolte nei Giochi Olimpici Invernali di Pyeongchang sono state colpite da attacchi che sfruttavano la steganografia e un nuovo strumento rilasciato qualche giorno prima, Invoke- PSImage. Operation Gold Dragon ha raggiunto una persistente presenza nei sistemi delle vittime, che dà agli aggressori la capacità di cercare a volontà e accedere ai dati memorizzati nel dispositivo o negli account cloud connessi. Per restare aggiornato sulle ricerche, segui il nostro canale in cui pubblichiamo le analisi delle nuove campagne e descriviamo i nuovi strumenti che puoi utilizzare per proteggere meglio il tuo ambiente. Raj Samani, Chief Scientist e McAfee Fellow, Team Advanced Threat Research 5 Report McAfee Labs sulle minacce: marzo 218

6 Statistiche sulle minacce 7 Malware 14 Casi 16 Minacce di web e rete 6 Report McAfee Labs sulle minacce: marzo 218

7 Malware Nuovo malware Totale malware I dati del malware provengono dal database di esempi McAfee, che include i file pericolosi raccolti dalle trappole antispam di McAfee, dai crawler e dagli invii dei clienti, oltre che da altre fonti del settore. Una delle principali minacce del trimestre è stata Waboot Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware per Mac Totale malware per Mac Due forme comuni del malware per Mac in questo trimestre sono state Flashback, che sottrae password e altri dati tramite i browser, e Longage, che è in grado di fornire a un hacker il controllo di un sistema Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

8 Nuovo malware mobile Totale malware mobile In questo trimestre la crescita del ransomware che blocca le schermate di Android è rallentata notevolmente (vedere i grafici a pagina 9.) Anche il dropper Trojan Piom è rallentato notevolmente Fonte: McAfee Labs, 218. Fonte: McAfee Labs, % 2% 15% 1% 5% % Tassi di infezione da malware mobile su base regionale (percentuale di clienti mobili che hanno segnalato un'infezione) Africa Asia Australia Europa Nord America Sud America 1 T T T T % 12% 1% 8% 6% 4% 2% % Tassi di infezione da malware mobile su base globale (percentuale di clienti mobili che hanno segnalato un'infezione) Negli ultimi tre trimestri i tassi globali di infezione sono calati leggermente, anche se le percentuali sono aumentate in Australia e nelle Americhe. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

9 Nuovo ransomware Totale ransomware Un contributo significativo alla crescita del ransomware è stato dato da Ransom:Win32/Genasom Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware di blocco dello schermo Android Totale malware di blocco dello schermo Android Questa forma di ransomware è partita lentamente nel 216, per esplodere l anno scorso Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

10 Nuovi file binari firmati malevoli Totale file binari firmati pericolosi Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Le autorità di certificazione emettono certificati digitali che inviano informazioni online una volta che un applicazione o file binario viene firmato e convalidato dal fornitore di servizi proprietario dei contenuti. Questo modello di affidabilità viene compromesso quando i criminali informatici ottengono i certificati per i file binari pericolosi firmati o per applicazioni ostili, il che rende gli attacchi molto più semplici da eseguire. 1 Report McAfee Labs sulle minacce: marzo 218

11 Nuovo malware exploit 16.. Totale malware exploit Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Gli exploit approfittano di bug e vulnerabilità in software e hardware. Gli attacchi zero-day sono esempi di exploit riusciti. Per un esempio recente, leggi il post di McAfee Labs Analyzing Microsoft Office Zero- Day Exploit CVE : Memory Corruption Vulnerability (Analisi del bug zero-day di Microsoft Office CVE : vulnerabilità che danneggia la memoria) 11 Report McAfee Labs sulle minacce: marzo 218

12 Nuovo malware delle macro Totale malware delle macro Il malware delle macro giunge solitamente come documento di Word o Excel in un di spam o in un allegato compresso. Il nome fasullo ma accattivante del file incoraggia la vittima ad aprire il documento, scatenando l infezione nel caso in cui le macro siano attivate Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware Faceliker Totale malware Faceliker Il trojan Faceliker manipola i clic in Facebook per assegnare artificialmente i Mi piace a determinati contenuti. Per maggiori informazioni, leggere questo post di McAfee Labs Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

13 Nuovo malware PowerShell Totale malware PowerShell Nel quarto trimestre le minacce legate a PowerShell sono dilagate grazie a un ondata di downloader. Per maggiori informazioni sulle minacce PowerShell e a JavaScript, consultare "L'ascesa del malware basato sugli script", Report McAfee Labs sulle minacce, settembre Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware JavaScript Totale malware JavaScript Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

14 Casi Incidenti resi noti pubblicamente per regione (numero di incidenti resi noti pubblicamente) I primi 1 vettori di attacco nel periodo (numero di incidenti resi noti pubblicamente) I dati degli eventi legati alla sicurezza vengono compilati a partire da svariate fonti, fra cui hackmageddon.com, privacyrights.org/data-breaches, haveibeenpwned.com e databreaches.net T 2 T 3 T 4 T 1 T 2 T 3 T Africa Americhe Asia Europa Molteplici Oceania 4 T Sconosciuto Malware Sequestro di account Fuoriuscita DDoS Iniezione di codice Defacing Vulnerabilità Truffa W-2 Accesso non autorizzato La maggioranza dei vettori di attacco rimane sconosciuta o non viene resa nota. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

