Minacce evasive, effetti pervasivi


Report semestrale sulla sicurezza 2019
Minacce
evasive,
effetti
pervasivi

. . .

SCARICA IL
RAPPORTO COMPLETO

I primi sei mesi del 2019 hanno visto le organizzazioni fare i conti con un'ampia serie di nuove minacce in arrivo e, questione ancora più urgente, affrontare le minacce che erano già riuscite a entrare nei sistemi. Tra i malware, i più pervasivi sono stati quelli di tipo “LotL (Living off the Land)” o che traggono vantaggio da strumenti legittimi e approvati per eseguire azioni dannose. Il ransomware, una vecchia minaccia, ha preso di mira nuovi bersagli specifici. Il phishing, un altro pericolo perenne, ha usato nuove piattaforme per intrappolare le proprie vittime. Inoltre, il numero di vulnerabilità ad alto impatto scoperte ha destato preoccupazione e sottolineato la necessità di una migliore compressione dei rischi nel mondo reale affrontati dai sistemi aziendali.

Il nostro rapporto semestrale sulla sicurezza evidenzia queste e altre minacce che hanno lasciato il segno nella prima metà del 2019 e fornisce informazioni approfondite per aiutare utenti e organizzazioni a determinare le giuste soluzioni e le strategie di difesa per affrontarle.

. . .



02

Ransomware

Ransomware

Eventi degni di nota

Nella prima metà del 2019, il cyber criminali sono stati più selettivi in termini di bersagli per il ransomware, concentrandosi principalmente su multinazionali, imprese e persino organizzazioni governative. Il modus operandi prevedeva l'invio ai dipendenti di email di phishing personalizzate, sfruttando falle nella sicurezza per ottenere l'accesso alla rete e quindi muovendosi lateralmente al suo interno.

Il ransomware LockerGoga, ad esempio, ha colpito un'azienda manifatturiera norvegese, fermando la produzione in alcuni dei loro stabilimenti a marzo, con perdite finanziare finali pari a oltre 55 milioni di USD. La città di Baltimore, Maryland, ha sostenuto spese per 5,3 milioni di dollari per il ripristino dei propri sistemi, infettati dal ransomware RobbinHood in maggio.

Alcune organizzazioni municipali sono state evidentemente spinte a pagare semplicemente il riscatto, sperando in un ripristino veloce dei sistemi colpiti, utilizzati per i servizi pubblici. In particolare, tre comuni della Florida sono stati colpiti da attacchi ransomware separati nel corso di alcune settimane: Riviera Beach, da una versione non identificata del ransomware, Lake City e Key Biscayne, entrambe dal famigerato ransomware Ryuk.


  • Riviera Beach
    600.000 dollari29 maggio

  • Lake City
    460.000 dollari10 giugno

  • Key Biscayne
    Nessun pagamento segnalato23 giugno

Questi attacchi di alto profilo e ad alto rendimento erano il linea con il forte aumento dei nostri rilevamenti totali di ransomware dalla seconda metà del 2018 alla prima metà del 2019, sebbene l numero di nuove famiglie di ransomware sia diminuito.

77% Rilevamenti totali di ransomware rispetto alla seconda metà del 2018
55% di nuove famiglie di ransomware rispetto alla seconda metà del 2018

Routine complesse

Abbiamo inoltre riscontrato delle routine distruttive al di là della crittografia dei file. Alcune versioni di ransomware, compresi gli esempi di seguito, erano progettate con funzioni speciali per ridurre le possibilità di recupero di file e sistemi da parte delle vittime.

  • Ryuk
    - Arriva attraverso la posta indesiderata

    - Può rendere i sistemi infettati impossibili da avviare
  • LockerGoga
    - Arriva attraverso credenziali compromesse

    - Modifica le password degli account utenti dei sistemi infettati, impedisce il riavvio dei sistemi infettati
  • RobbinHood
    - Arriva attraverso desktop remoti non protetti o trojan

    - Crittografa ciascun file con una chiave univoca
  • BitPaymer
    - Arriva attraverso account ed email compromessi contenenti Dridex

    - Sfrutta lo strumento PsExec
  • MegaCortex
    - Arriva attraverso controller compromessi

    - Disabilita determinati processi
  • Nozelesn
    - Arriva attraverso la posta indesiderata

    - Il suo downloader trojan, Nymaim, utilizza tecniche fileless per caricare il ransomware.

