Report McAfee Labs sulle minacce

Transcript

1 Report McAfee Labs sulle minacce Agosto 214

2 Heartbleed è stato l'evento di sicurezza più significativo dalla violazione dei dati di Target nel 213. Informazioni su McAfee Labs McAfee Labs è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce file, Web, messaggi e rete McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. Segui McAfee Labs Introduzione Per molti di noi, l'estate è l'occasione per rilassarsi e godersi quanto di buono il mondo ha da offrire. Per i cattivi, invece, l'estate è una stagione come le altre, con nuove opportunità per mettere a segno furti. All'inizio di quest'estate, con un occhio alla Coppa del Mondo FIFA, la divisione consumer di McAfee ha segnalato alcuni siti Web pericolosi associati ai calciatori più famosi del mondo nel McAfee Red Card Club (Club del cartellino rosso McAfee). Si tratta di siti che attirano tifosi ignari ed entusiasti e infettano automaticamente i loro sistemi, oppure convincono con l'inganno i visitatori a rivelare informazioni personali. Questa storia è un chiaro esempio di come il divertimento estivo può trasformarsi in un incubo estivo, con un solo clic del mouse. Questo trimestre, il nostro argomento principale riguarda la vulnerabilità Heartbleed. Come è noto a quasi tutti i professionisti della sicurezza, Heartbleed è stato l'evento di sicurezza più significativo dalla violazione dei dati di Target nel 213. McAfee Labs ha lavorato senza sosta per capire questa vulnerabilità e garantire che le tecnologie McAfee deputate fossero in grado di rilevare e di prevenire i furti attuati tramite Heartbleed. Purtroppo, i cattivi continuano ad approfittare di questa vulnerabilità perché molti siti Web sono ancora privi di patch. Inoltre, vi illustriamo i risultati del Quiz McAfee sul phishing, che ha messo alla prova la capacità degli utenti aziendali di riconoscere i messaggi di phishing. Infine, documentiamo gli eventi accaduti da quando le autorità giudiziarie internazionali, coadiuvate da società che si occupano di sicurezza informatica fra cui McAfee, hanno smantellato l'infrastruttura di Gameover Zeus e CryptoLocker. È stato un clamoroso successo ma, com'era ampiamente previsto, il sollievo è stato solo temporaneo. Redigere report sulle minacce è un'arte in continua evoluzione. I lettori affezionati dei Report McAfee Labs sulle minacce avranno notato numerosi cambiamenti nel tipo di eventi segnalati e nel modo di presentare le informazioni. Per capire meglio come indirizzare il nostro lavoro in futuro, ci interessa il vostro parere. Se desiderate farci conoscere la vostra opinione, fate clic qui per partecipare a un sondaggio di soli cinque minuti sui report sulle minacce. Vincent Weafer, Vice Presidente Senior, McAfee Labs Inviaci la tua opinione Report McAfee Labs sulle minacce, agosto 214 2

3 Sommario Report McAfee Labs sulle minacce Agosto 214 Questo report è stato preparato e redatto da: Christiaan Beek Benjamin Cruz Daniel Flaherty Charles McFarland Francisca Moreno Daisuke Nakajima François Paget Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Sintesi 4 Argomenti principali I postumi di Heartbleed: un'altra opportunità per il crimine informatico 6 Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente 9 Operazione Tovar: un grande successo di breve durata 15 Statistiche sulle minacce Malware mobile 19 Malware 2 Minacce Web 25 Minacce per la messaggistica 27 Minacce di rete 28

