TrendLabs SM - Verifica di sicurezza del 2 trim. 2014 Invertire la tendenza degli attacchi informatici Rispondere alle tattiche in evoluzione
Sommario 1 Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico 5 Le aziende hanno risposto all intensificazione degli attacchi 8 I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili 11 La collaborazione con le forze dell ordine ha condotto a una serie di arresti a livello mondiale 13 Riemergenza dei problemi della privacy utente 15 Analisi del panorama delle minacce
Introduzione Eventi recenti come le violazioni dei dati nella prima metà del 2014 indicano decisamente che le aziende devono iniziare ad adottare un approccio maggiormente strategico per proteggere le informazioni digitali. Questa strategia comprende la protezione dei dati sensibili come la proprietà intellettuale e i segreti industriali, spesso i beni più preziosi di qualsiasi azienda. Secondo uno studio condotto dall Identity Theft Resource Center (ITRC), al 15 luglio 2014 più di 10 milioni di record personali risultavano già essere esposti, con la maggior parte delle violazioni sferrate nel settore commerciale. 1 Il crescente numero di record personali esposti e di violazioni dei dati porta a chiedersi come abbiano fatto le aziende a diventare così vulnerabili. La soluzione principale a questi problemi in costante crescita è l attuazione di un cambiamento di mentalità. Secondo il nostro CTO, Raimund Genes, le aziende devono innanzitutto stabilire quali sono le informazioni che considerano dati essenziali per poi concentrarsi sulla loro solida protezione. 2 Le aziende devono inserire la sicurezza delle informazioni all interno della propria strategia aziendale a lungo termine ed evitare di gestire i problemi legati alla sicurezza come contrattempi secondari. Inoltre, come dimostrano gli incidenti rilevati in questo trimestre, le aziende dovrebbero sforzarsi di trovare una risposta di sicurezza maggiormente strategica. Analogamente a disporre di una strategia aziendale volta a migliorare l efficienza, sarebbe necessario attuare anche una strategia di sicurezza ben concepita per migliorare le pratiche di protezione attuali e garantire alle aziende vantaggi e fatturato a lungo termine. La mancata protezione delle tecnologie emergenti ed esistenti potrebbe annientare un azienda, proprio come è accaduto a Code Spaces. Sono emerse anche risposte favorevoli da parte delle aziende nei confronti degli attacchi, sebbene alcune si siano dimostrate totalmente impraticabili. Le aziende dovrebbero ricordare che nessun tipo di mitigazione potrà mai essere sufficiente se non vengono implementate strategie di sicurezza preventive. Nel frattempo, a livello più ampio, è possibile vincere la lotta contro la criminalità informatica solo mediante la cooperazione tra enti pubblici e privati. Nell ambito di tali partnership, gli esperti della difesa contro le minacce come Trend Micro potrebbero fornire le informazioni sulle minacce alle forze dell ordine di qualsiasi paese e consentire loro di arrestare i criminali informatici. Nel corso di questo trimestre, le nostre partnership con le forze dell ordine in diversi paesi del mondo hanno di fatto dimostrato che gli attori del settore della sicurezza possono compiere un grande passo in avanti per fornire una risposta alle minacce odierne alla sicurezza informatica. NOTA: quando si parla di rilevamenti nel testo si fa riferimento ai casi in cui sono state individuate minacce sui computer degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le cifre citate in questo rapporto si basavano sui dati raccolti dall infrastruttura di sicurezza in-the-cloud Trend Micro Smart Protection Network, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti on site e i servizi in hosting.
Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico Le vulnerabilità critiche hanno interessato componenti diversi dei servizi Web e di navigazione su Internet, dalle librerie lato server ai sistemi operativi dei computer, fino alle applicazioni e i browser mobili. La divulgazione delle vulnerabilità e la distribuzione delle patch hanno tuttavia sottolineato l urgenza e aumentato la consapevolezza delle problematiche relative alla maggior parte delle vulnerabilità rilevate in questo trimestre. Heartbleed è la vulnerabilità più critica rilevata fino ad oggi. Il 7 aprile, OpenSSL Foundation ha annunciato la scoperta di un bug presente da due anni che ha messo a rischio di possibili attacchi informatici milioni di siti Web e relativi utenti. 3 Heartbleed ha permesso agli aggressori di impadronirsi dei dati, quali password e informazioni sulle carte di credito, dagli utenti che effettuavano transazioni finanziarie tramite il protocollo SSL (Secure Sockets Layer) sui siti Web vulnerabili. Sono stati pubblicati numerosi avvisi di sicurezza in merito al bug Heartbleed con cui veniva ricordata agli amministratori di sistema l importanza di tenere il software aggiornato, di revocare i certificati di sicurezza obsoleti e di emetterne di nuovi. 4 Pur essendo trascorsi diversi mesi dalla divulgazione pubblica del bug, sono ancora più di 300.000 i sistemi connessi a Internet privi di patch. Il bug Heartbleed ha interessato anche 1.300 applicazioni Android per banking e shopping online, per i pagamenti e per molto altro ancora che hanno eseguito l accesso ai server vulnerabili. 5 Una libreria OpenSSL appositamente inclusa in Android 4.1.1 si è rivelata suscettibile al bug che ha potuto esporre i dispositivi interessati ad attacchi lato server. Heartbleed non è stato tuttavia l unico problema; in questo trimestre sono state rilevate anche vulnerabilità in Windows XP, che non riceve più assistenza dal fornitore dall 8 aprile. Da allora, i computer su cui è ancora in esecuzione il sistema operativo obsoleto non hanno ricevuto più patch, salvo nel caso di una vulnerabilità zero-day (CVE 2014-1776) rilevata nelle versioni da 6 a 11 di Internet Explorer. 6 Questo incidente ha dimostrato che il sistema operativo ormai desueto presenta delle vulnerabilità che potrebbero venire sfruttate. Ne sono una prova i bollettini di Patch Tuesday di aprile, maggio e giugno 2014 che includevano patch per i bug di Windows Server 2003 che interessavano anche Windows XP. 7, 8, 9 Dal momento che Windows XP continua a essere utilizzato anche dopo l interruzione dell assistenza da parte di Microsoft ad aprile, numerose aziende vengono ancora colpite dalle infezioni DOWNAD/ Conficker. 10 Un altra vulnerabilità zero-day (CVE-2014-0515), presente questa volta in Adobe Flash, è stata rilevata a fine aprile. 11 Adobe ha ammesso che 1 Invertire la tendenza degli attacchi informatici
