Invertire la tendenza degli attacchi informatici

Transcript

TrendLabsSM - Verifica di sicurezza del 2° trim. 2014
Invertire la tendenza degli
attacchi informatici
Rispondere alle tattiche in evoluzione
TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014
Sommario
1
|Le vulnerabilità critiche
hanno suscitato scalpore
tra i professionisti del
settore informatico e il
pubblico
5
|Le aziende hanno risposto
all’intensificazione degli
attacchi
8
|I criminali informatici
hanno risposto agli sviluppi
del banking online e delle
piattaforme mobili
11 |La collaborazione con
le forze dell’ordine ha
condotto a una serie di
arresti a livello mondiale
13 |Riemergenza dei problemi
della privacy utente
15 |Analisi del panorama delle
minacce
Introduzione
Eventi recenti come le violazioni dei dati nella
Analogamente a disporre di una strategia aziendale
prima metà del 2014 indicano decisamente che le
volta a migliorare l’efficienza, sarebbe necessario
aziende devono iniziare ad adottare un approccio
attuare anche una strategia di sicurezza ben
maggiormente
le
concepita per migliorare le pratiche di protezione
informazioni digitali. Questa strategia comprende
attuali e garantire alle aziende vantaggi e fatturato
la protezione dei dati sensibili come la proprietà
a lungo termine. La mancata protezione delle
intellettuale e i segreti industriali, spesso i beni più
tecnologie
preziosi di qualsiasi azienda.
annientare un’azienda, proprio come è accaduto
strategico
per
proteggere
Secondo uno studio condotto dall’Identity Theft
Resource Center (ITRC), al 15 luglio 2014 più
di 10 milioni di record personali risultavano già
essere esposti, con la maggior parte delle violazioni
sferrate nel settore commerciale.1 Il crescente
numero di record personali esposti e di violazioni
dei dati porta a chiedersi come abbiano fatto le
aziende a diventare così vulnerabili.
costante crescita è l’attuazione di un cambiamento
di mentalità. Secondo il nostro CTO, Raimund
Genes, le aziende devono innanzitutto stabilire
quali sono le informazioni che considerano “dati
essenziali” per poi concentrarsi sulla loro solida
protezione.2 Le aziende devono inserire la sicurezza
informazioni
all’interno
della
ed
esistenti
potrebbe
a Code Spaces. Sono emerse anche risposte
favorevoli da parte delle aziende nei confronti
degli attacchi, sebbene alcune si siano dimostrate
totalmente impraticabili. Le aziende dovrebbero
ricordare che nessun tipo di mitigazione potrà mai
essere sufficiente se non vengono implementate
strategie di sicurezza preventive.
Nel frattempo, a livello più ampio, è possibile
La soluzione principale a questi problemi in
delle
emergenti
propria
strategia aziendale a lungo termine ed evitare
di gestire i problemi legati alla sicurezza come
contrattempi secondari. Inoltre, come dimostrano
gli incidenti rilevati in questo trimestre, le aziende
dovrebbero sforzarsi di trovare una risposta di
vincere la lotta contro la criminalità informatica
solo mediante la cooperazione tra enti pubblici
e privati. Nell’ambito di tali partnership, gli esperti
della difesa contro le minacce come Trend Micro
potrebbero fornire le informazioni sulle minacce
alle forze dell’ordine di qualsiasi paese e consentire
loro di arrestare i criminali informatici. Nel corso
di questo trimestre, le nostre partnership con le
forze dell’ordine in diversi paesi del mondo hanno
di fatto dimostrato che gli attori del settore della
sicurezza possono compiere un grande passo in
avanti per fornire una risposta alle minacce odierne
alla sicurezza informatica.
sicurezza maggiormente strategica.
NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui computer
degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le
cifre citate in questo rapporto si basavano sui dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart
Protection Network™, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare
i prodotti on site e i servizi in hosting.
Le vulnerabilità critiche hanno
suscitato scalpore tra i professionisti
del settore informatico e il pubblico
Le vulnerabilità critiche hanno interessato componenti diversi dei servizi
Web e di navigazione su Internet, dalle librerie lato server ai sistemi operativi
dei computer, fino alle applicazioni e i browser mobili. La divulgazione
delle vulnerabilità e la distribuzione delle patch hanno tuttavia sottolineato
l’urgenza e aumentato la consapevolezza delle problematiche relative alla
maggior parte delle vulnerabilità rilevate in questo trimestre.
Heartbleed è la vulnerabilità più critica rilevata
potuto esporre i dispositivi interessati ad attacchi
fino ad oggi. Il 7 aprile, OpenSSL Foundation
lato server.
ha annunciato la scoperta di un bug presente
da due anni che ha messo a rischio di possibili
attacchi informatici milioni di siti Web e relativi
utenti.3 Heartbleed ha permesso agli aggressori
di
impadronirsi
dei
dati,
quali
password
e informazioni sulle carte di credito, dagli utenti
che effettuavano transazioni finanziarie tramite il
protocollo SSL (Secure Sockets Layer) sui siti Web
Heartbleed non è stato tuttavia l’unico problema;
in questo trimestre sono state rilevate anche
vulnerabilità in Windows® XP, che non riceve
più assistenza dal fornitore dall’8 aprile. Da
allora, i computer su cui è ancora in esecuzione il
sistema operativo obsoleto non hanno ricevuto più
patch, salvo nel caso di una vulnerabilità zero-day
vulnerabili.
(CVE‑2014-1776) rilevata nelle versioni da 6 a 11 di
Sono stati pubblicati numerosi avvisi di sicurezza in
che il sistema operativo ormai desueto presenta
merito al bug Heartbleed con cui veniva ricordata
delle vulnerabilità che potrebbero venire sfruttate.
agli amministratori di sistema l’importanza di
Ne sono una prova i bollettini di Patch Tuesday
tenere il software aggiornato, di revocare i certificati
di aprile, maggio e giugno 2014 che includevano
di sicurezza obsoleti e di emetterne di nuovi. Pur
patch per i bug di Windows Server® 2003 che
essendo trascorsi diversi mesi dalla divulgazione
interessavano anche Windows XP.7, pubblica del bug, sono ancora più di 300.000
momento che Windows XP continua a essere
i sistemi connessi a Internet privi di patch.
utilizzato anche dopo l’interruzione dell’assistenza
Internet Explorer®.6 Questo incidente ha dimostrato
4
Il
bug
Heartbleed
ha
interessato
anche
1.300 applicazioni Android™ per banking e shopping
online, per i pagamenti e per molto altro ancora
8, 9
Dal
da parte di Microsoft ad aprile, numerose aziende
vengono ancora colpite dalle infezioni DOWNAD/
Conficker.10
che hanno eseguito l’accesso ai server vulnerabili.5
Un’altra vulnerabilità zero-day (CVE-2014-0515),
Una libreria OpenSSL appositamente inclusa in
presente questa volta in Adobe® Flash®, è stata
Android 4.1.1 si è rivelata suscettibile al bug che ha
rilevata a fine aprile.11 Adobe ha ammesso che
1 | Invertire la tendenza degli attacchi informatici
lo sfruttamento di questo bug sulla piattaforma
venivano invitati a effettuare immediatamente
Windows potrebbe consentire agli aggressori
l’upgrade alla versione 2.3.16.2 come espediente.
remoti di assumere il controllo dei computer
Sul fronte mobile, le vulnerabilità presenti nelle
infetti.
applicazioni Android continuano a porre seri
Anche in Apache Struts, un framework open source
rischi per la sicurezza. Alcuni componenti delle
per lo sviluppo di applicazioni Web basate su Java™,
applicazioni monitorati nel corso di questo
sono state rilevate tantissime vulnerabilità zero-
trimestre hanno riportato vari difetti di sicurezza
day critiche.12 I suoi sviluppatori hanno pubblicato
che potrebbero mettere i dati degli utenti a rischio
un avviso con i dettagli relativi a due bug (CVE-
di essere sottratti o utilizzati per sferrare attacchi.14
