Report Report McAfee sulle minacce: quarto trimestre 20 di McAfee Labs
Report McAfee sulle minacce: quarto trimestre 20 Lo scorso anno è stato un periodo di trasformazione ed evoluzione per la sicurezza cibernetica. Nel corso dell'anno abbiamo rilevato un incremento negli attacchi mirati, nella sofisticazione e nel numero di attacchi delle nuove classi di dispositivi che sembrano fare la loro apparizione con regolarità. Informare gli utenti ad ogni livello di queste minacce senza spaventarli inutilmente non è semplice. L'obiettivo di McAfee Labs è di autorizzare l'utilizzo della tecnologia nel modo più sicuro possibile. Per far ciò dobbiamo analizzare e spiegare apertamente le ramificazioni di ciò che osserviamo. In questo trimestre si sono verificati alcuni dei cambiamenti più interessanti dell'anno. Negli ultimi tre mesi abbiamo osservato i volumi di spam più bassi dal 2007, ma allo stesso tempo abbiamo identificato attacchi su nuovi dispositivi come gli smartphone che utilizzano il sistema operativo Android. Il malware e le minacce mobile esistono da anni, ma ora dobbiamo accettarle come parte del panorama mobile, sia in termini di consapevolezza che di implementazione. In questo trimestre si sono inoltre verificati alcuni cambiamenti drastici per quanto riguarda la varietà del malware globale, che al momento è molto diversa a seconda dell'area geografica in cui si trovano gli utenti. Anche la diversità globale delle botnet è cambiata in modo significativo dallo scorso trimestre, laddove non è più in cima alla classifica mondiale. I tipi di minacce digitali che gli utenti si trovano ad affrontare variano a seconda di dove ci si trova e cosa si utilizza. È impossibile parlare di questo trimestre senza discutere di hacktivism, WikiLeaks e il gruppo di attivisti cibernetici Anonymous. Questo capitolo nell'azione politica può trasformarsi in uno degli eventi significativi del 20, con l'esposizione dei dati e l'attivismo che circonda entrambe le facce del problema. Indipendentemente dall'allineamento dell'azienda o dell'utente, il fenomeno dell'hacktivism e quello di WikiLeaks influenzeranno gli argomenti della perdita dei dati, della vulnerabilità dei dati e dell'attivismo politico per buona parte del tempo a venire. A parte WikiLeaks stesso, si sono verificate molte altre attività di hacktivist globali nel corso di questo trimestre. Allo stesso tempo, l'europa dell'est ha fatto enormi passi avanti nella lotta contro il crimine informatico. Alla fine del 20 il malware ha raggiunto i suoi livelli di crescita complessiva più elevati di tutti i tempi mantenendo una varietà notevole nelle categorie di malware che sono predominanti di trimestre in trimestre. Rivisiteremo alcuni dei vecchi "preferiti" come Koobface, antivirus fasulli, trojan passwordstealing e malware ad esecuzione automatica per controllare la loro attività più recente. McAfee Labs ha previsto alla fine del 20 che il 20 sarebbe stato un anno caratterizzato da exploit incentrati molto sui prodotti Adobe, e questa previsione si è senza dubbio dimostrata vera. Il software Adobe supera di molto quello di Microsoft come il preferito degli autori di exploit, che comunemente colpiscono Adobe Reader e i suoi plug-in basati su web. L'attività delle vulnerabilità e gli attacchi SQLinjection hanno portato con sé una o due sorprese in questo trimestre. McAfee Labs ha rilevato alcune modifiche nell'abuso di motori di ricerca e termini e dove alcuni di questi link conducono realmente. Le minacce informatiche e il cibercrime evolvono in nuove aree tanto velocemente quanto le aziende e i consumatori adottano le nuove tecnologie e interagiscono sempre più online nelle loro vite quotidiane. Poiché i criminali seguono il denaro e i dati, sarebbe poco realistico - e insensato - pensarla diversamente.
Report McAfee sulle minacce: quarto trimestre 20 Indice dei contenuti Le minacce mobile crescono rapidamente 4 La guida delle botnet passa di mano 6 Il malware raggiunge cifre record 7 I criminali stanchi dello spam? Le minacce web 12 Motori di ricerca, termini e nuovi elementi inaffidabili 14 Vulnerabilità e attacchi di rete 15 Attacchi SQL-Injection 16 Crimine informatico 17 Hacktivism 18 Azioni contro i criminali informatici 19 Informazioni sugli autori 20 I McAfee Labs 20 Informazioni su McAfee 20
Report McAfee sulle minacce: quarto trimestre 20 Le minacce mobile crescono rapidamente Le minacce contro le piattaforme mobile (principalmente gli smartphone) non sono una novità; tuttavia, i criminali informatici sembrano aver rinnovato il loro interesse per vari motivi. Come per molti crimini è una questione di opportunità, e i criminali informatici attualmente hanno una finestra di opportunità per sfruttare una varietà di piattaforme mobile. La maggior parte dei consumatori utilizza dispositivi mobile e tablet nella propria vita quotidiana e anche al lavoro. Le aziende devono ora supportare più dispositivi che mai, di fatto estendendo i propri firewall aziendali e servizi a luoghi per cui potrebbero non essere pronti. Negli ultimi anni McAfee Labs ha osservato una crescita costante nel numero delle minacce volte a colpire i