- Minacce via messaggi
- Ransomware
- Vulnerabilità critiche
- Attacchi all'IoT
- Ricerca Trend Micro
- Panorama delle minacce
- Scarica il PDF
Nel 2018 un insieme di problemi vecchi e nuovi connessi alla cybersecurity ha sommerso le imprese. I ricercatori hanno scoperto che quasi tutti i computer operativi hanno presentato gravi falle hardware, i ransomware hanno continuato a colpire le aziende, il mining non autorizzato della criptovaluta si è diffuso e diversificato e i dispositivi vulnerabili connessi nelle case sono stati colpiti da nuovi ed efficaci attacchi. Inoltre, come reazione a un panorama sempre più ampio di sistemi operativi e dispositivi, i cyber criminali sono passati da attacchi basati su exploit kit a una tattica vecchia ma sempre valida: l'ingegneria sociale. Gli exploit kit e i metodi automatici erano efficaci finché un ampio numero di utenti ha usato un software vulnerabile, ma nel 2018 molti autori di minacce hanno invece tentato di sfruttare vulnerabilità umane.
Il nostro rapporto annuale sulla sicurezza esamina queste e altre importanti questioni in merito, fornendo una preziosa analisi ad aziende e utenti per aiutare loro a prepararsi a minacce critiche con consapevolezza.
Minacce via messaggi
Le email lavorative sono una piattaforma molto attraente per i cyber criminali, in quanto mezzo per importanti comunicazione all'interno della rete aziendale. Di conseguenza, il phishing e altri schemi di ingegneria sociale rappresentano alcune delle preoccupazioni principali per i professionisti della cybersecurity, perché email indesiderate dalla struttura e dalla stesura professionali possono facilmente ingannare destinatari che rispondono regolarmente a email simili.
Nel 2018 siamo stati testimoni di un aumento nell'uso di svariate forme di minacce via messaggi. In particolare, abbiamo rilevato una crescita degli accessi bloccati a URL di phishing da indirizzi IP unici dei client pari all'82% rispetto all'anno precedente. Tradizionalmente il phishing arriva via email, perché le minacce basate su email sono molto più indipendenti dalla piattaforma rispetto ad altri tipi di attacchi che si affidano, per esempio, a exploit specifici.
Confronto anno per anno degli accessi bloccati a URL di phishing da indirizzi IP unici dei client (per esempio, un computer che ha eseguito l'accesso a un link tre volte è stato contato una sola)
Di recente, oltre alle email, gli attacchi di phishing hanno sfruttato chat, SMS, e altri metodi di comunicazione. La crescita in termini di quantità di attacchi di phishing, nonché di modalità con cui questi avvengono, mostra che i cyber criminali si stanno adattando a un panorama in mutamento. Una quantità più elevata di dispositivi connessi e un numero sempre più ampio di sistemi operativi significa che l'exploit di un particolare sistema operativo non offre ai cyber criminali profitti alti quanto in passato. Di conseguenza, si affidano a un attacco vecchio, ma ancora efficace.
Un'altra forma di attacchi via messaggio che si è diffusa nel 2018 è stata la Business email compromise (BEC). In un attacco BEC tipo, l'aggressore avvia o intercetta una comunicazione per raggirare un impiegato di azienda che ha il potere di sbloccare o trasferire fondi.
- CEO
- Amministratore delegato/direttore
- Presidente
- Direttore generale/Manager
- Presidente del consiglio di amministrazione
- Altri
Posizioni dirigenziali oggetto di spoofing
Nonostante il numero ridotto di attacchi BEC, un tentativo andato a buon fine avrebbe potuto avere come conseguenza grosse perdite per l'azienda presa di mira. Al contrario, gli attacchi di phishing sono stati indirizzati a un gran numero di possibili vittime perché truffare anche una bassa percentuale di utenti rappresenterebbe un profitto per gli aggressori.
Ransomware
Nel complesso, dal 2017 al 2018, le minacce legate ai ransomware sono diminuite del 91% e nello stesso periodo è diminuito anche il numero di nuove famiglie di ransomware scoperte. Questo calo rapido e stabile ha portato avanti la traiettoria osservata nel nostro rapporto di metà anno. La causa si potrebbe ricercare in soluzioni contro i ransomware migliorate, in una maggiore consapevolezza della minaccia e, in parte, nel riconoscimento dell'inutilità di cercare di ragionare con gli aggressori.
