La criminalità informatica colpisce obiettivi inattesi

Transcript

TrendLabsSM - Verifica di sicurezza del 1° trimestre 2014
La criminalità informatica colpisce
obiettivi inattesi
Attacchi legati a bitcoin e sistemi PoS preoccupano gli utenti
TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014
Sommario
1 |Criminalità informatica e
relativo mercato sommerso
10 |Panorama delle minacce
mobili
15 |Campagne di attacchi mirati
e attacchi informatici
21 |
Vita digitale e Internet di tutto
25 |
Appendice
Introduzione
Alla fine del 2013, ci siamo resi conto
che i furti digitali hanno messo in ombra
le rapine in banca1. Sebbene ciò sia vero
nell’ambito di consistenti incidenti di
violazione dei dati e della criminalità
informatica dilagante, il primo trimestre
del 2014 ha dimostrato che le operazioni
dannose eseguite dai criminali informatici
odierni interessano quelle entità che in
precedenza non erano state prese di mira
dagli attacchi informatici. Ne sono un
esempio la rapina digitale da 480 milioni
di dollari ai danni della borsa di Bitcoin,
MtGox, e i recenti attacchi contro la grande
distribuzione attraverso i terminali PoS2, 3.
Questi crimini di alto profilo hanno preso
di mira fonti di informazione inattese,
anche se gli aggressori perseguivano lo
stesso obiettivo, il denaro, utilizzavano
le stesse tecniche seppur con una
pianificazione più strategica, e agivano
per avidità.
utenti, i criminali informatici hanno per
seguito obiettivi insoliti, quali i terminali
PoS nelle catene di distribuzione4.
In questa epoca di transazioni elettro
niche, un’enorme violazione dei dati non
può che essere considerata un “crimine”,
indipendentemente dal fatto che venga
eseguita da singoli aggressori o da bande
sofisticate di criminali informatici.
Piuttosto che prendere di mira i singoli
Le tattiche adottate dai criminali
informatici in questo trimestre hanno
insegnato che a prescindere da quanto
sia avanzata la strategia di difesa, gli
attori delle pratiche dannose perseguono
sempre un obiettivo, seppure insolito, per
ottenere un profitto immediato.
I principali episodi di questo trimestre
sono caratterizzati da piani ben orchestrati
e grandi somme di denaro sottratte da
criminali informatici intraprendenti. Le
minacce informatiche di banking online, ad
esempio, hanno mostrato comportamenti
nuovi anche se le tattiche di base utilizzate
dai criminali informatici per diffonderle
sono rimaste le stesse. Bitcoin e i relativi
attacchi hanno acquistato importanza
come strumento finanziario e minaccia.
Il panorama delle minacce mobili non
ha subito drastici cambiamenti in questo
trimestre, anche se è stato battezzato
“più maturo” con l’aumento dei bug
per Android™. Le violazioni dei dati dei
rivenditori registrate negli ultimi mesi
hanno sottolineato l’esigenza di strategie
di difesa personalizzate.
NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate
minacce sui computer degli utenti che sono quindi state bloccate dal software di protezione Trend Micro.
Salvo laddove diversamente specificato, le cifre citate in questo rapporto provengono dai dati raccolti
dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart Protection Network™, che utilizza una
combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti in sede
e i servizi in hosting.
CRIMINALITÀ INFORMATICA E RELATIVO MERCATO SOMMERSO
Bitcoin è una valuta “matura” e attira sempre
più criminali informatici
Nel tempo, la natura della tecnologia e
della rete Bitcoin è sensibilmente mutata.
Di conseguenza, anche le minacce ad esse
associate si sono evolute. In passato, gli
aggressori compromettevano i sistemi
e li utilizzavano per minare la preziosa
valuta digitale; oggi, le borse e i portafogli
Bitcoin vengono presi di mira dai
furti. Ad esempio, BitCrypt, un nuovo
elemento nell’ambiente del ransomware,
nel mese di marzo si è impadronito di
diversi portafogli di crittovaluta, inclusi i
portafogli Bitcoin5.
Inoltre, è emerso che numerose borse
Bitcoin, tra cui MtGox, Flexcoin, la new
Silk Road e Poloniex, hanno risentito
degli effetti delle rapine subite6, 7, 8, 9.
Tuttavia, questo non significa che il
Bitcoin mining non è più redditizio. Se
eseguito correttamente, il Bitcoin mining
(processo che gestisce le transazioni
Bitcoin e ne crea di nuove) si rivela un
investimento redditizio, in quanto il
prezzo medio settimanale di Bitcoin
può arrivare a 945 dollari nella borsa più
grande10.
Valore dei Bitcoin in circolazione
10 mld.
USD 10 mld.
8,6 mld.
7,6 mld.
USD 5 mld.
0
GEN
FEB
MAR
Fonte: https://blockchain.info
Con circa 12 milioni di Bitcoin esistenti all’inizio dell’anno, il valore totale dei Bitcoin è salito a 10 miliardi
di dollari. Tuttavia, a causa del colpo a MtGox lo scorso febbraio, il suo valore è andato fluttuando tra
6 e 8 miliardi di dollari questo trimestre, con il valore più basso a marzo. Malgrado la svalutazione e la
fluttuazione dei tassi di cambio, gli utenti Bitcoin che hanno acquistato la crittovaluta nel primo trimestre
del 2013 hanno tuttavia guadagnato più di una decuplicazione del loro investimento oggi.
1 | Criminalità informatica e relativo mercato sommerso
Bitcoin mining e minacce informatiche specializzate
nel furto dei portafogli Bitcoin
NOME RILEVAMENTO
ROUTINE
DATA DELLA PRIMA
COMPARSA
BKDR_BTMINE
Esegue il Bitcoin mining
scaricando i miner.
Settembre 2011
KELIHOS
Ricerca e sottrae i file
wallet.dat.
Aprile 2013
SHIZ
Monitora i processi
connessi a Bitcoin a
scopo di furto.
Novembre 2013
COINMINE
(DevilRobber)
Copia tutti i contenuti
di wallet.dat e li invia ai
server FTP (File Transfer
Protocol).
Dicembre 2013
FAREIT/TEPFER
(Pony)
Ricerca e sottrae i file
wallet.dat, .wallet e
electrum.dat.
NOTA: FAREIT è un noto
downloader di CRIBIT/
BitCrypt, che sottrae
i portafogli Bitcoin e i
portafogli di crittovaluta.
Marzo 2014
KAGECOIN
Esegue il Bitcoin mining
sui dispositivi Android.
Marzo 2014
Questo trimestre, come abbiamo visto, si sono viste molte minacce informatiche dedite al furto di portafogli
Bitcoin, oltre ai miner.
Dopo alcuni anni di funzionamento
come valuta, Bitcoin si è rivelato anche
un ottimo strumento per restare coinvolti
in transazioni illecite. Nell’ultima parte
del 2013, i creatori della famose minacce
informatiche
CryptoLocker
hanno
spostato le loro tattiche di monetizzazione
su Bitcoin come modalità di pagamento
per file o sistemi trattenuti in ostaggio11.
informatici, quali BlackOS, dal mercato
clandestino12. L’uso di Bitcoin, dopo
tutto, è un sistema molto conveniente per
l’acquisto anonimo in quanto è una valuta
che può circolare online senza essere
legata a nessun conto corrente bancario.
Nonostante l’intenzione degli sviluppatori
di introdurre Bitcoin come strumento
di pagamento online innovativo, il suo
utilizzo si è rivelato efficiente anche per
il riciclaggio di denaro e per l’acquisto di
prodotti illegali, inclusi strumenti criminali
Linea temporale degli attacchi Bitcoin noti, 1° trimestre 2014
Vircurex
Bitstamp
Poloniex
New Silk
Road
GEN
FEB
Flexcoin
MAR
Fonti: Bitstamp, Vircurex, Poloniex, Flexcoin e New Silk Road
Questo trimestre, diverse borse di Bitcoin hanno ammesso di avere subito attacchi e violazioni che
hanno causato la perdita di Bitcoin in alcuni casi o, in altri peggiori, il fallimento e la chiusura delle borse
interessate.