dispositivi mobile. I numeri non possono raggiungere il volume assoluto del malware basato su PC, ma la crescita costante è esattamente la stessa. Crescita del malware mobile per trimestre 1.000 800 600 400 200 0 I TRIM. 20 III TRIM. 20 I TRIM. 20 III TRIM. 20 Figura 1: Il numero di nuovo malware mobile nel 20 è aumentato del 46% rispetto al 20. Il vettore delle minacce mostra un crescita continua. Le attività di ricerca e analisi di McAfee Labs rivelano che nonostante la maggior parte delle minacce siano centrate su determinate piattaforme, i criminali possono colpire qualsiasi piattaforma mobile desiderino. Minacce mobile per piattaforma, 20 20 Sistema operativo Symbian Java 2 Micro Edition Symbian S60 terza edizione Python Android WinCE MSIL VBS Figura 2: Il sistema operativo Symbian (utilizzato dagli smartphone Nokia) è la piattaforma più popolare tra gli sviluppatori di malware mobile. McAfee Labs ha identificato 188 nuove minacce negli ultimi due anni e 668 dal 2004. 4
Report McAfee sulle minacce: quarto trimestre 20 Alcune delle minacce mobile più interessanti di questo trimestre sono state SymbOS/Zitmo.A e Android/ Geinimi. Il primo è una minaccia di alto profilo che ha colpito all'inizio del trimestre. Era come se i criminali dietro la botnet Zeus stessero creando il loro spyware personale per acquisire i numeri di autenticazione delle transazioni finanziarie mobile (mtan) sui dispositivi mobile, come già fanno per i numeri TAN sul PC. Si è poi rivelato, tuttavia, che si limitavano a riproporre una vecchia versione di un pacchetto commerciale di spyware. Si tratta di uno scenario che avevamo previsto e descritto già nel 2007. Android/Geinimi è senza dubbio una delle minacce più importanti del trimestre. Si tratta di un Trojan inserito in applicazioni e giochi mobile legittimi (per esempio, MonkeyJump2 e Hardcore Dirt Bike) per la piattaforma Android. È stato scoperto in Cina ed è simile ad altro malware e botnet mobile di quell'area (come SymbOS/XMJTC, Yxe.A e worm "sexy") tranne che richiede agli utenti di installarlo sui loro telefoni. Questo trojan cerca di presentarsi come un'applicazione legittima utilizzando una chiave per firmare l'applicazione. La sottoscrizione, tuttavia, utilizza il certificato di test di default di una struttura di debug con il kit di sviluppo software (SDK) standard di Android e indica che l'autore del malware non si è sforzato molto. Per contro, gli autori della famiglia di worm SymbOS/XMJTC e dei suoi cugini di fatto hanno registrato dei certificati di sviluppatori per firmare il loro malware. Questi certificati sono sia tracciabili (ad una falsa identità) che revocabili (per proteggere gli utenti non infetti). L'aspetto di lavoro manuale potrebbe suggerire che Geinimi è un primo tentativo su una nuova piattaforma piuttosto che un malware raffinato creato da uno sviluppatore esperto di Android. Android/Geinimi ha una serie di URL hardcoded cifrati al proprio interno per raggiungere i server di comando delle botnet. Il malware dispone del codice per inviare le informazioni relative al telefono mobile, operatore di telefonia mobile e utente per controllare i server. Contiene codice per aggiornare l'elenco dei server e la chiave di cifratura. Il malware può anche scaricare software dai server dell'aggressore. Tuttavia, attualmente tutti i server sono inattivi. È improbabile che il malware possa mantenere una botnet attiva, almeno per ora. McAfee Labs prevede di assistere a maggiori sviluppi in questa categoria di minacce nel corso del 2011. 5
Report McAfee sulle minacce: quarto trimestre 20 La guida delle botnet passa di mano Lo scorso trimestre è stato il chiaro leader globale nell'attività delle botnet. In questo trimestre è risultato il più diffuso in molte parti del mondo, ma anche e hanno mostrato un'attività intensa. Brasile Australia Argentina Cina Germania Filippine Corea del sud Colombia Giappone Italia India Indonesia Russia Regno Unito Stati Uniti Spagna Figura 3: L'impatto delle botnet varia a seconda delle nazioni. è stato il leader assoluto di questo trimestre. 6
Report McAfee sulle minacce: quarto trimestre 20 Con l'adozione di così tante nuove piattaforme mobile, McAfee Labs prevede che le infezioni e la distribuzione delle botnet mireranno questi dispositivi. La mancanza di consapevolezza in ambito sicurezza tra gli utenti mobile e la relativa immaturità delle protezioni mobile offrono ai criminali informatici una significativa opportunità per perpetrare danni. Il malware raggiunge cifre record Il codice malevolo, nelle sue apparentemente infinite forme e obiettivi in continua espansione, è la minaccia più grande che McAfee Labs si trova a combattere quotidianamente. Abbiamo visto crescere le sue funzionalità ogni anno. Abbiamo visto aumentarne la sofisticatezza di anno in anno. Abbiamo visto evolvere ogni anno le piattaforme che colpisce con modi sempre più intelligenti per rubare i dati. Nel 20 McAfee Labs ha identificato oltre 20 milioni di nuovi elementi di malware. Stop. Ripetiamo questa cifra. Oltre 20 milioni di nuovi elementi di malware che hanno fatto la loro comparsa lo scorso anno significa che identifichiamo