Sono grossi affari... e la cosa si sta facendo personale.

VERIFICA DI SICUREZZA DEL 2°T 2012
Sono grossi affari...
e la cosa si sta facendo
personale.
Qualsiasi tipo di azienda può essere esposta agli attacchi quando
i suoi dipendenti si aprono alle minacce esterne. Buona parte
delle piccole aziende non prende in considerazione l'idea di poter
essere presa di mira dai malintenzionati. Ciò che non sanno è che
siamo tutti obiettivi potenziali, a prescindere dalla taglia.1 Oggi gli
aggressori selezionano accuratamente i propri obiettivi, evitando
di sferrare attacchi su larga scala, per concentrarsi su obiettivi
più specifici e in un certo modo più “personali”.
1 http://www.trendmicro.it/media/misc/small-business-is-big-business-in-cybercrime-it.pdf
Trend Micro ha protetto piccole
e medie imprese (PMI) da più di
142 milioni di minacce nei soli
primi sei mesi dell’anno.
Sommario
Crimini informatici
I criminali informatici stanno selezionando con cura i loro bersagli per lanciare attacchi
più efficaci.
Minacce costanti evolute e altri attacchi mirati
Trend Micro ha previsto per il secondo trimestre i rapporti su due campagne di alto
profilo che hanno preso di mira alcune nazioni più di altre.
Minacce mobili
L’ampia base di utenti Android rappresenta una grande occasione non solo per Google,
ma anche per chi cerca costantemente di attaccare il sistema operativo.
Minacce dei social media
Non è necessario essere un hacker né ci vuole molte fatica per estrarre informazioni
personali dai siti dei social network.
Vulnerabilità
Il secondo trimestre ha evidenziato vulnerabilità meno recenti che sono state utilizzate
per nuovi attacchi.
I criminali informatici stanno selezionando con cura i loro bersagli per lanciare
attacchi più efficaci. Secondo le osservazioni di Trend Micro per il trimestre in
questione, i criminali informatici stanno per diventare più aggressivi, grazie
a strumenti più sofisticati come sistemi di trasferimento automatico (ATS)
e Blackhole Exploit Kit per incrementare la potenza dei rispettivi ZeuS, SpyEye
e altri botnet.
Come previsto...
• Anche se i botnet diventeranno più piccoli,
aumenteranno di numero e renderanno le
efficaci retate delle forze dell’ordine assai
più difficili da effettuare.
* http://www.trendmicro.de/media/misc/trend-micro-2012-security-predictions-it.pdf
Cicli di spam Blackhole Exploit Kit
• Sono stati utilizzati cicli di spam ad alto volume per guidare soprattutto bersagli
situati negli Stati Uniti verso le migliaia di siti compromessi e, da questi, verso i siti
di hosting Blackhole Exploit Kit
• Nel corso di un attacco specifico, Trend Micro ha identificato più di 2.000 diversi
URL, distribuiti su più di 374 domini
• Ciascun dominio compromesso conteneva mediamente 5 pagine uniche di
destinazione dannose
• Lo scopo principale è di infettare i sistemi delle vittime con varianti delle minacce
informatiche ZeuS, per rubare informazioni personali2
• Più recentemente, la semplice azione di apertura dello spam ha portato a più reindiriz­
za­menti che hanno provocato lo scaricamento automatico di minacce informatiche3
2 http://blog.trendmicro.com/persistent-black-hole-spam-runs-underway/
3 http://blog.trendmicro.com/an-aggressive-turn-of-tactics-used-in-black-hole-exploit-kit-spam-runs/
ATS
• La più recente funzionalità aggiunta a strumenti per il crimine informatico già ampiamente usati,
come ZeuS e SpyEye per automatizzare le frodi bancarie online4
• Consente ai criminali informatici di trasferire segretamente fondi per importi variabili da 500 a
13.000 euro (ad es. USD 622,93-16.196) per transazione dai conti delle vittime a quelli di intermediari
• Colpisce soprattutto i clienti dei servizi di banking online di paesi come Germania, Regno Unito e Italia5
4 http://blog.trendmicro.com/evolved-banking-fraud-malware-automatic-transfer-systems/
5 http://www.trendmicro.co.uk/media/misc/automating-banking-fraud-via-ats-research-paper-en.pdf
In questo trimestre, Trend Micro™ Smart
Protection Network™ ha protetto gli utenti
di prodotti da un totale di:
• 15,8 miliardi di spam
• 448,8 milioni di minacce informatiche
• 1,3 miliardi di URL dannosi
“Anche se Germania,
Regno Unito e Italia sembrano
i bersagli più colpiti [da ATS],
banche e altre istituzioni finanziarie,
ovunque si trovino, non sono al
riparo dagli attacchi”.