4 Sintesi I postumi di Heartbleed: un'altra opportunità per il crimine informatico L'evento di sicurezza di gran lunga più importante del secondo trimestre è stata la divulgazione al pubblico della vulnerabilità "Heartbleed" contenuta in numerose versioni dell'implementazione OpenSSL dei protocolli di sicurezza SSL e TLS. Per rimediare a questa vulnerabilità, che ha interessato tutte le aziende informatiche che ne fossero consapevoli o meno occorreranno probabilmente centinaia di milioni di dollari. Le stime indicano che, in tutto il mondo, Heartbleed ha colpito circa il 17% dei siti Web che utilizzano il protocollo TLS (in genere quelli che richiedono l'autenticazione mediante nome utente e password). Si tratta di oltre 6. siti. Per trovare gli obiettivi dei loro attacchi, i criminali informatici utilizzano elenchi disponibili al pubblico di siti Web privi di patch e vulnerabili a Heartbleed. In questo Report sulle minacce, McAfee Labs spiega come gli aggressori utilizzino gli elenchi di siti Web privi di patch come una miniera da cui estrarre dati sensibili. Creati inizialmente per aiutare gli utenti che desideravano essere sicuri di autenticarsi senza rischi su un sito, gli elenchi di siti vulnerabili a Heartbleed sono diventati in breve degli elenchi di risultati di ricerca per i criminali informatici. Un ladro informatico particolarmente intraprendente ha persino fatto il grosso del lavoro per altri cybercriminali, estraendo i dati dai siti ancora vulnerabili e vendendoli sul mercato nero. Mentre scriviamo, più di 3. siti Web sono ancora privi di patch e vulnerabili a questo tipo di attività criminale, secondo una delle nostre fonti. Il Quiz McAfee sul phishing rivela che, sul totale dei partecipanti, l'8% è stato ingannato da almeno un messaggio di phishing su sette. Prima dello smantellamento attuato con l'operazione Tovar, McAfee Labs era sulle tracce di un giro di criminali che, in un solo mese, aveva guadagnato 255. $. Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente In questo report esaminiamo anche la tattica estremamente efficace del phishing. Gli attacchi di phishing sfruttano quello che spesso è l'anello più debole nelle difese informatiche di un'azienda: il comportamento umano. E così continuano a godere di un notevole successo. McAfee ha messo alla prova la capacità degli utenti aziendali di riconoscere il phishing con il Quiz McAfee sul phishing. Dai risultati emerge che, sul totale dei partecipanti, l'8% è stato ingannato da almeno un messaggio di phishing su sette. Inoltre, abbiamo notato che gli uffici contabilità, finanza e risorse umane, quelli in cui verosimilmente circolano alcuni dei dati più sensibili dell'azienda, hanno fatto registrare i risultati peggiori. Operazione Tovar: un grande successo di breve durata Per concludere, vi sveliamo qualche nuovo dettaglio sull'operazione Tovar, una campagna di smantellamento di grande successo condotta congiuntamente dalle autorità giudiziarie internazionali e da società chiave del settore della sicurezza informatica, tra cui McAfee. L'Operazione Tovar ha messo fuori uso l'infrastruttura di Gameover Zeus e CryptoLocker, assumendo il controllo dei domini che fanno parte della rete di comunicazioni. Prima dello smantellamento, McAfee Labs aveva scoperto un giro di criminali che, in un solo mese, aveva ricavato 255. $ dal pagamento di riscatti. Dall'inizio di giugno, quando l'infrastruttura è stata neutralizzata, hanno già iniziato a spuntare i primi imitatori. In uno degli esempi citati in questo report, un servizio analogo a CryptoLocker viene offerto al prezzo di 3. $. Report McAfee Labs sulle minacce, agosto 214 4

5 Argomenti principali I postumi di Heartbleed: un'altra opportunità per il crimine informatico Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente Operazione Tovar: un grande successo di breve durata Inviaci la tua opinione

6 Argomenti principali I postumi di Heartbleed: un'altra opportunità per il crimine informatico La libreria OpenSSL è un progetto open source che implementa più versioni di SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Questi protocolli consentono la comunicazione crittografata fra un client e un server e sono alla base di gran parte dei contenuti presenti sul Web messaggi crittografati, servizi bancari online e altri servizi che richiedono la crittografia end-to-end. L'utilizzo della libreria OpenSSL nei siti Web è molto diffuso. Il 7 aprile è stata annunciata pubblicamente la vulnerabilità CVE , che interessa la libreria open source OpenSSL. La vulnerabilità aveva permesso a un hacker di accedere ai dati in memoria mediante un'estensione "heartbeat" in formato non corretto nel protocollo crittografico TLS (Transport Layer Security). A causa della sua prevalenza, molti considerano questa vulnerabilità la peggiore che sia stata mai scoperta. Ben presto la falla è stata ribattezzata "Heartbleed". A causa della diffusione di OpenSSL sui server commerciali, Heartbleed ha colpito una porzione significativa di Internet, stimata intorno al 17% dei siti Web che usano TLS. La stima comprende alcuni dei siti più visitati della rete, oltre a molti siti più piccoli e meno conosciuti. In risposta alla diffusione della notizia, McAfee Labs ha notato un'impennata nelle condivisioni di dati e risorse fra gli esperti di sicurezza. Nel giro di pochi giorni hanno iniziato a circolare numerosissimi strumenti e risorse gratuite, messi a disposizione da fornitori di prodotti per la sicurezza, da professionisti della sicurezza, dalla comunità scientifica e da appassionati. Come settore, abbiamo assistito all'impatto diretto di una collaborazione reciprocamente vantaggiosa e della sua capacità di mettere rapidamente in sicurezza i sistemi in pericolo. Tuttavia, malgrado la pletora di strumenti disponibili, per molte applicazioni, siti Web e dispositivi ancora privi di patch è quasi inevitabile restare vittime di un attacco. L'heartbeat di TLS garantisce che server e client siano entrambi in grado di comunicare fra loro. Il client invia dei dati al server, ad esempio "hello". Il comportamento previsto è che il server risponda con gli stessi dati. Un aggressore può definire arbitrariamente i dati di risposta in modo che siano molti di più di quelli inviati. In questo modo viene divulgato il contenuto della memoria, che potrebbe includere dati sensibili come le chiavi di crittografia private Scansioni totali per Heartbleed con lo strumento di scansione online McAfee Stinger 14/4 15/4 16/4 17/4 18/4 L'uso dello strumento di scansione gratuito McAfee Stinger indica un rapido calo dell'interesse per Heartbleed. Quando viene scoperta una vulnerabilità come Heartbleed, è imperativo che i professionisti IT e gli esperti di sicurezza dispongano degli strumenti per testare i loro sistemi, ma non solo: devono anche capire come funziona la vulnerabilità al livello più profondo. Fra i dispositivi per testare la vulnerabilità a Heartbleed vi sono le decine di strumenti di scansione online messi a disposizione poco dopo la divulgazione, una manciata di esempi di codice di script Python e Ruby, script NMAP (Network Mapper), plug-in per test di penetrazione e molti altri. Non tutti, però, sono onesti professionisti della sicurezza: esistono persone che userebbero queste risorse per scopi illeciti, o per crearne altre dagli intenti meno nobili. Report McAfee Labs sulle minacce, agosto 214 6