Le minacce informatiche di banking online hanno
riportato comportamenti nuovi ma tattiche di base
familiari
Le minacce informatiche di banking
online hanno mostrato una vasta gamma
di comportamenti degni di nota nel corso
di questo trimestre. Ad esempio, a gennaio
sono stati individuati campioni ZeuS/
ZBOT che hanno preso di mira i sistemi
a 64 bit. Le loro routine impediscono
l’esecuzione di vari strumenti di analisi
anti-malware e dispongono di un
componente Tor che nascondeva le
comunicazioni con i server command-
and-control (C&C)13. Nello stesso mese,
una variante di BANLOAD utilizzava
un approccio di infezione diverso,
ricercando i plug-in di sicurezza prima di
eseguire le routine dannose14. Le minacce
informatiche del pannello di controllo e
l’esclusivo downloader “a tempo” ZeuS/
ZBOT hanno ulteriormente dimostrato
che, quanto a tecnica, non c’erano due
minacce informatiche di banking online
identiche15, 16.
Confronto del volume delle minacce
informatiche di banking online, 1°
trimestre 2013 e 1° trimestre 2014
Volume delle minacce informatiche di
banking online, gennaio–marzo 2014
50.000
25.000
60.000
44.671
32.489
39.301
116.461
112.982
120.000
0
0
1° trim. 2013
1° trim. 2014
GEN
FEB
MAR
Il numero di rilevamenti di minacce informatiche per il banking online ha raggiunto questo trimestre circa
116.000 unità e ha mostrato un incremento lento ma costante rispetto ai 113.000 rilevamenti del primo
trimestre 2013.
Paesi maggiormente colpiti dalle minacce informatiche di banking online
PAESE
QUOTA
Stati Uniti
23%
Giappone
10%
India
9%
Brasile
7%
Turchia
4%
Francia
3%
Malesia
3%
Messico
3%
Vietnam
3%
Australia
3%
Altri
32%
Gli Stati Uniti sono stati al solito il paese
maggiormente colpito dagli attacchi legati alle
minacce informatiche per il banking online.
L’India è lentamente salita nella top 3 grazie
al picco nel numero di banche online nel
paese, che si potrebbe attribuire a un settore
bancario ampiamente migliorato17. Il volume
delle transazioni in mobile banking è cresciuto
insieme al numero dei trasferimenti di denaro
online, un mezzo secondario tra i primi in
classifica per eseguire rimesse interne18, 19.
Paesi maggiormente colpiti dalle minacce informatiche di banking online,
gennaio-marzo 2014
Stati Uniti
7.801
8.314
11.122
12.000
4.267
2.900
4.287
Giappone
3.242
3.114
3.737
6.000
0
GEN
FEB
MAR
Stati Uniti, Giappone e India hanno mantenuto le proprie posizioni in classifica per tutto il trimestre
in merito al rilevamento delle minacce informatiche per il banking online.
India
Il ransomware ha continuato ad adottare
un approccio locale
L’aumento di CryptoLocker a ottobre
2013 è un esempio lampante di come i
criminali informatici hanno perfezionato
le proprie tattiche e potenziato gli
strumenti esistenti anziché crearne di
nuovi. Sulla base del controllo passato di
CryptoLocker, le minacce informatiche
hanno continuato a rappresentare un
grande ostacolo per i ricercatori della
sicurezza in questo trimestre. Grazie a
sofisticate tattiche di social engineering,
tecnologia di crittografia e timer per il
conto alla rovescia, risultava più semplice
spaventare le vittime e spingerle a pagare.
Durante questo trimestre, il ransomware
già diffuso ha registrato ulteriori progressi
da quando i criminali informatici hanno
scoperto la loro “attrattiva” a livello
mondiale. Spaventare le persone e
indurle a sottomettersi si è rivelato effi
cace indipendentemente dal luogo in
cui risiedono le vittime. Esempio em
blematico: a febbraio, una variante
ransomware simile a CryptoLocker ha
colpito utenti in Ungheria e Turchia20.
Era già accaduto con Police Trojan che
prese di mira nello specifico gli utenti di
Italia, Spagna, Francia e Regno Unito21.
La tendenza attuale mostra il ripetersi
della storia.
Oltre a prendere di mira paesi specifici,
il ransomware è stato diffuso con altri
comportamenti dannosi, incluso il furto
Bitcoin, con l’ingresso di BitCrypt. Questo
ransomware che sottrae crittovaluta
ha ricavato fondi da vari portafogli di
crittovaluta, inclusi i portafogli Bitcoin.
Il volume di ransomware è stato parti
colarmente elevato nel terzo trimestre
del 2013 a causa di un aumento dei rile
vamenti di CryptoLocker. Nel corso di
questo trimestre, gli Stati Uniti sono finiti
in testa all’elenco dei paesi più colpiti, con
circa il 30% del totale, seguiti da Giappone
e India. Anche il feedback ricevuto da
Trend Micro Smart Protection Network
ha mostrato che il 40% delle vittime
di BitCrypt (rilevato come CRIBIT)
risiedeva negli Stati Uniti.
Paesi maggiormente colpiti
dal ransomware
Stati Uniti
Giappone
India
Turchia
Australia
Germania
Francia
Regno Unito
Canada
Italia
Altri
28%
22%
9%
8%
5%
4%
2%
2%
2%
2%
16%
I paesi più colpiti dal ransomware nel 2013
non sono radicalmente cambiati quest’anno,
benché sia stato osservato un leggero calo
di volume.
Il lato oscuro di Tor è stato svelato
L’obiettivo principale di Tor, in quanto
rete mondiale di server, è quello di pro
muovere la ricerca e lo sviluppo della
privacy online. Tuttavia, l’anonimato
offerto da Tor si è trasformato in una
piattaforma allettante per i piani dannosi
dei criminali informatici, grazie alla
sua semplicità di accesso e utilizzo. Il
Deep Web, che in passato veniva spesso
associato a Tor, è stato sfruttato dai
criminali informatici per la sua capacità di
bypassare i crawler dei motori di ricerca,
consentendo loro di rimanere anonimi22.
Tor è stato particolarmente sfruttato a
marzo, quando CRIGENT ha utilizzato
Windows® PowerShell® per diffondersi
mediante script prima del download di
due noti strumenti anonimi online, uno
dei quali coinvolgeva la rete Tor23. Anche
la variante di ZeuS/ZBOT a 64 bit
citata in precedenza ha sfruttato Tor per
nascondere le comunicazioni con i server
C&C.
Il fatto che il client Tor sia semplice
da installare ha permesso ai criminali
informatici di eseguire operazioni
complesse senza dover implementare
ulteriori file di configurazione. I servizi
nascosti offerti da Tor potrebbero anche
spingere i criminali informatici a sfruttare
ulteriormente questa rete nei prossimi
mesi.
Gli exploit zero-day e la fine del supporto per
Windows XP hanno messo in luce i rischi legati
ai bug privi di patch
In questo trimestre i vari exploit zeroday sono stati individuati in una serie di
vulnerabilità di browser, plug-in di browser
e altri software. Microsoft™ Office® 2010
si è rivelato un obiettivo idoneo, come
dimostrato dal bollettino sulla sicurezza
del fornitore relativo al mese di marzo, che
includeva una patch per una vulnerabilità
zero-day in Microsoft Word®24.
In precedenza nel mese di febbraio, è
stato sfruttato un altro degli obiettivi
preferiti, Adobe® Flash®, per diffondere
PlugX, uno strumento di accesso remoto
noto per i suoi meccanismi furtivi25.
Microsoft Security Advisory 2934088,
rilasciato nello stesso mese, ha avvisato gli
utenti delle versioni 9 e 10 dell’utilizzo di
un exploit zero-day di Internet Explorer®
negli attacchi mirati26. Si è trattato di
un problema particolarmente grave
per Microsoft, in quanto ha interessato
la maggior parte delle versioni di
Windows, ad eccezione di Windows 8.1 e
Windows XP, dotati rispettivamente della
versione 11 e 8 di Internet Explorer.