circa 55.000 minacce malware ogni giorno. Questa cifra è in aumento rispetto al 20. Ma anche rispetto al 2008 e pure al 2007. Dei quasi 55 milioni di elementi di malware che McAfee Labs ha identificato e per cui ha offerto protezione, il 36% era stato scritto nel 20! Entriamo nel dettaglio di alcuni dei numeri e delle categorie diffuse di malware. N. complessivo campioni di malware nel database 60.000.000 50.000.000 40.000.000 30.000.000 20.000.000.000.000 0 Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Figura 4: Conteggio totale di malware unico (varianti incluse) nel database di McAfee Labs. Come la tabella precedente mostra chiaramente, l'offensiva del malware, specialmente negli ultimi tre anni, sembra non avere fine. Resta da vedere come la proliferazione dei dispositivi palmari e che utilizzano indirizzi IP influenzerà questa crescita, ma l'aumento non sembra destinato a diminuire. Che dire delle dei generi più richiesti del malware? Nelle tabelle seguenti possiamo vedere che il malware ad esecuzione automatica ha mostrato una crescita recente, mentre gli alert fasulli (software di sicurezza fasulli) sono stazionari e i trojan password-stealing sono scesi a partire dal picco di maggio di quest'anno. Koobface ha fatto registrare un picco nell'attività verso la fine di questo trimestre, sebbene rimanga indietro rispetto ai numeri della prima metà dell'anno. (Per saperne di più del software di sicurezza fasullo, consultare il report recente di François Paget, ricercatore senior di McAfee Labs. 1 ) 1. "Preoccupazione in aumento: i software di sicurezza contraffatti rastrellano denaro in tutto il mondo", McAfee Labs. http://www.mcafee.com/it/resources/white-papers/wp-running-scared-fake-security-software.pdf 7
Report McAfee sulle minacce: quarto trimestre 20 Campioni unici di AutoRun individuati 700.000 600.000 500.000 400.000 300.000 200.000 0.000 0 Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Figura 5: Il numero di worm ad esecuzione automatica sta lentamente aumentando ancora rispetto al trimestre precedente. Campioni unici di allarmi fasulli individuati 450.000 400.000 350.000 300.000 250.000 200.000 150.000 0.000 50.000 0 Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Figura 6: I campioni di software di sicurezza fasulli sono rimasti costanti per la maggior parte dell'anno. Campioni unici di Password Stealer individuati 400.000 350.000 300.000 250.000 200.000 150.000 0.000 50.000 0 Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Figura 7: I trojan password-stealing colpiscono principalmente i dati dei conti bancari delle vittime. 8
Report McAfee sulle minacce: quarto trimestre 20 Campioni unici di Koobface individuati 30.000 25.000 20.000 15.000.000 5.000 0 Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Gen Feb Mar Apr Mag Giu Lug Ago Sett Ott Nov Dic Figura 8: Il conteggio delle nuove varianti di Koobface che attaccano gli utenti di Facebook è aumentato leggermente a dicembre dopo una seconda metà dell'anno relativamente piatta. Negli ultimi trimestri le principali minacce malware sono state più o meno le stesse in tutto il mondo, il che significa che le principali minacce malware nel Nord America sono state generalmente le stesse in Sud America o in Asia. Questo trimestre è molto diverso nelle varie aree geografiche. Questa differenza è parte del trend più ampio che vede ora le minacce tendere a corrispondere alle tipologie di utenti, abitudini ed eventi che sono specifici di una regione. Ciò ha senso quando facciamo un passo indietro rispetto ai dati e ci pensiamo: gli utenti hanno simpatie ed antipatie che sono culturalmente e geograficamente specifiche. I criminali informatici ne sono consapevoli; perciò rileviamo minacce molto diverse in aree geografiche differenti. Nel complesso i virus tradizionali hanno dato una dimostrazione di forza in questo trimestre. Ramnit, con alcune varianti, è stato il leader globale. I "favoriti" generic!atr (malware ad esecuzione automatica), trojan bancari e downloader (alcune volte denominati PWS o generic.dx), oltre a exploit web come StartPage e exploit-ms04-028, sono stati i più diffusi. Anche l'adware e varie minacce rivolte ai programmi di messenger hanno mostrato segni di attività malevola. Posizione Top 5 globale del malware 1 W32/Ramnit.a 2 Generic!atr 3 W32/Ramnit.a!htm 4 Exploit-MS04-028 5 Generic StartPage Posizione Nord America 1 W32/Ramnit.a 2 Exploit-MS04-028 3 Generic!atr 4 W32/Ramnit.a!htm 5 Adware-OneStep.n Posizione Europa 1 W32/Ramnit!htm 2 Generic!atr 3 W32/Ramnit.a 4 Adware-OneStep.n 5 Generic PWS.o Posizione Sud America 1 PWS-Banker!goj 2 Generic!atr 3 Downloader-CEW 4 W32/Jahlover.worm.gen 5 MessengerPlus Posizione Africa 1 Generic!atr 2 W32/Rontokbro.b@MM 3 Generic PWS.y!bfi 4 Generic.dx!cyf 5 W32/Rontokbro.gen@MM 9