I nostri dati hanno dimostrato che diverse famiglie di ransomware erano attive nella prima metà dell'anno. Ma il famigerato WannaCry è rimasta la famiglia di ransomware più rilevata, con numeri che superano notevolmente quelli delle altre famiglie di ransomware combinati.

Confronto mensile tra i rilevamenti di WannaCry e i rilevamenti combinati delle altre famiglie di ransomware nella prima metà del 2019

. . .


03

Minacce del tipo
‘LotL (living off the land)’

Minacce del tipo ‘LotL (living off the land)’

Eventi fileless

603,892
2018
18%
710,733
1° semestre 2019

Confronto semestrale degli eventi fileless bloccati

Come avevamo previsto, gli autori delle minacce ricorrono sempre più spesso al tipo “LotL (Living off the Land)” o all'uso improprio di strumenti di gestione e penetration test per occultare le proprie attività dannose. Le loro cosiddette minacce "fileless" non sono altrettanto visibili quanto il malware tradizionale, poiché di norma non scrivono sul disco, ma vengono solitamente eseguite nella memoria del sistema, risiedono nel registro o sfruttano strumenti normalmente autorizzati, come PowerShell, PsExec o la Strumentazione gestione Windows.

Ecco alcune minacce notevoli rilevate che hanno utilizzato tecniche fileless:

Queste minacce avevano qualcosa in comune: lo sfruttamento di PowerShell. Sebbene si tratti di uno strumento pratico per gli amministratori di sistema, PowerShell può essere utilizzato dai cyber criminali per lanciare payload senza necessità di scrivere o eseguire un file nella memoria locale del sistema' colpita.

Macro malware

Il macro malware è leggermente diminuito nella seconda metà del 2018. La maggior parte dei rilevamenti di minacce basate su macro erano dovute a Powload, principalmente nella posta indesiderata. Powload si è evoluto negli anni: diversifica i payload che distribuisce, impiega la steganografia e si serve perfino di marchi o del vocabolario specifici di un'area geografica. Abbiamo inoltre osservato altre famiglie di macro malware utilizzate in campagne di spamming che diffondevano ladri di informazioni come Trickbot e utilizzate per il cyber spionaggio.

Confronto semestrale dei rilevamenti di marco malware non correlato e correlato a Powload


Exploit kit

I nostri dati hanno indicato che gli accessi bloccati a siti correlati a exploit kit sono leggermente saluti dalla seconda metà del 2018, sebbene il numeri per la prima metà del 2019 siano comunque stati ben altri rispetto al periodo in cui gli exploit kit hanno toccato il loro picco. Gli exploit kit sfruttano ogni opportunità possibile, usando vulnerabilità vecchie ma ancora praticabili e payload diversi, che adattano alle proprie esigenze specifiche.

Confronto semestrale delle istanze di accesso bloccato agli URL che ospitano exploit kit

Un exploit kit degno di nota nella prima metà del 2019 è stato Greenflash Sundown, utilizzato nella campagna ShadowGate attraverso una versione aggiornata di tipo "LotL (living off the land) ovvero in grado di utilizzare un loader PowerShell aggiornato per eseguire il payload senza file. L'ultima attività notevole di ShadowGate' è stata nell'aprile 2018, quando si è servita di Greenflash Sundown per diffondere il malware di mining di criptovalute nell'Asia Orientale.

. . .


04

Minacce via messaggi

Minacce via messaggi

Truffe di phishing

Nella prima metà del 2019, le attività di phishing sono calate. I nostri dati hanno evidenziato un calo del 18% degli episodi di blocco dell'accesso a un sito di phishing da parte di un indirizzo IP cliente univoco. Diversi fattori potrebbero essere responsabili di questa riduzione, compreso un aumento della consapevolezza degli utenti riguardo le truffe di phishing. La cosa interessante, però, è che nello stesso periodo abbiamo osservato un aumento del 76% nel numero di URL di phishing univoci bloccati, con spoofing di Microsoft Office 365, nello specifico di Outlook.