lo sfruttamento di questo bug sulla piattaforma Windows potrebbe consentire agli aggressori remoti di assumere il controllo dei computer infetti. Anche in Apache Struts, un framework open source per lo sviluppo di applicazioni Web basate su Java, sono state rilevate tantissime vulnerabilità zeroday critiche. 12 I suoi sviluppatori hanno pubblicato un avviso con i dettagli relativi a due bug (CVE- 2014-0112 e CVE-2014-0113) che hanno colpito specificatamente le versioni da 2.0.0 a 2.3.16.1 del software. 13 In questo avviso gli sviluppatori venivano invitati a effettuare immediatamente l upgrade alla versione 2.3.16.2 come espediente. Sul fronte mobile, le vulnerabilità presenti nelle applicazioni Android continuano a porre seri rischi per la sicurezza. Alcuni componenti delle applicazioni monitorati nel corso di questo trimestre hanno riportato vari difetti di sicurezza che potrebbero mettere i dati degli utenti a rischio di essere sottratti o utilizzati per sferrare attacchi. 14 Attualmente stiamo lavorando a stretto contatto con i fornitori e gli sviluppatori di applicazioni per divulgare in modo responsabile queste vulnerabilità. Cronologia delle vulnerabilità zero-day, 2 trim. 2014 OpenSSL Adobe Flash Internet Explorer Apache Struts CVE-2014-0160 (Heartbleed) CVE-2014-0515 CVE-2014-1776 CVE-2014-0112 CVE-2014-0113 7 26 28 1 7 8 24 24 28 22 25 28 2 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 2 4 APRILE MAGGIO Divulgato Con patch Decisione su Trend Micro Vulnerability Protection NOTA: una delle regole di Trend Micro Vulnerability Protection che affronta la vulnerabilità di Internet Explorer è disponibile dall 11 settembre 2007. FONTI: http://heartbleed.com/ http://helpx.adobe.com/security/products/flash-player/apsb14-13.html https://technet.microsoft.com/library/security/2963983 https://technet.microsoft.com/library/security/ms14-021 http://struts.apache.org/release/2.3.x/docs/s2-021.html 2 Invertire la tendenza degli attacchi informatici
Volume di vulnerabilità di Windows XP, 2 trim. 2014 20 19 5K Con patch 10 Senza patch 0 3 5 1 2 2 CRITICO IMPORTANTE MODERATO BASSO NOTA: le valutazioni riportate nella presente tabella si basano sul Microsoft Security Bulletin Severity Rating System (sistema di valutazione del rischio per i bollettini sulla protezione Microsoft), disponibile all indirizzo http://technet.microsoft.com/en-us/security/gg309177.aspx. Volume di vulnerabilità di Java 6, 2 trim. 2014 20 14 Con patch 10 8 Senza patch 0 ALTO MEDIO BASSO 3 NOTA: le valutazioni riportate nella presente tabella si basano sul CVSS (Common Vulnerability Scoring System, sistema di valutazione delle vulnerabilità comuni), disponibile all indirizzo http://nvd.nist.gov/cvss.cfm. 3 Invertire la tendenza degli attacchi informatici
Tre mesi dopo, Heartbleed continua a essere una minaccia... Il bug Heartbleed ha fatto emergere numerosi dubbi sul livello di sicurezza e ci si chiede in che misura gli utenti siano vulnerabili e quanto sia facile essere una vittima dell hacking. Da una scansione eseguita a giugno 2014 da Errata Security è emerso che molte persone non hanno ancora imparato la lezione: a due mesi dalla scoperta di Heartbleed, erano infatti ancora più di 300.000 i server vulnerabili al bug. 15 Heartbleed costituisce ancora una grande minaccia se gli sviluppatori non effettuano la ricompilazione di tutte le applicazioni dotate delle versioni vulnerabili di OpenSSL. L implementazione di soluzioni di prevenzione delle intrusioni (ISP) rappresenta un modo adeguato e veloce con cui limitare il problema. Da numerosi report emerge che molte aziende prese dal panico hanno effettuato l aggiornamento da versioni non vulnerabili a versioni vulnerabili. Sebbene l aggiornamento sia un operazione logica da effettuare per migliorare la sicurezza, prima di applicare le patch, le aziende devono ricordare due cose fondamentali: in primo luogo, non tutte le versioni software precedenti sono vulnerabili; in secondo luogo, è sempre opportuno verificare le versioni software prima di effettuare l aggiornamento. Gli amministratori lato server dovrebbero esaminare le configurazioni dei database e le impostazioni dei servizi per limitare gli aggiornamenti solo ai casi necessari. Generalmente, gli utenti dovrebbero effettuare l aggiornamento alle ultime versioni software e automatizzare l aggiornamento e l installazione delle patch per la sicurezza solo per sistema operativo, software e plug-in del browser. Pawan Kinger Direttore, Deep Security Labs 4 Invertire la tendenza degli attacchi informatici