7 Argomenti principali Fra i numerosi strumenti utili per contrastare Heartbleed (fra cui uno di McAfee) a disposizione dei professionisti della sicurezza ve ne è uno completo di nome heartleech, disponibile gratuitamente su GitHub. Heartleech non si limita a testare la vulnerabilità a Heartbleed, ma memorizza anche i dati trafugati e li analizza alla ricerca di chiavi private. Inoltre, heartleech è stato sviluppato per eludere alcune forme di rilevamento delle intrusioni e consente agli amministratori di rete di rilevare se i loro sistemi sono vulnerabili e contemporaneamente di estrarre le chiavi sensibili eventualmente trafugate. Si tratta di informazioni preziosissime per tutti i professionisti della sicurezza, che siano white hat o black hat. Uno strumento con fini meno nobili è Project Un1crn, che sembra sia stato rilasciato il 12 maggio sulla rete TOR del Deep Web e il 15 maggio per il resto degli utenti di Internet. Questo strumento è unico per il fatto che tenta di rendere ricercabili gli indirizzi IP pubblici vulnerabili. Anche se probabilmente quasi tutti i siti Web più importanti al mondo sono stati dotati di patch per Heartbleed, numerosi proprietari di piccoli siti non hanno la competenza per farlo o non si rendono ancora conto di essere vulnerabili. Project Un1crn stila un elenco di questi obiettivi, nello stesso modo in cui un ladro potrebbe mettere insieme una lista di case facilmente svaligiabili. McAfee Labs ha eseguito questo tipo di ricerca e ha scoperto 2.44 obiettivi unici e potenzialmente vulnerabili. Tuttavia, secondo almeno un analista del settore, i siti ancora vulnerabili sarebbero circa Questa cifra non tiene conto delle porte non standard e dei dispositivi IP. Lo strumento Project Un1crn permette a chiunque di cercare server vulnerabili a Heartbleed. Report McAfee Labs sulle minacce, agosto 214 7

8 Argomenti principali I criminali informatici meno raffinati possono usare strumenti come Project Un1crn per procurarsi dati trafugati pagandoli anziché estrarli personalmente. I ladri informatici possono comprare dati trafugati con Heartbleed per soli,1 Bitcoin, circa 6 dollari al momento della stesura di questo report. Un criminale informatico leggermente più sofisticato potrebbe usare questo strumento come un elenco personale di risultati di ricerca, prendendo di mira solo i siti con la maggiore probabilità di essere vulnerabili. Anche se quest'ultimo avversario è più pericoloso per via della sua capacità di personalizzare un attacco, con solo qualche competenza in più qualcuno potrebbe creare uno script automatizzato per attaccare tutti gli indirizzi IP di cui è nota la vulnerabilità. Sostanzialmente, se un sito Web è privo di patch, è quasi certo che sarà vittima di un attacco se viene indicizzato da strumenti come Project Un1crn. Lo strumento è disponibile sul Deep Web, per cui ha buone probabilità di restare online per parecchio tempo. Un acquirente può pagare i dati trafugati con Heartbleed inviando Bitcoin al portafoglio Bitcoin di Project Un1crn. Anche se quasi tutti i siti Web più visitati sono ormai dotati di patch per Heartbleed, esistono molti dispositivi IP in cui la gestione della sicurezza non è stata altrettanto rigorosa. Ad esempio, si è scoperto che le telecamere di sicurezza sono vulnerabili a Heartbleed e sono state rilasciate le relative patch. Ma non tutti le hanno applicate. Un altro esempio riguarda un dispositivo NAS (network attached storage) IP, che è risultato vulnerabile a Heartbleed. Poco dopo l'annuncio della vulnerabilità Heartbleed è stata messa a disposizione una patch per questo dispositivo; ciononostante, 1 settimane dopo McAfee Labs ha individuato un sistema NAS privo di patch. Il proprietario aveva persino ottenuto l'emissione di un nuovo certificato il 2 maggio, 43 giorni dopo che Heartbleed era stata resa pubblica, ma il dispositivo NAS continuava a utilizzare una versione vulnerabile di OpenSSL. Un sito ha aggiornato il suo certificato molto tempo dopo la scoperta di Heartbleed; malgrado ciò, rimane vulnerabile. Quanto sarebbe difficile per degli hacker passare da un attacco manuale a uno completamente automatizzato contro obiettivi vulnerabili a Heartbleed? Purtroppo si tratta di una cosa talmente banale che probabilmente qualcuno ci ha già pensato. In effetti, un programmatore di medio livello impiegherebbe meno di un giorno per creare un sistema di questo tipo. Se i professionisti della sicurezza possono contare su un gran numero di strumenti liberamente disponibili sul mercato, i criminali informatici possono fare altrettanto. Con strumenti semplici, poche righe di codice e qualche tazza di caffè, è possibile assemblare un sistema automatizzato che prende di mira solo le macchine la cui vulnerabilità è nota e ne estrae dati sensibili come le chiavi private. Ma se le cose stanno così, le organizzazioni che si occupano di sicurezza informatica dovrebbero forse agire con maggiore riservatezza? McAfee e le altre organizzazioni dovrebbero forse evitare di rendere pubbliche le vulnerabilità, i tentativi di hacking e altre informazioni di questo tipo? Ovviamente no. Heartbleed ha dimostrato che il settore della sicurezza informatica è in grado di proteggere le reti interne e la stessa Internet grazie alla condivisione di informazioni e di risorse. In questo modo, ci si può preparare per il prossimo Heartbleed. Fino a quel momento, gli utenti dovranno essere diligenti e adottare le migliori pratiche di sicurezza per tutti i servizi che utilizzano. Report McAfee Labs sulle minacce, agosto 214 8