2014-0112 e CVE-2014-0113) che hanno colpito
Attualmente stiamo lavorando a stretto contatto
specificatamente le versioni da 2.0.0 a 2.3.16.1
con i fornitori e gli sviluppatori di applicazioni
del software.13 In questo avviso gli sviluppatori
per divulgare in modo responsabile queste
vulnerabilità.
Cronologia delle vulnerabilità zero-day, 2° trim. 2014
Adobe
Flash
OpenSSL
CVE-2014-0160
(Heartbleed)
Internet
Explorer
CVE-2014-0515
CVE-2014-1776
7
26
7
6
1
28
8
28
24
22
4
CVE-2014-0112
CVE-2014-0113
24
8
2
Apache
Struts
10
12
14
16
18
20
22
28
25
24
26
28
2
30
APRILE
2
MAGGIO
Divulgato
Con patch
Decisione su Trend Micro
Vulnerability Protection
NOTA: una delle regole di Trend Micro Vulnerability Protection che affronta la vulnerabilità di Internet Explorer è disponibile dall’11 settembre 2007.
FONTI:
http://heartbleed.com/
http://helpx.adobe.com/security/products/flash-player/apsb14-13.html
https://technet.microsoft.com/library/security/2963983
https://technet.microsoft.com/library/security/ms14-021
http://struts.apache.org/release/2.3.x/docs/s2-021.html
4
Volume di vulnerabilità di Windows XP, 2° trim. 2014
20
19
5K
Con patch
10
Senza patch
5
3
1
2
2
MODERATO
BASSO
0
CRITICO
IMPORTANTE
NOTA: le valutazioni riportate nella presente tabella si basano sul Microsoft Security Bulletin Severity Rating System
(sistema di valutazione del rischio per i bollettini sulla protezione Microsoft), disponibile all’indirizzo
http://technet.microsoft.com/en-us/security/gg309177.aspx.
Volume di vulnerabilità di Java 6, 2° trim. 2014
20
14
Con patch
10
Senza patch
8
3
0
ALTO
MEDIO
BASSO
NOTA: le valutazioni riportate nella presente tabella si basano sul CVSS (Common Vulnerability Scoring System, sistema di
valutazione delle vulnerabilità comuni), disponibile all’indirizzo http://nvd.nist.gov/cvss.cfm.
Tre mesi dopo, Heartbleed
continua a essere una
minaccia...
Il bug Heartbleed ha fatto emergere
numerosi dubbi sul livello di sicurezza
e ci si chiede in che misura gli utenti siano
vulnerabili e quanto sia facile essere una
vittima dell’hacking. Da una scansione
eseguita a giugno 2014 da Errata Security
è emerso che molte persone non hanno
ancora imparato la lezione: a due mesi dalla
scoperta di Heartbleed, erano infatti ancora
più di 300.000 i server vulnerabili al bug.15
Heartbleed costituisce ancora una grande
minaccia se gli sviluppatori non effettuano
la ricompilazione di tutte le applicazioni
dotate delle versioni vulnerabili di
OpenSSL. L’implementazione di soluzioni
di prevenzione delle intrusioni (ISP)
rappresenta un modo adeguato e veloce
con cui limitare il problema.
Da
numerosi
report
emerge
che
molte aziende prese dal panico hanno
effettuato l’aggiornamento da versioni
non vulnerabili a versioni vulnerabili.
Sebbene l’aggiornamento sia un’operazione
logica da effettuare per migliorare la
sicurezza, prima di applicare le patch,
le aziende devono ricordare due cose
fondamentali: in primo luogo, non tutte
le versioni software precedenti sono
vulnerabili; in secondo luogo, è sempre
opportuno verificare le versioni software
prima di effettuare l’aggiornamento. Gli
amministratori lato server dovrebbero
esaminare le configurazioni dei database e
le impostazioni dei servizi per limitare gli
aggiornamenti solo ai casi necessari.
Generalmente, gli utenti dovrebbero
effettuare l’aggiornamento alle ultime
versioni software e automatizzare l’aggior
namento e l’installazione delle patch per
la sicurezza solo per sistema operativo,
software e plug-in del browser.
—Pawan Kinger
Direttore, Deep Security Labs
Le aziende hanno risposto
all’intensificazione degli attacchi
La gravità degli attacchi contro le aziende è aumentata. Le organizzazioni
hanno risposto in maniera diversa, evidenziando l’importanza di disporre di
piani di risposta agli incidenti e di conoscere la sicurezza a livello aziendale.
L’attacco DDoS (distributed denial-of-service)
futuri con carta di credito e debito come ulteriore
all’archivio di codice sorgente, Code Spaces, ha
misura di sicurezza.23
avuto l’impatto più grave mai registrato fino
ad oggi. Ha portato l’azienda al fallimento.16 Il
secondo trimestre è stato caratterizzato anche da
attacchi DDoS che hanno interessato Rich Site
Summary (RSS)/Feedly, lettore di notizie dei blog.
L’attacco ha impedito agli utenti colpiti di accedere
alle proprie informazioni.17 Gli aggressori hanno
tentato di estorcere denaro al service provider in
cambio del normale funzionamento. Evernote ha
subito la stessa sorte, ma è riuscita a riprendersi
dall’attacco.
Le violazioni di dati e gli attacchi DDoS registrati
in questo trimestre indicano la necessità di
disporre di una strategia a livello aziendale che
consenta alle aziende di sopravvivere all’attacco.
La conoscenza e l’impegno nell’adottare un
piano di sicurezza strategico a livello aziendale
sono aspetti fondamentali. In caso contrario, le
aziende potrebbero ricorrere a misure totalmente
impraticabili, quali l’elaborazione manuale, come
nel caso della catena di ristoranti P.F. Chang’s
o, ancora peggio, potrebbero chiudere i battenti,
Oltre ai dannosi attacchi DDoS, nel secondo
trimestre abbiamo assistito anche a numerose
violazioni di dati. Secondo l’ITRC, al 15 luglio 2014
sono stati individuati oltre 400 incidenti di
violazione dei dati.18, 19 Ne è un esempio l’attacco
contro il sito Web di vendite all’asta, eBay, che
ha messo a rischio i dati personali di 145 milioni
di acquirenti attivi.20 A seguito dell’attacco, il
service provider ha chiesto ai propri membri di
reimpostare le password.21
come nel caso di Code Spaces.
È consigliabile creare un team di risposta agli
incidenti in grado di guidare i programmi di
consapevolezza dei dipendenti incentrati sulla
prevenzione delle violazioni e degli attacchi
DDoS. È inoltre buona norma informare i clienti
del modo in cui vengono protetti i loro dati. In
caso di incidente, è necessario informare i clienti
sulle misure adottate per risolvere il problema
e limitare i rischi e sui piani futuri, affinché le
La catena di ristoranti P.F. Chang’s è stata vittima
aziende interessate possano prevenire il ripetersi
di una significativa violazione dei dati che ha avuto
di casi simili. Gli utenti che sottoscrivono un
come conseguenza il furto dei dati delle carte di
abbonamento a servizi in-the-cloud dovrebbero
credito dei clienti di tutti gli Stati Uniti.
In un
prendere in considerazione la possibilità di
avviso pubblicato sul proprio sito Web, l’azienda
effettuare il backup dei propri dati in vari percorsi
ha comunicato il passaggio all’uso di dispositivi
sicuri. Al contempo, tutti gli utenti dovrebbero
manuali per l’elaborazione di tutti i pagamenti
verificare di non utilizzare la stessa password per
22
account diversi.
Segnalazioni di incidenti di violazione dei dati e attacchi DDoS,
2° trim. 2014
AZIENDA
DATA
RILEVAMENTO/
ATTACCO
CAUSA
DICHIARATA
NUMERO
STIMATO
DELLE
VITTIME
IMPATTO
DEI DANNI
STRATEGIA DI
RISPOSTA
VIOLAZIONI DEI DATI
eBay
Sconosciuto
Compromesso 145 mln. di
un numero
acquirenti
esiguo di
attivi
credenziali
di accesso dei
dipendenti
Furto di dati, quali
nomi, password
crittografate,
indirizzi e-mail,
indirizzi postali,
numeri di telefono
e date di nascita
dei clienti; impatto
significativo su
vendite e profitti
Modifica delle
password; violazione
comunicata tramite
il blog ufficiale
P.F. Chang’s
10 giugno 2014
Violazione
della sicurezza
Furto dei numeri di
carte di credito dei
clienti
Ritorno all’uso dei
dispositivi manuali
per l’elaborazione
dei pagamenti
con carta di credito
e introduzione
di terminali che
supportano la
crittografia;
notifica pubblicata
sul sito Web
200 filiali
ATTACCHI DDoS
Code Spaces
17 giugno 2014
Controllo
Sconosciuto
da parte
dell’aggressore
del pannello di
controllo inthe-cloud