Gli exploit zero-day, come quelli utilizzati
negli attacchi a Internet Explorer 9 e 10,
sono stati significativi perché erano in
grado di eludere le tecniche di preven
zione, quali Address Space Layout
Randomization (ASLR) e Data Execution
Prevention (DEP). La capacità di eludere
queste tecniche di prevenzione sono
risultate efficaci negli attacchi recenti.
Pertanto, abbiamo ragione di credere
che in futuro i criminali informatici
cercheranno di rendere i loro exploit
sempre più indipendenti dalla piattaforma.
Cronologia degli exploit zero-day, 1° trimestre 2014
Internet
Explorer 9/10
Adobe
Flash
Microsoft
Word
20
13 16 19
20
24
22
11
20
GEN
SCOPERTI
FEB
RICONOSCIUTI
25
8
24
MAR
APR
REGOLA DEL PATCHING VIRTUALE DI TREND MICRO DEEP SECURITY
CON PATCH
Siamo stati in grado di garantire protezione agli utenti di Trend Micro Deep Security e OfficeScan™ con il
plug-in Intrusion Defense Firewall (IDF) per due dei tre principali exploit zero-day rilevati in questo trimestre
anche prima che i fornitori pubblicassero le patch.
Sebbene gli exploit zero-day rilevati in
questo trimestre non abbiano interessato
Windows XP, i suoi utenti non sono
stati risparmiati27. In effetti, la fine del
supporto per Windows XP dall’8 aprile
2014 ha reso i sistemi ancora più soggetti
agli attacchi28. Il fatto che le versioni
di Internet Explorer successive alla
versione 8 non siano compatibili con
la piattaforma non è d’aiuto, in quanto
gli utenti di Windows XP verranno
abbandonati con le versioni precedenti
e vulnerabili del browser. Ovviamente,
possono utilizzare browser alternativi per
evitare le minacce che colpiscono Internet
Explorer, anche se non è detto che questo
semplice passaggio sia sicuro al 100%
contro gli attacchi mirati ad altri browser
eventualmente vulnerabili. Il software
di protezione sarà ancora in grado di
proteggere la piattaforma obsoleta, ma
le vulnerabilità scoperte di recente non
verranno più risolte e saranno per sempre
esposte agli exploit degli aggressori29.
Quote di mercato dei sistemi operativi, marzo 2014
Windows 7
49%
Windows XP
28%
Windows 8
6%
Windows 8.1
5%
Mac OS X 10.9
4%
Altri
8%
Fonte: Netmarketshare.com
A marzo 2014, Windows XP rimane uno dei principali protagonisti sul mercato dei sistemi operativi
per desktop con una quota quasi del 30%.
NOTA: le cifre di Netmarketshare.com tendono a variare, per questo le cifre sopra riportate mostrano
il caso peggiore per Windows XP.
Approfondimenti degli esperti
I criminali informatici hanno continuato a individuare nuove strade per commettere crimini digitali ed
eludere le contromisure applicate contro le loro creazioni. Le minacce informatiche per banking online hanno
continuato a prosperare con l’emergere e/o la modifica di nuove famiglie di minacce, ciascuna con obiettivi
diversi e varie tecniche anti-rilevamento. I metodi di distribuzione delle minacce informatiche del banking
online sono anche stati continuamente perfezionati per infettare soltanto i sistemi in specifici paesi o aree.
Tali metodi sono anche dotati di strumenti per fare in modo che i sistemi che infettano siano gli obiettivi
preferenziali. Alcuni possono anche rilevare gli indirizzi IP e i layout di tastiera dei sistemi per fare in modo
che questi si trovino in specifici paesi o aree di destinazione.
Da quando le attività delle forze dell’ordine contro il furto online sono state lentamente potenziate, i criminali
informatici stanno iniziando ad aggiungere altri livelli per garantire l’anonimato, proteggere le proprie identità
ed evitare di essere arrestati. L’uso di Tor come canale C&C ha consentito loro di godere di un maggiore
anonimato e ha dato loro un maggiore grado di resilienza aggiuntiva a fronte del rilevamento e dell’offensiva
del software di protezione.
L’interesse dei criminali informatici per i Bitcoin, nel frattempo, ruota intorno al fatto che questa valuta è
enormemente più promettente, viene diffusamente adottata e si presenta come un obiettivo di punta per
mining o furto. Infine, CryptoLocker ha generato controversie a causa della sua capacità di crittografare
file archiviati, con conseguente perdita effettiva non solo dei documenti ma anche del denaro che le vittime
consegnano ai “rapitori di file”.
Martin Rösler
Direttore Senior, Ricerca sulle minacce
PANORAMA DELLE MINACCE MOBILI
Il riconfezionamento delle app, l’economia sotterranea
in crescita e la disponibilità di toolkit hanno spinto le
minacce informatiche mobili e le applicazioni ad alto
rischio a quota 2 milioni
Crescendo ad un ritmo ancora più veloce
rispetto allo scorso anno, il numero di
minacce informatiche mobili e di appli
cazioni ad alto rischio ha raggiunto i
2 milioni in questo trimestre. Uno dei
motivi dell’aumento del volume po
trebbe essere la crescente domanda
di strumenti e servizi dannosi che
possono essere utilizzati per creare e
distribuire minacce informatiche mobili
sul mercato sommerso30. Uno di questi
strumenti, DENDROID (strumento di
amministrazione remota), consente di
inserire cavalli di Troia nelle applicazioni
mobili legittime per $ 30031, 32.
La proliferazione di applicazioni ricon
fezionate (manomesse intenzionalmente
per superare le funzioni di protezione dei
dispositivi Android e dotate solitamente
di funzionalità per il furto di dati e lo
sfruttamento dei servizi premium) ha
contribuito
all’enorme
incremento
delle minacce informatiche mobili e
delle applicazioni ad alto rischio. Ottimi
esempi di questo tipo di applicazioni
dannose sono le versioni con cavallo di
Troia dell’applicazione un tempo famosa,
Flappy Bird (rilevata come variante
di FAKEINST), che si sono diffuse
in tutti gli app store di terzi in questo
trimestre33. Questo potrebbe anche essere
il motivo per cui le varianti di OPFAKE/
FAKEINST (il nostro rilevamento di
applicazioni riconfezionate) erano in cima
all’elenco delle minacce informatiche
mobili di questo trimestre.
Volume complessivo di minacce Android
Minacce informatiche mobili
72%
App ad alto rischio
28%
10 | Panorama delle minacce mobili
2,1 mln.
1,8 mln.
1,5 mln.
1,5 mln.
3 mln.
0
GEN
FEB
MAR
Volume mensile delle minacce informatiche mobili
e delle applicazioni ad alto rischio
TOTALE
647.000
210.000
150.000
164.000
273.000
300.000
0
GEN
FEB
MAR
Le minacce informatiche mobili rilevate per la prima volta e le app ad alto rischio rilevate in questo
trimestre hanno rappresentato quasi un terzo del numero totale di minacce Android.
NOTA: le app ad alto rischio o potenzialmente indesiderate sono quelle che possono compromettere
l’esperienza dell’utente poiché visualizzano pubblicità indesiderate, creano collegamenti indesiderati
o raccolgono informazioni sui dispositivi senza che gli utenti lo sappiano o lo consentano. Gli esempi
includono l’adware aggressivo.
L’adware ha superato i premium service abuser
in termini di volume
I premium service abuser, la minaccia
Android più diffusa nel 2013, non è più in
testa all’elenco delle minacce Android in
questo trimestre34. L’adware ha superato
i premium service abuser in termini di
volume probabilmente a causa del recente
annuncio da parte dei principali fornitori
di ridurre le tariffe di fatturazione dei
servizi di testo premium dopo aver preso
atto che potrebbero finire nelle mani dei
criminali informatici35.
Di conseguenza, dal momento che i
premium service abuser rappresentano
strumenti di attacco meno “redditizi”, i
criminali informatici si sono concentrati
sulla diffusione dell’adware anziché vitti
mizzare altri utenti.
Principali famiglie di minacce informatiche per Android
OPFAKE
9%
SMSREG
9%
GINMASTER
8%
MSEG
7%
FAKEINST
6%
MTK
6%
SMSPAY
5%
STEALER
4%
PREMIUMTEXT
3%
FAKEUPDATE
2%
41%
Altri
Le prime famiglie di minacce informatiche della fine 2013 hanno continuato a imperversare in questo
trimestre.
NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l’adware
esegue il push aggressivo delle pubblicità ed è persino in grado di raccogliere informazioni personali senza
il consenso della vittima.
Distribuzione dei principali tipi di minacce Android
9%
19%
25%
0
2%
35%
47%
50%
$
Adware
Premium
service abuser
Ladro di
dati/informazioni
Downloader
di minacce
Chi fa spese
non autorizzate
L’adware ha sbaragliato i premium service abuser in termini di distribuzione delle minacce mobili. Gli altri
tipi di minacce hanno fatto registrare valori leggermente in calo rispetto allo scorso anno.
NOTA: i dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware; queste
coprono l’88% di tutte le minacce rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo
gennaio-marzo di quest’anno. Una famiglia di minacce potrebbe avere comportamenti tipici di più tipi di
minacce.
Il numero crescente di bug ha rivelato un panorama
delle minacce mobili più maturo
Il picco nel numero di vulnerabilità rilevate
nella piattaforma Android è un altro indice
della maturazione del panorama delle
minacce mobili odierne. Tutto ciò illustra
ulteriori rischi per i milioni di utenti dei
dispositivi Android. A marzo, abbiamo
analizzato un bug di Android che ha
colpito le versioni 4.0 e successive e che
potrebbe essere utilizzato per intrappolare
i dispositivi in un ciclo infinito di riavvii,
rendendoli inutilizzabili36. Nello stesso
mese, abbiamo rilevato una vulnerabilità
che ha messo almeno 10.000 applicazioni
a rischio di perdere i dati degli utenti
bypassando determinate autorizzazioni
personalizzate dei dispositivi37.
Anche iOS ha avuto la sua parte di
vulnerabilità in questo trimestre, evi
denziata dal problema di sicurezza di SSL
“goto fail” nella versione 7 nel mese di
febbraio38. Apple ha immediatamente
rilasciato l’aggiornamento della protezione
iOS 7.0.6 per correggere la falla che
poteva inavvertitamente comportare
l’intercettazione e la manipolazione delle
sessioni se un dispositivo vulnerabile era
connesso a una rete condivisa.
Le minacce sono passate dai computer ai dispositivi
mobili con risultati diversi
Le minacce che eseguono il Bitcoin
mining hanno mostrato nuove capacità
e routine in questo trimestre39. Hanno
iniziato a prendere di mira i dispositivi
mobili con l’incremento di una famiglia
di minacce informatiche rilevate come
ANDROIDOS_KAGECOIN.HBT, che
ha installato i miner di crittovaluta sui
dispositivi infetti. Tali minacce hanno
permesso ai criminali informatici di
utilizzare le risorse informatiche dei
dispositivi mobili infetti per minare
Bitcoin, Litecoin e Dogecoin. L’infezione
ha comportato una riduzione della
durata della batteria che, in ultima analisi,
avrebbe potuto ridurre la durata media
del dispositivo40.
Altri esempi di tali minacce erano
TORBOT e DENDROID. ANDROI
DOS_TORBOT.A è stata la prima
variante delle minacce informatiche
mobili ad utilizzare Tor per accedere a
server remoti in modo da consentire
agli utenti di mantenere un certo grado
di anonimato41. Dopo essersi collegata,
questa minaccia era in grado di fare
telefonate, intercettare e inviare SMS
a numeri specifici. Nel frattempo,
ANDROIDOS_DENDROID.HBT,
venduto sul mercato sotterraneo come
crimeware, ha mostrato routine simili alle
minacce informatiche tipiche, tra cui la
capacità di intercettare i messaggi di testo,
registrare chiamate e scattare foto senza
il consenso dell’utente del dispositivo.
Sono passati 10 anni da quando il primo esempio di minaccia informatica mobile PoC (proof-of-concept),
ovvero SYMBOS_CABIR, è comparsa all’orizzonte42. Tuttavia, con la crescita esponenziale del volume dei
dispositivi mobili in anni recenti, non sorprende vedere che il numero di minacce informatiche mobili cresca
a una velocità superiore a quella delle minacce per computer. Oggi, i metodi tecnici per vittimizzare gli utenti
di computer come l’uso di Tor e il mining delle crittovalute vengono utilizzati anche per affliggere gli utenti
di smartphone e tablet. Sono sempre di più i criminali informatici che cambiano obiettivo e sfruttano la
popolarità e l’uso diffuso dei dispositivi mobili, che tra l’altro non godono dello stesso livello di protezione
dei computer. Vedremo emergere senza dubbio altre vulnerabilità nelle piattaforme mobili, specie Android,
in ragione del suo amplissimo bacino di utenza. Ma ciò non significa necessariamente che gli utenti debbano
soffrire.
L’uso di software di protezione mobile affidabile e l’adesione alle best practice possono aiutare. Anche se è
difficile garantire che tutte le app disponibili per il download siano libere da minacce informatiche, scaricare
soltanto da app store ufficiali può ridurre drammaticamente le possibilità che il vostro dispositivo venga
infettato. Esaminare con attenzione l’elenco delle autorizzazioni che un’app richiede quando viene installata
è fondamentale. Se chiede di accedere a servizi o a informazioni che non sono realmente necessari per
espletare la sua funzione prevista, è meglio non installarla43. Se un’app si rivela vulnerabile, meglio non
installarla fino a quando il relativo bug non è stato risolto.
Kenny Ye
Ricercatore delle minacce mobili
CAMPAGNE DI ATTACCHI MIRATI E ATTACCHI INFORMATICI
Le violazioni dei sistemi PoS hanno sottolineato
l’importanza delle strategie di difesa personalizzate
Abbiamo visto in che modo le violazioni
nel settore della grande distribuzione
e dell’industria alberghiera hanno
interessato gli utenti negli Stati Uniti in
questo trimestre. Milioni di clienti sono
stati messi a rischio immediato quando
le loro informazioni personali sono state
vendute per frode con carte di credito,
come nel caso di tali violazioni44, 45.
hanno consentito di ridurre i costi e di
incrementare la produttività. I sistemi
PoS potrebbero avere effetti positivi sia
nel settore della grande distribuzione che
nell’industria alberghiera visti i benefici
che apportano. Pertanto, è opportuno
che i proprietari dei sistemi PoS pren
dano in considerazione la sicurezza
soprattutto perché i criminali informatici
continueranno a trovare modi per com
promettere i dispositivi nel tentativo in
costante evoluzione di ottenere denaro.
Tuttavia, gli incidenti non sono limitati agli
Stati Uniti, infatti anche i dati delle carte
di pagamento degli utenti della Corea del
Sud sono stati sottratti tramite i terminali
PoS in questo trimestre46.
Come fanno gli aggressori a penetrare
nei dispositivi PoS? In una relazione sulle
violazioni dei sistemi PoS è emerso che
questi sistemi presentano numerosi punti
deboli che potrebbero consentire agli
aggressori di impadronirsi dei dati47. Sono
stati tracciati gli scenari in cui potrebbero
verificarsi con maggiore probabilità
violazioni su larga scala, incluso l’hacking
dei dispositivi PoS, l’hacking delle
comunicazioni di rete e l’aggressione di
server specifici.
