Minacce invisibile, perdite imminenti

Furtive e impercettibili, due caratteristiche comuni delle principali minacce alla cybersecurity che abbiamo riscontrato nella primo semestre del 2018.

Il nostro report semestrale completo, "Minacce invisibili, perdite imminenti," offre una visione approfondita delle minacce più importanti che hanno colpito la prima metà del 2018

Furtive e impercettibili, due caratteristiche comuni delle principali minacce alla cybersecurity che abbiamo riscontrato nella primo semestre del 2018. L'anno era iniziato in modo burrascoso quando, a gennaio, erano stati riscontrati gravi difetti di progettazione in famosi microprocessori, ritenuti in precedenza sicuri. Nel corso dei mesi successivi, abbiamo notato anche un passaggio evidente dai ransomware ad alta visibilità a un rilevamento dei più prudenti mining di criptovalute. Si era verificato inoltre un aumento di malware "fileless" e di altri tipi di minacce che usano tecniche di elusione non convenzionali, così come di violazioni di dati e truffe di social engineering via email.

Questo tipo di minacce dannose (dai miner che silenziosamente succhiano energia dai dispositivi delle vittime, ai gravi punti vulnerabili che rendono le macchine esposte ad attacchi segreti) fraziona le limitate risorse della sicurezza e disorienta l'attenzione degli amministratori IT.

In questo report, si ripercorre il primo semestre del 2018, per scoprire le principali nuove minacce su cui le società dovrebbero tenersi informate.

I gravi punti vulnerabili scoperti nell'hardware, rendono ancora più complicata la riparazione

L'anno si è aperto con la divulgazione di Meltdown e Spectre, due dei principali errori di progettazione dei famosi microprocessori. L'effetto di queste vulnerabilità è stato aggravato dall'elevato numero di dispositivi colpiti e dal livello di accesso reso disponibile agli aggressori. Era solo l'inizio, poiché altri punti vulnerabili sono stati rilevati e riparati in seguito all'annuncio.

Le falle dell'hardware costituiscono un problema complicato per gli amministratori IT. Dal momento che i microprocessori di diversi fornitori sono stati colpiti e che le soluzioni a queste falle vengono messe a disposizione nell'arco di un periodo di tempo esteso, applicare le patch dei firmware a tutti i dispositivi interessati è più difficile. Inoltre, alcune delle patch interessano il rendimento del sistema di dispositivi più obsoleti, aggravando gli effetti sui processi aziendali.

Insieme a tali problemi di hardware, gli amministratori IT devono occuparsi dei punti vulnerabili rivelati dai principali fornitori di software. I principali fornitori rilasciano patch non appena i punti vulnerabili vengono trovati e riparati, ma le società riscontrano ancora difficoltà nel rendere sicure le loro reti. Il volume dei punti vulnerabili e la pressione di dover mantenere le reti operative, rende il patching un problema costante per gli amministratori.

Trend Micro ZDI ha pubblicato

602

avvisi nella prima metà del 2018


23

Pubblicati prima che fosse disponibile
la patch o un sistema di limitazione dei danni

Aumento degli avvisi di vulnerabilità SCADA

Totale vulnerabilità SCADA riportate:

30%

aumento rispetto alla seconda metà del 2017

Il numero di vulnerabilità rilevate legate ai sistemi di controllo di sorveglianza e acquisizione dati (SCADA) è aumentato rispetto al secondo semestre del 2017; molte di queste vulnerabilità sono state riscontrate nel software di interfaccia uomo-macchina (HMI). L'HMI SCADA è il principale hub digitale che gestisce le infrastrutture critiche. I dati che mostra sono una preziosa fonte di informazione per gli aggressori.