- Loucif Kharouni,
Ricercatore senior sulle
minacce Trend Micro
Il grafico qui sopra mostra il numero totale degli indirizzi
IP osservati entro 24 ore dopo l’azione di rimozione di
ciascuna famiglia di minacce informatiche.
* http://www.abuse.ch/?p=3294
Dall’Internet Crime Complaint Center (IC3),
nel suo 2011 Internet Crime Report:
• Ricevute 314.246 segnalazioni, di cui 115.903 con
segnalazione di perdite
• Perdite totali registrate pari a USD 485.253.871
* http://www.ic3.gov/media/annualreport/2011_IC3Report.pdf
Top 10 degli URL dannosi bloccati
URL DANNOSI
DESCRIZIONE
trafficconverter.biz:80/4vir/antispyware/loadadv.exe
Distribuisce minacce informatiche,
in particolare le varianti DOWNAD
serw.clicksor.com:80/newserving/getkey.php
Associato alla proliferazione delle
applicazioni piratate e di altre
minacce
deepspacer.com:80/y2x8ms42fge0otk4yjhmzwu4ztu
5y2e4mtfjngewztqxnjmyodczfdmxma==
Contiene URL dannosi, registrati da
un noto spammer
109.235.49.170:80/click.php
Contatto mediante una backdoor
rilevata
172.168.6.21:80/c6/jhsoft.web.workflat/dcgetonline.aspx
Scarica minacce informatiche
api.yontoo.com:80/getclientdata.ashx
Utilizzato da adware
trafficconverter.biz:80/
Distribuisce minacce informatiche,
in particolare le varianti DOWNAD
www.funad.co.kr:80/dynamic/adv/sb/searchnq_popu.html
Pone rischi alla sicurezza per sistemi
e/o reti compromessi
install.ticno.com:80/service/friendometer.php
Scarica minacce informatiche
irs01.com:80/irt
Scarica minacce informatiche
* Secondo i dati Trend Micro™ Smart Protection Network™
Top 10 dei domini IP dannosi bloccati
DOMINIO IP DANNOSO
DESCRIZIONE
trafficconverter.biz
Distribuisce minacce informatiche, in particolare le varianti
DOWNAD
info.ejianlong.com
Scarica minacce informatiche
serw.clicksor.com
Associato alla proliferazione delle applicazioni piratate e di altre
minacce
deepspacer.com
Contiene URL dannosi, registrati da un noto spammer
bms.jne.go.kr
Noto per sfruttare le vulnerabilità in applicazioni come
Microsoft Excel
www.trafficholder.com
Sito sul traffico noto per la distribuzione di minacce informatiche
install.ticno.com
Scarica minacce informatiche
109.235.49.170
È un possibile reindirizzatore di URL
www.bit89.com
Scarica minacce informatiche
www.funad.co.kr
Pone rischi alla sicurezza per sistemi e/o reti compromessi
* Secondo i dati Trend Micro Smart Protection Network
Top 10 dei paesi mittenti dello spam
India
13%
Corea del Sud
7%
Top 5 delle lingue per lo spam
Altri
Cinese
7%
1%
Giapponese
2%
Russo
4%
Tedesco
1%
Altri
51%
Vietnam
7%
Stati Uniti
5%
Russia PakistanBrasile
4%
3%
4%
Polonia Arabia Saudita
2%
3%
Perù
3%
Inglese
86%
* Secondo i dati Trend Micro Smart Protection
Network
* Secondo i dati Trend Micro Smart Protection Network
Top 3 delle minacce informatiche
* Numeri esatti: WORM_DOWNAD – 627.218; CRCK_KEYGEN – 215.704; TROJ_SIREFEF – 147.919 secondo
i dati Trend Micro Smart Protection Network
Trend Micro ha previsto per il secondo trimestre i rapporti su due
campagne di alto profilo che hanno preso di mira alcune nazioni più
di altre. Secondo la ricerca di Trend Micro, India e Taiwan sono le
nazioni maggiormente colpite.
Come previsto...
• Nuovi perpetratori di minacce
utilizzeranno strumenti criminali
sofisticati per raggiungere i propri scopi.