Durante i primi tre mesi di quest’anno, è
emerso che obiettivi insoliti, quali i ter
minali PoS, e strumenti spesso sottovalu
tati per quel che riguarda la sicurezza sono
stati presi di mira dagli attacchi. Utilizzati
nella grande distribuzione e nell’industria
alberghiera per accettare pagamenti e
offrire informazioni operative in materia
di contabilità, monitoraggio delle vendite
e gestione delle scorte, i sistemi PoS
Punti deboli dei dispositivi PoS
SISTEMA
PoS
SWITCH
Hacking delle comunicazioni di rete
ROUTER
Hacking dei
dispositivi PoS
ERNE
NT
T
SERVER DI DATABASE PER BACK-OFFICE
I
CARTA DI
CREDITO
ROUTER
SWITCH
RETE DI FILIALE
SISTEMA
PoS
SERVER DI DATABASE PER BACK-OFFICE
SERVER DI
DATABASE PER
BACK-OFFICE
SWITCH
ROUTER
Aggressione di server speciﬁci
SEDE CENTRALE
15 | Campagne di attacchi mirati e attacchi informatici
AZIENDA B
CARTA DI
CREDITO
Quando prendono di mira server specifici,
gli aggressori potrebbero essere alla ricerca
di un meccanismo di aggiornamento
che consenta loro di implementare le
minacce informatiche nei dispositivi PoS
collegati al fine di sottrarre informazioni
sui clienti. Negli ultimi mesi, sono state
individuate numerose famiglie di minacce
informatiche per PoS in grado di sottrarre
e inviare i dati delle carte di credito agli
aggressori. Ad esempio, ALINA o Trackr
effettuavano la scansione della memoria
dei sistemi per verificare l’eventuale
corrispondenza dei contenuti a espressioni
regolari che indicano la presenza di dati di
carte di credito di cui impadronirsi. Altre
minacce informatiche distruttive per PoS
includono FYSNA, nota per utilizzare la
rete Tor, e vSkimmer o HESETOX che
caricavano i dati sottratti sui server C&C.
Minacce informatiche per PoS
NOME
RILEVAMENTO
ROUTINE
DATA DELLA
PRIMA COMPARSA
ALINA
(Trackr)
Effettua la scansione
della memoria dei sistemi
per verificare l’eventuale
corrispondenza dei contenuti
a espressioni regolari che
indicano la presenza di dati
di carte di credito di cui
impadronirsi.
Maggio 2010
DEXTR
Condivide la cartella
contenente i dati sottratti
mediante la rete KaZaA.
Febbraio 2011
HESETOX
(vSkimmer)
Carica i dati sottratti sui
server C&C.
Gennaio 2012
POCARDL
Si impadronisce di
informazioni quali il nome
della directory dell’utente e/o
i dati della carta di debito.
Ottobre 2012
FYSNA
Utilizza la rete Tor.
Dicembre 2013
DECBAL
Si impadronisce dei dati e li
invia tramite HTTP POST a un
sito remoto.
Gennaio 2014
È dal 2010 che rileviamo minacce informatiche per PoS. Da allora, le routine utilizzate hanno continuato
a migliorare per potersi impadronire in modo più efficace e anonimo delle informazioni finanziarie.
I rischi, citati sopra, associati all’uso dei
dispositivi PoS sottolineano il motivo
per cui le aziende, soprattutto quelle che
accettano i pagamenti con carta di credito,
dovrebbero prendere in considerazione
l’implementazione di una strategia di
difesa personalizzata adatta alla propria
rete e alla modalità adottata per la
generazione, l’utilizzo e l’elaborazione
delle informazioni sulle carte di credito.
Non è neanche stato d’aiuto il fatto che
nel primo trimestre del 2014 abbiamo
avuto sette volte le minacce informatiche
per PoS avute in tutto il 2013.
Cronologia delle violazioni di alto profilo
GEN 14
3 mln.
Carte di credito
DIC 13
110 mln.
Conti di carte
di credito e debito
FEB 14
MAR 14
14
Hotel di
fascia alta
GEN 14
25.000
Record
350.000
Informazioni
sui pagamenti
dei clienti
10
DIC
2013
20
NEGOZIO
USA
30
10
GEN
2014
NEGOZIO DI BENI
DI LUSSO USA
20
30
10
FEB
NEGOZIO DI ARTIGIANATO
D’ARTE USA
20
28
10
MAR
INDUSTRIA
ALBERGHIERA USA
20
30
NEGOZIO
USA
Fonti: CNET, Neiman Marcus, Michaels, Sally Beauty e Reuters
In questo trimestre, diverse aziende hanno confessato di avere subito violazioni tramite i sistemi PoS che
hanno comportato il furto di informazioni personali di almeno, in un caso, 110 milioni di utenti.
Il successo dei reflection attack nonostante l’adozione
di soluzioni note
A gennaio, gli aggressori hanno sfruttato
i punti deboli del Network Time
Protocol (NTP), un sistema utilizzato per
sincronizzare gli orologi dei computer,
e sferrare attacchi DDoS (distributed
denial-of-service)48. Poiché i server NTP
sono notoriamente suscettibili al flooding
e vengono utilizzati per le interazioni
pubbliche, i più vulnerabili hanno ceduto
agli attacchi, in quanto accettano spesso
tutte le connessioni. Questo incidente ha
dato il via ad attacchi DDoS costanti e
diffusi a un livello senza precedenti. Da
allora, i reflection attack sono diventati
la “norma” dal momento che prendono
di mira tutti i settori. Ma non tutto era
ancora perduto, dal momento che gli
amministratori IT potevano riconfigurare
i servizi in esecuzione o aggiornare i loro
server come prevenzione49.
La campagna Siesta e la proliferazione costante
di attacchi mirati
Gli attacchi mirati hanno continuato ad
affliggere le imprese di tutto il mondo,
come dimostra la campagna Siesta,
rilevata a marzo. Giustamente denominata
“Siesta”, questa campagna ha accettato
uno dei due comandi crittografati,
“Sospendi” e “Scarica: <download
URL>” e ha preso di mira numerose
istituzioni in un’ampia gamma di settori50.
Le e-mail venivano inviate dagli indirizzi
di posta elettronica falsificati del personale
di determinate aziende.
Gli obiettivi della campagna Siesta
includono una vasta gamma di settori,
tra cui beni e servizi di consumo, energia,
finanza, sanità, media e telecomunicazioni,
pubblica amministrazione, sicurezza e
difesa, trasporti e traffico.
Volume di attacchi mirati per paese/area geografica
Taiwan
61%
Giappone
26%
Israele
2,6%
Asia Paciﬁco
2,6%
Spagna
2,6%
Venezuela
2,6%
Stati Uniti
2,6%
Taiwan e Giappone hanno registrato il numero più alto di attacchi mirati questo trimestre.
NOTA: questo grafico mostra i dati rilevati sugli attacchi mirati monitorati nel primo trimestre del 2014.
Volume di attacchi mirati per settore
$
SETTORE
FINANZIARIO
2,3%
SETTORE
INDUSTRIALE
7%
TELECOMUNICAZIONI
5%
PUBBLICA
AMMINISTRAZIONE
IT
5%
76%
ASSISTENZA
SANITARIA
ENERGIA
2,3%
2,3%
Anche questo trimestre le istituzioni pubbliche sono state gli obiettivi preferiti.
NOTA: questo grafico mostra i dati rilevati sugli attacchi mirati monitorati nel primo trimestre del 2014.
Il 2014 è iniziato con una telemetria analoga a quella vista per gran parte del 2013. La traiettoria è rimasta
abbastanza costante quando abbiamo approfondito l’analisi del panorama delle minacce nel primo trimestre
2014. Gli attacchi di minacce informatiche DDoS e PoS hanno dominato i titoli sulla stampa. Le aziende hanno
continuato a lottare con attacchi di natura mirata, destinati direttamente ai settori energetico, finanziario,
sanitario e della vendita al dettaglio o delle infrastrutture critiche. Il risultato è stato una semplicissima
equazione: gli obiettivi di alto valore che promettevano una consistente resa sono stati compromessi con il
minore sforzo possibile. Certo, gli obiettivi ad alto valore disponevano di difese migliori di altri per cui era
necessario compiere sforzi ben sponsorizzati e orchestrati. Tuttavia, questo non ha impedito agli aggressori
di prendere di mira anche le organizzazioni che non disponevano di processi solidi. Ciò ha significato
spesso che queste non disponevano di sistemi di rilevamento e notifica delle violazioni capaci di segnalare
i comportamenti di aggressione e le comunicazioni sospette una volta superate le difese perimetrali
tradizionali. Anche le informazioni contestuali sulle minacce si sono spesso rivelate carenti. La maggior parte
delle persone nella comunità della tecnologia delle informazioni e della comunicazione deve adottare l’ottica
secondo la quale siamo già stati compromessi. La risposta e il ripristino delle violazioni consentiranno alle
aziende di continuare a gestire le loro attività aziendali e di non subire le tragiche conseguenze degli incidenti
che si verificano, fino all’interruzione dell’attività.