Eliminazione di dati,
backup fuori sede
e configurazione
delle macchine,
oltre a chiusura
dell’azienda
Non pertinente
Feedly
11-13 giugno 2014
Attacco DDoS
al sito Web
12 mln. di
utenti
Impossibilità per gli
utenti di accedere
agli account e inter
ruzione dei servizi
Modifiche all’infra
struttura; violazione
comunicata tramite
il blog ufficiale
Evernote
10 giugno 2014
Attacco DDoS
al sito Web
100 mln. di
utenti
Impossibilità per gli
utenti di accedere
agli account e inter
ruzione dei servizi
Utilizzo del servizio
di prevenzione DDoS
che comprendeva
filtro dei pacchetti
fasulli; violazione
comunicata tramite
Twitter e blog ufficiale
FONTI:
http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/
http://www.pfchangs.com/security/
http://blog.feedly.com/2014/06/11/denial-of-service-attack/
http://www.theregister.co.uk/2014/06/11/evernote_dos_attack/
http://www.codespaces.com/
http://www.forbes.com/sites/ryanmac/2014/07/16/ebay-ceo-sales-earnings-affected-by-cyberattack-body-blow-in-challenging-second-quarter/
L’effetto più sottovalutato
delle violazioni dei dati…
Le aziende e i privati vengono spesso
a sapere da terze parti di aver subito una
violazione, il che tende a disorientarli e a
orchestrare dinamicamente un piano di
risposta all’incidente, un processo a breve
termine che definisco “caos disorganizzato”.
La gestione iniziale della risposta alla
violazione è fondamentale per non perdere
la fiducia dei clienti. È inoltre altrettanto
essenziale riconoscere le lezioni apprese in
seguito alla violazione. Il risultato principale
è quello di lavorare in condizione di “caos
organizzato”. Gli affari e la vita sono caotici,
pertanto è fondamentale riuscire almeno
a organizzare il “caos”.
L’aspetto più sottovalutato di una viola
zione è l’impatto a valle per gli anni a venire.
Mentre prosegue l’attacco alle informazioni
aziendali, i dati trafugati vengono rag
gruppati e venduti in community inenar
rabili da persone che compiono operazioni
inimmaginabili; il tutto a spese dell’azienda
e per somme di denaro assurde. Dobbiamo
ricordare che i dati rubati non hanno una
data di scadenza. Possono essere usati
a tempo indeterminato, e proba
bilmente
lo saranno. Dovremmo tutti ripensare
le nostre strategie di sicurezza in qualità
di custodi dei dati e tentare di diventare
esperti della difesa delle minacce nelle
nostre aziende.
I fornitori devono assegnare la massima
priorità alla sicurezza, inclusi i piani
di risposta agli incidenti per violazioni
e attacchi DDoS e i programmi di consa
pevolezza della sicurezza a livello aziendale.
Gli utenti dei servizi in-the-cloud devono
valutare l’uso di più percorsi sicuri per il
backup dei dati aziendali.
—JD Sherry
Vicepresidente,
Tecnologia e soluzioni
I criminali informatici hanno risposto
agli sviluppi del banking online e delle
piattaforme mobili
I criminali informatici hanno risposto agli sviluppi tecnologici delle piatta
forme nell’online banking e nella mobilità, sviluppi che hanno condotto
a un aumento nel numero di minacce informatiche nuove/migliorate.
Il ransomware ha continuato a diffondersi in
questo trimestre dopo essere stato ulteriormente
migliorato. Hanno proseguito prendendo di mira
la piattaforma Android tramite ANDROIDOS_
LOCKER.A, che colloca l’interfaccia utente sopra a
uno schermo non bloccato e proibisce agli utenti
di disinstallarla.24 Anche ANDROIDOS_LOCKER.
HBT ha dimostrato come il ransomware mobile
abbia saputo fare propri i trucchetti delle minacce
informatiche, come la comunicazione con i server
C&C (command-and-control) tramite Tor.25, Sex xonix
26
Alle vittime è stato anche chiesto di pagare circa
USD 30 per lo sblocco dei propri dispositivi. Il
mancato pagamento del riscatto avrebbe potuto
causare la distruzione di tutti i dati sui dispositivi
mobili.
Virus Shield
Anche se il numero di utenti vittime del ransomware
è sceso da circa 11.000 alla fine dell’ultimo
trimestre a circa 9.000 in questo trimestre, sono
emerse nuove tipologie con capacità più avanzate.
IN ALTO: ANDROIDOS_LOCKER.HBT si fa passare
Sono state anche osservate in questo trimestre
per una falsa app dal nome “Sex xonix”;
varianti come CryptoLocker con un componente
Tor, CryptoDefense, e CryptoWall.27
IN BASSO: ANDROIDOS_FAKEAV.B “mascherato”
da “Virus Shield”
Anche i falsi antivirus hanno vissuto un revival
sotto forma di una falsa app mobile dal nome
“Virus Shield”, in precedenza disponibile per il
download da Google Play™.28, 29
La falsa app registrava che ANDROIDOS_
FAKEAV.B veniva scaricato più di 10.000 volte
e diventava addirittura l’app più venduta della
settimana.30
Anche il Giappone ha riscontrato in maggio un
La ricerca relativa all’Operazione Emmental ha a
incremento significativo nel numero di vittime delle
sua volta dimostrato come le minacce informatiche
minacce informatiche per il banking online a causa
e mobili collaborino in modo trasparente per creare
dell’aumento dei rilevamenti VAWTRAK.31 Benché
non fossero considerate minacce informatiche
per il banking online prima di questo trimestre,
le più recenti varianti hanno ampliato le proprie
più caos presso le banche online.32, 33 I criminali
informatici oggetto di questa operazione prendono
di mira le banche che utilizzano i token di sessione
inviati tramite SMS o l’autenticazione a due fattori.
Attacchi spam a carattere regionale, minacce
capacità fino a includere il furto delle credenziali
informatiche non persistenti, falsi server DNS,
del banking online e le informazioni sulle carte di
pagine di phishing, minacce informatiche Android,
credito.
server C&C e server back-end reali fanno tutti parte
di questa complessa operazione.
Confronto del volume rilevato
delle minacce informatiche
di banking online,
1° trim. 2013 e 2° trim. 2014
Volume rilevato delle minacce
informatiche di banking online,
2° trim. 2014
50.000
120.000
46.000
112.000
102.000
38.000
60.000
25.000
0
0
1° trim.
2° trim.
APR
37.000
MAG
GIU
In questo trimestre è stato osservato un lieve aumento nel numero di rilevamenti di minacce informatiche
per il banking online dovuto all’aumento dei casi relativi a VAWTRAK in Giappone.
NOTA: il volume totale delle minacce informatiche per il banking online si riferisce al numero di infezioni univoche mensili.
Paesi maggiormente colpiti dalle minacce informatiche
di banking online, 2° trim. 2014
Giappone
Stati Uniti
India
Brasile
Vietnam
Turchia
Indonesia
Cile
Malesia
Italia
Altri
24%
14%
7%
7%
5%
4%
3%
3%
3%
2%
28%
16.000
13.000
Giappone
11.000
Stati Uniti
8.000
8.000
5.000
4.000
3.000
India
4.000
3.000
2.000
0
APR
MAG
GIU
Il Giappone è salito in testa all’elenco dei paesi con il più alto numero di infezioni da minacce informatiche per il banking online
in questo trimestre a causa di VAWTRAK. La maggior parte dei paesi citati lo scorso trimestre sono rimasti nell’elenco, ad
eccezione di Francia, Messico e Australia, che sono stati rimpiazzati da Indonesia, Cile e Italia.
La collaborazione con le forze
dell’ordine ha condotto a una serie di
arresti a livello mondiale
Lavorando a stretto contatto con le forze dell’ordine di vari paesi, siamo
stati in grado di vanificare in modo diretto e definitivo diverse attività
criminali informatiche a livello mondiale.
Rivelare i risultati della nostra ricerca alle aziende
peer-to-peer (P2P).36 Trend Micro ha fornito
colpite allo scopo di prevenire le perdite finanziarie
all’operazione di smantellamento dell’FBI uno
dovute alla criminalità informatica si è dimostrata
strumento per la disinfezione che ha contribuito
una scelta efficace.
La dimostrazione è stata il
a un calo nel numero di utenti vittime di ZeuS/
riconoscimento del Tokyo Metropolitan Police
ZBOT in questo trimestre. I dati dello Smart
Department (MPD) in aprile riguardo a quanto