Le aziende hanno risposto all intensificazione degli attacchi La gravità degli attacchi contro le aziende è aumentata. Le organizzazioni hanno risposto in maniera diversa, evidenziando l importanza di disporre di piani di risposta agli incidenti e di conoscere la sicurezza a livello aziendale. L attacco DDoS (distributed denial-of-service) all archivio di codice sorgente, Code Spaces, ha avuto l impatto più grave mai registrato fino ad oggi. Ha portato l azienda al fallimento. 16 Il secondo trimestre è stato caratterizzato anche da attacchi DDoS che hanno interessato Rich Site Summary (RSS)/Feedly, lettore di notizie dei blog. L attacco ha impedito agli utenti colpiti di accedere alle proprie informazioni. 17 Gli aggressori hanno tentato di estorcere denaro al service provider in cambio del normale funzionamento. Evernote ha subito la stessa sorte, ma è riuscita a riprendersi dall attacco. Oltre ai dannosi attacchi DDoS, nel secondo trimestre abbiamo assistito anche a numerose violazioni di dati. Secondo l ITRC, al 15 luglio 2014 sono stati individuati oltre 400 incidenti di violazione dei dati. 18, 19 Ne è un esempio l attacco contro il sito Web di vendite all asta, ebay, che ha messo a rischio i dati personali di 145 milioni di acquirenti attivi. 20 A seguito dell attacco, il service provider ha chiesto ai propri membri di reimpostare le password. 21 La catena di ristoranti P.F. Chang s è stata vittima di una significativa violazione dei dati che ha avuto come conseguenza il furto dei dati delle carte di credito dei clienti di tutti gli Stati Uniti. 22 In un avviso pubblicato sul proprio sito Web, l azienda ha comunicato il passaggio all uso di dispositivi manuali per l elaborazione di tutti i pagamenti futuri con carta di credito e debito come ulteriore misura di sicurezza. 23 Le violazioni di dati e gli attacchi DDoS registrati in questo trimestre indicano la necessità di disporre di una strategia a livello aziendale che consenta alle aziende di sopravvivere all attacco. La conoscenza e l impegno nell adottare un piano di sicurezza strategico a livello aziendale sono aspetti fondamentali. In caso contrario, le aziende potrebbero ricorrere a misure totalmente impraticabili, quali l elaborazione manuale, come nel caso della catena di ristoranti P.F. Chang s o, ancora peggio, potrebbero chiudere i battenti, come nel caso di Code Spaces. È consigliabile creare un team di risposta agli incidenti in grado di guidare i programmi di consapevolezza dei dipendenti incentrati sulla prevenzione delle violazioni e degli attacchi DDoS. È inoltre buona norma informare i clienti del modo in cui vengono protetti i loro dati. In caso di incidente, è necessario informare i clienti sulle misure adottate per risolvere il problema e limitare i rischi e sui piani futuri, affinché le aziende interessate possano prevenire il ripetersi di casi simili. Gli utenti che sottoscrivono un abbonamento a servizi in-the-cloud dovrebbero prendere in considerazione la possibilità di effettuare il backup dei propri dati in vari percorsi sicuri. Al contempo, tutti gli utenti dovrebbero verificare di non utilizzare la stessa password per account diversi. 5 Invertire la tendenza degli attacchi informatici
Segnalazioni di incidenti di violazione dei dati e attacchi DDoS, 2 trim. 2014 AZIENDA DATA RILEVAMENTO/ ATTACCO CAUSA DICHIARATA NUMERO STIMATO DELLE VITTIME IMPATTO DEI DANNI STRATEGIA DI RISPOSTA VIOLAZIONI DEI DATI ebay Sconosciuto Compromesso un numero esiguo di credenziali di accesso dei dipendenti 145 mln. di acquirenti attivi Furto di dati, quali nomi, password crittografate, indirizzi e-mail, indirizzi postali, numeri di telefono e date di nascita dei clienti; impatto significativo su vendite e profitti Modifica delle password; violazione comunicata tramite il blog ufficiale P.F. Chang s 10 giugno 2014 Violazione della sicurezza 200 filiali Furto dei numeri di carte di credito dei clienti Ritorno all uso dei dispositivi manuali per l elaborazione dei pagamenti con carta di credito e introduzione di terminali che supportano la crittografia; notifica pubblicata sul sito Web ATTACCHI DDoS Code Spaces 17 giugno 2014 Controllo da parte dell aggressore del pannello di controllo inthe-cloud Sconosciuto Eliminazione di dati, backup fuori sede e configurazione delle macchine, oltre a chiusura dell azienda Non pertinente Feedly 11-13 giugno 2014 Attacco DDoS al sito Web 12 mln. di utenti Impossibilità per gli utenti di accedere agli account e interru zione dei servizi Modifiche all infrastruttura; violazione comunicata tramite il blog ufficiale Evernote 10 giugno 2014 Attacco DDoS al sito Web 100 mln. di utenti Impossibilità per gli utenti di accedere agli account e interruzione dei servizi Utilizzo del servizio di prevenzione DDoS che comprendeva filtro dei pacchetti fasulli; violazione comunicata tramite Twitter e blog ufficiale FONTI: http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/ http://www.pfchangs.com/security/ http://blog.feedly.com/2014/06/11/denial-of-service-attack/ http://www.theregister.co.uk/2014/06/11/evernote_dos_attack/ http://www.codespaces.com/ http://www.forbes.com/sites/ryanmac/2014/07/16/ebay-ceo-sales-earnings-affected-by-cyberattack-body-blow-in-challenging-second-quarter/ 6 Invertire la tendenza degli attacchi informatici
L effetto più sottovalutato delle violazioni dei dati Le aziende e i privati vengono spesso a sapere da terze parti di aver subito una violazione, il che tende a disorientarli e a orchestrare dinamicamente un piano di risposta all incidente, un processo a breve termine che definisco caos disorganizzato. La gestione iniziale della risposta alla violazione è fondamentale per non perdere la fiducia dei clienti. È inoltre altrettanto essenziale riconoscere le lezioni apprese in seguito alla violazione. Il risultato principale è quello di lavorare in condizione di caos organizzato. Gli affari e la vita sono caotici, pertanto è fondamentale riuscire almeno a organizzare il caos. L aspetto più sottovalutato di una violazione è l impatto a valle per gli anni a venire. Mentre prosegue l attacco alle informazioni aziendali, i dati trafugati vengono raggruppati e venduti in community inenarrabili da persone che compiono operazioni inimmaginabili; il tutto a spese dell azienda e per somme di denaro assurde. Dobbiamo ricordare che i dati rubati non hanno una data di scadenza. Possono essere usati a tempo indeterminato, e proba bilmente lo saranno. Dovremmo tutti ripensare le nostre strategie di sicurezza in qualità di custodi dei dati e tentare di diventare esperti della difesa delle minacce nelle nostre aziende. I fornitori devono assegnare la massima priorità alla sicurezza, inclusi i piani di risposta agli incidenti per violazioni e attacchi DDoS e i programmi di consapevolezza della sicurezza a livello aziendale. Gli utenti dei servizi in-the-cloud devono valutare l uso di più percorsi sicuri per il backup dei dati aziendali. JD Sherry Vicepresidente, Tecnologia e soluzioni 7 Invertire la tendenza degli attacchi informatici