Report McAfee sulle minacce: quarto trimestre 20 Posizione Asia 1 Generic StartPage 2 Generic!atr 3 Generic.dx 4 W32/Rontokbro.gen@MM 5 W32/HLLP.Philis.remnants Posizione Australia 1 Uploader-R 2 Generic.dx!vhp 3 VBS/FWBypass 4 Generic.dx 5 Generic VB.c I criminali stanchi dello spam? In questo trimestre i volumi dello spam hanno raggiunto il loro punto più basso fin dal primo trimestre del 2007, quasi quattro anni fa. Inoltre, lo spam ha rappresentato in questo periodo solo l'80% del traffico e-mail complessivo, la cifra più bassa fin dal terzo trimestre del 2006, quando il traffico totale dello spam stava iniziando un aumento meteorico che avrebbe raggiunto il picco tre anni più tardi. Dal suo momento di picco, i volumi dello spam sono scesi del 70%, cifra ancora più bassa di quella raggiunta dopo la chiusura di McColo, uno dei principali fornitori di hosting per spammer, nel Novembre 2008. Il volume di questo trimestre è sceso del 47% rispetto al trimestre precedente e di più del 62% dall'inizio del 20. Una quota significativa del crollo si è verificato nelle ultime sei settimane dell'anno. Volume complessivo dello spam (in miliardi di messaggi al mese) 200 180 160 140 120 0 80 60 40 20 0 I TRIM. 2007 II TRIM. 2007 III TRIM. 2007 IV TRIM. 2007 I TRIM. 2008 II TRIM. 2008 III TRIM. 2008 IV TRIM. 2008 I TRIM. 20 II TRIM. 20 III TRIM. 20 IV TRIM. 20 I TRIM. 20 II TRIM. III TRIM. 20 20 IV TRIM. 20 Figura 9: Il volume dello spam, misurato per numero medio di messaggi al giorno, è caduto precipitosamente negli ultimi due trimestri, raggiungendo livelli che non si vedevano dal 2007. Abbiamo assistito a varie chiusure significative di spammer nel corso dell'anno. Spamit, un famoso spammer responsabile di grandi volumi di messaggi relativi a medicinali, ha chiuso a settembre. In ottobre abbiamo saputo che la botnet Bredolab è stata chiusa insieme a parti della botnet Zeus (sebbene questa rete sia ancora prospera), mentre a marzo ha chiuso i battenti la botnet Mariposa. Quest'anno le vacanze natalizie hanno portato un altro regalo agli utenti dal momento che lo spam in arrivo dalle botnet, e Xarvester non si è arrestato. Abbiamo notato una rinascita della botnet Waledac durante le vacanze del nuovo anno; era coinvolto in una campagna di cartoline elettroniche spam che in breve tempo sono ammontate a una ogni 1.000 messaggi di spam. Nondimeno, le botnet e attualmente siedono sul trono dei re dello spam. Significa quindi che la fine dello spam da tempo prevista da Bill Gates è finalmente arrivata? Difficile! Sembra siamo in un periodo di transizione, con alcune delle principale botnet in letargo, durante un periodo dell'anno in cui i volumi dello spam sono solitamente in aumento. Tipicamente nel primo trimestre dell'anno i volumi dello spam sono in calo; ma considerando il livello relativamente basso raggiunto ora, è difficile credere che possano diminuire ulteriormente. Riorganizzazione e probabilmente qualche consolidamento nel settore delle botnet nei mesi a venire porteranno probabilmente a una risalita dei volumi dello spam.
Report McAfee sulle minacce: quarto trimestre 20 Argentina Australia Brasile Cina per adulti Opportunità di lavoro Newsletter Newsletter Orologi per adulti Virus Azioni per adulti Opportunità di lavoro Diplomi Colombia Corea del sud Francia Germania per adulti Orologi Orologi Diplomi Oroscopi per adulti Diplomi Indonesia India Italia Regno Unito per adulti Opportunità di lavoro per adulti Casinos Offerte di credito Oroscopi Diplomi Russia Spagna Stati Uniti Vietnam Products per adulti per adulti Virus Offerte di credito Diplomi Offerte di credito per adulti Virus Orologi Figura : Gli oggetti dello spam variano considerevolmente tra le nazioni. Questi grafici mostrano la frequenza relativa dei principali argomenti che hanno origine all'interno di ciascuna nazione. Questi oggetti non rappresentano il traffico spam nella sua totalità, solo i più popolari. I DNS (Delivery Status Notification ovvero notifica dello stato di consegna) sono messaggi contraffatti che comunicano che l'e-mail non ha raggiunto il destinatario. 11
Report McAfee sulle minacce: quarto trimestre 20 Minacce web Durante questo trimestre, vari nuovi exploit hanno fatto la loro apparizione sul web. Continuiamo ad osservare del malware che segue un percorso simile a quello di Conficker per accedere ad un'ampia gamma di domini casuali - domini legittimi che vengono utilizzati per inviare messaggi, domini malevoli che aspettano che il malware "telefoni a casa", e la maggior parte dei domini non disponibili. La tattica del malware è quella di nascondere i domini phone-home reali come un ago nel pagliaio. Il numero di domini potenzialmente malevoli è cresciuto molto rapidamente nel corso di questo trimestre, come il numero degli URL malevoli - le attività di hosting come il downloading "phone home" e strumenti per il furto dei dati, un faro, un anonymizer utilizzato solo a fini malevoli, o un URL di reindirizzamento per dirottare una vittima verso un payload, per esempio. Per contro, McAfee Labs ha osservato che il sunto mensile complessivo degli URL che erano attivi (come servire exploit dei browser o ospitare download malevoli) rifletteva un tasso di crescita più modesto. Alcune delle minacce più attive dell'ultimo trimestre, tra cui Zeus-Murofet, Conficker e Koobface, sono riemerse unitamente al numero di siti di exploit drive-by. Nuovi siti di malware al giorno 4.000 3.500 3.000 2.500 2.000 1.500 1.000 500 0 1 OTT 8 OTT 15 OTT 22 OTT 29 OTT 5 NOV 12 NOV 19 NOV 26 NOV 5 DIC 12 DIC 19 DIC 26 DIC 31 DIC Figura 11: Conficker, Koobface e Zeus - mamma mia! Tracciando le varie famiglie di malware in evoluzione e le attività di reverse engineering di possibili sedi "phone home" siamo giunti ad una serie di nuovi URL malevoli. URL malevoli attivi 0.000 80.000 60.000 40.000 1 LUG 1 AGO 1 SETT 1 OTT 1 NOV 1 DIC 1 GEN Download malevoli Exploit del browser Figura 12: Tra gli URL attivi, abbiamo osservato una crescita evidente di siti che ospitano payload malevoli, mentre l'aumento dei siti che ospitano exploit di browser è risultata stabile. 12