ZERO-DAYS SCADA SENZA PATCH QUANDO RESA NOTA

77%

calo rispetto alla seconda metà del 2017

I nostri dati indicano inoltre che un maggior numero di fornitori era in grado di creare patch o metodi di limitazione dei danni in tempo utile per i corrispondenti avvisi di vulnerabilità. Sebbene questo sia un miglioramento apprezzabile, il solo numero di vulnerabilità riscontrate evidenzia la ragione per cui le società operanti nei settori di infrastrutture critiche dovrebbero restare al passo con i sistemi dei software SCADA e investire in soluzioni di sicurezza a più livelli. L'Unione Europea (EU), attraverso la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS), ha già richiesto ai suoi Stati membri di emanare leggi che garantiscano un maggiore livello di sicurezza per i settori critici e i servizi digitali essenziali.

La Direttiva NIS

  • Legislazione UE che interessa le aziende operanti nel settore delle infrastrutture critiche. Con la direttiva e le corrispondenti leggi nazionali vigenti, gli operatori di settori essenziali devono adottare misure appropriate, proporzionate e all'avanguardia per garantire la sicurezza delle reti e dei sistemi di informazione, tra le altre misure di mitigazione del rischio.

  • Quali aziende sono interessate?
    • Centrali elettriche
    • Strutture idriche
    • Banche
    • Ospedali
    • Aziende
      di trasporti
    • Mercati
      online
    • Servizi di
      cloud computing
    • Motori di
      ricerca

I rilevamenti di mining di criptovalute sono più che raddoppiati, mentre il ransomware resta una minaccia per le aziende

Nel nostro report annuale del 2017 avevamo riscontrato che l'attività di mining di criptovalute era in aumento. Questa tendenza è proseguita nel primo semestre del 2018, i rilevamenti dell'attività di mining della criptovaluta sono più che raddoppiati rispetto alla seconda metà del 2017. Inoltre, abbiamo individuato un numero significativo di nuove famiglie di malware miner di criptovalute, provando che i criminali informatici sono ancora profondamente interessati nel trarre profitto dalle valute digitali.

141%

aumento dei rilevamenti di attività di mining di criptovalute da parte dell'infrastruttura di Trend Micro™ Smart Protection Network™

47

1° semestre 2018


Nuove famiglie di malware miner
di criptovalute rilevate

Nel corso della prima metà del 2018, abbiamo notato come i criminali informatici abbiano ideato nuovi metodi e sperimentato nuove tecniche per massimizzare il profitto dal mining illecito di criptovalute.

  • Gen
    Malvertising nella DoubleClick di Google
  • Feb
    Pubblicità inserite dal botnet Droidclub nei siti Web
  • Mar
    ICLoader downloader di adware
  • Apr
    Script di web miner nella piattaforma pubblicitaria AOL
  • Mag
    CVE-2017-10271 via porta 7001/TCP
  • Giu
    Kit di exploit Necurs

Miner di criptovalute indesiderati su una rete possono rallentare le prestazioni, usurare gradualmente l'hardware e consumare energia: tutti problemi che in ambienti aziendali vengono amplificati. Gli amministratori IT devono tenere sotto controllo attività sospette della rete, considerando l'effetto silenzioso, ma significativo che il mining di criptovalute può avere sul sistema.

Malgrado la sua prevalenza nel panorama della cybersecurity si sia stabilizzata, il ransomware dovrebbe ancora essere monitorato dalle aziende.

Nella prima metà del 2018, i rilevamenti di ransomware hanno subito solo un leggero aumento, mentre il numero di nuove famiglie è diminuito rispetto alla seconda metà del 2017. Ma questo cambio di ritmo è probabilmente dovuto alla crescente attenzione rivolta ai ransomware e ai miglioramenti che ne sono derivati nei metodi di prevenzione e mitigazione.

3%

aumento
dell'attività di ransomware rilevata


26%

diminuzione di nuove
famiglie ransomware

Le violazioni di dimensioni enormi aumentano, nonostante il profilarsi delle sanzioni GDPR

Utilizzando gli insiemi di dati rilevanti del 2017 e 2018 del Privacy Rights Clearinghouse, abbiamo notato un aumento del 16% nelle violazioni di dati riportate negli Stati Uniti.