Protection Network hanno mostrato un calo del
avevamo scoperto sugli attacchi legati a Citadel
36% nel numero di utenti interessati al termine del
contro le banche giapponesi dal giugno 2013.
trimestre.
Abbiamo fornito alle forze dell’ordine anche
Altre iniziative delle forze dell’ordine, invece,
informazioni su Jam3s, alias James Bayliss: un
richiedono tempo. Nell’ambito dell’operazione
hacker che eseguiva server C&C legati a SpyEye;
contro Esthost del 2011 da parte dell’FBI e della
le informazioni hanno contribuito all’arresto di
polizia estone, cinque delle sei persone coinvolte
Jam3s nel Regno Unito in maggio.
sono finalmente giunte negli Stati Uniti e sono
34
35
Lo scorso giugno, l’FBI ha annunciato che una
collaborazione internazionale era stata in grado
di vanificare le attività di GameOver, una variante
ZeuS/ZBOT in grado di eseguire comunicazioni
in attesa di giudizio.37 È la dimostrazione che
assicurare i criminali informatici alla giustizia
può anche richiedere tempo, ma alla fine ottiene
i risultati auspicati.
Trend Micro collabora con le
forze dell’ordine…
Il team per le ricerche sulle minacce future
(FTR, Forward-Looking Threat Research),
un’unità di e-crime dedicata di Trend
Micro che gestisce tutte le richieste di
indagini da parte delle forze dell’ordine.
La collaborazione tra il team FTR e le forze
dell’ordine viene messa in moto da una
richiesta esplicita da un’unità di polizia
o da indizi rilevati dal team FTR legati
a crimini informatici. Offriamo assistenza
alle indagini e condividiamo con le forze
dell’ordine le informazioni disponibili
sulle minacce. Siamo il punto di contatto
per le attività collaborative del team
CERT (Community Emergency Response
Team) nazionale o commerciale e per il
team CSIRT (Computer Security Incident
Response Team) per Trend Micro.
Diverse collaborazioni avute in passato
hanno condotto a ottimi risultati, la più
recente delle quali ha portato a una serie di
arresti legati al cavallo di Troia del banking
SpyEye. Abbiamo condiviso informazioni
con i nostri contatti presso l’FBI e la
National Crime Agency (NCA); le due
agenzie hanno proseguito le indagini che
hanno condotto da ultimo a una serie di
arresti di alto profilo.
A parte i casi che sono già diventati di
dominio pubblico, siamo coinvolti in una
serie di casi in corso a livello mondiale.
Siamo sempre lieti di collaborare con le
forze dell’ordine, con il sostegno delle
informazioni sulle minacce di Trend Micro
e la nostra competenza investigativa sulla
criminalità informatica, poiché riteniamo
che soltanto attraverso la collaborazione si
possa davvero rendere il mondo un posto
più sicuro per lo scambio delle informazioni
digitali.
—Martin Rösler
Direttore Senior, Ricerca sulle
minacce
Riemergenza dei problemi della
privacy utente
Le forze di mercato, i regolamenti e i tribunali a livello mondiale stanno
prendendo posizione in modo deciso in difesa della privacy dell’utente.
Un anno fa, Edward Snowden ha reso pubbliche
a Google di rimuovere le imbarazzanti rivelazioni
le prassi diffuse di sorveglianza messe in atto dalla
online dai risultati delle ricerche.40 La decisione
National Security Agency (NSA).38 I difensori
è stata giudicata una vittoria in Europa anche se
della privacy dei dati hanno chiesto di cambiare
alcuni recenti dibattiti sostengono che potrebbe
le leggi ma la prassi della sorveglianza rimane
contraddire il diritto alla libertà di espressione
intatta. Le rivelazioni di Snowden hanno avviato
affermato nella Dichiarazione universale dei diritti
un dibattito relativo ai dati archiviati in-the-
umani dell’ONU.41
cloud, mentre una maggiore consapevolezza delle
minacce alla sicurezza del cloud ha condotto a una
serie di reazioni, tra cui i reclami di varie aziende
USA e la perdita di fiducia in alcuni provider di
servizi in‑the‑cloud. Questo dibattito è ancora
aperto, mentre i provider di servizi in-the-cloud
continuano a lottare per tenere i dati dei clienti
fuori dalle mani dei governi in un caso in corso
A favore della privacy digitale, a metà giugno, la
Corte Suprema degli Stati Uniti ha stabilito che la
polizia sarà tenuta a procurarsi un mandato per
perquisire un telefono cellulare.42 Questa decisione
epocale a favore dei diritti della privacy e il supporto
che ne consegue potrebbero influenzare in futuro
la protezione legale concessa ai dati digitali. I siti
negli Stati Uniti.39
Web che registrano dati personali possono avere
Le preoccupazioni di lunga data relative ai dati
i proprietari di tali informazioni hanno il diritto di
che le aziende raccolgono sui singoli si sono
utilizzarle come credono.43 Le misure adottate per
manifestate nella decisione europea relativa al
la protezione dei dati digitali personali segnano
principio del “diritto di essere dimenticati” il
decisamente un gradito cambiamento.
13 maggio, che consente agli utenti di chiedere
accesso a determinate informazioni ma soltanto
Il ruolo di Trend Micro nel
dibattito sulla privacy...
Giorno dopo giorno, l’importanza delle
domande e delle preoccupazioni che
circondano la privacy aumenta. Quasi tutti
gli abitanti del pianeta si preoccupano
della privacy online o dovrebbero farlo. Il
sopraggiungere dell’era dell’Internet di
tutto/Internet delle cose (IoE/IoT) rende
ancora più eclatanti gli errori della privacy
perché coinvolge un numero maggiore di
conseguenze nel mondo reale.
In un mondo come il nostro, con una privacy
sempre più complessa e una difficoltà
sempre maggiore nella sua protezione,
qual è il ruolo di un’azienda come Trend
Micro? È quello di contribuire a ridurre
la complessità e di facilitare l’utilizzo di
tutti i vantaggi che le tecnologie e i servizi
più recenti possono offrire senza dover
rinunciare alla privacy.
È nostro compito in qualità di esperti della
difesa contro le minacce fungere da guida
e da risorsa per aiutare le persone a vivere
la propria esistenza online nel modo
più aperto o più privato che desiderano,
comunque in sicurezza.
—Christopher Budd
Responsabile,
Marketing minacce
Analisi del panorama delle minacce
Minacce informatiche,
spam e siti dannosi
In questo trimestre è stato osservato un passaggio
numero di infezioni DOWNAD/Conficker. Inoltre,
dei volumi attraverso vari vettori di attacco
pare che il “pensionamento” di Windows XP abbia
monitorati tramite Smart Protection Network. La
spinto gli aggressori ad adottare una via diversa
natura delle minacce nei segmenti consumer e delle
come reazione.
aziende è cambiata, come dimostra il declino nel
Numero di indirizzi IP per l’invio
di spam a cui Trend Micro Smart
Protection Network ha bloccato
l’accesso, 2° trim. 2014
6 mld.
Numero di siti dannosi a cui
Trend Micro Smart Protection Network
ha bloccato l’accesso, 2° trim. 2014
500 mln.
5,1
mld.
412 mln.
4,3 mld.
4,0 mld.
3 mld.
250 mln.
246 mln.
266 mln.
APR
MAG
0
APR
MAG
GIU
0
GIU
Il numero di indirizzi IP dediti all’invio di spam a cui
Il numero di siti dannosi a cui abbiamo bloccato
abbiamo bloccato l’accesso in questo trimestre non
l’accesso è aumentato significativamente in giugno.
è né sensibilmente aumentato né si è ridotto rispetto ai
È interessante notare come i principali siti a cui
12,9 miliardi dello scorso trimestre.
abbiamo bloccato l’accesso fossero legati all’adware.
Numero di file dannosi bloccati da
Trend Micro Smart Protection Network,
2° trim. 2014
1,2 mld.
1,1
mld.
Numero totale di minacce bloccate da
Trend Micro Smart Protection Network,
2° trim. 2014
8 mld.
1,1
mld.
6,5
mld.
0,9 mld.
5,8 mld.
5,1 mld.
4 mld.
,6 mld.
0
0
APR
MAG
APR
GIU
MAG
GIU
Il numero di file dannosi che abbiamo bloccato è
Abbiamo bloccato una media di 5,8 miliardi di minacce
raddoppiato questo trimestre rispetto allo stesso
per mese questo trimestre, segnando così un lieve
