Sono grossi affari... e la cosa si sta facendo personale.
Transcript
Sono grossi affari... e la cosa si sta facendo personale.
VERIFICA DI SICUREZZA DEL 2°T 2012 Sono grossi affari... e la cosa si sta facendo personale. Qualsiasi tipo di azienda può essere esposta agli attacchi quando i suoi dipendenti si aprono alle minacce esterne. Buona parte delle piccole aziende non prende in considerazione l'idea di poter essere presa di mira dai malintenzionati. Ciò che non sanno è che siamo tutti obiettivi potenziali, a prescindere dalla taglia.1 Oggi gli aggressori selezionano accuratamente i propri obiettivi, evitando di sferrare attacchi su larga scala, per concentrarsi su obiettivi più specifici e in un certo modo più “personali”. 1 http://www.trendmicro.it/media/misc/small-business-is-big-business-in-cybercrime-it.pdf Trend Micro ha protetto piccole e medie imprese (PMI) da più di 142 milioni di minacce nei soli primi sei mesi dell’anno. Sommario Crimini informatici I criminali informatici stanno selezionando con cura i loro bersagli per lanciare attacchi più efficaci. Minacce costanti evolute e altri attacchi mirati Trend Micro ha previsto per il secondo trimestre i rapporti su due campagne di alto profilo che hanno preso di mira alcune nazioni più di altre. Minacce mobili L’ampia base di utenti Android rappresenta una grande occasione non solo per Google, ma anche per chi cerca costantemente di attaccare il sistema operativo. Minacce dei social media Non è necessario essere un hacker né ci vuole molte fatica per estrarre informazioni personali dai siti dei social network. Vulnerabilità Il secondo trimestre ha evidenziato vulnerabilità meno recenti che sono state utilizzate per nuovi attacchi. I criminali informatici stanno selezionando con cura i loro bersagli per lanciare attacchi più efficaci. Secondo le osservazioni di Trend Micro per il trimestre in questione, i criminali informatici stanno per diventare più aggressivi, grazie a strumenti più sofisticati come sistemi di trasferimento automatico (ATS) e Blackhole Exploit Kit per incrementare la potenza dei rispettivi ZeuS, SpyEye e altri botnet. Come previsto... • Anche se i botnet diventeranno più piccoli, aumenteranno di numero e renderanno le efficaci retate delle forze dell’ordine assai più difficili da effettuare. * http://www.trendmicro.de/media/misc/trend-micro-2012-security-predictions-it.pdf Cicli di spam Blackhole Exploit Kit • Sono stati utilizzati cicli di spam ad alto volume per guidare soprattutto bersagli situati negli Stati Uniti verso le migliaia di siti compromessi e, da questi, verso i siti di hosting Blackhole Exploit Kit • Nel corso di un attacco specifico, Trend Micro ha identificato più di 2.000 diversi URL, distribuiti su più di 374 domini • Ciascun dominio compromesso conteneva mediamente 5 pagine uniche di destinazione dannose • Lo scopo principale è di infettare i sistemi delle vittime con varianti delle minacce informatiche ZeuS, per rubare informazioni personali2 • Più recentemente, la semplice azione di apertura dello spam ha portato a più reindiriz zamenti che hanno provocato lo scaricamento automatico di minacce informatiche3 2 http://blog.trendmicro.com/persistent-black-hole-spam-runs-underway/ 3 http://blog.trendmicro.com/an-aggressive-turn-of-tactics-used-in-black-hole-exploit-kit-spam-runs/ ATS • La più recente funzionalità aggiunta a strumenti per il crimine informatico già ampiamente usati, come ZeuS e SpyEye per automatizzare le frodi bancarie online4 • Consente ai criminali informatici di trasferire segretamente fondi per importi variabili da 500 a 13.000 euro (ad es. USD 622,93-16.196) per transazione dai conti delle vittime a quelli di intermediari • Colpisce soprattutto i clienti dei servizi di banking online di paesi come Germania, Regno Unito e Italia5 4 http://blog.trendmicro.com/evolved-banking-fraud-malware-automatic-transfer-systems/ 5 