Violazioni segnalate negli Stati Uniti

224

2° semestre 2017

259

1° semestre 2018

È stato interessante constatare come il numero di avvenimenti dovuti alle divulgazioni non intenzionali sia maggiore rispetto a quello causato dalla pirateria informatica.

  • Divulgazione non intenzionale
  • Pirateria informatica o malware
  • Perdita fisica
  • Altro (insider, sconosciuto, ecc.)

Quindici delle violazioni di dati del primo semestre del 2018 erano di enormi dimensioni e ognuna ha messo in pericolo almeno un milione di documenti. In termini di numero di avvenimenti, il settore sanitario ha subito la maggiore quantità di violazioni, ma la gran parte di quelle di enormi dimensioni provenivano da rivenditori e commercianti on-line. Abbiamo inoltre riscontrato almeno nove violazioni al di fuori degli Stati Uniti che possono essere considerate di enormi dimensioni.

9

2° semestre 2017

15

1° semestre 2018

aumento del numero
di violazioni di enormi dimensioni negli Stati Uniti

71%

di violazioni subite
dal settore sanitario

Esistono conseguenze sostanziali per le aziende colpite da violazioni di dati. Costi di ripristino e notifica, perdite di reddito, problematiche di patching e inattività possono sommarsi: Una violazione di enormi dimensioni può costare alle società fino a 350 milioni di dollari. Inoltre, molti Paesi stanno definendo nuove normative sulla riservatezza dei dati che impongono pesanti sanzioni per la gestione impropria dei dati.

L'UE, in particolare, ha assunto una posizione decisa in merito alla riservatezza implementando una delle leggi sulla protezione dei dati più severe e più ampie del mondo: Il Regolamento generale sulla protezione dei dati (GDPR). Questo regolamento, imposto a maggio di quest'anno, fissa un limite piuttosto alto per la protezione dei dati e della riservatezza. Impone sanzioni considerevoli alle organizzazioni non conformi: Le penali possono raggiungere fino a 20 milioni di euro o il 4% del fatturato annuale globale della società non conforme, se superiore. Inoltre, ha una portata piuttosto ampia perché interessa qualsiasi azienda in possesso dei dati di cittadini dell'Unione Europea.

Sei conforme al GDPR?

Sicurezza del router ancora debole nonostante l'allarme Mirai

Nella prima metà del 2018, abbiamo osservato che i router erano stati esplicitamente presi di mira, segnale del fatto che case e aziende erano ancora a rischio di attacchi basati sulla rete. Ciò è particolarmente pericoloso perché se un router è compromesso, di conseguenza qualsiasi dispositivo a cui è connesso può essere ugualmente attaccato (laptop, smartphone, dispositivi smart di assistenza e altri dispositivi "dell'internet delle cose" (IoT).

Abbiamo individuato attività di scansione simili a quelle di Mirai in cerca di router vulnerabili e dispositivi IoT. Nel 2016, Mirai ha causato attacchi denial-of-service (DDoS) da record. A partire dalla divulgazione del suo codice sorgente a ottobre di quell'anno, i criminali informatici lo hanno usato per altre attività illecite.

Malware fileless, di grandi e piccole dimensioni mettono a dura prova le tecnologie di sicurezza basate su file

Per contrastar le tecniche di rilevamento in continuo miglioramento, gli sviluppatori di malware perfezionano costantemente i loro metodi di frode. Nella prima metà del 2018, abbiamo evidenziato alcuni approcci: l'uso di minacce fileless, l'uso di macro e la manipolazione delle dimensioni dei file.

Le minacce tipiche prevedono che file dannosi vengano installati ed eseguiti nel dispositivo compromesso. Le minacce fileless non operano nello stesso modo. Bensì, si impadroniscono di strumenti affidabili installati nel sistema operativo per lanciare gli attacchi.