Minacce legate al ransomware
Nuove famiglie di ransomware
Ciononostante, poiché il potenziale profitto degli aggressori superava lo sforzo richiesto per realizzare gli attacchi, abbiamo continuato ad assistere all'uso dei ransomware. I nostri rilevamenti per WannaCry, la famiglia che ha causato l'exploit globale del maggio 2017, si attestavano su una cifra stabile (616.399) e hanno messo in ombra con largo margine quelli di tutte le altre famiglie di ransomware.
Il mining della criptovaluta, da parte sua, ha raggiunto un nuovo picco nel 2018 con oltre 1,3 milioni di rilevamenti: una crescita del 237% rispetto all'anno precedente.
Rilevamenti nel mining di criptovaluta
Oltre alla crescita dei rilevamenti, nel corso dell'anno è stata rilevata anche una "corsa all'oro" nei metodi di attacco al mining della criptovaluta: penetrazione di piattaforme pubblicitarie, annunci pop-up, estensioni dannose per browser, cellulari, botnet, aggregazione con software lecito, exploit kit e ransomware modificati.
Ago 2017 - Dic 2018
Si è verificata inoltre un'impennata in un metodo di attacco utilizzato per eludere le tradizionali tecniche di blacklisting: le minacce fileless. Queste particolari minacce tentano di eludere le soluzioni convenzionali e solitamente possono essere individuate solo tramite altri metodi come il controllo del traffico, gli indicatori di comportamento o il sandboxing.
Vulnerabilità critiche
Per quanto riguarda la sicurezza, l'anno è cominciato con l'innovativa divulgazione di Meltdown and Spectre, vulnerabilità a livello di processore basate su falle nell'esecuzione speculativa di istruzioni della CPU. Queste nuove classi di falle hanno riguardato diversi microprocessori e hanno generato nuovi attacchi alla CPU insieme a una grande quantità di problemi connessi alla migrazione. Alla fine dell'anno ancora non c'erano soluzioni dirette a queste debolezze legate alla micro-architettura.
Un'altra scoperta infelice del 2018 è stata quella della vulnerabilità critica nel software open source di orchestrazione su cloud Kubernetes. Per fortuna, questa falla specifica è stata risolta in fretta con una patch.
La maggior parte delle vulnerabilità vengono trovate e rese note da ricercatori sulla sicurezza e fornitori in modo che non possano essere utilizzate in attacchi su larga scala. Ma rendere nota una vulnerabilità al pubblico significa anche comunicarla agli autori delle minacce, quindi trovare una soluzione prima di rilasciare l'informazione è fondamentale. Gli autori delle minacce abusano attivamente delle vulnerabilità per creare exploit operativi.
Di recente non sono stati identificati attacchi exploit zero-day su larga scala, a differenza del passato, quando in un anno se ne rilevavano due o tre importanti. Gli attacchi scoperti nel 2018 sono stati invece di portata limitata. I cyber criminali hanno anche abusato di vulnerabilità che erano già state corrette, forti del presupposto che molti utenti non avevano applicato, o almeno non in fretta, le correzioni disponibili.
*Passa il mouse per vedere la data dell'attacco
*Tocca per vedere la data dell'attacco
Vulnerabilità di Drupal utilizzate per consegnare miner di criptovaluta
CVE-2018-7602Vulnerabilità di Apache CouchDB utilizzate per consegnare miner di criptovaluta
CVE-2017-12635,CVE-2017-12636
dopo 3 mesi
Vulnerabilità di Oracle WebLogic WLS-WSAT usate per il mining di criptovaluta
CVE-2017-10271dopo 4 mesi
Vulnerabilità che permette il rooting permanente di telefoni Android usata in AndroRat
CVE-2015-1805dopo 23 mesi
Attacchi degni di nota del 2018 che hanno incluso exploit di vulnerabilità note e corrette da patch
Tra le vulnerabilità trovate nel 2018, una percentuale considerevole è dovuta al software usato nei sistemi per il controllo industriale (ICSs). E la maggior parte di queste vulnerabilità si trovava nel software di interfaccia uomo-macchina (HMI) per gli ICS e per gli ambienti per il controllo di supervisione e l'acquisizione dati (SCADA). L'HMI è l'hub principale per il controllo, la gestione e l'implementazione degli stati di diversi processi nelle strutture. L'exploit di una vulnerabilità critica dell'HMI può permettere a un aggressore di incidere sulla funzionalità dei componenti fisici di una struttura aziendale.