trimestre dello scorso anno (1,7 miliardi).44 Il numero
aumento rispetto ai 5,4 miliardi dello scorso trimestre.
crescente di varianti di minacce informatiche in
generale e la tendenza a utilizzare minacce informatiche
personalizzate sono stati accelerati dall’accessibilità dei
toolkit di minacce informatiche nell’underground dei
criminali informatici.
Livello di rilevamento complessivo di Trend Micro Smart Protection Network,
2° trim. 2014
3000/s
2400/s
2200/s
2000/s
1500/s
0
APR
MAG
GIU
Non sono stati registrati cambiamenti significativi del numero di minacce bloccate al secondo rispetto al trimestre precedente.
Primi 3 adware,
2° trim. 2014
NOME
Prime 3 minacce informatiche,
2° trim. 2014
VOLUME
NOME
VOLUME
ADW_INSTALCOR
234.000
WORM_DOWNAD.AD
35.000
ADW_OPENCANDY
204.000
LNK_DUNIHI.SMIX
33.000
ADW_DOWNWARE
107.000
JS_NEVAR.A
19.000
L’adware ha costituito una parte consistente del numero
WORM_DOWNAD
ha
continuato
a
piazzasi
ai
totale di minacce (adware e minacce informatiche
primi posti nell’elenco dei contaminatori di minacce
insieme) visto in questo trimestre. ADW_OPENCANDY
informatiche in questo trimestre. Anche se il relativo
è rimasto nei primi 3 anche se il relativo volume
volume è sceso a causa del calo nel numero di utenti di
è diminuito rispetto al trimestre precedente. Questi
Windows XP, le infezioni hanno continuato a persistere
adware sono in circolazione da anni. Gli adware sono
in parte a causa di prassi non sicure come il mancato
principalmente plug-in che alcuni sviluppatori uniscono
aggiornamento del sistema operativo.
in bundle al software gratuito. Gli sviluppatori dal canto
NOTA: le principali minacce informatiche non
loro guadagnano consigliando software o prodotti agli
comprendono gli strumenti di hacking comunemente
utenti tramite l’adware installato.
individuati quali i generatori di chiavi e i visualizzatori
delle chiavi dei prodotti.
Le prime 3 minacce informatiche per segmento, 2° trim. 2014
SEGMENTO
2° trim. 2014
NOME
Aziende
PMI
Consumer
VOLUME
LNK_DUNIHI.SMIX
29.000
WORM_DOWNAD.AD
26.000
WORM_DOWNAD.FUF
5.000
WORM_DOWNAD.AD
6.000
JS_CHECK.A
2.000
LNK_DUNIHI.SMIX
2.000
JS_NEVAR.A
18.000
JAVA_XPLOIT.GOQ
11.000
JS_REDIR.ED
10.000
Il segmento aziendale è stato dominato da minacce desuete come quelle legate ai supporti USB. I principali contaminatori del
mercato consumer, nel frattempo, si sono piazzati alla pari con i kit di exploit. Infine, il segmento delle piccole e medie imprese
(PMI) è stato vittima di una combinazione di minacce vecchie e relativamente nuove.
NOTA: le principali minacce informatiche non comprendono gli strumenti di hacking comunemente individuati quali
i generatori di chiavi e i visualizzatori delle chiavi dei prodotti.
Primi 10 domini dannosi a cui Trend Micro Smart Protection Network ha bloccato
l’accesso, 2° trim. 2014
DOMINIO
MOTIVO PER IL BLOCCO DELL’ACCESSO
ads.alpha00001.com
Segnalato come server C&C che reindirizza gli utenti
a enterfactory ‌com, un sito Web dannoso
www.ody.cc
Legato a script e siti sospetti che forniscono l’hosting
a BKDR_‌HPGN.B-CN
cnfg.toolbarservices.com
Rilevato come ADW_MONTIERA
storage.stgbssint.com
Rilevato come ADW_BUNDLED
cdn1.down.17173ie.com
Noto per eseguire lo scaricamento di file dannosi
interyield.jmp9.com
Legato agli attacchi delle minacce informatiche e ad altre
attività dannose
flyclick.biz
Legato all’acquisizione del controllo dei computer e ad altre
attività dannose
directxex.com
Noto per eseguire lo scaricamento di file dannosi
sp-storage.spccint.com
Noto per eseguire lo scaricamento di minacce informatiche
checkver.dsiteproducts.com
Rilevato come ADW_DOWNWARE
Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi rispetto al trimestre
precedente.
Primi 10 URL dannosi per paese di origine, 2° trim. 2014
Stati Uniti
Paesi Bassi
Germania
Cina
Russia
Francia
Regno Unito
Corea del Sud
Giappone
Repubblica Ceca
Altri
25%
3%
3%
3%
3%
3%
2%
1%
1%
1%
55%
La porzione di torta dell’hosting di URL dannosi degli Stati Uniti ha raggiunto il 25% questo trimestre, segnando un incremento
del 3% rispetto al 22% dello scorso trimestre.
Paesi con il maggior numero di visite a siti dannosi, 2° trim. 2014
Stati Uniti
Giappone
Francia
Australia
Taiwan
Italia
Cina
India
Regno Unito
Germania
Altri
29%
16%
4%
4%
4%
4%
4%
4%
3%
3%
25%
L’Italia e il Regno Unito si sono unite all’elenco dei paesi con il maggior numero di visite ai siti web dannosi. Il Giappone e gli
Stati Uniti sono rimasti i 2 paesi in vetta, come nel trimestre precedente.
Lingue maggiormente usate per lo spam, 2° trim. 2014
Inglese
Tedesco
Giapponese
Cinese
Russo
Spagnolo
Portoghese
Francese
Turco
Islandese
Altri
82,81%
3,98%
3,17%
1,82%
1,00%
0,40%
0,39%
0,17%
0,09%
0,07%
6,10%
Il trimestre ha segnato un apparente aumento nella quantità di spam in lingua tedesca. L’inglese ha tuttavia conservato il
primo posto.
Paesi principali da cui partono gli attacchi spam, 2° trim. 2014
Spagna
Argentina
Stati Uniti
Germania
Italia
Iran
Vietnam
Russia
Cina
Colombia
Altri
9%
8%
7%
6%
5%
4%
4%
4%
3%
3%
47%
In questo trimestre non sono stati registrati cambiamenti significativi nell’elenco dei principali paesi da cui partono gli attacchi
di spam.
Paesi con il maggior numero di server C&C botnet, 2° trim. 2014
Regno Unito
Stati Uniti
Germania
Russia
Ucraina
Cina
Corea del Sud
Paesi Bassi
Lettonia
Francia
Altri
32%
29%
3%
3%
3%
2%
2%
2%
1%
1%
22%
Il Regno Unito ha continuato a sovrastare l’elenco dei paesi con il maggior numero di server C&C botnet, come nel trimestre
precedente.
Paesi con il maggior numero di connessioni botnet, 2° trim. 2014
Regno Unito
Stati Uniti
Germania
Russia
Turchia
Portogallo
Cina
Paesi Bassi
Ucraina
Svizzera
Altri
27%
27%
8%
8%
5%
5%
4%
4%
4%
2%
6%
Gli utenti del Regno Unito e degli Stati Uniti hanno rappresentato più di metà del traffico di rete che ha colpito i server C&C
tramite i computer infetti questo trimestre.
Minacce mobili
Le minacce mobili restano evidenti, come dimo
app ad alto rischio come l’adware sono a loro volta
strato dall’aumento costante del loro numero. Le
aumentate.
Volume cumulativo delle minacce Android a partire dal 2° trim. 2014
3 mln.
2,7 mln.
2.7M
2 mln.
Minacce
informatiche
mobili
App ad alto
rischio
2,3 mln.
2,5 mln.
37K
71%
29%
1 mln.
0
APR
MAG
GIU
Nuove aggiunte mensili alle minacce Android, 2° trim. 2014
600.000
184.000
TOTALE
In linea con le cifre dell’ultimo trimestre, le nuove
589.000
aggiunte di minacce informatiche mobili e app ad
GIU
210.000
alto rischio nel corso di questo trimestre hanno
rappresentato più di un quinto del numero totale delle
minacce Android.
MAG
300.000
NOTA: le app ad alto rischio o potenzialmente
indesiderate sono quelle che possono compromettere
195.000
APR
l’esperienza dell’utente poiché visualizzano pubblicità
indesiderate, creano collegamenti indesiderati o rac
colgono informazioni sui dispositivi senza che gli utenti
lo sappiano o lo consentano. Gli esempi includono
0
MINACCE
l’adware aggressivo.
Principali famiglie di minacce informatiche per Android, 2° trim. 2014
OPFAKE
FAKEINST
SMSAGENT
SMSREG
STEALER
JIFAKE
GINMASTER
SMSSENDER
CLICKER
BLOODZOB
Altri
14%
10%
8%
7%
4%
4%
3%
3%
3%
3%
41%
OPFAKE è salita in vetta all’elenco delle famiglie di minacce informatiche Android osservate questo trimestre. FAKEINST
è arrivata al secondo posto, probabilmente grazie all’aumento nel numero di premium service abuser.
NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l’adware esegue il push
aggressivo delle pubblicità e può raccogliere informazioni personali senza il consenso della vittima.
Distribuzione dei principali tipi di minacce Android, 2° trim. 2014
60%
Adware
46%
Premium
service abuser
40%
Data stealer
30%
Remote
controller
Downloader
di minacce
20%
8%
0
Spyware
3%
3%