Report McAfee sulle minacce: quarto trimestre 20 Nuovi URL con attiva reputazione per giorno 350.000 300.000 250.000 200.000 150.000 0.000 50.000 0 1 OTT 8 OTT 15 OTT 22 OTT 29 OTT 5 NOV 12 NOV 19 NOV 26 NOV 5 DIC 12 DIC 19 DIC 26 DIC 31 DIC Figura 13: Ad ottobre abbiamo osservato una quantità significativa di domini, indirizzi IP e URL che sono stati riservati per possibili comunicazioni malevoli. Il picco moderato alla fine di dicembre si è verificato a causa dell'utilizzo di tecniche fastflux per nascondere il phishing e altri trend di crawling. Sebbene gli URL di phishing siano diminuiti in questo trimestre rispetto ai tre mesi precedenti, sono rimasti molto elevati rispetto ad un anno fa. Abbiamo osservato l'inizio di vari attacchi IRS e la continua espansione nelle aree redditizie delle carte regalo, account premio e account di social networking. Nuovi siti di phishing al giorno 20.000 18.000 16.000 14.000 12.000.000 8.000 6.000 4.000 2.000 0 1 LUG 15 LUG 29 LUG 12 AGO 26 AGO 9 SETT 23 SETT 7 OTT 21 OTT 4 NOV 18 NOV 2 DIC 16 DIC 30 DIC Figura 14: L'apparizione di nuovi URL di phishing è aumentata in modo significativo nel 20. Il trimestre più recente ha visto un lieve calo rispetto al trimestre precedente. Poiché sempre più utenti accedono a Internet da una gamma di dispositivi sempre più ampia, questi tipi di minacce basate su web continueranno a crescere in dimensioni e sofisticazione. Non ha importanza quale supporto hardware gli utenti scelgono per navigare - computer, tablet, smartphone o dispositivi di Internet TV - tutti portano a Internet. 13
Report McAfee sulle minacce: quarto trimestre 20 Motori di ricerca, termini e nuovi elementi inaffidabili I criminali informatici e i truffatori continuano ad abusare dei servizi cloud. I termini di ricerca e i trend rappresentano da tempo un richiamo facilmente sfruttabile per una varietà d'attacchi. Ogni trimestre è diverso relativamente a quali termini, trend e parole chiave vengono abusati e "avvelenati"; in questo trimestre, i termini sportivi si sono posizionati in cima all'elenco, mentre celebrità e termini relativi al tempo erano tra i più "avvelenati". La seguente istantanea del cloud mostra la Top 0 dei termini di ricerca avvelenati del trimestre: Abbiamo trovato che all'interno dei 0 principali risultati il 51% dei principali termini di ricerca quotidiani portavano a siti malevoli e in media ognuna di queste pagine conteneva più di cinque link malevoli. Di quelle avvelenate, quasi il 5% includeva un link malevolo nei primi risultati da soli. Chiaramente il cloud rimane un metodo popolare per condurre utenti di qualsiasi tipo verso siti pericolosi. Questo trend continuerà sicuramente poiché sempre più utenti adottano dispositivi non Windows e non tradizionali come la Internet TV. McAfee Labs prevede che gli attacchi utilizzino le tecniche di abuso dei motori di ricerca e dei trend per focalizzarsi in modo più specifico su queste tipologie di utenti e dispositivi nel nuovo anno. Durante la nostra analisi dei dati di questo trimestre, abbiamo scoperto un cambiamento rispetto a dove molti di questi link malevoli conducevano. I criminali informatici e i truffatori hanno utilizzato a lungo i prodotti di sicurezza fasulli - noti come antivirus fasulli o inaffidabili - per ingannare gli utenti e sottrargli denaro. Dopo aver infettato le macchine, questi programmi presentano risultati fasulli o "scansioni di sicurezza" fasulle per imbrogliare le vittime e spingerle a comprare i prodotti. Tuttavia, abbiamo notato un nuovo trend di sviluppo. Le applicazioni inaffidabili stanno evolvendo da prodotti di sicurezza verso utilità di sistema e disco. Come si evince dalle seguenti schermate, la metodologia è la stessa: presentare alle vittime risultati fasulli, orribili per spingerli ad acquistare prodotti che promettono di risolvere problemi che non esistono realmente. 14
Report McAfee sulle minacce: quarto trimestre 20 Vedremo se i sistemi fasulli e i programmi di utilità del disco sostituiranno gli antivirus fasulli come una delle prime fonti del flusso di cassa dei criminali informatici. In ogni caso, McAfee Labs si focalizzerà sicuramente sul combattere questo nuovo trend. Vulnerabilità e attacchi di rete McAfee Labs ha previsto nel 20 che le vulnerabilità nei prodotti Adobe sarebbero diventate la chiara scelta per gli autori di malware e criminali informatici per distribuire malware e compromettere sistemi e reti. Questa previsione si è dimostrata vera. Nel corso del 20 gli sviluppatori di malware hanno sfruttato i punti di debolezza nelle tecnologie Flash e in particolare PDF. Il nostro database del malware rivela che i documenti Adobe PDF hanno superato il numero di campioni unici con un ampio margine, rendendoli gli obiettivi preferiti dello sfruttamento lato client. 15