• Man mano che il social engineering si diffonde
a tutti i livelli, piccole e medie imprese diventeranno
facili bersagli.
IXESHE
• Esiste almeno da luglio 2009
• Colpisce i governi dell’Asia orientale, industrie elettroniche e un’azienda
di telecomunicazioni
• Utilizza, come server di comando e controllo (C&C), i server compromessi
che appartengono alle organizzazioni bersaglio
• Nel corso del tempo ha accumulato almeno 60 server C&C6
• Sfrutta almeno 5 vulnerabilità, cioè:
•
•
•
•
•
6
7
8
9
10
11
CVE-2009-43247
CVE-2009-09278
CVE-2011-06099
CVE-2011-061110
CVE-2009-312911
http://blog.trendmicro.com/taking-a-bite-out-of-ixeshe/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0609
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3129
Attacchi “Police Trojan”
• Si riferisce a un insieme di attacchi mirati che hanno utilizzato ransomware, in grado di tracciare la
posizione geografica delle vittime e catturare i loro sistemi, per intimidire le vittime sfruttando le forze
di polizia della nazione di appartenenza12
• Colpisce utenti in Germania, Spagna, Francia, Italia, Belgio, Gran Bretagna, Austria, Stati Uniti e Canada
• Connesso ad altre campagne di furto di dati con cavalli di Troia ZeuS e CARBERP, rootkit TDSS e minacce
informatiche di falsi antivirus, fin dal 2010 e 2011
• Osservato per la prima volta in Russia nel 2005-200613
12 http://blog.trendmicro.com/trojan-on-the-loose-an-in-depth-analysis-of-police-trojan/
13 http://www.trendmicro.co.uk/media/misc/police-trojan-research-paper-en.pdf
Gli aggressori hanno sottratto circa 1 miliardo
di dollari USA all’anno da PMI nei soli Stati
Uniti ed Europa.
* http://www.trendmicro.co.uk/media/misc/why-small-business-losecritical-data-en.pdf
“Gli attacchi mirati
si concentrano su singole
organizzazioni nel tentativo
di estrarre informazioni preziose.
In un certo senso, si tratta di un ritorno
ai “bei tempi dell’hacking”, prima degli
attacchi più diffusi a milioni di utenti
e all’incremento altissimo dei worm”.
- Team Trend Micro
per le ricerche
sulle minacce future
*
http://www.trendmicro.co.uk/media/misc/ixesheresearch-paper-en.pdf
India e Taiwan sono state due delle nazioni
maggiormente colpite, secondo la ricerca di Trend Micro.
L’ampia base di utenti Android rappresenta una grande
occasione non solo per Google, ma anche per chi cerca
costantemente di attaccare il sistema operativo. Con più di
400 milioni di dispositivi Android14 e più di 600.000 app
disponibili su Google Play,15 il numero di attacchi
non può che aumentare. Il fatto che solo nel
20% dei dispositivi Android siano installate
app per la sicurezza non è d’aiuto.16
14 https://plus.google.com/104629412415657030658/posts/cZHiJaMSFzA
15 http://www.engadget.com/2012/06/27/google-play-hits-600000-apps/
16 http://fearlessweb.trendmicro.com/2012/misc/only-20-of-androidmobile-device-users-have-a-security-app-installed/
Come previsto...
• Le piattaforme smartphone e tablet,
soprattutto Android, subiranno molti
attacchi da parte dei criminali informatici.