I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili I criminali informatici hanno risposto agli sviluppi tecnologici delle piattaforme nell online banking e nella mobilità, sviluppi che hanno condotto a un aumento nel numero di minacce informatiche nuove/migliorate. Il ransomware ha continuato a diffondersi in questo trimestre dopo essere stato ulteriormente migliorato. Hanno proseguito prendendo di mira la piattaforma Android tramite ANDROIDOS_ LOCKER.A, che colloca l interfaccia utente sopra a uno schermo non bloccato e proibisce agli utenti di disinstallarla. 24 Anche ANDROIDOS_LOCKER. HBT ha dimostrato come il ransomware mobile abbia saputo fare propri i trucchetti delle minacce informatiche, come la comunicazione con i server 25, 26 C&C (command-and-control) tramite Tor. Alle vittime è stato anche chiesto di pagare circa USD 30 per lo sblocco dei propri dispositivi. Il mancato pagamento del riscatto avrebbe potuto causare la distruzione di tutti i dati sui dispositivi mobili. Anche se il numero di utenti vittime del ransomware è sceso da circa 11.000 alla fine dell ultimo trimestre a circa 9.000 in questo trimestre, sono emerse nuove tipologie con capacità più avanzate. Sono state anche osservate in questo trimestre varianti come CryptoLocker con un componente Tor, CryptoDefense, e CryptoWall. 27 Sex xonix Virus Shield IN ALTO: ANDROIDOS_LOCKER.HBT si fa passare per una falsa app dal nome Sex xonix ; IN BASSO: ANDROIDOS_FAKEAV.B mascherato da Virus Shield Anche i falsi antivirus hanno vissuto un revival sotto forma di una falsa app mobile dal nome Virus Shield, in precedenza disponibile per il download da Google Play 28, 29. La falsa app registrava che ANDROIDOS_ FAKEAV.B veniva scaricato più di 10.000 volte e diventava addirittura l app più venduta della settimana. 30 8 Invertire la tendenza degli attacchi informatici
Anche il Giappone ha riscontrato in maggio un incremento significativo nel numero di vittime delle minacce informatiche per il banking online a causa dell aumento dei rilevamenti VAWTRAK. 31 Benché non fossero considerate minacce informatiche per il banking online prima di questo trimestre, le più recenti varianti hanno ampliato le proprie capacità fino a includere il furto delle credenziali del banking online e le informazioni sulle carte di credito. Confronto del volume rilevato delle minacce informatiche di banking online, 1 trim. 2013 e 2 trim. 2014 La ricerca relativa all Operazione Emmental ha a sua volta dimostrato come le minacce informatiche e mobili collaborino in modo trasparente per creare più caos presso le banche online. 32, 33 I criminali informatici oggetto di questa operazione prendono di mira le banche che utilizzano i token di sessione inviati tramite SMS o l autenticazione a due fattori. Attacchi spam a carattere regionale, minacce informatiche non persistenti, falsi server DNS, pagine di phishing, minacce informatiche Android, server C&C e server back-end reali fanno tutti parte di questa complessa operazione. Volume rilevato delle minacce informatiche di banking online, 2 trim. 2014 120.000 50.000 112.000 46.000 102.000 38.000 37.000 60.000 25.000 0 1 trim. 2 trim. 0 APR MAG GIU In questo trimestre è stato osservato un lieve aumento nel numero di rilevamenti di minacce informatiche per il banking online dovuto all aumento dei casi relativi a VAWTRAK in Giappone. NOTA: il volume totale delle minacce informatiche per il banking online si riferisce al numero di infezioni univoche mensili. 9 Invertire la tendenza degli attacchi informatici
Paesi maggiormente colpiti dalle minacce informatiche di banking online, 2 trim. 2014 Giappone Stati Uniti India Brasile Vietnam Turchia Indonesia Cile Malesia Italia Altri 24% 14% 7% 7% 5% 4% 2% 28% 16.000 13.000 11.000 Giappone 8.000 8.000 Stati Uniti 0 5.000 4.000 4.000 3.000 3.000 2.000 APR MAG GIU India Il Giappone è salito in testa all elenco dei paesi con il più alto numero di infezioni da minacce informatiche per il banking online in questo trimestre a causa di VAWTRAK. La maggior parte dei paesi citati lo scorso trimestre sono rimasti nell elenco, ad eccezione di Francia, Messico e Australia, che sono stati rimpiazzati da Indonesia, Cile e Italia. 10 Invertire la tendenza degli attacchi informatici
La collaborazione con le forze dell ordine ha condotto a una serie di arresti a livello mondiale Lavorando a stretto contatto con le forze dell ordine di vari paesi, siamo stati in grado di vanificare in modo diretto e definitivo diverse attività criminali informatiche a livello mondiale. Rivelare i risultati della nostra ricerca alle aziende colpite allo scopo di prevenire le perdite finanziarie dovute alla criminalità informatica si è dimostrata una scelta efficace. 34 La dimostrazione è stata il riconoscimento del Tokyo Metropolitan Police Department (MPD) in aprile riguardo a quanto avevamo scoperto sugli attacchi legati a Citadel contro le banche giapponesi dal giugno 2013. peer-to-peer (P2P). 36 Trend Micro ha fornito all operazione di smantellamento dell FBI uno strumento per la disinfezione che ha contribuito a un calo nel numero di utenti vittime di ZeuS/ ZBOT in questo trimestre. I dati dello Smart Protection Network hanno mostrato un calo del 36% nel numero di utenti interessati al termine del trimestre. Abbiamo fornito alle forze dell ordine anche informazioni su Jam3s, alias James Bayliss: un hacker che eseguiva server C&C legati a SpyEye; le informazioni hanno contribuito all arresto di Jam3s nel Regno Unito in maggio. 