Report McAfee sulle minacce: quarto trimestre 20 Le vulnerabilità nei prodotti Adobe superano quelle di Microsoft Office Adobe Acrobat e Reader Microsoft Office Figura 15: Nel 20, McAfee Labs ha contato 214.992 elementi di malware rivolti alle vulnerabilità in Adobe Acrobat e Reader. Per contro, solo 2.227 malware hanno attaccato le vulnerabilità presenti nei prodotti Microsoft Office. McAfee Labs è sicura che la tendenza a colpire le applicazioni Adobe continuerà quest'anno, poiché sempre più dispositivi mobile e sistemi operativi non Microsoft supportano varie tecnologie Adobe. Di seguito un breve elenco di vulnerabilità ragguardevoli apparse questo trimestre: CVE-20-3962. Uninitialized Memory Corruption Vulnerability (vulnerabilità di corruzione della memoria non inizializzata): Questa vulnerabilità zero-day è stata sfruttata da malware in the wild. La vulnerabilità riguarda Internet Explorer Versioni 6, 7 e 8 e può essere sfruttata correttamente. Abilitare progetti di protezione della memoria come prevenire l'esecuzione dei dati può consentire di mitigare questo exploit. CVE-20-3971. Microsoft Internet Explorer CSS Parsing Remote Code Execution Vulnerability (vulnerabilità di esecuzione di codice remoto CSS Parsing di Microsoft Internet Explorer): Questa vulnerabilità è stata scoperta e pubblicata in un forum di discussione sulle vulnerabilità cinese. Inizialmente, è stata elencata come una vulnerabilità denial of service, ma in seguito si è dimostrata sfruttabile con informazioni disponibili pubblicamente. Da allora, McAfee Labs ha tracciato alcuni casi di sfruttamento di questo problema in the wild. Al momento della stesura di questo report, non era ancora stata rilasciata una patch per questa vulnerabilità. Gli attacchi che utilizzano questo problema sono diffusi; consigliamo a tutti gli utenti di mantenere aggiornato il software di sicurezza per bloccare questa vulnerabilità. CVE-20-3654. Adobe Acrobat, Reader and Flash Player Remote code execution vulnerability (vulnerabilità di esecuzione di codice remoto in Adobe Acrobat, Reader e Flash Player): Un'altra vulnerabilità zero-day è stata sfruttata in the wild, questa volta vari prodotti Adobe si sono rivelati vulnerabili su Windows, Mac OS X, Solaris, Android e Linux. 2 McAfee Labs consiglia a tutti gli utenti interessati di implementare immediatamente le patch relative. Attacchi SQL-Injection Cina e Stati Uniti continuano ad essere le fonti principali per gli attacchi SQL. Questo trimestre vede ancora la Cina quale la fonte numero uno degli attacchi, con gli Stati Uniti al secondo posto e l'iran che sale al terzo posto, un aumento di dieci volte. Principalmente utilizzati per accedere a database di vario tipo, gli attacchi SQL-injection solitamente rappresentano una gamma sofisticata di attacchi con un aggressore determinato. 2. Maggiori dettagli e informazioni sulle patch sono disponibili all'indirizzo http://www.adobe.com/support/security/advisories/apsa-05.html 16
Report McAfee sulle minacce: quarto trimestre 20 Fonti di attacchi SQL-injection Cina Stati Uniti Iran Germania Vietnam Repubblica Ceca Ucraina Russia Brasile Indonesia Spagna Figura 16: Cina e Stati Uniti sono seguiti nella Top di questo trimestre sorprendentemente dall'iran, un salto di varie posizioni rispetto al trimestre precedente. Crimine informatico L'abuso dei social network può assumere varie forme. Gli utenti sono centinaia di milioni, perciò sono un obiettivo logico per le attività dei criminali informatici. Gli account dei social network possono essere abusati in molti modi. La creazione di account nei forum, per esempio, aiuta nelle attività di sponsorizzazione o spamming. Questi account possono essere utilizzati per inviare spam, link di phishing, link a prodotti o servizi fasulli o anche download malevoli. I prezzi per fornire account fasulli variano in base alla qualità dell'account. Gli account più costosi vengono solitamente verificati (dopo un testo del telefono o un SMS di conferma). Account offerti Facebook YouTube Yahoo Gmail Hotmail Twitter MySpace Hushmail AOL Numero di account e prezzi in dollari USD Base: Varie immagini: 0/15 dollari USD 250/35 dollari USD 500/65 dollari USD 1.000/20 dollari USD Base: 0/12 dollari USD 250/30 dollari USD 500/60 dollari USD 1.000/120 dollari USD 0/3 dollari USD 500/8 dollari USD 1.000/15 dollari USD Base: 0/20 dollari USD 250/40 dollari USD 500/65 dollari USD 1.000/120 dollari USD Base: 500/ dollari USD 1.000/15 dollari USD 5.000/65 dollari USD.000/120 dollari USD 0/15 dollari USD 250/35 dollari USD 500/ dollari USD 1.000/20 dollari USD 0/22 dollari USD 250/55 dollari USD 500/0 dollari USD 1.000/190 dollari USD Verificati: 20/40 dollari USD 50/0 dollari USD 0/200 dollari USD 250/500 dollari USD Verificati: 0/45 dollari USD 250/0 dollari USD 500/190 dollari USD 1.000/350 dollari USD 5.000/50 dollari USD.000/0 dollari USD Verificati: 0/30 dollari USD 250/75 dollari USD 500/115 dollari USD 1.000/1290 dollari USD Verificati: 500/15 dollari USD 1.000/20 dollari USD 5.000/80 dollari USD.000/150 dollari USD 500/65 dollari USD 1.000/0 dollari USD 5.000/90 dollari USD.000/160 dollari USD 17