9 Argomenti principali Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente Spesso i marchi più conosciuti vengono imitati per ingannare i destinatari dei messaggi e spingerli a fare un clic. Per saperne di più su come riconoscere le di phishing, fate clic su questi link: PayPal Amazon ebay Bank of America HSBC Dall'ultimo Report sulle minacce, McAfee Labs ha raccolto più di 25. nuovi URL di phishing, il che ci porta a un totale di quasi un milione di nuovi siti nell'ultimo anno. Tuttavia, dai dati notiamo non solo un aumento del volume totale, ma anche del grado di raffinatezza degli attacchi di phishing in circolazione. Di fatto, per i cattivi è diventato più facile conoscere i loro obiettivi, sapere dove lavorano, quali sono i loro interessi e così via. Questa capacità è stata amplificata da tutti i tipi di media digitali, soprattutto i social media. Le nostre decisioni si basano sulla fiducia: l' proviene da una persona o da un'azienda che conosciamo e con cui attualmente abbiamo rapporti commerciali? Contiene un elemento di personalizzazione che la fa sembrare legittima? Spesso, questo è sufficiente a garantire un clic. Date un'occhiata ai principali marchi utilizzati attualmente negli attacchi di phishing. Fareste clic su un link contenuto in uno di questi messaggi ? PayPal Amazon ebay Bank of America HSBC 45. Nuovi URL di phishing T 4 T 1 T 2 T 3 T 4 T 1 T 2 T URL Domini associati Report McAfee Labs sulle minacce, agosto 214 9

10 Argomenti principali Un moderno attacco di phishing Il phishing è il tentativo di acquisire informazioni sensibili tramite o messaggi istantanei che sembrano provenire da fonti affidabili. Solitamente i messaggi contengono allegati con malware o link a siti Web infettati da malware. Il phishing attuato con campagne di massa e lo spear phishing, sua diabolica creatura, continuano a farla da padroni nelle strategie di attacco usate dai criminali informatici in ogni parte del mondo. Per dimostrare il grado di raffinatezza e l'impatto potenziale dei moderni attacchi di phishing, esaminiamo da vicino un esempio che circola attualmente. Lo spear phishing è un tentativo che prende di mira un soggetto o un'organizzazione specifica. Un messaggio tipo di spear phishing contiene informazioni personalizzate che possono indurre il destinatario a credere che il mittente sia una fonte legittima. Questa di phishing sembra inviata da amazon.com. Questo messaggio di phishing utilizza una tattica classica: falsificare un marchio fidato e aspettare un clic. Il messaggio, che finge di essere un' di conferma d'ordine, ha un contenuto semplice e conciso, come molte delle conferme d'ordine inviate da società legittime. Alla base dell'inganno, qui, vi sono due elementi: l'indirizzo falsificato con un e delle immagini caricate dinamicamente da un dominio amazon.com falsificato. Nel giro di una settimana, abbiamo osservato 21. indirizzi IP di mittenti unici distribuire questo messaggio in tutto il mondo. Tuttavia, abbiamo scelto questo esempio non tanto per le sue tattiche di social engineering, che ormai sono comuni e persino meno convincenti di un' di spear phishing ben studiata, quanto per il payload del suo malware. Facendo clic sulla "fattura" allegata si innesca una catena di eventi che per molte forme di difesa sarebbero difficili da arrestare. A partire dal quel clic, il malware effettua una serie di controlli prima di azzardare l'esecuzione. Con il malware inizialmente in stato di "quiescenza totale", un controllo determina se il disco locale è una macchina virtuale, potenziale indizio del fatto che si trova in un ambiente sandbox. Se il controllo è positivo, il malware resta inattivo. A riprova della sua raffinatezza, il codice stesso è in grado di modificarsi. McAfee Labs ha decompilato questo malware e ha scoperto che è in grado di decrittografare il suo stesso codice in tempo reale e di sovrapporsi alle istruzioni per scoraggiare l'analisi statica da parte dei prodotti di sicurezza. Abbiamo anche rilevato delle istruzioni jump, che indicano il tentativo di evitare le firme degli antivirus. Report McAfee Labs sulle minacce, agosto 214 1

11 Argomenti principali Se questi controlli (oltre ad altri che qui non citiamo) hanno esito positivo, il malware si attiva e si decomprime attraverso svariati livelli di crittografia e compressione, consentendo l'esecuzione del codice malevolo vero e proprio. Quindi, iniettandosi in un'istanza del processo svchost.exe di Windows, controlla la presenza di una connessione Internet attiva tentando di accedere a msn. com. Se il tentativo non riesce, il malware resta inattivo. Se invece viene stabilita una connessione, il malware decrittografa dal suo codice una serie di nomi di dominio di server di controllo. Codice binario crittografato. Codice binario decrittografato che rivela uno dei tre server di controllo. Segui McAfee Labs Report McAfee Labs sulle minacce, agosto