Attacchi all'IoT
Gli attacchi basati su router proseguono implacabili nonostante le ripercussioni affrontate dai creatori di Mirai e Satori. Nel 2018, abbiamo scoperto che il codice Mirai riciclato era ancora in uso per bersagliare i router. E VPNFilter, un'altra forma di malware per router, era stato aggiornato con abilità aggiuntive, quali componenti per la ricognizione e la persistenza che hanno portato ad abusare dei router attraverso il distributed denial of service (DDoS). Abbiamo rilevato anche router utilizzati nel mining della criptovaluta e in attacchi di pharming, che hanno proseguito il trend delle funzionalità aumentate osservato nel rapporto di metà anno.
Nel 2018 ci sono stati due esempi di attacchi:
CryptojackingGli aggressori hanno sfruttato una falla di sicurezza corretta da una patch nei router MikroTik in Brasile e hanno inserito lo script dannoso Coinhive per eseguire il mining di Monero.
Reindirizzamenti dannosiL'exploit kit Novidade poteva cambiare le impostazioni del DNS (Domain Name System) del router in modo che un utente ignaro fosse reindirizzato a pagine false controllate dall'aggressore.
Al crescere dei dispositivi connessi all'Internet delle cose (IoT), molti consumatori stanno diventando "amministratori di reti smart home". Pertanto devono assicurarsi che il loro router non diventi un punto di ingresso per gli aggressori. Poiché i router fungono da hub principale per gestire le connessioni da e verso i diversi dispositivi che hanno bisogno di Internet, la loro sicurezza è di vitale importanza.
Ricerca Trend Micro
Soluzioni machine learning
- Un passo avanti agli altri: Approfondimento sulle minacce della rete attraverso il machine learning
- Generazione di esempi antagonistici: Rendere i sistemi di machine learning solidi in merito alla sicurezza
- Scoperta di minacce sconosciute attraverso la machine learning comprensibile dall'uomo
Ospedali connessi, fornitori di energia, aziende di erogazione dell'acqua
- Infrastrutture critiche esposte e vulnerabili: Industrie dell'acqua e dell'energia
- Fragilità della base dati dell'Internet delle cose industriale
- Rendere sicuri gli ospedali connessi: Ricerca sui sistemi medicali esposti e i rischi della catena di produzione
Indagini e rimozione dei cyber criminali
Panorama delle minacce
48387151118
Minacce totali bloccate nel 2018
Componenti di minacce bloccati | 1° semestre 2018 | 2° semestre 2018 | Totale 2018 |
Minacce via email | 16,997,711,547 | 24,521,948,297 | 41,519,659,844 |
File dannosi | 2,956,153,112 | 2,867,738,653 | 5,823,891,765 |
URL dannosi | 534,534,550 | 509,064,959 | 1,043,599,509 |
Minacce totali | 20,488,399,209 | 27,898,751,909 | 48,387,151,118 |
Confronto semestrale delle minacce via email, file e URL bloccate
Anno | Famiglia WannaCry | Altre famiglie ransomware |
2017 | 321,814 | 244,716 |
2018 | 616,399 | 126,518 |
Confronto anno per anno di rilevamenti di WannaCry in rapporto ai rilevamenti combinati di altri ransomware
Confronto mensile dei rilevamenti di minacce fileless
- 147%
- 33%
- 35%
- 38%
- 94%
- 27%
Confronto anno per anno tra le vulnerabilità di fornitori di software selezionati
Per altre analisi dei problemi più importanti legati alla cybersecurity del 2018, scarica il nostro rapporto annuale sulla sicurezza.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.