Report McAfee sulle minacce: quarto trimestre 20 Vengono forniti anche servizi qualora gli utenti abbiano bisogno di incrementare la dimensione dei propri fan club o elenchi di amici: Offerte Like/fan di Facebook per una pagina fan Abbonati e punteggi YouTube Prezzi 1.000 fan a livello mondiale: 50 dollari USD 0 abbonati e punteggi: 7 dollari USD 200 abbonati e punteggi: 16 dollari USD 300 abbonati e punteggi: 23 dollari USD 500 abbonati e punteggi: 38 dollari USD Questo trimestre, tre kit di exploit di crimeware hanno conquistato i titoli dei giornali. Questi toolkit possono essere utilizzati per creare reti di botnet tramite una serie di exploit precompilati per sfruttare le vulnerabilità software. Nome del crimeware Prezzi Descrizione Blackhole v1.0.0 beta Licenza Annuale: 1.500 dollari USD Nuovo kit di exploit sviluppato in Russia con Traffic Direct System incorporato, modulo auto-difensivo e widget avanzati per le statistiche Metà anno: 1.000 dollari USD 3 mesi: 700 dollari USD Phoenix v2.4 Il kit Phoenix Exploits ha fatto la sua prima apparizione nel 2007 e viene aggiornato regolamente. Tra circa 16 exploit, 8 sono del 20: Adobe Reader LibTiff: CVE-20-0188 Ieepers di Internet Explorer: CVE-20-0806 Java getvalue: CVE-20-0840 Java SMB/JDT: CVE-20-0886 Adobe PDF SWF: CVE-20-1297 QuickTime: CVE-20-1818 Windows Help Center: CVE-20-1885 PDF Font: CVE-20-2883 Eleonore v1.6 e v1.6.2 2.000 dollari USD (con possibili sconti per il nuovo anno) Una nuova versione è stata annunciata nel 20. Sei su exploit sono del 20: Iepeers di Internet Explorer: CVE-20-0806 Java getvalue: CVE-20-0840 Java SMB/JDT: CVE-20-0886 JDT: CVE-20-1423 Windows Help Center: CVE-20-1885 PDF Font: CVE-20-2883 Hacktivism Il principale attore nel campo politico questo trimestre è stato il gruppo di attivisti "Anonymous". I suoi membri sono stati coinvolti in varie dimostrazioni cibernetiche contro i gruppi di protezione del copyright all'inizio del trimestre e contro i censori e i detrattori di WikiLeaks verso la fine del trimestre. Durante questo periodo, si sono verificati anche molti altri eventi degni di nota. In alcuni di questi esempi possiamo presumere una certa forma di supporto da parte delle aree geografiche o nazioni in cui le attività degli attivisti hanno avuto origine. Il confine tra hactivism e guerra informatica continua ad assottigliarsi. 18
Report McAfee sulle minacce: quarto trimestre 20 Nazione/obiettivo Data Descrizione Tutto il mondo Ottobre-Novembre Il gruppo di attivisti Anonymous ha lanciato vari importanti attacchi DDoS (Distributed Denial of Service) contro i siti web di società di protezione del copyright e industrie di film per adulti: SGAE (Agenzia spagnola) 3 Hadopi (Agenzia governativa francese) Hustler (leader nei video porno) 4 Recording Industry Association of America (Associazione Americana dell'industria Discografica) 5 Survival International (protegge le tribù indigene) Ottobre Un attacco DDos si è verificato una settimana dopo che Survival aveva segnalato un video scioccante di soldati indonesiani che torturavano persone di una tribù papuana, e quattro settimane dopo aver chiesto ai turisti di boicottare il Botswana per la persecuzione di lungo corso contro la popolazione Bushmen del deserto del Kalahari. Dissidenti vietnamiti Ottobre Mentre in Vietnam misure restrittive della polizia hanno colpito i blogger che criticavano il governo, con oltre 15.000 computer infetti coinvolti in vari attacchi DDoS contro i loro siti 6 Cina/Corea del Sud Ottobre Il servizio nazionale di intelligence della Corea del Sud ha annunciato che hacker cinesi hanno sottratto informazioni confidenziali dal servizio degli esteri e ufficiali di sicurezza attraverso e-mail che pretendevano di arrivare da parte della Blue House (la residenza del presidente) o di diplomatici all'estero 7 Myanmar (Birmania) Novembre Prima delle sue elezioni veramente reali in oltre 20 anni, i principali servizi Internet del Myanmar sono stati colpiti da un incredibile attacco DDoS che ha interrotto il servizio in tutta la nazione. 8 Le motivazioni dell'attacco sono sconosciute, ma molti accusano il governo del Myanmar di voler isolare la nazione prima delle elezioni del 7 novembre. La diaspora tibetana Novembre Phayul.com, un importante portale di notizie della diaspora tibetana, è stato colpito - forse da hacker cinesi - da un attacco DDoS che ha rallentato e in alcuni casi reso inaccessibile il sito WikiLeaks Novembre-Dicembre La divulgazione da parte di WikiLeaks di oltre 250.000 cablogrammi di diplomatici del dipartimento di stato degli Stati Uniti ha sconvolto molte persone. WikiLeaks e i suoi sostenitori e detrattori sono stati vittime di vari attacchi DDoS da parte di persone che sostengono una delle due fazioni. Azioni contro i criminali informatici Malgrado le nazioni dell'europa dell'est spesso vengano criticate per il loro lassismo, il