http://www.trendmicro.co.uk/media/misc/automating-banking-fraud-via-ats-research-paper-en.pdf In questo trimestre, Trend Micro™ Smart Protection Network™ ha protetto gli utenti di prodotti da un totale di: • 15,8 miliardi di spam • 448,8 milioni di minacce informatiche • 1,3 miliardi di URL dannosi “Anche se Germania, Regno Unito e Italia sembrano i bersagli più colpiti [da ATS], banche e altre istituzioni finanziarie, ovunque si trovino, non sono al riparo dagli attacchi”. - Loucif Kharouni, Ricercatore senior sulle minacce Trend Micro Il grafico qui sopra mostra il numero totale degli indirizzi IP osservati entro 24 ore dopo l’azione di rimozione di ciascuna famiglia di minacce informatiche. * http://www.abuse.ch/?p=3294 Dall’Internet Crime Complaint Center (IC3), nel suo 2011 Internet Crime Report: • Ricevute 314.246 segnalazioni, di cui 115.903 con segnalazione di perdite • Perdite totali registrate pari a USD 485.253.871 * http://www.ic3.gov/media/annualreport/2011_IC3Report.pdf Top 10 degli URL dannosi bloccati URL DANNOSI DESCRIZIONE trafficconverter.biz:80/4vir/antispyware/loadadv.exe Distribuisce minacce informatiche, in particolare le varianti DOWNAD serw.clicksor.com:80/newserving/getkey.php Associato alla proliferazione delle applicazioni piratate e di altre minacce deepspacer.com:80/y2x8ms42fge0otk4yjhmzwu4ztu 5y2e4mtfjngewztqxnjmyodczfdmxma== Contiene URL dannosi, registrati da un noto spammer 109.235.49.170:80/click.php Contatto mediante una backdoor rilevata 172.168.6.21:80/c6/jhsoft.web.workflat/dcgetonline.aspx Scarica minacce informatiche api.yontoo.com:80/getclientdata.ashx Utilizzato da adware trafficconverter.biz:80/ Distribuisce minacce informatiche, in particolare le varianti DOWNAD www.funad.co.kr:80/dynamic/adv/sb/searchnq_popu.html Pone rischi alla sicurezza per sistemi e/o reti compromessi install.ticno.com:80/service/friendometer.php Scarica minacce informatiche irs01.com:80/irt Scarica minacce informatiche * Secondo i dati Trend Micro™ Smart Protection Network™ Top 10 dei domini IP dannosi bloccati DOMINIO IP DANNOSO DESCRIZIONE trafficconverter.biz Distribuisce minacce informatiche, in particolare le varianti DOWNAD info.ejianlong.com Scarica minacce informatiche serw.clicksor.com Associato alla proliferazione delle applicazioni piratate e di altre minacce deepspacer.com Contiene URL dannosi, registrati da un noto spammer bms.jne.go.kr Noto per sfruttare le vulnerabilità in applicazioni come Microsoft Excel www.trafficholder.com Sito sul traffico noto per la distribuzione di minacce informatiche install.ticno.com Scarica minacce informatiche 109.235.49.170 È un possibile reindirizzatore di URL www.bit89.com Scarica minacce informatiche www.funad.co.kr Pone rischi alla sicurezza per sistemi e/o reti compromessi * Secondo i dati Trend Micro Smart Protection Network Top 10 dei paesi mittenti dello spam India 13% Corea del Sud 7% Top 5 delle lingue per lo spam Altri Cinese 7% 1% Giapponese 2% Russo 4% Tedesco 1% Altri 51% Vietnam 7% Stati Uniti 5% Russia PakistanBrasile 4% 3% 4% Polonia Arabia Saudita 2% 3% Perù 3% Inglese 86% * Secondo i dati Trend Micro Smart Protection Network * Secondo i dati Trend Micro Smart Protection Network Top 3 delle minacce informatiche * Numeri esatti: WORM_DOWNAD – 627.218; CRCK_KEYGEN – 215.704; TROJ_SIREFEF – 147.919 secondo i dati Trend Micro Smart Protection Network Trend Micro ha previsto per il secondo trimestre i rapporti su due campagne di alto profilo che hanno preso di mira alcune nazioni più di altre. Secondo la ricerca di Trend Micro, India e Taiwan sono le nazioni maggiormente colpite. Come previsto... • Nuovi perpetratori di minacce utilizzeranno strumenti criminali sofisticati per raggiungere i propri scopi. • Man mano che il social engineering si diffonde a tutti i livelli, piccole e medie imprese diventeranno facili bersagli. IXESHE • Esiste almeno da luglio 2009 • Colpisce i governi dell’Asia orientale, industrie elettroniche e un’azienda di telecomunicazioni • Utilizza, come server di comando e controllo (C&C), i server compromessi che appartengono alle organizzazioni bersaglio • Nel corso del tempo ha accumulato almeno 60 server C&C6 • Sfrutta almeno 5 vulnerabilità, cioè: • • • • • 6 7 8 9 10 11 CVE-2009-43247 CVE-2009-09278 CVE-2011-06099 CVE-2011-061110 CVE-2009-312911 http://blog.trendmicro.com/taking-a-bite-out-of-ixeshe/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0609 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3129 Attacchi “Police Trojan” • Si riferisce a un insieme di attacchi mirati che hanno utilizzato ransomware, in grado di tracciare la posizione geografica delle vittime e catturare i loro sistemi, per intimidire le vittime sfruttando le forze di polizia della nazione di appartenenza12 • Colpisce utenti in Germania, Spagna, Francia, Italia, Belgio, Gran Bretagna, Austria, Stati Uniti e Canada • Connesso ad altre campagne di furto di dati con cavalli di Troia ZeuS e CARBERP, rootkit TDSS e minacce informatiche di falsi antivirus, fin dal 2010 e 2011 • Osservato per la prima volta in Russia nel 2005-200613 12 http://blog.trendmicro.com/trojan-on-the-loose-an-in-depth-analysis-of-police-trojan/ 13 http://www.trendmicro.co.uk/media/misc/police-trojan-research-paper-en.pdf Gli aggressori hanno sottratto circa 1 miliardo di dollari USA all’anno da PMI nei soli Stati Uniti ed Europa. * http://www.trendmicro.co.uk/media/misc/why-small-business-losecritical-data-en.pdf “Gli attacchi mirati si concentrano su singole organizzazioni nel tentativo di estrarre informazioni preziose. In un certo senso, si tratta di un ritorno ai “bei tempi dell’hacking”, prima degli attacchi più diffusi a milioni di utenti e all’incremento altissimo dei worm”. - Team Trend Micro per le ricerche sulle minacce future * http://www.trendmicro.co.uk/media/misc/ixesheresearch-paper-en.pdf India e Taiwan sono state due delle nazioni maggiormente colpite, secondo la ricerca di Trend Micro. L’ampia base di utenti Android rappresenta una grande occasione non solo per Google, ma anche per chi cerca costantemente di attaccare il sistema operativo. Con più di 400 milioni di dispositivi Android14 e più di 600.000 app disponibili su Google Play,15 il numero di attacchi non può che aumentare. Il fatto che solo nel 20% dei dispositivi Android siano installate app per la sicurezza non è d’aiuto.16 14 https://plus.google.com/104629412415657030658/posts/cZHiJaMSFzA 15 http://www.engadget.com/2012/06/27/google-play-hits-600000-apps/ 16 http://fearlessweb.trendmicro.com/2012/misc/only-20-of-androidmobile-device-users-have-a-security-app-installed/ Come previsto... • Le piattaforme smartphone e tablet, soprattutto Android, subiranno molti attacchi da parte dei criminali informatici. BOTPANDA • Funziona in dispositivi Android su cui è stato effettuato il rooting, e consente ai criminali informatici di acquisire privilegi di root sui dispositivi infetti • Contiene una libreria di file dannosa che causa l’accesso dei dispositivi infetti a specifici server C&C17 • Nasconde routine dannose, rendendo estremamente difficile il rilevamento e la rimozione • Trend Micro ha distribuito una app risolutiva su Google Play chiamata BotPanda Cleaner18 17 http://blog.trendmicro.com/library-file-in-certain-android-apps-connects-to-cc-servers/ 18 https://play.google.com/store/apps/details?id=com.trendmicro.mobilelab.securetool.botpanda&feature=search_ result#?t=W251bGwsMSwxLDEsImNvbS50cmVuZG1pY3JvLm1vYmlsZWxhYi5zZWN1cmV0b29sLmJvdHBhbmRhIl0 Spying Tools per Android • Sono stati rinnovati con la comparsa della app Spyera, una minaccia informatica nota anche come TIGERBOT, che è capace non solo di tattiche di spionaggio ordinarie, ma anche di registrare le telefonate delle vittime19 • Contengono uno strumento di spionaggio che è stato scaricato