La quota di adware è rimasta la più consistente, benché sia scesa leggermente rispetto al trimestre precedente. È salito anche
il numero di premium service abuser e di ladri di dati. Anche lo spyware si è piazzato tra le minacce principali nel panorama
mobile.
NOTA: lo spyware rileva o monitora la posizione GPS (Global Positioning System), gli SMS e le chiamate degli utenti, quindi
invia tali informazioni a terze parti. Lo spyware viene in genere pubblicizzato come “strumenti di spionaggio” che gli utenti
possono installare sullo smartphone o tablet di coloro che desiderano “spiare”.
I dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware, che rappresentano il 71% del numero
totale di minacce mobili rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo aprile-giugno 2014. Una
famiglia di minacce potrebbe avere comportamenti tipici di più tipi di minacce.
Attacchi mirati
Gli attacchi rilevati questo trimestre hanno
Abbiamo monitorato entrambe le campagne,
preso principalmente di mira gli enti pubblici
che prendevano di mira varie aziende nei settori
con campagne quali PLEAD e ANTIFULAI.
pubblico e privato, specie a Taiwan e in Giappone.
45, 46
Volume di attacchi mirati per settore, 2° trim. 2014
Pubblica
amministrazione
Informatico
Aerospaziale
Industriale
4%
3%
3%
81%
Elettrico
3%
Telecomunicazioni
3%
Militare
Aviazione
Finanziario
3%
1%
1%
La maggior parte degli attacchi ha continuato a prendere di mira gli enti pubblici anche in questo trimestre.
NOTA: la cifra mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre.
Distribuzione degli attacchi mirati per paese, 2° trim. 2014
Taiwan
Giappone
Stati Uniti
Brasile
Cina
Israele
Turchia
Altri
Taiwan è risultato il paese maggiormente preso di mira in questo trimestre, seguito dal Giappone.
NOTA: la mappa mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre.
62%
22%
5%
1%
1%
1%
1%
7%
Campagne di attacchi mirati attive rilevanti, 2° trim. 2014
CAMPAGNA
MESE DI
RILEVAMENTO
PLEAD
Maggio
Pubblica
amministrazione ed
enti pubblici a Taiwan
E-mail
Uso della tecnica
RTLO (right-to-left
override)
ANTIFULAI
Giugno
Pubblica amministra
zione e vari settori
privati in Giappone
E-mail
Sfruttamento delle
vulnerabilità del
programma Ichitaro
HAVEX
Giugno
Gli utenti di Industrial
Control Systems (ICS)
principalmente
in Europa e negli
Stati Uniti
E-mail di
phishing, attacchi
watering hole
L’hacking di siti
legati a ICS per
compromettere
applicazioni legittime
OBIETTIVO
PUNTO DI
ACCESSO
FONTI:
http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2/
http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/
http://about-threats.trendmicro.com/us/webattack/139/HAVEX+Targets+Industrial+Control+Systems
MOTIVO DELLA
RILEVANZA
La principale
preoccupazione rispetto agli
attacchi mirati...
La preoccupazione numero 1 delle aziende
deve essere il “rischio di pubblicità
negativa”. Gli attacchi mirati incrementano
sensibilmente il rischio per la reputazione,
ma due vettori di attacco in particolare
destano le maggiori preoccupazioni.
In primo luogo, gli attacchi watering
hole, che stanno proliferando negli Stati
Uniti. Un attacco watering hole è un
attacco in cui il server Web aziendale
viene compromesso e pagine specifiche
all’interno del sito attaccano i visitatori
con minacce informatiche appositamente
create. Questi attacchi sono estremamente
efficaci contro i dipendenti che utilizzano
questi siti Web come portali, per diffondere
le minacce a clienti e partner. L’impatto
per la reputazione dei marchi aziendali di
questi attacchi può risultare disastroso.
Il secondo vettore è “island hopping”. Gli
attacchi island hopping avvengono quando
gli aggressori prendono di mira la rete di
un’azienda per poter accedere alle reti dei
relativi partner e clienti. Lo spostamento
laterale attraverso sistemi di rete affidabili
causa danni enorme per la reputazione e i
marchi delle vittime.
Gli aggressori si focalizzano sull’anello
debole della catena degli approvvi
giona
menti. Maggiori sono le operazioni di
ricognizione che gli aggressori compiono
sulla catena degli approvvigionamenti
aziendale e maggiore sarà il numero di
attacchi di island hopping sferrati.
–Tom Kellermann
Responsabile della
sicurezza informatica
Vita digitale e IoE/IoT
Mentre il fenomeno IoE/IoT continua a spalancare
Oltre ai dispositivi smart, anche le attività di
nuove possibilità per la condivisione e la
navigazione Web rappresentano una consistente
connessione con altri, migliorando così il nostro
porzione della vita digitale delle persone. È per
stile di vita, coloro che ne beneficiano potrebbero
questo che è fondamentale essere vigili quando si
essere vulnerabili agli attacchi ad esso mirati.
cercano informazioni o quando semplicemente si
I dispositivi IoE/IoT collegati a router wireless
va online.
vulnerabili potrebbero consentire a qualsiasi
Recentemente, i mondiali di calcio 2014 in Brasile
utente esterno di accedere alla pagina firmware
sono stati uno degli eventi sportivi con la maggiore
per mettere gli utenti a rischio in caso di hacking
risonanza.48 Per questo, gli utenti hanno dovuto
ai router.47 Manomettere un modem o router
affrontare varie minacce, poiché i mondiali si sono
vulnerabile può anche compromettere eventuali
dimostrati uno degli spunti di social engineering
dispositivi IoE/IoT (ad es. smart meter o un
maggiormente sfruttati nel corso del trimestre,
intero smart hub). I router sono una parte vitale
come hanno confermato gli oltre un miliardo di
di qualsiasi rete collegata a Internet, in quanto
commenti e mi piace su Facebook da parte di oltre
componenti
200 milioni di utenti e i 300 milioni di tweet.49
principali
nell’attivazione
degli
smart hub, ovvero dispositivi che collegano tutti i
dispositivi IoE/IoT l’uno all’altro. Gli utenti devono
quindi garantirne la protezione.
Riepilogo delle minacce relative ai mondiali di calcio, 2° trim. 2014
9 MAGGIO
Le ricerche relative ai mondiali di calcio hanno indotto gli
utenti a scaricare un generatore di chiavi software che si è
rivelato essere adware.
20 MAGGIO
Siti Web fasulli sui mondiali in Brasile vendevano biglietti per le
partite che le vittime hanno pagato senza mai ricevere.
30 MAGGIO
Dello spam sosteneva che il destinatario aveva diritto a
un biglietto della riffa con in palio biglietti per i mondiali.
Ovviamente si trattava di una truffa.
9 GIUGNO
Lo spam ha fatto sorgere sempre più siti di phishing legati ai
mondiali di calcio.
12 GIUGNO
Sono state diffuse su Google Play delle false app mobili
legate ai mondiali. ANDROIDOS_SMSSTEALER.HBT è un altra
minaccia informatica Android che ha sfruttato la febbre dei
mondiali. Questa famiglia di minacce informatiche è nota per
avere aggiunto un filtro SMS che bloccava gli SMS in entrata.
L’analisi del relativo server C&C ha portato all’identificazione
di 76 domini, che venivano utilizzati anche per l’hosting di siti
Web per il download di app di terze parti.
FONTI:
http://blog.trendmicro.com/trendlabs-security-intelligence/threats-get-a-kick-out-of-2014-fifa-world-cup-brazil-buzz/
http://blog.trendmicro.com/trendlabs-security-intelligence/brazilian-users-being-scammed-with-2014-fifa-world-cup-tickets/
http://blog.trendmicro.com/trendlabs-security-intelligence/home-court-advantage-banload-joins-fifa-world-cup/
http://blog.trendmicro.com/trendlabs-security-intelligence/phishing-sites-start-world-cup-campaign/
http://blog.trendmicro.com/trendlabs-security-intelligence/watch-out-for-fake-versions-of-world-cup-2014-apps/
L’evento di maggiore
portata legato a IoE/IoT e
l’effetto della convergenza
radio‑Internet...
L’evento più importante questo trimestre
è stata la commercializzazione aperta a
tutti di Google Glass; pare che la vendita
sia andata esaurita in poche ore. Anche