12 Argomenti principali Per ulteriori informazioni su come riconoscere le falsificate che sembrano inviate da amazon.com, fate clic qui. Il passo successivo nella catena degli eventi è il download di altro malware dai domini di controllo decrittografati. I server di controllo verificano che i download siano andati a buon fine, e l'esemplare di malware originale assume il controllo installando meccanismi di avvio automatico come file.ink e voci di registro per il nuovo malware. Nelle nostre osservazioni, il nuovo malware assumeva la forma di un password stealer e di uno spambot. Potete immaginare il tipo di dati che si potrebbe trafugare una volta compromesse le credenziali di accesso. In seguito l'host appena infettato continua la campagna, inviando messaggi identici con ordini di conferma di amazon.com per ingannare nuovi destinatari ignari. Il phishing ha dimostrato ripetutamente la sua efficacia. La tecnologia può aiutare a rilevare il malware e i mittenti fasulli, ma in prima battuta il compito di individuare le frodi spetta ai destinatari dei messaggi . Volete mettere alla prova la vostra capacità di riconoscere i messaggi di phishing? Partecipate al Quiz McAfee sul phishing. McAfee ha messo alla prova la capacità degli utenti aziendali di riconoscere il phishing con il Quiz McAfee sul phishing, composto da 1 messaggi presentati in emulazioni di client . Il test chiede agli intervistati di classificare ciascun esempio come messaggio legittimo o come tentativo di phishing, esattamente come se stessero consultando la loro casella di posta. Ogni esempio di contiene funzionalità attive, con l'occultamento delle informazioni che consentono di risalire all'identità personale e dei contenuti malevoli ove necessario. Esempio di domanda del Quiz McAfee sul phishing, presentata su un client mobile Android. Report McAfee Labs sulle minacce, agosto

13 Argomenti principali Su 16. utenti aziendali che hanno partecipato al test, l'8% è stato ingannato da almeno un messaggio di phishing. Anche se gli intervistati non stavano effettivamente consultando le loro caselle di posta, questa percentuale a nostro avviso è impressionante. Basta che il malware sia recapitato una sola volta in un sistema vulnerabile per infestare praticamente qualsiasi azienda. Sul totale dei partecipanti al test, l'8% non è stato in grado di riconoscere almeno un messaggio di phishing su sette. I risultati peggiori sono stati ottenuti dagli uffici contabilità e finanza e risorse umane. Inoltre, facendo una media del grado di precisione con cui gli intervistati hanno distinto i messaggi legittimi da quelli illegittimi, abbiamo scoperto che i risultati sono stati decisamente peggiori proprio negli uffici in cui circolano i dati più sensibili. Come mostra il grafico sotto, gli uffici contabilità e finanza e risorse umane sono quelli che più difficilmente si accorgono delle frodi, con un distacco dal 4 al 9% rispetto agli altri reparti. L'accesso ai sistemi di questi uffici può consentire di attingere a una miniera di dati sensibili. Chiaramente, in queste aree è necessario sensibilizzare gli utenti sui problemi della sicurezza. Quiz McAfee sul phishing: punteggio medio per reparto (percentuale di esempi di identificati correttamente) 7% 65% 6% 55% 5% Risorse umane Contabilità e finanza Altri Vendite Management Studenti Marketing Engineering Dirigenti Consulenti IT R&S Risultati del Quiz McAfee sul phishing suddivisi secondo i reparti selezionati dai partecipanti stessi. Abbiamo anche identificato la tattica più efficace per ingannare i partecipanti: l'uso di indirizzi falsificati. Due dei nostri esempi di utilizzavano questa tattica, e i partecipanti al test non sono stati in grado di riconoscerli rispettivamente nel 63% e nel 47% dei casi. Segui McAfee Labs Report McAfee Labs sulle minacce, agosto