da Google Play da un numero di utenti stimato in 500–1.000 prima di essere eliminato20 • Contengono Spy Phone PRO+, che è 1 delle 17 app mobili dannose scaricate più di 700.000 volte prima di essere eliminata da Google Play21 19 http://blog.trendmicro.com/a-closer-look-at-androidos_tigerbot-evl/ 20http://blog.trendmicro.com/beta-version-of-spytool-app-for-android-steals-sms-messages/ 21 http://blog.trendmicro.com/17-bad-mobile-apps-still-up-700000-downloads-so-far/ Top 5 delle famiglie di minacce informatiche per Android 1. FAKE 2. ADWAIRPUSH 3. BOXER 4.DROIDKUNGFU 5. PLANKTON * http://blog.trendmicro.com/infographic-behind-the-android-menacemalicious-apps/ “Tutti devono preoccuparsi quando installano una app nel telefono. Il telefono memorizza dei dati e, a seconda del livello delle patch applicate, la migliore difesa è di essere consapevoli del tipo di informazioni che si trasmettono”. - Jamz Yaneza, Responsabile per la ricerca sulle minacce Trend Micro * http://about-threats.trendmicro.com/relatedthreats.aspx? language=it&name=Mobile%20Apps%3A%20New%20 Frontier%20for%20Cybercrime Entro giugno 2012 TrendLabsSM ha già raccolto più di 25.000 campioni di minacce informatiche per Android, più del doppio del numero inizialmente previsto. Non è necessario essere un hacker né ci vuole molte fatica per estrarre informazioni personali dai siti dei social network. A volte, tutte le informazioni ricercate sono già disponibili. Non importa quanto siano efficaci le misure di protezione adottate dai siti,22 i criminali informatici troveranno sempre il modo di superarle. Invece di attaccare i più grandi siti dei social network, ad esempio, prendono di mira attori di minori dimensioni come Pinterest. Al ritmo attuale, non ci vorrà molto perché gli attori più piccoli rappresentino anch’essi un “buon investimento”. 22 https://www.facebook.com/notes/ facebook-security/trend-micro-and- facebook-protecting-people-from- online-threats/10150721637700766 Come previsto... • La nuova generazione avvezza ai social network ridefinirà il concetto di “privacy”. Truffe tramite sondaggi su Pinterest • Hanno utilizzato “pinterest” come parola chiave per i repin • Conducono a siti che offrono premi, buoni e buoni regalo dopo avere risposto a finti sondaggi • Inducono le vittime a comunicare i numeri dei cellulari, provocando addebiti indesiderati sul conto telefonico23 23 http://blog.trendmicro.com/bogus-pinterest-pins-lead-to-survey-scams/ Ad aprile 2012 Pinterest era considerato il terzo sito di social network più visitato negli Stati Uniti. * http://articles.cnn.com/2012-04-06/tech/tech_social-media_ pinterest-third-social-network_1_social-networking-facebook-andtwitter-social-media?_s=PM:TECH Nel marzo 2012 Pinterest contava già 18 milioni di visitatori unici mensili. * http://www.comscore.com/Press_Events/Presentations_ Whitepapers/2012/State_of_US_Internet_in_Q1_2012 I numeri di Pinterest • 15,8 minuti: il tempo medio trascorso dagli utenti sul sito • 62,8%: il numero di utenti di sesso femminile del sito • 1,36 milioni: il numero di visitatori al giorno * http://mashable.com/2012/02/25/pinterest-userdemographics/ Top 5 delle esche per il social engineering * Basato sul noto rilevamento degli incidenti di Trend Micro “I siti dei social network continuano ad aumentare il numero di controlli di sicurezza e a migliorare quelli esistenti... È un gioco del gatto con il topo in cui la privacy e la sicurezza dei dati sono a rischio”. - David Sancho, Ricercatore senior sulle minacce Trend Micro * http://www.trendmicro.com/cloud-content/us/pdfs/ security-intelligence/white-papers/wp_security_ guide_to_social_networks.pdf Il secondo trimestre ha evidenziato vulnerabilità meno recenti che sono state utilizzate per nuovi attacchi. Diversamente da una diffusa convinzione, non sempre il problema è rappresentato da nuove vulnerabilità. In effetti, lo sfruttamento di vulnerabilità