uno scettico nei confronti dell’adozione
deve ammettere che si tratta di un risultato
impressionante per una tecnologia che
sarà obsoleta tra pochi anni. Se si aggiunge
a questo la commercializzazione del
discusso iWatch di Apple alla fine dell’anno
diventa chiaro che il 2015 sarà l’“anno
della connessione”, se non anche l’“anno
dell’infezione”.
Queste
tecnologie
offrono
nuove
opportunità agli aggressori. Il GPS sul
cinturino, ad esempio, non si limiterà a
rilevare dove fate la vostra corsa quotidiana
ma rivelerà anche quali sportelli bancomat
utilizzate regolarmente. Il monitoraggio
delle pulsazioni cardiache non è soltanto
utile in palestra, ma consente anche di
stabilire quanto dormite in un momento
dato. E con l’incremento dell’adozione
da parte dei consumatori aumenterà
anche l’adozione da parte dei criminali.
Il fondamento del successo di IoE/IoT
è la comunicazione. La trasmissione
radio e le altre tecnologie wireless sono
parte integrante di questa evoluzione.
Sfortunatamente, molti dei principi tecnici
alla base delle tecnologie radio preesistenti
utilizzate per azionare l’IoE/IoT sono stati
fissati definitivamente molto prima che il
Web commerciale fosse una scintilla negli
occhi di Tim Berners-Lee e non sono stati
progettati pensando alla sicurezza. Come
per TCP/IP, erano stati progettati pensando
alla resistenza.
Si prevede senza dubbio che l’interesse
dei criminali in quest’area continui ad
aumentare, mentre la manipolazione della
falsificazione esplicita della comunicazione
avrà conseguenze misurabili nel mondo
reale poiché la prospettiva sono i guadagni
ottenuti illecitamente e la diffusione del
caos.
—Rik Ferguson
Vice President,
Security Research
Bibliografia
1.
Noah Rayman. (3 luglio 2014). Time. “Breaches of Your Personal Data Are Up 20%.” Ultimo accesso 16 luglio 2014,
http://‌time.‌com/2953428/data-breaches-identity-theft/.
2.
Raimund Genes. (6 aprile 2014). TrendLabs Security Intelligence Blog. “Advice for Enterprises in 2014: Protect Your Core Data.”
Ultimo accesso 17 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/advice-for-enterprises-in-2014protect-your-core-data/.
3.
Pawan Kinger. (8 aprile 2014). TrendLabs Security Intelligence Blog. “Skipping a Heartbeat: The Analysis of the Heartbleed
OpenSSL Vulnerability.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/skipping-aheartbeat-the-analysis-of-the-heartbleed-openssl-vulnerability/.
4.
Maxim Goncharov. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Vulnerability Affects 5% of Select TopLevel Domains from Top 1M.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/
heartbleed-vulnerability-affects-5-of-top-1-million-websites/.
5.
Veo Zhang. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Bug—Mobile Apps Are Affected, Too.” Ultimo
accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed-bug-mobile-apps-are-affectedtoo/.
6.
Jonathan Leopando. (27 aprile 2014). TrendLabs Security Intelligence Blog. “Internet Explorer Zero-Day Hits All Versions in
Use.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/internet-explorer-zero-day-hitsall-versions-in-use/.
7.
Abigail Pichel. (8 aprile 2014). TrendLabs Security Intelligence Blog. “April 2014 Patch Tuesday Fixes Microsoft Word ZeroDay.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/april-2014-patch-tuesday-fixesmicrosoft-word-zero-day/.
8.
Abigail Pichel. (14 maggio 2014). TrendLabs Security Intelligence Blog. “May 2014 Patch Tuesday Rolls Out 8 Bulletins.” Ultimo
accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/may-2014-patch-tuesday-rolls-out-8bulletins/.
9.
Bernadette Irinco. (10 giugno 2014). TrendLabs Security Intelligence Blog. “June 2014 Patch Tuesday Resolves Critical Flaws in
Internet Explorer, Microsoft Office.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/
june-2014-patch-tuesday-resolves-critical-flaws-in-internet-explorer-microsoft-office/.
10. Maria Manly. (1° luglio 2014). TrendLabs Security Intelligence Blog. “DOWNAD Tops Malware Spam Source in Q2 2014.”
Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/downad-tops-malware-spam-sourcein-q2-2014/.
11. Abigail Pichel. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Adobe Releases Patch for Flash Zero-Day Vulnerability.”
Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/adobe-releases-patch-for-flash-zeroday-vulnerability/.
12. Pavithra Hanchagaiah. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Season of Zero-Days: Multiple Vulnerabilities in
Apache Struts.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/season-of-zero-daysmultiple-vulnerabilities-in-apache-struts/.
13. Apache Struts 2 Documentation. “S2-021.” Ultimo accesso 16 luglio 2014, http://struts.apache.org/release/2.3.x/docs/s2-021.
html.
14. Weichao Sun. (12 maggio 2014). TrendLabs Security Intelligence Blog. “Android App Components Prone to Abuse.” Ultimo
accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/android-app-components-prone-to-abuse/.
15. Errata Security. (21 giugno 2014). “300K Vulnerable to Heartbleed Two Months Later.” Ultimo accesso 23 luglio 2014,
http://‌blog.‌erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html#.U8_Ds_mSySr.
16. Dan Goodin. (19 giugno 2014). Ars Technica. “AWS Console Breach Leads to Demise of Service with “Proven” Backup Plan.”
Ultimo accesso 16 luglio 2014, http://arstechnica.com/security/2014/06/aws-console-breach-leads-to-demise-of-service-withproven-backup-plan/.
17. Jay McGregor. (11 giugno 2014). Forbes. “Feedly and Evernote Go Down as Attackers Demand Ransom.” Ultimo accesso 16 luglio
2014, http://www.forbes.com/sites/jaymcgregor/2014/06/11/feedly-and-evernote-go-down-as-attackers-demand-ransom/.
18. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Data Breach Category Summary.” Ultimo accesso 16 luglio 2014,
http://‌www.idtheftcenter.org/images/breach/ITRCBreachStatsReportSummary2014.pdf.
19. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Breach List.” Ultimo accesso 16 luglio 2014, http://www.idtheftcenter.
org/images/breach/ITRC_Breach_Report_2014.pdf.
20. Rik Ferguson. (21 maggio 2014). Countermeasures. “Oy Vey, eBay! Five Questions for You….” Ultimo accesso 16 luglio 2014,
http://‌countermeasures.trendmicro.eu/oy-vey-ebay-five-questions-for-you/.
21. eBay Inc. (21 maggio 2014). eBay Inc. “eBay Inc. to Ask eBay Users to Change Passwords.” Ultimo accesso 16 luglio 2014,
http://‌www.‌ebayinc.com/in_the_news/story/ebay-inc-ask-ebay-users-change-passwords.
22. Narottam Medhora, Tanvi Mehta e Ankit Ajmera. (10 giugno 2014). Reuters. “Restaurant Chain P.F. Chang’s Investigating
Possible Data Breach.” Ultimo accesso 16 luglio 2014, http://www.reuters.com/article/2014/06/11/us-pfchang-dataprotectionidUSKBN0EM06C20140611.
23. P.F. Chang’s China Bistro Inc. (1° luglio 2014). P.F. Chang’s. “Security Compromise Update.” Ultimo accesso 16 luglio 2014,
http://‌www.‌pfchangs.com/security/.
24. Abigail Pichel. (26 maggio 2014). TrendLabs Security Intelligence Blog. “Ransomware Moves to Mobile.” Ultimo accesso 16 luglio
2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-moves-to-mobile/.
25. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_LOCKER.HBT.” Ultimo accesso 16 luglio 2014,
http://‌about-threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT.
26. Weichao Sun. (7 giugno 2014). TrendLabs Security Intelligence Blog. “Android Ransomware Uses Tor.” Ultimo accesso 16 luglio
2014, http://blog.trendmicro.com/trendlabs-security-intelligence/android-ransomware-uses-tor/.
27. Maria Manly. (9 giugno 2014). TrendLabs Security Intelligence Blog. “Social Engineering Watch: UPATRE Malware Abuses
Dropbox Links.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/social-engineeringwatch-upatre-malware-abuses-dropbox-links/.