BOTPANDA
• Funziona in dispositivi Android su cui è stato effettuato il rooting, e consente
ai criminali informatici di acquisire privilegi di root sui dispositivi infetti
• Contiene una libreria di file dannosa che causa l’accesso dei dispositivi infetti
a specifici server C&C17
• Nasconde routine dannose, rendendo estremamente difficile il rilevamento
e la rimozione
• Trend Micro ha distribuito una app risolutiva su Google Play chiamata
BotPanda Cleaner18
17 http://blog.trendmicro.com/library-file-in-certain-android-apps-connects-to-cc-servers/
18 https://play.google.com/store/apps/details?id=com.trendmicro.mobilelab.securetool.botpanda&feature=search_
result#?t=W251bGwsMSwxLDEsImNvbS50cmVuZG1pY3JvLm1vYmlsZWxhYi5zZWN1cmV0b29sLmJvdHBhbmRhIl0
Spying Tools per Android
• Sono stati rinnovati con la comparsa della app Spyera, una minaccia informatica nota
anche come TIGERBOT, che è capace non solo di tattiche di spionaggio ordinarie, ma anche
di registrare le telefonate delle vittime19
• Contengono uno strumento di spionaggio che è stato scaricato da Google Play da un numero
di utenti stimato in 500–1.000 prima di essere eliminato20
• Contengono Spy Phone PRO+, che è 1 delle 17 app mobili dannose scaricate più di 700.000 volte prima
di essere eliminata da Google Play21
19 http://blog.trendmicro.com/a-closer-look-at-androidos_tigerbot-evl/
20http://blog.trendmicro.com/beta-version-of-spytool-app-for-android-steals-sms-messages/
21 http://blog.trendmicro.com/17-bad-mobile-apps-still-up-700000-downloads-so-far/
Top 5 delle famiglie di minacce informatiche
per Android
1. FAKE
2. ADWAIRPUSH
3. BOXER
4.DROIDKUNGFU
5. PLANKTON
* http://blog.trendmicro.com/infographic-behind-the-android-menacemalicious-apps/
“Tutti devono
preoccuparsi quando installano
una app nel telefono. Il telefono
memorizza dei dati e, a seconda del
livello delle patch applicate, la migliore
difesa è di essere consapevoli del tipo
di informazioni che si trasmettono”.
- Jamz Yaneza,
Responsabile per la ricerca
sulle minacce Trend Micro
*
http://about-threats.trendmicro.com/relatedthreats.aspx?
language=it&name=Mobile%20Apps%3A%20New%20
Frontier%20for%20Cybercrime
Entro giugno 2012 TrendLabsSM ha già raccolto più di
25.000 campioni di minacce informatiche per Android,
più del doppio del numero inizialmente previsto.
Non è necessario essere un hacker né ci vuole
molte fatica per estrarre informazioni personali dai
siti dei social network. A volte, tutte le informazioni
ricercate sono già disponibili. Non importa quanto
siano efficaci le misure di protezione adottate dai
siti,22 i criminali informatici troveranno sempre il modo
di superarle. Invece di attaccare i più grandi siti dei
social network, ad esempio, prendono di mira attori di
minori dimensioni come Pinterest. Al ritmo attuale, non ci
vorrà molto perché gli attori più
piccoli rappresentino anch’essi
un “buon investimento”.
22 https://www.facebook.com/notes/
facebook-security/trend-micro-and-
facebook-protecting-people-from-
online-threats/10150721637700766
Come previsto...
• La nuova generazione avvezza ai social
network ridefinirà il concetto di “privacy”.
Truffe tramite sondaggi su Pinterest
• Hanno utilizzato “pinterest” come parola chiave per i repin
• Conducono a siti che offrono premi, buoni e buoni regalo dopo avere risposto
a finti sondaggi
• Inducono le vittime a comunicare i numeri dei cellulari, provocando addebiti
indesiderati sul conto telefonico23
23 http://blog.trendmicro.com/bogus-pinterest-pins-lead-to-survey-scams/
Ad aprile 2012 Pinterest era considerato il terzo
sito di social network più visitato negli Stati
Uniti.
* http://articles.cnn.com/2012-04-06/tech/tech_social-media_
pinterest-third-social-network_1_social-networking-facebook-andtwitter-social-media?_s=PM:TECH
Nel marzo 2012 Pinterest contava già 18 milioni
di visitatori unici mensili.
* http://www.comscore.com/Press_Events/Presentations_
Whitepapers/2012/State_of_US_Internet_in_Q1_2012
I numeri di Pinterest
• 15,8 minuti: il tempo medio
trascorso dagli utenti sul
sito
• 62,8%: il numero di utenti di
sesso femminile del sito
• 1,36 milioni: il numero di visitatori
al giorno
* http://mashable.com/2012/02/25/pinterest-userdemographics/
Top 5 delle esche per il social engineering
* Basato sul noto rilevamento degli incidenti di Trend Micro
“I siti dei social
network continuano ad
aumentare il numero di controlli
di sicurezza e a migliorare quelli
esistenti... È un gioco del gatto con il
topo in cui la privacy e la sicurezza dei
dati sono a rischio”.
- David Sancho,
Ricercatore senior sulle
minacce Trend Micro
* http://www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp_security_
guide_to_social_networks.pdf
Il secondo trimestre ha evidenziato vulnerabilità meno recenti che
sono state utilizzate per nuovi attacchi. Diversamente da una diffusa
convinzione, non sempre il problema è rappresentato da nuove
vulnerabilità. In effetti, lo sfruttamento di vulnerabilità meno recenti
resta un metodo efficiente, soprattutto perché molti utenti tuttora
non aggiornano regolarmente i loro sistemi.