35 Lo scorso giugno, l FBI ha annunciato che una collaborazione internazionale era stata in grado di vanificare le attività di GameOver, una variante ZeuS/ZBOT in grado di eseguire comunicazioni Altre iniziative delle forze dell ordine, invece, richiedono tempo. Nell ambito dell operazione contro Esthost del 2011 da parte dell FBI e della polizia estone, cinque delle sei persone coinvolte sono finalmente giunte negli Stati Uniti e sono in attesa di giudizio. 37 È la dimostrazione che assicurare i criminali informatici alla giustizia può anche richiedere tempo, ma alla fine ottiene i risultati auspicati. 11 Invertire la tendenza degli attacchi informatici
Trend Micro collabora con le forze dell ordine Il team per le ricerche sulle minacce future (FTR, Forward-Looking Threat Research), un unità di e-crime dedicata di Trend Micro che gestisce tutte le richieste di indagini da parte delle forze dell ordine. La collaborazione tra il team FTR e le forze dell ordine viene messa in moto da una richiesta esplicita da un unità di polizia o da indizi rilevati dal team FTR legati a crimini informatici. Offriamo assistenza alle indagini e condividiamo con le forze dell ordine le informazioni disponibili sulle minacce. Siamo il punto di contatto per le attività collaborative del team CERT (Community Emergency Response Team) nazionale o commerciale e per il team CSIRT (Computer Security Incident Response Team) per Trend Micro. Diverse collaborazioni avute in passato hanno condotto a ottimi risultati, la più recente delle quali ha portato a una serie di arresti legati al cavallo di Troia del banking SpyEye. Abbiamo condiviso informazioni con i nostri contatti presso l FBI e la National Crime Agency (NCA); le due agenzie hanno proseguito le indagini che hanno condotto da ultimo a una serie di arresti di alto profilo. A parte i casi che sono già diventati di dominio pubblico, siamo coinvolti in una serie di casi in corso a livello mondiale. Siamo sempre lieti di collaborare con le forze dell ordine, con il sostegno delle informazioni sulle minacce di Trend Micro e la nostra competenza investigativa sulla criminalità informatica, poiché riteniamo che soltanto attraverso la collaborazione si possa davvero rendere il mondo un posto più sicuro per lo scambio delle informazioni digitali. Martin Rösler Direttore Senior, Ricerca sulle minacce 12 Invertire la tendenza degli attacchi informatici
Riemergenza dei problemi della privacy utente Le forze di mercato, i regolamenti e i tribunali a livello mondiale stanno prendendo posizione in modo deciso in difesa della privacy dell utente. Un anno fa, Edward Snowden ha reso pubbliche le prassi diffuse di sorveglianza messe in atto dalla National Security Agency (NSA). 38 I difensori della privacy dei dati hanno chiesto di cambiare le leggi ma la prassi della sorveglianza rimane intatta. Le rivelazioni di Snowden hanno avviato un dibattito relativo ai dati archiviati in-thecloud, mentre una maggiore consapevolezza delle minacce alla sicurezza del cloud ha condotto a una serie di reazioni, tra cui i reclami di varie aziende USA e la perdita di fiducia in alcuni provider di servizi in the cloud. Questo dibattito è ancora aperto, mentre i provider di servizi in-the-cloud continuano a lottare per tenere i dati dei clienti fuori dalle mani dei governi in un caso in corso negli Stati Uniti. 39 Le preoccupazioni di lunga data relative ai dati che le aziende raccolgono sui singoli si sono manifestate nella decisione europea relativa al principio del diritto di essere dimenticati il 13 maggio, che consente agli utenti di chiedere a Google di rimuovere le imbarazzanti rivelazioni online dai risultati delle ricerche. 40 La decisione è stata giudicata una vittoria in Europa anche se alcuni recenti dibattiti sostengono che potrebbe contraddire il diritto alla libertà di espressione affermato nella Dichiarazione universale dei diritti umani dell ONU. 41 A favore della privacy digitale, a metà giugno, la Corte Suprema degli Stati Uniti ha stabilito che la polizia sarà tenuta a procurarsi un mandato per perquisire un telefono cellulare. 42 Questa decisione epocale a favore dei diritti della privacy e il supporto che ne consegue potrebbero influenzare in futuro la protezione legale concessa ai dati digitali. I siti Web che registrano dati personali possono avere accesso a determinate informazioni ma soltanto i proprietari di tali informazioni hanno il diritto di utilizzarle come credono. 43 Le misure adottate per la protezione dei dati digitali personali segnano decisamente un gradito cambiamento. 13 Invertire la tendenza degli attacchi informatici
Il ruolo di Trend Micro nel dibattito sulla privacy... Giorno dopo giorno, l importanza delle domande e delle preoccupazioni che circondano la privacy aumenta. Quasi tutti gli abitanti del pianeta si preoccupano della privacy online o dovrebbero farlo. Il sopraggiungere dell era dell Internet di tutto/internet delle cose (IoE/IoT) rende ancora più eclatanti gli errori della privacy perché coinvolge un numero maggiore di conseguenze nel mondo reale. In un mondo come il nostro, con una privacy sempre più complessa e una difficoltà sempre maggiore nella sua protezione, qual è il ruolo di un azienda come Trend Micro? È quello di contribuire a ridurre la complessità e di facilitare l utilizzo di tutti i vantaggi che le tecnologie e i servizi più recenti possono offrire senza dover rinunciare alla privacy. È nostro compito in qualità di esperti della difesa contro le minacce fungere da guida e da risorsa per aiutare le persone a vivere la propria esistenza online nel modo più aperto o più privato che desiderano, comunque in sicurezza. Christopher Budd Responsabile, Marketing minacce 14 Invertire la tendenza degli attacchi informatici