Abbiamo anche assistito ad attacchi mirati rivolti direttamente alle aziende che si affidavano alla funzionalità
specifica del sistema PoS e pacchetti di minacce informatiche creati per eludere le tradizionali tecnologie
anti-malware. Sono state osservate anche combinazioni di e-mail di spear-phishing per la distribuzione di
payload dannosi per costringere gli utenti a cliccare su collegamenti dannosi a siti nefasti che nascondono
minacce informatiche. Questo approccio è continuato a essere la punta di lancia e l’origine della maggior
parte degli attacchi mirati. Oggi, le organizzazioni stanno imparando che affidarsi al solo software antivirus
non basta più. Occorre una maggiore trasparenza su tutte le reti per analizzare gli interi cicli di vita degli
attacchi.
Gli attacchi DDoS hanno continuato ad affliggere le aziende di ogni dimensione. Le interruzioni dell’attività si
stanno ampliando e molte aziende stanno facendo progredire la propria posizione per contrastarle; abbiamo
tuttavia continuato a vedere attacchi DDoS come armi di base in molti attacchi informatici. In questo trimestre
è stato registrato un incremento degli attacchi DDoS che prendono di mira le vulnerabilità NTP per disattivare
i server privi di patch. I server sia tradizionali che virtuali sono stati colpiti ed è importante tenere conto delle
augmenting technologies come patching virtuale o schermatura delle vulnerabilità per contribuire al patching.
Si riduce così il tempo necessario per il ripristino predisponendo un efficace controllo di compensazione
fino a quando un’organizzazione può eseguire pienamente il ciclo di vita di gestione delle patch. Ciò risulta
particolarmente efficace per la maggior parte delle vulnerabilità note e ha aiutato sensibilmente le aziende
a ridurre i rischi e a fare di più con meno. Il personale aziendale apprezzerà infinitamente il risultato, che
ridurrà in modo significativo il vostro profilo di rischio senza schiacciare la produttività.
È ancora evidente che molte organizzazioni continuano a lottare per tenersi al passo con i processi di gestione
delle patch e per implementare le best practice tradizionali. Nel corso degli ultimi anni, le dimensioni del
personale si sono ridotte, come pure quelle dei budget per IT e sicurezza. Questa combinazione ha messo in
grandi difficoltà le aziende che hanno faticato a tenere il passo.
Con gli attacchi dannosi visti questo trimestre, i casi reali hanno dimostrato che i controlli di sicurezza
esistenti devono evolversi e chi si occupa di protezione deve ripensare alle strategie di sicurezza IT per
affrontare gli attacchi mirati. La natura personalizzata degli attacchi mirati ha modificato il panorama delle
minacce. Non esistono pallottole d’argento. In compenso, occorre una strategia di difesa personalizzata che
migliori rilevamento, analisi, adattabilità e risposta per ridurre i rischi e l’impatto degli attacchi mirati.
JD Sherry
Vicepresidente, Tecnologia e soluzioni
VITA DIGITALE E INTERNET DI TUTTO
Persino le applicazioni “effimere” erano vulnerabili
L’anno scorso le applicazioni “effimere”
(app di nuova generazione che si rivolgono
agli utenti che desiderano condividere
contenuti in modo anonimo, inviare
messaggi in modo informale e condividere
file multimediali) hanno preso d’assalto
l’ecosistema delle app nell’ambito
dell’impegno costante a tutelare la
privacy degli utenti. Tuttavia, ironia della
sorte, in questo trimestre una di queste
app, Snapchat, ha fatto il contrario. Gli
aggressori hanno sfruttato l’interfaccia di
programmazione dell’applicazione (API)
comportando la fuga di informazioni
relative a oltre 4,6 milioni di utenti dal
proprio database51. Il team di Snapchat
ha rilasciato un aggiornamento per
garantire maggiore sicurezza agli utenti e
impedire i tentativi futuri di sfruttamento
dell’API dell’applicazione52. Se da un
lato l’aggiornamento ha rassicurato gli
utenti coinvolti, dall’altro lo sfruttamento
dell’API di Snapchat era comunque
allarmante, in quanto ha fatto aumentare
ulteriormente i dubbi sull’affidabilità
delle applicazioni, anche di quelle che
garantivano privacy e anonimato.
Ricerca dell’aereo disperso MH370 e altre tecniche
di social engineering utilizzate per attirare le vittime
Non è insolito imbattersi in collegamenti
dannosi su Twitter e altri social network53.
Durante questo trimestre, sono state
rilevate numerose minacce che prendono
di mira gli utenti dei social network, dalle
truffe per ottenere follower gratuitamente
agli attacchi di phishing, anche se la
ricerca dell’aereo disperso MH370 ha
21 | Vita digitale e Internet di tutto
primeggiato. I criminali informatici han
no approfittato del clamore mediatico per
attirare gli utenti a guardare video falsi
su Facebook, dimostrando ancora una
volta che cavalcare l’onda delle cronache
di tragedie e catastrofi naturali è una
strategia efficace54.
Sito dannoso con “video” incorporato relativo all’aereo disperso MH370
RESTRICTED VIDEO
To start the video, please share it below
0:00 / 6:43
Esempi di messaggi diretti di truffe per ottenere “follower gratuitamente”
su Twitter
Direct messages
New message
REDONE412 @redone412
Hi, need more followers? I recommend this site =>
www.GETNEWFOLLOWERS.us ((please copy-paste for your
safety)) I get new followers. Take care!
Jan 28 >
MONSTER32 @monster42
Hello. Thanks for following! If need more followers, this site is
good => www.superfollowers.com ((please copy-paste for your
safety))
Jan 28 >
Signup as a Premium Member
Login as a Regular Tweeter
Now only $4.95 [5 Days]
Always FREE
New followers every minute
60+ new followers per ride
Ad free and instant activation
Promotional status updates
Buy this Package
Sign in with Twitter
Top / All / People you follow
REDONE412 @redone412 17m
GET MORE FOLLOWERS Lorem ipsum Dolor
Lorem ipsum Dolor
Thomasians
Daft Punk
USTET
#G2BPartingTime
#30FactsAboutMe
Cedric Lee
Expand
Reply
Retweet
Favorite
More
Retweet
Favorite
More
Retweet
Favorite
More
Batista
Ziggler
Triple H
Daniel Bryan
Brock Lesnar
#BnB
#RAW
Expand
Reply
#HONDADBLJABAR
#MentionMashaKereeen
Ya Allah
Tuhan
Buka
Expand
Reply
Questo trimestre, le truffe per ottenere follower gratuitamente su Twitter hanno davvero toccato il fondo
quando i criminali informatici si sono ridotti a doverle diffondere direttamente anche tramite messaggi
diretti. Anche i collegamenti ai siti di phishing incorporati nei tweet l’hanno fatta da padroni.
Esche di social engineering maggiormente utilizzate
FLAPPY WHATSAPP
GRATIS
BIRD FOLLOWER
SU INSTAGRAM
RICERCA
DI MH370
GRAND THEFT AUTO V
I criminali informatici hanno continuato a sfruttare gli argomenti, gli eventi, i film, i gadget e le catastrofi
naturali di cui si parla di più per attirare il maggior numero di vittime possibile nelle loro trappole
appositamente progettate.
Durante questo trimestre, un’altra
efficace esca di social engineering era
legata alle presunte release di software
tanto attese. Ad esempio, i criminali
informatici hanno approfittato della
popolarità di Grand Theft Auto V per
diffondere messaggi di posta elettronica
che proponevano la versione beta per
PC del gioco55. Nonostante si trattasse
di una truffa estremamente semplicistica,
come dimostrato dallo scarso livello
grammaticale del messaggio e-mail e
dall’aspetto non ufficiale, la trepidazione
per la release di una versione per PC è
stata sufficiente a far cadere i giocatori
entusiasti nella trappola.
Anche gli utenti di WhatsApp sono
stati indotti a credere che esistesse una
versione per PC dell’app56. Tuttavia, come
nel caso della truffa per la versione beta di
Grand Theft Auto V, la versione per PC
di WhatsApp non esisteva e le vittime si
sono ritrovate con i propri sistemi infettati
da minacce informatiche di banking.