14 Argomenti principali Il messaggio di phishing più efficace è risultato essere quello inviato da un indirizzo UPS fasullo. I metodi adottati per l'inganno, per quanto comuni, erano efficaci. Innanzitutto, l'indirizzo del mittente è stato falsificato per far sì che il messaggio risultasse spedito dal dominio UPS. com. L' conteneva diversi elementi grafici tipici del marchio UPS, compreso il logo ufficiale. Tuttavia, l'aspetto più interessante era l'uso di un solo URL pericoloso in tutto il messaggio. Il primo URL consentiva al destinatario di tracciare la spedizione ed effettivamente inviava le vittime alla pagina Web UPS per il tracciamento dei colli spediti. Dal secondo URL si poteva scaricare la "fattura" e si apriva effettivamente un file, ma non un file presente nel dominio UPS. Questo era il link che consegnava il payload: un malware compresso in un archivio.zip. Esempio di tratto dal Quiz McAfee sul phishing: il messaggio di phishing, che sembra inviato da indirizzo UPS, viene presentato in un client Outlook. Il phishing è ancora largamente utilizzato e ha un grado di efficacia molto elevato. Non è un problema semplice da affrontare, in quanto deve essere filtrato non solo dalla tecnologia, ma anche dai comportamenti. Per dare ai lettori un'idea delle nostre procedure ottimali, proponiamo un breve elenco di operazioni da eseguire che può servire come traccia per i professionisti della sicurezza. Per affrontare questa minaccia servirà la collaborazione di tutti. Per ulteriori informazioni su come riconoscere le di phishing provenienti da un indirizzo UPS fasullo, fate clic qui. Sommersi dai tentativi di phishing: una guida per i professionisti della sicurezza Attività Eliminare le campagne di phishing di massa con il filtraggio dei messaggi tramite gateway protetti Implementare la verifica dell'identità dei mittenti per ridurre il rischio di scambiare criminali informatici per mittenti affidabili Rilevare ed eliminare gli allegati pericolosi con strumenti antimalware avanzati Scansione degli URL presenti nei messaggi alla ricezione, e nuovamente al clic di un utente Scansione del traffico Web alla ricerca del malware quando il phishing induce un utente a fare clic più volte e a infettarsi Implementare la prevenzione delle fughe di dati per arrestare la diffusione in caso di violazione o di input di un utente Educare gli utenti ad adottare pratiche ottimali per sapere come riconoscere e come trattare i messaggi sospetti Tecnologie principali Reputazione degli IP dei mittenti, degli URL, dei file e delle reti, antivirus ed elenchi di blocco in tempo reale Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) Reputazione dei file, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice Reputazione degli URL, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice Reputazione degli URL, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice Prevenzione delle fughe di dati per gli endpoint, il traffico e Web Seguite questo link per un elenco di suggerimenti utili Report McAfee Labs sulle minacce, agosto

15 Argomenti principali Operazione Tovar: un grande successo di breve durata Con l'operazione Tovar le autorità giudiziarie internazionali, in collaborazione con il settore privato e con McAfee Labs, sono intervenute per smantellare l'infrastruttura di Gameover Zeus e di CryptoLocker. L'operazione ha assunto il controllo dei domini che fanno parte di questa rete di comunicazioni, offrendo ai proprietari di sistemi infetti un'opportunità rara per eliminare il malware e riacquisire il controllo della loro vita digitale. Minacce diverse Si tratta di due minacce molto diverse. Gameover Zeus è una botnet peer-to-peer che si basa sul trojan bancario Zeus. Quando riesce a infiltrarsi nel computer di una vittima, Gameover Zeus tenta di sottrarre vari tipi di informazioni. I criminali informatici hanno usato questo malware con successo in attacchi di ogni genere. Dal furto di credenziali bancarie online a quello di numeri di carta di credito e persino di credenziali di accesso a bacheche di offerte di lavoro online, la scia di devastazione lasciata da Gameover Zeus è considerevole e ha fruttato ai criminali milioni di dollari. Ad esempio, solo nell'agosto del 212, le stime calcolano che i sistemi infetti siano stati più di 6., molti dei quali in aziende Fortune 5. Secondo le stime, Gameover Zeus ha infettato più di 6. sistemi, fra cui quelli di molte società Fortune 5. Gameover Zeus si basa sul trojan Zeus originale per il furto di credenziali bancarie, ma funziona in modo diverso perché si avvale di un sistema di controllo decentralizzato e crea una rete peer-to-peer. In genere le vittime vengono infettate tramite campagne di spear phishing che recapitano il malware al sistema preso di mira mediante una serie di exploit basati su browser e su Web. Per garantirsi la persistenza, il malware inietta il suo codice in processi di Windows legittimi; inoltre, stabilisce associazioni con funzioni del sistema e del browser per iniettare contenuti "fasulli" nel browser dell'utente allo scopo di mascherare l'attività fraudolenta. Questo metodo è estremamente efficace quando il criminale mira a sottrarre grosse somme di denaro dal conto di un'azienda, ma ha bisogno di dissimulare questa attività fino a quando i fondi non vengono trasferiti sul suo conto. Le varianti di Gameover Zeus scaricano gli aggiornamenti e le configurazioni dagli host disponibili sulla rete peer-to-peer, e questo rende molto più difficile neutralizzarle. Inoltre, Gameover Zeus dispone di una funzione che aggiorna dinamicamente il file di configurazione che contiene il payload per il furto di denaro dal conto corrente di un utente. CryptoLocker è un trojan ransomware che crittografa i file della vittima e li blocca fino al pagamento di un riscatto, generalmente con una moneta virtuale come Bitcoin. Dopo avere crittografato un sistema, CryptoLocker genera una finestra pop-up che chiede alla vittima di pagare per recuperare i file. Per crittografare i file della vittima, il malware si serve di algoritmi di crittografia a chiave pubblica. Una volta infettato il computer preso di mira, viene generata la chiave, e la chiave privata viene inviata al server del criminale. Solitamente il malware concede alla vittima 72 ore prima che il server CryptoLocker distrugga la chiave privata, rendendo i file irrecuperabili. Le vittime di CryptoLocker vengono infettate tramite di phishing e botnet. Segui McAfee Labs Report McAfee Labs sulle minacce, agosto