Minacce informatiche, spam e siti dannosi Analisi del panorama delle minacce In questo trimestre è stato osservato un passaggio dei volumi attraverso vari vettori di attacco monitorati tramite Smart Protection Network. La natura delle minacce nei segmenti consumer e delle aziende è cambiata, come dimostra il declino nel numero di infezioni DOWNAD/Conficker. Inoltre, pare che il pensionamento di Windows XP abbia spinto gli aggressori ad adottare una via diversa come reazione. Numero di indirizzi IP per l invio di spam a cui Trend Micro Smart Protection Network ha bloccato l accesso, 2 trim. 2014 Numero di siti dannosi a cui Trend Micro Smart Protection Network ha bloccato l accesso, 2 trim. 2014 6 mld. 5,1 mld. 500 mln. 412 mln. 4,0 mld. 4,3 mld. 3 mld. 250 mln. 246 mln. 266 mln. 0 APR MAG GIU 0 APR MAG GIU Il numero di indirizzi IP dediti all invio di spam a cui abbiamo bloccato l accesso in questo trimestre non è né sensibilmente aumentato né si è ridotto rispetto ai 12,9 miliardi dello scorso trimestre. Il numero di siti dannosi a cui abbiamo bloccato l accesso è aumentato significativamente in giugno. È interessante notare come i principali siti a cui abbiamo bloccato l accesso fossero legati all adware. 15 Invertire la tendenza degli attacchi informatici
Numero di file dannosi bloccati da Trend Micro Smart Protection Network, 2 trim. 2014 Numero totale di minacce bloccate da Trend Micro Smart Protection Network, 2 trim. 2014 1,2 mld. 1,1 mld. 1,1 mld. 8 mld. 0,9 mld. 6,5 mld. 5,8 mld. 5,1 mld.,6 mld. 4 mld. 0 APR MAG GIU 0 APR MAG GIU Il numero di file dannosi che abbiamo bloccato è raddoppiato questo trimestre rispetto allo stesso trimestre dello scorso anno (1,7 miliardi). 44 Il numero crescente di varianti di minacce informatiche in generale e la tendenza a utilizzare minacce informatiche personalizzate sono stati accelerati dall accessibilità dei toolkit di minacce informatiche nell underground dei criminali informatici. Abbiamo bloccato una media di 5,8 miliardi di minacce per mese questo trimestre, segnando così un lieve aumento rispetto ai 5,4 miliardi dello scorso trimestre. Livello di rilevamento complessivo di Trend Micro Smart Protection Network, 2 trim. 2014 3000/s 2400/s 2000/s 2200/s 1500/s 0 APR MAG GIU Non sono stati registrati cambiamenti significativi del numero di minacce bloccate al secondo rispetto al trimestre precedente. 16 Invertire la tendenza degli attacchi informatici
Primi 3 adware, 2 trim. 2014 Prime 3 minacce informatiche, 2 trim. 2014 NOME VOLUME NOME VOLUME ADW_INSTALCOR 234.000 ADW_OPENCANDY 204.000 ADW_DOWNWARE 107.000 WORM_DOWNAD.AD 35.000 LNK_DUNIHI.SMIX 33.000 JS_NEVAR.A 19.000 L adware ha costituito una parte consistente del numero totale di minacce (adware e minacce informatiche insieme) visto in questo trimestre. ADW_OPENCANDY è rimasto nei primi 3 anche se il relativo volume è diminuito rispetto al trimestre precedente. Questi adware sono in circolazione da anni. Gli adware sono principalmente plug-in che alcuni sviluppatori uniscono in bundle al software gratuito. Gli sviluppatori dal canto loro guadagnano consigliando software o prodotti agli utenti tramite l adware installato. WORM_DOWNAD ha continuato a piazzasi ai primi posti nell elenco dei contaminatori di minacce informatiche in questo trimestre. Anche se il relativo volume è sceso a causa del calo nel numero di utenti di Windows XP, le infezioni hanno continuato a persistere in parte a causa di prassi non sicure come il mancato aggiornamento del sistema operativo. NOTA: le principali minacce informatiche non comprendono gli strumenti di hacking comunemente individuati quali i generatori di chiavi e i visualizzatori delle chiavi dei prodotti. Le prime 3 minacce informatiche per segmento, 2 trim. 2014 SEGMENTO 2 trim. 2014 Aziende PMI Consumer NOME VOLUME LNK_DUNIHI.SMIX 29.000 WORM_DOWNAD.AD 26.000 WORM_DOWNAD.FUF 5.000 WORM_DOWNAD.AD 6.000 JS_CHECK.A 2.000 LNK_DUNIHI.SMIX 2.000 JS_NEVAR.A 18.000 JAVA_XPLOIT.GOQ 11.000 JS_REDIR.ED 10.000 Il segmento aziendale è stato dominato da minacce desuete come quelle legate ai supporti USB. I principali contaminatori del mercato consumer, nel frattempo, si sono piazzati alla pari con i kit di exploit. Infine, il segmento delle piccole e medie imprese (PMI) è stato vittima di una combinazione di minacce vecchie e relativamente nuove. NOTA: le principali minacce informatiche non comprendono gli strumenti di hacking comunemente individuati quali i generatori di chiavi e i visualizzatori delle chiavi dei prodotti. 17 Invertire la tendenza degli attacchi informatici
Primi 10 domini dannosi a cui Trend Micro Smart Protection Network ha bloccato l accesso, 2 trim. 2014 DOMINIO ads.alpha00001.com www.ody.cc cnfg.toolbarservices.com storage.stgbssint.com cdn1.down.17173ie.com interyield.jmp9.com flyclick.biz directxex.com sp-storage.spccint.com checkver.dsiteproducts.com MOTIVO PER IL BLOCCO DELL ACCESSO Segnalato come server C&C che reindirizza gli utenti a enterfactory com, un sito Web dannoso Legato a script e siti sospetti che forniscono l hosting a BKDR_ HPGN.B-CN Rilevato come ADW_MONTIERA Rilevato come ADW_BUNDLED Noto per eseguire lo scaricamento di file dannosi Legato agli attacchi delle minacce informatiche e ad altre attività dannose Legato all acquisizione del controllo dei computer e ad altre attività dannose Noto per eseguire lo scaricamento di file dannosi Noto per eseguire lo scaricamento di minacce informatiche Rilevato come ADW_DOWNWARE Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi rispetto al trimestre precedente. Primi 10 URL dannosi per paese di origine, 2 trim. 2014 Stati Uniti Paesi Bassi Germania Cina Russia Francia Regno Unito Corea del Sud Giappone Repubblica Ceca Altri 25% 2% 1% 1% 1% 55% La porzione di torta dell hosting di URL dannosi degli Stati Uniti ha raggiunto il 25% questo trimestre, segnando un incremento del rispetto al 22% dello scorso trimestre. 18 Invertire la tendenza degli attacchi informatici