28. Warren Tsai. (16 aprile 2014). Trend Micro Simply Security. “FAKEAV in Google Play and How Trend Micro Mobile App Reputation
Services Dynamic Analysis Helps Protect You.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/fakeav-google-playmobile-app-reputation-services/#.U8M4d5SSzTo.
29. Symphony Luo e Peter Yan. (2014). Trend Micro Security Intelligence. “Fake Apps: Feigning Legitimacy.” Ultimo accesso 17 luglio
2014, http://‌about-threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT.
30. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_FAKEAV.B.” Ultimo accesso 22 luglio 2014, http://‌aboutthreats.trendmicro.com/us/malware/ANDROIDOS_FAKEAV.B.
31. Jonathan Leopando. (2 giugno 2014). TrendLabs Security Intelligence Blog. “Banking Trojan Trend Hits Japan Hard.” Ultimo
accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-trend-hits-japan-hard/.
32. David Sancho, Feike Hacquebord e Rainer Link. (2014). Trend Micro Security Intelligence. “Finding Holes: Operation Emmental.”
Ultimo accesso 23 luglio 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wpfinding-holes-operation-emmental.pdf.
33. David Sancho. (22 luglio 2014). TrendLabs Security Intelligence Blog. “Finding Holes in Online Banking Security: Operation
Emmental.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operationemmental/.
34. Trend Micro Incorporated. (29 aprile 2014). TrendLabs Security Intelligence Blog. “The Challenge of Collaborating with Law
Enforcement Agencies to Stop Cybercrime.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/the-challenge-of-collaborating-with-law-enforcement-agencies-to-stop-cybercrime/.
35. Trend Micro Incorporated. (22 maggio 2014). TrendLabs Security Intelligence Blog. “SpyEye-Using Cybercriminal Arrested in
Britain.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/spyeye-using-cybercriminalarrested-in-britain/.
36. Lord Alfred Remorin. (2 giugno 2014). TrendLabs Security Intelligence Blog. “GameOver: ZeuS with P2P Functionality
Disrupted.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/gameover-zeus-with-p2pfunctionality-disrupted/.
37. Feike Hacquebord. (9 novembre 2011). TrendLabs Security Intelligence Blog. “Esthost Taken Down—Biggest Cybercriminal
Takedown in History.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/esthost-takendown-biggest-cybercriminal-takedown-in-history/.
38. Editor. (5 giugno 2014). KUOW.org. “A Year After Snowden, U.S. Tech Losing Trust Overseas.” Ultimo accesso 16 luglio 2014,
http://‌kuow.org/post/year-after-snowden-us-tech-losing-trust-overseas.
39. David Kravets. (15 luglio 2014). Ars Technica. “Obama Administration Says the World’s Servers Are Ours.” Ultimo accesso 26 luglio
2014, http://arstechnica.com/tech-policy/2014/07/obama-administration-says-the-worlds-servers-are-ours/.
40. Raimund Genes. (5 giugno 2014). TrendLabs Security Intelligence Blog. “Privacy and the Right to Be Forgotten.” Ultimo accesso 16
luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/privacy-and-the-right-to-be-forgotten/.
41. Rich McCormick. (11 luglio 2014). The Verge. “Google’s Top Lawyer Says EU’s ‘Right to Be Forgotten’ Restricts Freedom of
Expression.” Ultimo accesso 16 luglio 2014, http://www.theverge.com/2014/7/11/5889133/google-top-lawyer-says-right-to-beforgotten-restricts-rights.
42. Bill Mears. (25 giugno 2014). CNN. “Supreme Court: Police Need Warrant to Search Cell Phones.” Ultimo accesso 16 luglio 2014,
http://edition.cnn.com/2014/06/25/justice/supreme-court-cell-phones/.
43. Office of the Data Protection Commissioner. (2014). Data Protection Commissioner. “A Guide to Your Rights.” Ultimo accesso 17
luglio 2014, http://www.dataprotection.ie/docs/A-guide-to-your-rights-Plain-English-Version/858.htm.
44. Trend Micro Incorporated. (Maggio 2013). Trend Micro Security Intelligence. “TrendLabs 2Q 2013 Security Roundup: Mobile
Threats Go Full Throttle.” Ultimo accesso 26 luglio 2014, http://www.trendmicro.com/cloud-content/us/pdfs/securityintelligence/reports/rpt-2q-2013-trendlabs-security-roundup.pdf.
45. Kervin Alintanahin. (23 maggio 2014). TrendLabs Security Intelligence Blog. “PLEAD Targeted Attacks Against Taiwanese
Government Agencies.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/pleadtargeted-attacks-against-taiwanese-government-agencies-2/.
46. Maersk Menrige. (4 giugno 2014). TrendLabs Security Intelligence Blog. “ANTIFULAI Targeted Attack Exploits Ichitaro
Vulnerability.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targetedattack-exploits-ichitaro-vulnerability/.
47. Ilja Lebedev. (20 maggio 2014). TrendLabs Security Intelligence Blog. “When Networks Turn Hostile.” Ultimo accesso 16 luglio
2014, http://blog.trendmicro.com/trendlabs-security-intelligence/when-networks-turn-hostile/.
48. Ryan Certeza. (13 luglio 2014). TrendLabs Security Intelligence Blog. “Being Secure in the Most-Connected World Cup Ever.”
Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/being-secure-in-the-most-connectedworld-cup-ever/.
49. Prashant Pansare (15 luglio 2014). Diligent Media Corporation Ltd. “This Is Why the FIFA World Cup 2014 Was the Biggest Social
Media Event.” Ultimo accesso 23 luglio 2014, http://www.dnaindia.com/blogs/post-this-is-why-the-fifa-world-cup-2014-was-thebiggest-social-media-event-2002244.
Realizzato da:
Supporto tecnico globale e ricerca e sviluppo di TREND MICRO
DECLINAZIONE DI RESPONSABILITÀ TREND MICRO
Le informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite
e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non
essere applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non
devono essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da
un’adeguata consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere
interpretate diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento
senza preavviso.
La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto.
L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione,
fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non
è vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione.
Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate,
Trend Micro non rilascia alcuna garanzia o dichiarazione di qualsiasi tipo in relazione all’accuratezza, alla validità corrente o alla
completezza delle informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto
a proprio rischio. Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali
terzi coinvolti nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo
di conseguenza, perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali
di qualsiasi tipo derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori o omissioni nel
contenuto del presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come
sono”.
Trend Micro Incorporated, leader globale di software e soluzioni
di protezione, vuole rendere il mondo sicuro per lo scambio di
informazioni digitali. Per ulteriori informazioni, visitare il sito www.
trendmicro.it.
©2014 Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e
il logo Trend Micro della sfera con il disegno di una T sono marchi
o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di
prodotti o società potrebbero essere marchi o marchi registrati dei
rispettivi proprietari.

Invertire la tendenza degli attacchi informatici

Transcript

Documenti analoghi

datasheet - Kinetic Solutions

Visualizza la scheda tecnica

FRANCESCO MORACE Sociologo, scrittore e giornalista, lavora da

Nuovo attacco Ransomware.CryptoLocker. Come

Attacchi di squalo: problema reale o fenomeno

Sono grossi affari... e la cosa si sta facendo personale.

AVANQUEST SOFTWARE ANNUNCIA L`ACCORDO SIGLATO CON

Scheda tecnica

Bitmat.it - Trend Micro sostiene il Moige e il Fosi

Numero 6 - Nota Congiunturale III Trimestre 2007