16 Argomenti principali In un caso di infezione del ransomware CryptoLocker, McAfee Labs ha assistito al furto di 255. $ in un solo mese. McAfee Stinger, uno strumento gratuito per il rilevamento e la rimozione del malware, è stato scaricato più di 8. volte nei tre giorni successivi all'annuncio dell'operazione Tovar. McAfee Labs studia CryptoLocker dal settembre del 213. Durante una recente indagine abbiamo scoperto una famiglia di esemplari di malware che puntava a un portale che chiedeva,7 BTC (circa 461 $ al momento della redazione di questo report) per decrittografare i file. Tracciando il flusso delle transazioni Bitcoin sono venuti alla luce alcuni dati interessanti. In un solo giorno, 83 vittime hanno pagato 76 BTC (35.36 $) per decrittografare dei file. Abbiamo anche osservato che i criminali responsabili di questa campagna possiedono vari portafogli e trasferiscono cospicue somme in Bitcoin fra di loro, che alla fine confluiscono tutte in due soli portafogli. Durante uno dei mesi osservati, il portafoglio A conteneva 11,892 BTC e il portafoglio B 442,477. Agli attuali tassi di cambio del Bitcoin, queste cifre ammontano a un totale di circa 255. $, guadagnati tutti in un solo mese. Il ransomware è un'attività redditizia, non c'è che dire. Flusso di trasferimento dei Bitcoin di CryptoLocker. Un sinkhole è un server DNS configurato per restituire indirizzi non instradabili per tutti i domini del sinkhole, in modo tale che tutti i computer che chiedono la risoluzione dei nomi di dominio non riescano a connettersi all'obiettivo. I sinkhole sono uno strumento molto diffuso ed efficace per rilevare e bloccare il traffico malevolo. Lo smantellamento di Gameover Zeus e CryptoLocker Gameover Zeus e CryptoLocker utilizzano entrambi algoritmi di generazione di domini (DGA). Nel caso di CryptoLocker, il file binario del malware tenta per prima cosa di connettersi a un server di controllo codificato con un indirizzo IP. Se il tentativo non riesce, CryptoLocker genera un nome di dominio mediante un algoritmo di generazione casuale. Durante l'operazione Tovar, i DGA delle due famiglie di malware sono stati violati e le forze dell'ordine hanno potuto prevedere i nomi di dominio che sarebbero stati generati nel corso del 214. Con un'operazione di blocco e di sinkholing di questi domini, si è impedito ai clienti di comunicare con il server di controllo o di scaricare ulteriori payload. L'operazione ha consentito il blocco di oltre 125. domini per il solo CryptoLocker e il sinkholing di più di 12. domini per Gameover Zeus. Nei tre giorni successivi all'annuncio dell'operazione Tovar, McAfee Stinger, uno strumento gratuito di rilevamento e rimozione del malware (compresi Gameover Zeus e CryptoLocker) è stato scaricato più di 8. volte. Strumenti analoghi hanno registrato aumenti dei download nell'ordine del 3-4%. Report McAfee Labs sulle minacce, agosto

17 Argomenti principali Il futuro Anche se l'operazione Tovar ha avuto un successo straordinario, spuntano continuamente imitatori che creano nuove varianti di ransomware o di malware che prende di mira le transazioni finanziarie sfruttando il codice sorgente di Zeus trapelato in rete. Nei forum clandestini sono già comparsi nuovi progetti: Un progetto di malware simile a CryptoLocker. La schermata precedente è tratta da un forum clandestino che offre un "servizio di tipo CryptoLocker" per 3. $. Sono incluse le seguenti funzioni: Uso della crittografia AES 128 e RSA 248. Uso dei servizi TOR. Supporto per piattaforme di affiliazione. Adeguamento del prezzo del riscatto secondo il tasso di cambio del Bitcoin e una selezione dei tipi di file della vittima da crittografare. Creazione di portafogli Bitcoin per ogni cliente. Accettazione di carte prepagate come itunes e simili. Gameover Zeus e CryptoLocker sono minacce molto pericolose e sono state estremamente redditizie per i loro sviluppatori. L'Operazione Tovar ha avuto un successo formidabile e ha inferto un grave colpo a questa infrastruttura criminale; inoltre, molti utenti sono riusciti a ripulire i loro sistemi, una vittoria rara per chi è infestato dal malware. Tuttavia, gli sviluppatori di malware non demordono, e si capisce bene il perché: sono in ballo un sacco di soldi. Abbiamo già notato la comparsa di malware e di infrastrutture alternative. Le operazioni come Tovar sono studiate per contrastare le minacce informatiche che colpiscono le aziende, le infrastrutture, i singoli e altri obiettivi. Il successo di questa operazione è dovuto alla cooperazione fra molti attori autorità giudiziarie internazionali, ISP e fornitori di prodotti per la sicurezza. Negli ultimi sei mesi, diversi criminali sono stati arrestati e condannati a lunghe pene detentive. Il crimine informatico può essere redditizio, ma l'operazione Tovar dimostra che gli aggressori non restano sempre impuniti. McAfee Labs è pronta a dare il suo contributo in operazioni del genere in qualsiasi momento. Report McAfee Labs sulle minacce, agosto

18 Statistiche sulle minacce Malware mobile Malware Minacce Web Minacce per la messaggistica Minacce di rete Inviaci la tua opinione

19 Statistiche sulle minacce Malware mobile Nuovo malware mobile Nel 2 trimestre, il numero totale di esemplari di malware mobile è aumentato del 17%. Contemporaneamente, il ritmo a cui compaiono nuovi esemplari di malware mobile sembra essersi stabilizzato a circa 7. a trimestre T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Malware mobile complessivo T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Report McAfee Labs sulle minacce, agosto