Paesi con il maggior numero di visite a siti dannosi, 2 trim. 2014 Stati Uniti Giappone Francia Australia Taiwan Italia Cina India Regno Unito Germania Altri 29% 16% 4% 4% 4% 4% 4% 4% 25% L Italia e il Regno Unito si sono unite all elenco dei paesi con il maggior numero di visite ai siti web dannosi. Il Giappone e gli Stati Uniti sono rimasti i 2 paesi in vetta, come nel trimestre precedente. Lingue maggiormente usate per lo spam, 2 trim. 2014 Inglese Tedesco Giapponese Cinese Russo Spagnolo Portoghese Francese Turco Islandese Altri 82,81% 3,98% 3,17% 1,82% 1,00% 0,40% 0,39% 0,17% 0,09% 0,07% 6,10% Il trimestre ha segnato un apparente aumento nella quantità di spam in lingua tedesca. L inglese ha tuttavia conservato il primo posto. 19 Invertire la tendenza degli attacchi informatici
Paesi principali da cui partono gli attacchi spam, 2 trim. 2014 Spagna Argentina Stati Uniti Germania Italia Iran Vietnam Russia Cina Colombia Altri 9% 8% 7% 6% 5% 4% 4% 4% 47% In questo trimestre non sono stati registrati cambiamenti significativi nell elenco dei principali paesi da cui partono gli attacchi di spam. Paesi con il maggior numero di server C&C botnet, 2 trim. 2014 Regno Unito Stati Uniti Germania Russia Ucraina Cina Corea del Sud Paesi Bassi Lettonia Francia Altri 32% 29% 2% 2% 2% 1% 1% 22% Il Regno Unito ha continuato a sovrastare l elenco dei paesi con il maggior numero di server C&C botnet, come nel trimestre precedente. 20 Invertire la tendenza degli attacchi informatici
Paesi con il maggior numero di connessioni botnet, 2 trim. 2014 Regno Unito Stati Uniti Germania Russia Turchia Portogallo Cina Paesi Bassi Ucraina Svizzera Altri 27% 27% 8% 8% 5% 5% 4% 4% 4% 2% 6% Gli utenti del Regno Unito e degli Stati Uniti hanno rappresentato più di metà del traffico di rete che ha colpito i server C&C tramite i computer infetti questo trimestre. 21 Invertire la tendenza degli attacchi informatici
Minacce mobili Le minacce mobili restano evidenti, come dimostrato dall aumento costante del loro numero. Le app ad alto rischio come l adware sono a loro volta aumentate. Volume cumulativo delle minacce Android a partire dal 2 trim. 2014 3 mln. 2,7 2.7M mln. 2 mln. 2,3 mln. 2,5 mln. 37K Minacce informatiche mobili App ad alto rischio 71% 29% 1 mln. 0 APR MAG GIU Nuove aggiunte mensili alle minacce Android, 2 trim. 2014 600.000 184.000 TOTALE 589.000 In linea con le cifre dell ultimo trimestre, le nuove aggiunte di minacce informatiche mobili e app ad 300.000 210.000 GIU MAG alto rischio nel corso di questo trimestre hanno rappresentato più di un quinto del numero totale delle minacce Android. NOTA: le app ad alto rischio o potenzialmente 195.000 APR indesiderate sono quelle che possono compromettere l esperienza dell utente poiché visualizzano pubblicità indesiderate, creano collegamenti indesiderati o raccolgono informazioni sui dispositivi senza che gli utenti 0 MINACCE lo sappiano o lo consentano. Gli esempi includono l adware aggressivo. 22 Invertire la tendenza degli attacchi informatici
Principali famiglie di minacce informatiche per Android, 2 trim. 2014 OPFAKE FAKEINST SMSAGENT SMSREG STEALER JIFAKE GINMASTER SMSSENDER CLICKER BLOODZOB Altri 14% 10% 8% 7% 4% 4% 41% OPFAKE è salita in vetta all elenco delle famiglie di minacce informatiche Android osservate questo trimestre. FAKEINST è arrivata al secondo posto, probabilmente grazie all aumento nel numero di premium service abuser. NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l adware esegue il push aggressivo delle pubblicità e può raccogliere informazioni personali senza il consenso della vittima. 23 Invertire la tendenza degli attacchi informatici
Distribuzione dei principali tipi di minacce Android, 2 trim. 2014 60% 30% 46% 40% Adware Premium service abuser Data stealer Remote controller 20% Downloader di minacce 0 8% Spyware La quota di adware è rimasta la più consistente, benché sia scesa leggermente rispetto al trimestre precedente. È salito anche il numero di premium service abuser e di ladri di dati. Anche lo spyware si è piazzato tra le minacce principali nel panorama mobile. NOTA: lo spyware rileva o monitora la posizione GPS (Global Positioning System), gli SMS e le chiamate degli utenti, quindi invia tali informazioni a terze parti. Lo spyware viene in genere pubblicizzato come strumenti di spionaggio che gli utenti possono installare sullo smartphone o tablet di coloro che desiderano spiare. I dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware, che rappresentano il 71% del numero totale di minacce mobili rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo aprile-giugno 2014. Una famiglia di minacce potrebbe avere comportamenti tipici di più tipi di minacce. 24 Invertire la tendenza degli attacchi informatici
Attacchi mirati Gli attacchi rilevati questo trimestre hanno preso principalmente di mira gli enti pubblici 45, 46 con campagne quali PLEAD e ANTIFULAI. Abbiamo monitorato entrambe le campagne, che prendevano di mira varie aziende nei settori pubblico e privato, specie a Taiwan e in Giappone. Volume di attacchi mirati per settore, 2 trim. 2014 Pubblica amministrazione 81% Informatico Aerospaziale Industriale 4% Elettrico Telecomunicazioni Militare Aviazione Finanziario 1% 1% La maggior parte degli attacchi ha continuato a prendere di mira gli enti pubblici anche in questo trimestre. NOTA: la cifra mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre. Distribuzione degli attacchi mirati per paese, 2 trim. 2014 Taiwan Giappone Stati Uniti Brasile Cina Israele Turchia Altri 62% 22% 5% 1% 1% 1% 1% 7% Taiwan è risultato il paese maggiormente preso di mira in questo trimestre, seguito dal Giappone. NOTA: la mappa mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre. 25 Invertire la tendenza degli attacchi informatici