Ministro degli Interni russo ha deciso di agire contro varie organizzazioni di criminali informatici: Nazione Russia Paesi Bassi, Armenia Stati Uniti Descrizione La polizia ha smantellato un gruppo criminale internazionale di almeno 50 sospetti (Russi, Ucraini e Armeni) accusati di aver rubato oltre 20 milioni di rubli da 17 banche russe tra il gennaio e il luglio 20 Procedimento penale depositato contro Igor Gusev, un uomo d'affari elencato come il principale spammer del mondo. È accusato di essere a capo dei siti web di affiliazione Glavmed/Spamit, che pagavano gli spammer per promuovere medicinali online e pastiglie per migliorare le prestazioni sessuali 9 Arrestati membri di un gruppo criminale responsabile di aver infettato bancomat con un virus informatico. Il leader della gang ricercò i servizi di un hacker attraverso un forum Internet internazionale per personalizzare il malware. Il lavoro è costato alla gang 0.000 rubli (circa 2.400 euro) L'High Tech Crime Team della squadra contro il crimine nazionale olandese ha chiuso la botnet Bredolab, che conteneva almeno 30 milioni di computer in tutto il mondo infettati dal luglio 20. Le autorità armene hanno arrestato un uomo di 27 anni sospettato di guidare e affittare la botnet. Operazione nei nostri siti 2.0: Il National Intellectual Property Rights Center (Centro nazionale per i diritti della proprietà intellettuale) ha sequestrato 82 domini che vendevano beni contraffatti. Lin Mun Poo, un cittadino malese, è stato arrestato dopo un incontro con un "carder" (un agente sotto copertura dei Servizi Segreti degli Stati Uniti) che gli ha offerto 1.000 dollari in contanti per 30 numeri di carte di credito e debito attive. Al momento del suo arresto, Poo era in possesso di 400.000 numeri di carte di credito e debito rubate. 11 Un giovane uomo russo è stato arrestato a Las Vegas. Secondo una deposizione giurata dell'fbi, era a capo della botnet Mega-D, che veniva utilizzata per campagne di spam. 12 3. http://www.infosecurity-magazine.com/view/13056/anonymous-cyberprotest-group-stages-ddos-attack-on-spains-copyright-society/ 4. http://www.myce.com/news/anonymous-calls-off-hadopi-attack-targets-hustler-35675/ 5. http://www.app.com/article/2012/news06/12049/cyber-group-hacks-recording-industry-group-s-site-in-response-to-limewire-shutdown 6. http://www.whec.com/article/stories/s1812949.shtml?cat=077 7. http://joongangdaily.joins.com/article/view.asp?aid=2927242 8. http://www.mmtimes.com/20/news/547/news54716.html 9. http://www.nytimes.com/20//27/business/27spam.html. http://news.hostexploit.com/cybercrime-news/4686-russian-gang-used-customized-virus-bought-from-hacker-forum-on-atms.html 11. http://garwarner.blogspot.com/20/11/lin-mun-poo-hacker-of-federal-reserve.html 12. http://www.v3.co.uk/v3/news/2273647/fbi-botnet-spam-nikolaenko 19
Report McAfee sulle minacce: quarto trimestre 20 Informazioni sugli autori Questo report è stato preparato redatto da Pedro Bueno, Toralv Dirro, Paula Greve, Rahul Kashyap, David Marcus, Sam Masiello, François Paget, Craig Schmugar, Jimmy Shah e Adam Wosotowsky di McAfee Labs. Informazioni su McAfee Labs McAfee Labs è il gruppo di ricerca globale di McAfee. Con l'unica organizzazione di ricerca focalizzata su tutti i vettori di minaccia, ovvero malware, web, e-mail, rete e vulnerabilità, McAfee Labs raccoglie l'intelligence dai propri milioni di sensori e dal suo servizio McAfee Global Threat Intelligence basato su cloud. I 350 ricercatori pluridisciplinari di McAfee Labs in 30 nazioni seguono la gamma completa di minacce in tempo reale, identificando le vulnerabilità delle applicazioni, analizzando e correlando i rischi e attivando rimedi immediati per proteggere aziende e consumatori. Informazioni su McAfee Con sede principale a Santa Clara, California, McAfee è la principale azienda focalizzata sulle tecnologie di sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi e reti in tutto il mondo, consentendo agli utenti di collegarsi a Internet, navigare ed effettuare acquisti sul web in modo sicuro. Supportata dal suo ineguagliato servizio di Global Threat intelligence, McAfee crea prodotti innovativi destinati a utenti consumer, aziende, pubblica amministrazione e service provider che necessitano di conformarsi alle normative, proteggere i dati, prevenire le interruzioni dell'attività, individuare le vulnerabilità e monitorare e migliorare costantemente la propria sicurezza. McAfee protegge il tuo mondo digitale. www.mcafee.com/it McAfee Srl via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.mcafee.com/it Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e a vantaggio dei clienti di McAfee. Le informazioni qui contenute possono essere modificate senza preavviso, e vengono fornite "come sono", senza garanzia o assicurazione relativamente all'accuratezza o applicabilità delle informazioni a situazioni o circostanze specifiche. McAfee, il logo McAfee e McAfee Labs sono marchi registrati o marchi di McAfee o sue affiliate negli Stati Uniti e in altre nazioni. nomi e marchi possono essere proprietà di terzi. 2011 McAfee. Tutti i diritti riservati. 20000rpt_quarterly-threat-q1_0111_ETMG