Eventi fileless rilevati

24430

Gen

38189

Giu

1° semestre 2018

Abbiamo riscontrato una tendenza crescente nel numero di minacce fileless nel corso della prima metà dell'anno. Le società possono restare al passo con queste minacce impiegando livelli diversi di protezione sulla rete.

Notiamo anche un incremento dell'uso di macro dannose. Powload era l'imputato più diffuso e, come la maggior parte delle macro, era stato inviato tramite spam. L'email spam è creata in modo da manipolare gli utenti affinché consentano la macro e scarichino il payload del malware.

Macro

6%

aumento da gennaio a giugno

POWLOAD

68%

aumento da gennaio a giugno

Abbiamo anche rilevato un brusco aumento nei rilevamenti in una famiglia di malware point-of-sale (POS) chiamata TinyPOS. Ciò potrebbe in parte essere dovuto alla divulgazione di TreasureHunter, un'altra famiglia di malware POS, poiché si nota spesso un picco di malware simili o associati quando si verifica una perdita di codici sorgente. La dimensione estremamente ridotta di TinyPOS è molto probabilmente una caratteristica che i criminali informatici usano per provare a evadere i sistemi di rilevamento.

RILEVAMENTI DI TinyPOS

Le perdite BEC superano le proiezioni poiché i tentativi BEC mostrano una crescita costante

Le truffe Business Email Compromise (BEC) sono abbastanza semplici, poiché si basano maggiormente su open-source intelligence e social engineering anziché su consulenza tecnica di alto livello. In uno schema BEC tipico, un truffatore impersona un dirigente di alto livello e inganna un dipendente (di solito legato all'ufficio contabilità) per indurlo a trasferire fondi sul suo conto. Dal momento che le truffe BEC richiedono relativamente poche risorse e possono ancora produrre alti rendimenti, avevamo previsto che le perdite supereranno i 9 miliardi di dollari quest'anno.

PIÙ DI

9 miliardi di dollari

PREVISIONE

12,5 miliardi di dollari

ATTUALE

LA PREVISIONE TREND MICRO 2018 RISPETTO ALLE PERDITE BEC GLOBALI
CUMULATIVE ATTUALI

Un report del Federal Bureau of Investigation (FBI) su BEC ed Email Account Compromise (EAC) mostra la gravità del problema per le aziende: Le perdite globali accumulate (da ottobre 2013 a maggio 2018) hanno raggiunto i 12,5 miliardi di dollari.

Abbiamo monitorato attivamente i tentativi di BEC e i dati mostrano un aumento negli ultimi 12 mesi.

5%

AUMENTO NEI TENTATIVI DI BEC REGISTRATI DALLA SECONDA METÀ DEL 2017 ALLA PRIMA METÀ DEL 2018

Per prevenire le minacce basate su email, le società devono guardare oltre il rilevamento basato su email e considerare le tecnologie di reputazione email. Per le truffe BEC in particolare, le soluzioni che usano l'apprendimento automatico aggiungono un nuovo livello di protezione, ad esempio, analizzando lo stile di scrittura dell'utente per stabilire se l'email sia autentica oppure no.

PANORAMA DELLE MINACCE

20.488.399.209

Minacce totali bloccate nella prima metà del 2018

Apple92%
Foxit50%
Adobe7%
Microsoft2%
Google84%

CAMBIAMENTI DELLE VULNERABILITÀ RISCONTRATI PER VENDITORE
(SECONDO SEMESTRE DEL 2017 CONTRO PRIMO SEMESTRE DEL 2018)

Il nostro report semestrale completo, "Minacce invisibili, rischio di perdite," offre una visione più approfondita delle minacce più considerevoli riscontrate nella prima metà del 2018.

SCARICA IL REPORT COMPLETO




HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.