CVE-2012-0158
• Una vulnerabilità presente nel 2012 in uno dei software di Microsoft più utilizzati,
Microsoft Word, a dimostrazione del fatto che “non sempre le cose nuove sono
le migliori”24
• Utilizzato per campagne mirate di attacchi basate su “Tibetan”25
24 http://blog.trendmicro.com/snapshot-of-exploit-documents-for-april-2012/
25 http://blog.trendmicro.com/cve-2012-0158-now-being-used-in-more-tibetan-themed-targeted-attack-campaigns/
CVE-2010-2729 e CVE-2010-2568
• Utilizzato per distribuire la minaccia informatica FLAME, che ha colpito gli utenti in Iran
e altre nazioni fin dal 201026
26 http://blog.trendmicro.com/flame-malware-heats-up-threat-landscape/
CVE-2011-0611
• Utilizzato all’apertura da parte degli utenti di un file dannoso di Microsoft PowerPoint,
che causa l’installazione di una backdoor
• Le patch sono disponibili dall’aprile 2011 ma è ancora in uso27
27 http://blog.trendmicro.com/malicious-powerpoint-file-contains-exploit-drops-backdoor/
Uno studio CSIS ha rilevato che il 99,8%
di tutte le infezioni da virus sono causate
dal mancato aggiornamento di 5 pacchetti
software specifici, fra cui Adobe Reader,
Acrobat e Flash Player.
Top 10 dei fornitori per numero
di vulnerabilità distinte
* http://www.csis.dk/en/csis/news/3321
“Nell’arco di due
settimane, CVE-2012-0158
è passato dal livello zero al
sorpasso su CVE-2010-3333 come
vulnerabilità sfruttabile preferita dagli
aggressori. Ciò dimostra che la finestra per
la distribuzione delle patch per vulnerabilità
critiche è ridotta, e questo richiede di gestire
secondo “due diligence” e disciplina le patch
a tutti i livelli nelle organizzazioni”.
- Ryan Flores,
Ricercatore senior sulle
minacce Trend Micro
* Mostra i fornitori del sistema operativo/software più vulnerabile da
aprile a giugno 2012 in base ai dati disponibili su http://cve.mitre.org/
TREND MICRO™
TRENDLABSSM
Trend Micro Incorporated, leader mondiale delle soluzioni di
sicurezza in-the-cloud, crea un mondo sicuro per lo scambio
di informazioni digitali grazie alla protezione dei contenuti
Internet e alle soluzioni di gestione delle minacce per aziende
e privati. Come pionieri della protezione dei server con più
di 20 anni di esperienza, offriamo una sicurezza di punta per
client, server e in-the-cloud che si adatta perfettamente alle
esigenze dei nostri clienti e partner, blocca più rapidamente le
nuove minacce e protegge i dati in ambienti fisici, virtualizzati
e in-the-cloud. Basati sull’infrastruttura Trend Micro™ Smart
Protection Network™, la nostra tecnologia e i nostri prodotti
e servizi leader del settore per la protezione in ambito di cloud
computing bloccano le minacce non appena si presentano, su
Internet, e sono supportati da più di 1.000 esperti di minacce
informatiche a livello globale. Per ulteriori informazioni visitare
www.trendmicro.com.
TrendLabs è un centro di ricerca, sviluppo e assistenza
internazionale, con una capillare presenza geografica, che
garantisce monitoraggio delle minacce, prevenzione degli
attacchi e fornitura di soluzioni immediate e trasparenti in
modo costante. Con i suoi oltre 1.000 esperti di minacce
e ingegneri dell'assistenza disponibili 24 ore al giorno nei
laboratori di tutto il mondo, TrendLabs consente a Trend Micro
di monitorare continuamente le minacce in tutto il mondo;
fornire dati in tempo reale per rilevare, prevenire ed eliminare
le minacce; ricercare e analizzare le tecnologie per contrastare
le nuove minacce; rispondere in tempo reale alle minacce
mirate e consentire ai clienti di tutto il mondo di limitare al
minimo i danni, ridurre i costi e garantire la continuità delle
attività.
©2012 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di
Trend Micro Incorporated. Tutti gli altri nomi di aziende o prodotti potrebbero essere marchi o marchi registrati dei rispettivi proprietari.