Ulteriori difetti rilevati nei nuovi dispositivi IoE
Numerosi dispositivi del mercato IoE
(Internet of Everything, Internet di
tutto) sono stati sottoposti a verifiche non
appena i ricercatori della sicurezza hanno
rilevato falle del sistema.
Ad esempio, la berlina Model S di Tesla
Motors dalla solida tecnologia si è
accaparrata la giusta dose di attenzione
da parte dei media per aver proposto un
nuovo standard che assicura prestazioni
eccezionali e per aver integrato
una connettività mobile completa,
caratteristica che potrebbe rendere l’auto
vulnerabile all’hacking57. Le smart TV
dotate di connessione a Internet, quali
Philips Smart TV, sono state analizzate
dai ricercatori che hanno scoperto che il
fornitore ha impostato come hardcoded
la password predefinita per Miracast nel
firmware di alcuni dei modelli del 201358.
Di conseguenza, chiunque avrebbe potuto
accedere da remoto al televisore entro un
determinato raggio.
La tendenza IoE dovrebbe costantemente
insegnare agli utenti che tutto ciò che può
accedere a Internet può essere violato.
Oltre alle automobili e ai televisori,
anche le lampadine smart si sono rivelate
suscettibili all’hacking dopo che un
ricercatore della sicurezza ha iniettato
uno script dannoso che ha emesso un
comando di interruzione di corrente
attraverso il relativo router59. Anche le
videocamere di sicurezza sono state
violate, non solo per disturbare gli utenti,
ma per trarne un profitto. Persino i DVR
potrebbero essere violati per registrare
i video delle videocamere di sicurezza,
come è stato dimostrato da un istruttore
del SANS Technology Institute all’inizio
di quest’anno60.
Benché gli attacchi a dispositivi “smart” o “connessi” non siano ancora la norma, riteniamo che i criminali
informatici stiano già sondando le possibilità di abuso offerte dal nuovo universo dei dispositivi connessi
e spesso non protetti. Quando una app killer emerge, gli aggressori saranno armati e pronti per sfruttarla,
proprio come avevano fatto con la piattaforma Android. Abbiamo già visto attacchi reali su DVR collegati alle
videocamere di controllo della sicurezza. Gli aggressori hanno tentato di utilizzarli per il mining dei Bitcoin e
l’evento non si è affidato a dispositivi infettati a caso, giacché le minacce informatiche in questione erano state
appositamente codificate per essere eseguite su processori ARM anche se questi erano alimentati a bassa
potenza e non erano realmente in grado di eseguire il compito richiesto alla crittografia per servizio pesante.
Abbiamo anche assistito a diversi attacchi mirati a compromettere i router domestici, poiché offrivano un
punto di osservazione particolarmente ben posizionato per gli attacchi MiTM (man-in-the-middle) contro
smartphone e tablet e negavano l’esigenza di infettare dispositivi individuali tramite il posizionamento diretto
delle minacce nel flusso di dati.
Sono anche stati osservati di recente attacchi PoC contro le soluzioni intelligenti di illuminazione domestica,
i sistemi di gestione delle auto elettriche e le smart TV. Sfortunatamente, la maggior parte di essi fa
affidamento sulla scarsa progettazione o sulle prassi di sicurezza inadeguate dei produttori anziché sulle
vulnerabilità a livello di codice del sistema operativo o delle interfacce soggiacenti.
È scoraggiante sapere che per immettere rapidamente sul mercato i prodotti, la sicurezza viene spesso
ancora vista dai fornitori nello spazio IoE emergente come un ripensamento. Dovremmo tutti avere ben
presente ciò che Bill Gates ha detto nella sua famosa e-mail “Trustworthy Computing” diretta a Microsoft e
alle sue affiliate 12 anni fa:
“D’ora in avanti, dobbiamo sviluppare tecnologie e criteri che consentano alle aziende di
gestire più efficacemente reti sempre più grandi di PC, server e altri dispositivi intelligenti
sapendo che i loro sistemi aziendali di importanza critica sono al sicuro. I sistemi dovranno
essere autogestiti e intrinsecamente resilienti. Dobbiamo prepararci subito al tipo di
software che consentirà di raggiungere questo risultato.”
Tutto questo non è mai stato vero e pertinente come oggi.
Rik Ferguson
Vicepresidente, Ricerca in materia di sicurezza
Appendice
Numero di indirizzi IP che inviano spam bloccati
da Trend Micro Smart Protection Network
2,5 mld.
5 mld.
4,2 mld.
3,7 mld.
5 mld.
0
GEN
FEB
MAR
Dalla fine dello scorso anno, non è cambiato di molto il numero di indirizzi IP che inviano spam bloccati da
Trend Micro Smart Protection Network.
Numero di siti dannosi a cui Trend Micro Smart Protection Network
ha bloccato l’accesso
150 mln.
284 mln.
258 mln.
284 mln.
300 mln.
0
GEN
FEB
MAR
Dalla fine dello scorso anno, non è cambiato di molto il numero di siti dannosi a cui Trend Micro Smart
Protection Network ha bloccato l’accesso. Tuttavia, a febbraio il numero è leggermente diminuito.
25 | Appendice
Numero di file dannosi bloccati da
GEN
FEB
827 mln.
733 mln.
500 mln.
785 mln.
1 mld.
0
MAR
Il numero di file dannosi bloccati da Trend Micro Smart Protection Network è leggermente aumentato
rispetto al trimestre precedente.
Numero totale di minacce bloccate da
6,13 mld.
5,19 mld.
4 mld.
4,79 mld.
8 mld.
0
GEN
FEB
MAR
A gennaio Trend Micro Smart Protection Network ha bloccato 2 miliardi di minacce in meno rispetto a
dicembre 2013. Tuttavia, il numero totale di minacce bloccate è costantemente aumentato dal 2013 al 2014.
26 | Appendice
Livello di rilevamento complessivo
1.250
/s
2.287/s
2.145/s
1.787/s
2.500
/s
0
GEN
FEB
MAR
Non sono stati registrati cambiamenti significativi del numero di minacce al secondo bloccate da
Trend Micro Smart Protection Network rispetto al trimestre precedente.
Le prime 3 minacce informatiche
NOME RILEVAMENTO
VOLUME
ADW_NEXTLIVE
487.000
ADW_OPENCANDY
394.000
ADW_SENSAVE
390.000
In questo trimestre le prime 3 minacce informatiche sono state tutte adware, il cui numero totale
è aumentato rispetto all’ultimo trimestre.
27 | Appendice
Le prime 3 minacce informatiche per segmento
SEGMENTO
Aziende
di grandi
dimensioni
SMB
Consumer
NOME RILEVAMENTO
WORM_DOWNAD.AD
ADW_OPENCANDY
ADW_NEXTLIVE
WORM_DOWNAD.AD
ADW_SENSAVE
ADW_MONTIERA
ADW_NEXTLIVE
ADW_OPENCANDY
ADW_SENSAVE
VOLUME
69.000
25.000
25.000
28.000
12.000
12.000
266.000
240.000
234.000
Il numero di minacce informatiche che prende di mira le aziende di grandi dimensioni e le piccole e medie
imprese (SMB) è diminuito rispetto al trimestre precedente. Al contempo, il numero di minacce informatiche
che prende di mira i consumatori è notevolmente aumentato. Conficker/DOWNAD ha continuato a
rappresentare una minaccia per le aziende di grandi dimensioni, probabilmente a causa del numero elevato
di sistemi su cui è ancora in esecuzione Windows XP, vulnerabile a questa minaccia.