Sfruttando l'abuso della fiducia delle persone nei marchi e negli strumenti noti, i cyber criminali si sono inoltre serviti per il phishing di minacce di ingegneria sociale multipiattaforma.


  • Le app fotografiche di Android sono state utilizzate in uno schema di phishing mirato al furto di immagini.

  • Una campagna di phishing ha usato la tecnica "watering hole" per rubare le credenziali degli utenti.

  • Gli hacker hanno sfruttato un'estensione del browser denominata SingleFile per camuffare pagine di login fraudolente.

Schemi compromettenti

Il business email compromise (BEC) è una truffa semplice ma sempre più costosa, di cui le imprese devono diffidare. I truffatori BEC utilizzano diverse tecniche di ingegneria sociale, di norma impersonando un CEO e altri dirigenti, per persuadere in modo fraudolento i dipendenti a trasferire fondi sui propri account.

52% di tentativi BEC rispetto alla seconda metà del 2018
CEO La posizione più spesso oggetto di spoofing

Il BEC fa parte del panorama delle minacce ormai da anni e gli imbroglioni hanno elaborato nuovi modi per approfittarsi delle proprie vittime. Di conseguenza, essi hanno anche compromesso gli account email personali e dei fornitori e contraffatto account email di avvocati. Vi sono anche stati casi che supportano la nostra previsione secondo cui i truffatori BEC avrebbero preso di mira i dipendenti a livelli inferiori della gerarchia aziendale.

Anche la sextortion, ovvero l'invio di messaggi di minaccia concentrati sui danni personali e alla reputazione, è in ascesa. I nostri dati hanno indicato che gli schemi di sextortion mediante spamming sono più che quadruplicati tra la seconda metà del 2018 alla prima metà del 2019, in linea con la traiettoria da noi tracciata nelle previsioni dell'anno scorso. Non si è trattato di una sorpresa, poiché la sextortion era oggetto della maggioranza dei reclami legati a estorsioni ricevuti dall'FBI nel 2018.

A causa della natura personale e sensibile delle truffe di sextorsion, è probabile che le vittime siano costrette ad accettare le richieste del truffatore. Un esempio specifico di aprile ha visto gli autori malintenzionati tentare di estorcere denaro a utenti italiani, minacciandoli di diffondere video compromettenti.

Confronto semestrale dei rilevamenti di email indesiderate correlate alla sextortion

. . .


05

Vulnerabilità

Vulnerabilità

Falle a livello di hardware

La diffusione di Meltdown e Spectre all'inizio del 2018 ha inaugurato una nuova categoria di sfide per l'attenuazione e il patching delle vulnerabilità. Nella prima metà del 2019 sono state scoperte altre vulnerabilità a livello di hardware.

In febbraio, i ricercatori hanno rivelato un proof-of-concept che dimostra come gli hacker possano violare le enclave progettate per proteggere e accedere ai dati nelle Software Guard Extension (SGX) di Intel, una serie di istruzioni nei processori Intel Core e Xeon.


In maggio, i ricercatori hanno rivelato diverse vulnerabilità nel campionamento dei dati di micro-architettura nei moderni processori Intel. Il loro impatto è stato dimostrato dagli attacchi side-channel (a canale laterale) ZombieLoad, Fallout e Rogue In-Flight Data Load (RIDL), con metodi analoghi a quelli di Meltdown e Spectre. Questi attacchi side-channel possono consentire agli hacker di eseguire codici o esfiltrare dati.

Bug a forte impatto

Le vulnerabilità pericolose sono state prevalenti nel paesaggio delle minacce della prima metà del 2019. La maggioranza delle vulnerabilità segnalate dal nostro programma Zero Day Initiative (ZDI) sono state classificate come molto gravi, indicandone l'impatto pervasivo.