Campagne di attacchi mirati attive rilevanti, 2 trim. 2014 CAMPAGNA MESE DI RILEVAMENTO OBIETTIVO PUNTO DI ACCESSO MOTIVO DELLA RILEVANZA PLEAD Maggio Pubblica amministrazione ed enti pubblici a Taiwan ANTIFULAI Giugno Pubblica amministrazione e vari settori privati in Giappone HAVEX Giugno Gli utenti di Industrial Control Systems (ICS) principalmente in Europa e negli Stati Uniti E-mail E-mail E-mail di phishing, attacchi watering hole Uso della tecnica RTLO (right-to-left override) Sfruttamento delle vulnerabilità del programma Ichitaro L hacking di siti legati a ICS per compromettere applicazioni legittime FONTI: http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2/ http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/ http://about-threats.trendmicro.com/us/webattack/139/havex+targets+industrial+control+systems 26 Invertire la tendenza degli attacchi informatici
La principale preoccupazione rispetto agli attacchi mirati... La preoccupazione numero 1 delle aziende deve essere il rischio di pubblicità negativa. Gli attacchi mirati incrementano sensibilmente il rischio per la reputazione, ma due vettori di attacco in particolare destano le maggiori preoccupazioni. In primo luogo, gli attacchi watering hole, che stanno proliferando negli Stati Uniti. Un attacco watering hole è un attacco in cui il server Web aziendale viene compromesso e pagine specifiche all interno del sito attaccano i visitatori con minacce informatiche appositamente create. Questi attacchi sono estremamente efficaci contro i dipendenti che utilizzano questi siti Web come portali, per diffondere le minacce a clienti e partner. L impatto per la reputazione dei marchi aziendali di questi attacchi può risultare disastroso. Il secondo vettore è island hopping. Gli attacchi island hopping avvengono quando gli aggressori prendono di mira la rete di un azienda per poter accedere alle reti dei relativi partner e clienti. Lo spostamento laterale attraverso sistemi di rete affidabili causa danni enorme per la reputazione e i marchi delle vittime. Gli aggressori si focalizzano sull anello debole della catena degli approvvi gionamenti. Maggiori sono le operazioni di ricognizione che gli aggressori compiono sulla catena degli approvvigionamenti aziendale e maggiore sarà il numero di attacchi di island hopping sferrati. Tom Kellermann Responsabile della sicurezza informatica 27 Invertire la tendenza degli attacchi informatici
Vita digitale e IoE/IoT Mentre il fenomeno IoE/IoT continua a spalancare nuove possibilità per la condivisione e la connessione con altri, migliorando così il nostro stile di vita, coloro che ne beneficiano potrebbero essere vulnerabili agli attacchi ad esso mirati. I dispositivi IoE/IoT collegati a router wireless vulnerabili potrebbero consentire a qualsiasi utente esterno di accedere alla pagina firmware per mettere gli utenti a rischio in caso di hacking ai router. 47 Manomettere un modem o router vulnerabile può anche compromettere eventuali dispositivi IoE/IoT (ad es. smart meter o un intero smart hub). I router sono una parte vitale di qualsiasi rete collegata a Internet, in quanto componenti principali nell attivazione degli smart hub, ovvero dispositivi che collegano tutti i dispositivi IoE/IoT l uno all altro. Gli utenti devono quindi garantirne la protezione. Oltre ai dispositivi smart, anche le attività di navigazione Web rappresentano una consistente porzione della vita digitale delle persone. È per questo che è fondamentale essere vigili quando si cercano informazioni o quando semplicemente si va online. Recentemente, i mondiali di calcio 2014 in Brasile sono stati uno degli eventi sportivi con la maggiore risonanza. 48 Per questo, gli utenti hanno dovuto affrontare varie minacce, poiché i mondiali si sono dimostrati uno degli spunti di social engineering maggiormente sfruttati nel corso del trimestre, come hanno confermato gli oltre un miliardo di commenti e mi piace su Facebook da parte di oltre 200 milioni di utenti e i 300 milioni di tweet. 49 28 Invertire la tendenza degli attacchi informatici
Riepilogo delle minacce relative ai mondiali di calcio, 2 trim. 2014 9 MAGGIO Le ricerche relative ai mondiali di calcio hanno indotto gli utenti a scaricare un generatore di chiavi software che si è rivelato essere adware. 20 MAGGIO Siti Web fasulli sui mondiali in Brasile vendevano biglietti per le partite che le vittime hanno pagato senza mai ricevere. 30 MAGGIO Dello spam sosteneva che il destinatario aveva diritto a un biglietto della riffa con in palio biglietti per i mondiali. Ovviamente si trattava di una truffa. 9 GIUGNO Lo spam ha fatto sorgere sempre più siti di phishing legati ai mondiali di calcio. 12 GIUGNO Sono state diffuse su Google Play delle false app mobili legate ai mondiali. ANDROIDOS_SMSSTEALER.HBT è un altra minaccia informatica Android che ha sfruttato la febbre dei mondiali. Questa famiglia di minacce informatiche è nota per avere aggiunto un filtro SMS che bloccava gli SMS in entrata. L analisi del relativo server C&C ha portato all identificazione di 76 domini, che venivano utilizzati anche per l hosting di siti Web per il download di app di terze parti. FONTI: http://blog.trendmicro.com/trendlabs-security-intelligence/threats-get-a-kick-out-of-2014-fifa-world-cup-brazil-buzz/ http://blog.trendmicro.com/trendlabs-security-intelligence/brazilian-users-being-scammed-with-2014-fifa-world-cup-tickets/ http://blog.trendmicro.com/trendlabs-security-intelligence/home-court-advantage-banload-joins-fifa-world-cup/ http://blog.trendmicro.com/trendlabs-security-intelligence/phishing-sites-start-world-cup-campaign/ http://blog.trendmicro.com/trendlabs-security-intelligence/watch-out-for-fake-versions-of-world-cup-2014-apps/ 29 Invertire la tendenza degli attacchi informatici