20 Statistiche sulle minacce Malware Nuovo malware 35.. Nel 2 trimestre il nuovo malware è aumentato solo dell'1%, anche se con oltre 31 milioni di nuovi esemplari si tratta comunque del numero più elevato mai registrato in un singolo trimestre T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Malware complessivo T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Report McAfee Labs sulle minacce, agosto 214 2

21 Statistiche sulle minacce Nuovo ransomware Il nuovo ransomware ha continuato il declino iniziato un anno fa, calando del 63% in questo trimestre con nuovi esemplari T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Ransomware complessivo T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Report McAfee Labs sulle minacce, agosto

22 Statistiche sulle minacce Nuovo malware rootkit Per i rootkit, la tendenza è generalmente stabile, con una singola famiglia di bootkit, Gupboot, responsabile dell'aumento negli ultimi due trimestri. Come notavamo nel Report McAfee sulle minacce di giugno 214, riteniamo che il numero di nuovi esemplari di rootkit riprenderà ad aumentare quando gli aggressori impareranno a eludere le misure di sicurezza dei sistemi a 64 bit T 2 T 3 T 4 T 1 T 2 T 3 T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Malware rootkit complessivo T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Report McAfee Labs sulle minacce, agosto

23 Statistiche sulle minacce Nuovo malware legato al record di avvio principale Le minacce che attaccano il record di avvio principale di un sistema sono calate del 44% in questo trimestre T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Componenti MBR identificati Varianti di famiglie con payload MBR conosciuti Malware legato al record di avvio principale complessivo T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Componenti MBR identificati Varianti di famiglie con payload MBR conosciuti Report McAfee Labs sulle minacce, agosto

24 Statistiche sulle minacce Nuovi file binari firmati pericolosi I nuovi file binari firmati pericolosi continuano la loro ascesa inarrestabile: nel 2 trimestre hanno superato la soglia dei 3 milioni a trimestre T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Nuovi file binari firmati pericolosi T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Report McAfee Labs sulle minacce, agosto

25 Statistiche sulle minacce Minacce Web Nuovi URL sospetti T 4 T 1 T 2 T 3 T 4 T 1 T 2 T URL Domini associati Posizione dei server con contenuti sospetti 3% Il Nord America continua a ospitare una quantità di contenuti sospetti superiore a qualsiasi altra regione. 37% 44% Nord America Asia Pacifico Europa-Medio Oriente America Latina 16% Report McAfee Labs sulle minacce, agosto

26 Statistiche sulle minacce Principali paesi che ospitano URL di phishing 26% Stati Uniti Germania Francia Canada 2% 2% 3% 5% Regno Unito Brasile Russia Paesi Bassi Altri 4% 4% 4% 5% Principali paesi che ospitano URL di spam 2% 2% 12% Stati Uniti Germania 9% 42% Regno Unito Giappone Russia Altri 33% Report McAfee Labs sulle minacce, agosto

27 Statistiche sulle minacce Minacce per la messaggistica Volume globale di spam e (Trilioni di messaggi) T 4 T 1 T 2 T 3 T 4 T 1 T 2 T Spam legittime Diffusione mondiale delle botnet Il numero di infezioni dovute alla botnet Dapato, nota anche con il nome di Carberp e con altri nomi, ha subito un brusco aumento in questo trimestre. 39% 19% 1% Dapato Sality Maazben Ramnit Cycbot SpyBot Darkness Spam-Mailbot 7% NGRBot Altri 5% 5% 6% 3% 3% 3% Report McAfee Labs sulle minacce, agosto

28 Statistiche sulle minacce Minacce di rete Principali attacchi di rete Gli attacchi Denial of Service sono aumentati del 4% in questo trimestre e continuano a essere il tipo di minaccia di rete più diffuso. 2% 2% 2% 3% 3% 9% 12% 29% Denial of service Worm Brute force Browser SSL Backdoor Scansione Chiamata di procedura remota 17% 21% Botnet Altri Report McAfee Labs sulle minacce, agosto

29 Informazioni su McAfee Commenti. Per capire meglio come indirizzare il nostro lavoro in futuro, ci interessa il vostro parere. Se desiderate farci conoscere la vostra opinione, fate clic qui per partecipare a un sondaggio di soli cinque minuti sui report sulle minacce. McAfee, divisione di Intel Security e società interamente controllata da Intel Corporation (NASDAQ: INTC), consente ad aziende, pubbliche amministrazioni e utenti consumer di usufruire dei vantaggi di Internet in modo sicuro. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il mondo. Grazie alla lungimirante strategia Security Connected, a un approccio innovativo alla sicurezza potenziata dall'hardware e all'esclusiva rete Global Threat Intelligence, McAfee è impegnata senza sosta nella ricerca di nuovi modi per garantire protezione ai propri clienti. Segui McAfee Labs 1 Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee. Le informazioni qui contenute possono essere modificate senza preavviso, e vengono fornite "come sono", senza alcuna garanzia della loro accuratezza o applicabilità a situazioni o circostanze specifiche. McAfee, Part of Intel Security Mission College Boulevard Santa Clara, CA Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti qui contenuti hanno unicamente scopo informativo, sono soggetti a variazioni senza preavviso e sono forniti senza alcun tipo di garanzia, esplicita o implicita. Copyright 214 McAfee, Inc rpt_qtr-q2_814_fnl