meno recenti resta un metodo efficiente, soprattutto perché molti utenti tuttora non aggiornano regolarmente i loro sistemi. CVE-2012-0158 • Una vulnerabilità presente nel 2012 in uno dei software di Microsoft più utilizzati, Microsoft Word, a dimostrazione del fatto che “non sempre le cose nuove sono le migliori”24 • Utilizzato per campagne mirate di attacchi basate su “Tibetan”25 24 http://blog.trendmicro.com/snapshot-of-exploit-documents-for-april-2012/ 25 http://blog.trendmicro.com/cve-2012-0158-now-being-used-in-more-tibetan-themed-targeted-attack-campaigns/ CVE-2010-2729 e CVE-2010-2568 • Utilizzato per distribuire la minaccia informatica FLAME, che ha colpito gli utenti in Iran e altre nazioni fin dal 201026 26 http://blog.trendmicro.com/flame-malware-heats-up-threat-landscape/ CVE-2011-0611 • Utilizzato all’apertura da parte degli utenti di un file dannoso di Microsoft PowerPoint, che causa l’installazione di una backdoor • Le patch sono disponibili dall’aprile 2011 ma è ancora in uso27 27 http://blog.trendmicro.com/malicious-powerpoint-file-contains-exploit-drops-backdoor/ Uno studio CSIS ha rilevato che il 99,8% di tutte le infezioni da virus sono causate dal mancato aggiornamento di 5 pacchetti software specifici, fra cui Adobe Reader, Acrobat e Flash Player. Top 10 dei fornitori per numero di vulnerabilità distinte * http://www.csis.dk/en/csis/news/3321 “Nell’arco di due settimane, CVE-2012-0158 è passato dal livello zero al sorpasso su CVE-2010-3333 come vulnerabilità sfruttabile preferita dagli aggressori. Ciò dimostra che la finestra per la distribuzione delle patch per vulnerabilità critiche è ridotta, e questo richiede di gestire secondo “due diligence” e disciplina le patch a tutti i livelli nelle organizzazioni”. - Ryan Flores, Ricercatore senior sulle minacce Trend Micro * Mostra i fornitori del sistema operativo/software più vulnerabile da aprile a giugno 2012 in base ai dati disponibili su http://cve.mitre.org/ TREND MICRO™ TRENDLABSSM Trend Micro Incorporated, leader mondiale delle soluzioni di sicurezza in-the-cloud, crea un mondo sicuro per lo scambio di informazioni digitali grazie alla protezione dei contenuti Internet e alle soluzioni di gestione delle minacce per aziende e privati. Come pionieri della protezione dei server con più di 20 anni di esperienza, offriamo una sicurezza di punta per client, server e in-the-cloud che si adatta perfettamente alle esigenze dei nostri clienti e partner, blocca più rapidamente le nuove minacce e protegge i dati in ambienti fisici, virtualizzati e in-the-cloud. Basati sull’infrastruttura Trend Micro™ Smart Protection Network™, la nostra tecnologia e i nostri prodotti e servizi leader del settore per la protezione in ambito di cloud computing bloccano le minacce non appena si presentano, su Internet, e sono supportati da più di 1.000 esperti di minacce informatiche a livello globale. Per ulteriori informazioni visitare www.trendmicro.com. TrendLabs è un centro di ricerca, sviluppo e assistenza internazionale, con una capillare presenza geografica, che garantisce monitoraggio delle minacce, prevenzione degli attacchi e fornitura di soluzioni immediate e trasparenti in modo costante. Con i suoi oltre 1.000 esperti di minacce e ingegneri dell'assistenza disponibili 24 ore al giorno nei laboratori di tutto il mondo, TrendLabs consente a Trend Micro di monitorare continuamente le minacce in tutto il mondo; fornire dati in tempo reale per rilevare, prevenire ed eliminare le minacce; ricercare e analizzare le tecnologie per contrastare le nuove minacce; rispondere in tempo reale alle minacce mirate e consentire ai clienti di tutto il mondo di limitare al minimo i danni, ridurre i costi e garantire la continuità delle attività. ©2012 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di aziende o prodotti potrebbero essere marchi o marchi registrati dei rispettivi proprietari.