107BASSO

101MEDIO

335ALTO

40CRITICO

Ecco alcune delle vulnerabilità degne di nota osservate nella prima metà del 2019 con i relativi pericoli per le imprese:


CVE-2019-0708
Detto anche BlueKeep, una vulnerabilità critica nei servizi desktop remoti

Può conferire al malware delle capacità di propagazione estrema

CVE-2019-1069
Una vulnerabilità nell'Utilità di pianificazione di Windows 10

Può consentire agli hacker di accedere a file protetti

CVE-2019-5736
Una vulnerabilità in runC, un componente runtime utilizzato per le piattaforme a container

Possono dare agli hacker il controllo completo dell'host che esegue un container interessato

CVE-2019-1002101
Una vulnerabilità nella command-line interface di Kubernetes per l'esecuzione di comandi e la gestione delle risorse

Può indurre gli utenti a scaricare immagini dannose dei container

CVE-2019-9580
Una vulnerabilità nello strumento di automazione dei flussi di lavoro StackStorm

Può esporre i server ad accessi non autorizzati

. . .


06

Attacchi IoT e IIoT

Attacchi IoT e IIoT

Botnet e worm war

Proprio come avevamo previsto, botnet e worm si sono contesi il controllo dei dispositivi esposti collegati a Internet of things (IoT). I vari contendenti, che tentavano di sbaragliare e letteralmente cancellare la concorrenza, tra cui Bashlite e varianti di Mirai quali Omni, Hakai, e Yowai, avevano in comune la seguente routine: scansione della concorrenza negli IoT device infettati, cancellazione dell'altro malware e integrazione dei propri payload.

Attacchi alle infrastrutture critiche

L'industrial internet of things (IIoT) ha trasformato il modo in cui vengono gestiti gli stabilimenti industriali e le infrastrutture critiche, offrendo un enorme impulso all'efficienza e alla trasparenza delle operazioni aziendali. Tuttavia, la convergenza di tecnologia operativa (OT) e tecnologia informatica (IT) ha anche comportato dei nuovi rischi per la sicurezza, determinando delle superfici d'attacco più ampie.


Secondo un sondaggio pubblicato in marzo, il 50% delle organizzazioni interrogate aveva già subito un attacco alle proprie infrastrutture critiche negli ultimi due anni. Nel 2019, poi, i malintenzionati sembrano prendere di mira bersagli IIoT. Il gruppo di hacker Xenotime, ritenuto responsabile del malware Triton, altrimenti noto come Trisis, è stato scoperto mentre esplorava i sistemi di controllo industriali (ICS) delle reti elettriche negli Stati Uniti e nella regione Asia Pacifico. Il malware scansionava ed elencava i portali di login remoto dei propri bersagli e le vulnerabilità delle loro reti.

. . .


07

PANORAMA DELLE MINACCE

PANORAMA DELLE MINACCE
26,804,076,261
Numero complessivo delle minacce bloccate nella prima metà del 2019

Le minacce via email, file e URL sono calate leggermente nel secondo trimestre dell'anno: Confronto trimestrale delle minacce via email, file e URL bloccate nonché delle query relative alla reputazione di email, file e URL nella prima metà del 2019.

Confronto trimestrale delle app Android dannose bloccate nella prima metà del 2019

Confronto trimestrale delle query Android nella prima metà del 2019

Il PDF ha superato di poco XLS come tipo di file più comune negli allegati delle email indesiderate: Distribuzione dei tipi di file utilizzati come allegati nelle email indesiderate nella prima metà del 2019

Nei primi sei mesi, il 2019 ha visto molte minacce persistenti e furtive, pronte a scoprire e sfruttare le vulnerabilità in processi, persone e tecnologie. Non esistono risposte semplici per una difesa totale, le aziende e gli utenti devono trovare un approccio multistrato che possa fronteggiare le proprie falle specifiche alla sicurezza. Serve protezione per gateway, reti, server ed endpoint. Alle imprese che devono affrontare malware che utilizza tecniche sofisticate servono soluzioni che combinano la competenza umana e tecnologie di sicurezza per rilevare, correlare, rispondere nonché sventare le minacce.

Il nostro report semestrale sulla sicurezza, “Minacce evasive, effetti pervasivi”, offre una visione più approfondita delle minacce maggiormente degne di nota riscontrate nella prima metà del 2019 e delle rispettive soluzioni.

SCARICA IL RAPPORTO COMPLETO

. . .

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.