15 Principali settori presi di mira nelle Americhe (numero di incidenti resi noti pubblicamente) I primi 1 settori presi di mira nel periodo (numero di incidenti resi noti pubblicamente) Sviluppo software Intrattenimento Retail Servizi online Molteplici Finanza Istruzione Sanità Individui Pubblico Individui Servizi online Hospitality Intrattenimento Retail Tecnologia Finanza Istruzione Pubblico Sanità 1 T T T T 217 Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

16 Minacce di web e rete Nuovi URL sospetti Nuovi URL dannosi Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Il McAfee TrustedSource Web Database contiene gli indirizzi URL (pagine web) organizzati in categorie e basati sulla reputazione web, per l utilizzo nelle policy di filtraggio degli accessi al web. Gli URL sospetti sono il totale dei siti aventi un punteggio corrispondente a un Rischio Elevato o Medio. I siti dannosi impiegano un codice progettato per assumere il controllo delle impostazioni o delle attività di un computer. Questa categoria include le applicazioni auto-installanti (i file eseguibili drive-by ), i trojan e altri malware che sfruttano le vulnerabilità nei browser o in altre applicazioni. 16 Report McAfee Labs sulle minacce: marzo 218

17 Nuovi URL di download sospetti Nuovi URL di phishing Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. I download dannosi provengono da siti che permettono a un utente di scaricare inavvertitamente un codice nocivo o fastidioso. Questa categoria include salvaschermo, barre degli strumenti e programmi di condivisione file che contengono adware, spyware, virus e altro codice nocivo. A volte il malware viene aggiunto all insaputa degli utenti, quando fanno clic su Sì o Accetto senza leggere completamente le condizioni. Gli effetti includono prestazioni più lente, furto delle password e la perdita o il danneggiamento dei file personali. Gli URL di phishing sono pagine web che tipicamente arrivano in truffaldine aventi lo scopo di rubare i dati di account dell utente. Questi siti si camuffano per sembrare pagine web di una società legittima. Ingannano così l utente per ricavarne i dati necessari per perpetrare una frode o furto. 17 Report McAfee Labs sulle minacce: marzo 218

18 I principali malware che si collegano ai server di controllo nel quarto trimestre 3% 3% 5% 5% 21% 5% 7% 51% Wapomi Ramnit OnionDuke China Chopper Muieblackcat Mirai Maazben Altri Prevalenza di botnet di spam in volume nel quarto trimestre 1% 1% 1% Necurs Gamut 37% Lethic Darkmailer 6% Altri Necurs un recente botnet che diffonde spam di tipo "ragazze sole", spam azionario di tipo "pump and dump" e downloader del ransomware Locky e Gamut che invia phishing camuffato da offerte di lavoro (forse anche di riciclaggio di denaro), in inglese, tedesco e italiano hanno generato il 97% del traffico dei botnet di spam nel quarto trimestre Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Le principali nazioni che ospitano server di controllo di botnet nel quarto trimestre I principali attacchi alle reti nel quarto trimestre 28% Germania 35% Paesi Bassi 3% 3% 3% 3% 3% 3% 19% Stati Uniti Giappone Russia Cina Corea del Sud Francia Altri 4% 5% 8% 1% 14% 15% 44% Server Message Block Browser Denial of Service (DoS) Brute Force Malware Sistema dei nomi di dominio (DNS) Altri Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: marzo 218

19 Informazioni su McAfee McAfee è una delle maggiori aziende indipendenti di sicurezza informatica del mondo. Ispirandosi alla forza della collaborazione, McAfee crea soluzioni per aziende e consumatori che rendono il mondo un luogo più sicuro. Realizzando soluzioni che funzionano insieme ai prodotti delle altre aziende, McAfee aiuta le imprese a orchestrare degli ambienti informatici che sono veramente integrati e in cui la protezione, il rilevamento e la neutralizzazione delle minacce hanno luogo in modo simultaneo e collaborativo. Proteggendo i consumatori in tutti i loro dispositivi, McAfee ne mette in sicurezza lo stile di vita digitale in casa e fuori. Collaborando con altre aziende dedicate alla sicurezza, McAfee è alla guida della lotta ai criminali informatici per il bene di tutti. Informazioni su McAfee Labs McAfee Labs, guidato da McAfee Advanced Threat Research, è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati provenienti da milioni di sensori sui principali vettori di minaccia - file, web, messaggi e reti - McAfee Labs e McAfee Advanced Threat Research offrono informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. Via Fantoli, Milano Italy McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, LLC o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright 218 McAfee LLC. 378_318 MARZO Report McAfee Labs sulle minacce: marzo 218