Primi 10 domini dannosi a cui Trend Micro Smart
Protection Network ha bloccato l’accesso
DOMINIO
MOTIVO PER IL BLOCCO DELL’ACCESSO
ads . alpha00001 . com
Segnalato come server C&C reindirizzava gli utenti
a enterfactory . com, un altro sito dannoso
ody . cc
Legato a script e siti sospetti che fornivano l’hosting
a BKDR_HPGN.B-CN
optproweb . info
Legato a un file dannoso
interyield . jmp9 . com
Noto per attività di spamming legate all’adware
sp-storage . spccint . com
Noto per eseguire lo scaricamento di file dannosi
adsgangsta . com
Legato agli attacchi delle minacce informatiche
e con record dannosi
fistristy . com
Noto per eseguire lo scaricamento di minacce
informatiche
advconversion . com
Noto per le attività di spamming
namnamtech . com
Noto per eseguire lo scaricamento di minacce
informatiche
extremlymtorrents . com
Legato agli URL di spam e ai siti parked
Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi
citati sopra rispetto al trimestre precedente.
28 | Appendice
Primi 10 URL dannosi
per paese di origine
PAESE
Paesi con il maggior numero di utenti
che accedono a collegamenti dannosi
QUOTA
PAESE
QUOTA
Stati Uniti
22%
Stati Uniti
34%
Francia
3%
Giappone
17%
Paesi Bassi
3%
Taiwan
4%
Giappone
3%
Cina
4%
Germania
2%
Francia
3%
Cina
2%
Australia
3%
Corea del Sud
2%
Germania
3%
Regno Unito
2%
India
3%
Russia
2%
Corea del Sud
3%
Canada
1%
Russia
3%
Altri
58%
Altri
23%
Quasi tutti i paesi degli utenti che hanno
cliccato su collegamenti dannosi nello scorso
trimestre sono ancora presenti nell’elenco
qui sopra.
In questo trimestre, gli Stati Uniti hanno
registrato il maggior numero di utenti che
accedono a collegamenti dannosi.
Lingue maggiormente usate per lo spam
Inglese
93,98%
Tedesco
1,13%
Giapponese
1,11%
Cinese
0,65%
Russo
0,58%
Portoghese
0,12%
Spagnolo
0,11%
Islandese
0,06%
Francese
0,06%
Turco
0,04%
Altri
2,16%
In questo trimestre non sono stati registrati cambiamenti significativi delle lingue maggiormente usate
per lo spam.
29 | Appendice
Paesi principali da cui partono gli attacchi spam
Spagna
10%
Stati Uniti
9%
Argentina
6%
Italia
6%
Germania
5%
Colombia
4%
Iran
4%
India
4%
Messico
4%
Romania
3%
Altri
45%
In questo trimestre non sono stati registrati cambiamenti significativi nell’elenco dei principali paesi da cui
partono gli attacchi spam.
Numero di server C&C botnet rilevati ogni mese
15.000
GEN
16.000
FEB
34.000
MAR
0
20.000
40.000
Il numero di server C&C botnet è aumentato nel primo trimestre rispetto ai trimestri precedenti, soprattutto
a causa dell’aumento registrato a marzo. I livelli relativi al resto del trimestre sono invariati rispetto a quelli
dei mesi precedenti.
30 | Appendice
Numero di connessioni botnet rilevate ogni mese
20 mln.
GEN
23 mln.
FEB
19 mln.
MAR
0
15 mln.
30 mln.
Il numero di connessioni botnet rilevate ogni mese è diminuito rispetto all’ultimo trimestre.
Paesi con il maggior numero di server C&C botnet
10.600
12.100
14.000
Paesi
Bassi
India
600
Cina
600
1.00
Russia
800
1.400
Germania
1.100
1.700
1.900
7.000
0
Regno
Unito
Stati
Uniti
Ucraina
Taiwan
Australia
La Corea del Sud ha perso posizioni nell’elenco dei paesi con il maggior numero di server C&C in questo
semestre.
31 | Appendice
Bibliografia
[1] Trend Micro Incorporated. (2013). “Cashing in on Digital Information: An Onslaught of Online
Banking Malware and Ransomware.” Ultimo accesso 14 aprile 2014, http://www.trendmicro.com/
cloud-content/us/pdfs/security-intelligence/reports/rpt-cashing-in-on-digital-information.pdf.
[2] Carter Dougherty e Grace Huang. Bloomberg. (1 marzo 2014). “MtGox Seeks Bankruptcy After $480
Million Bitcoin Loss.” Ultimo accesso 15 aprile 2014, http://www.bloomberg.com/news/2014-0228/mt-gox-exchange-files-for-bankruptcy.html.
[3] Trend Micro Incorporated. (2014). “Point-of-Sale System Breaches: Threats to the Retail and
Hospitality Industries.” Ultimo accesso 16 aprile 2014, http://www.trendmicro.com/cloud-content/
us/pdfs/security-intelligence/white-papers/wp-pos-system-breaches.pdf.
[4] Hadley Malcolm. (10 gennaio 2014). USA Today News. “Target: Data Stolen from Up to
70 Million Customers.” Ultimo accesso 15 aprile 2014, http://www.usatoday.com/story/money/
business/2014/01/10/target-customers-data-breach/4404467/.
[5] Rhena Inocencio. (24 marzo 2014). TrendLabs Security Intelligence Blog. “Ransomware and Bitcoin
Theft Combine in BitCrypt.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/ransomware-and-bitcoin-theft-combine-in-bitcrypt/.
[6] Russell Brandom. (26 febbraio 2014). The Verge. “Who Stole $400 Million from MtGox?” Ultimo
accesso 15 aprile 2014, http://www.theverge.com/2014/2/26/5450206/who-stole-400-millionfrom-mt-gox.
[7] Flexcoin. (3 marzo 2014). “Flexcoin Is Shutting Down.” Ultimo accesso 28 aprile 2014,
http://flexcoin.com/.
[8] Cyrus Farivar. (14 febbraio 2014). Ars Technica. “New Silk Road Hit with $2.6-Million Heist Due to
Known Bitcoin Flaw.” Ultimo accesso 28 aprile 2014, http://arstechnica.com/security/2014/02/
new-silk-road-hit-with-2-6-million-heist-due-to-known-bitcoin-flaw/.
[9] Simple Machines. (2014). Bitcoin Forum. “BTC Stolen from Poloniex.” Ultimo accesso 28 aprile 2014,
https://bitcointalk.org/index.php?topic=499580.
[10] Anthony Volastro. (23 gennaio 2014). CNBC. “CNBC Explains: How to Mine Bitcoins on Your
Own.” Ultimo accesso 15 aprile 2014, http://www.cnbc.com/id/101332124.
[11] Trend Micro Incorporated. (27 novembre 2013). Trend Micro Simply Security Blog. “CryptoLocker
Evolves with New Monetization Schemes.” Ultimo accesso 22 aprile 2014, http://blog.trendmicro.
com/cryptolocker-evolves-new-monetization-schemes/.
[12] Trend Micro Incorporated. (19 marzo 2014). TrendLabs Security Intelligence Blog. “New BlackOS
Software Package Sold in Underground Forums.” Ultimo accesso 15 aprile 2014,
http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackos-software-package-sold-inunderground-forums/.
[13] Anthony Joe Melgarejo. (7 gennaio 2014). TrendLabs Security Intelligence Blog. “64-bit ZBOT Leverages
Tor, Improves Evasion Techniques.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/64-bit-zbot-leverages-tor-improves-evasion-techniques/.
[14] Mark Joseph Manahan. (16 gennaio 2014). TrendLabs Security Intelligence Blog. “BANLOAD Limits
Targets via Security Plug-In.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/banload-limits-targets-via-security-plugin/.
[15] Fernando Mercês. (27 gennaio 2014). TrendLabs Security Intelligence Blog. “A Look into CPL Malware.”
Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/a-lookinto-cpl-malware/.
[16] Rika Joi Gregorio. (28 febbraio 2014). TrendLabs Security Intelligence Blog. “ZeuS Downloader Runs
in January, Crashes Rest of the Year.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/zeus-downloader-runs-in-january-crashes-rest-of-the-year/.
[17] Dr. N. Jamaludddin. (Novembre 2013). “E-Banking: Challenges and Opportunities in India.”
Ultimo accesso 24 aprile 2014, http://www.wbiworldconpro.com/uploads/melbourne-conference2013-november/banking/1384600741_607-Jamal.pdf.
[18] Somasroy Chakraborty. (12 aprile 2013). Business Standard. “Mobile Banking Transactions Double,
Payments Rise Threefold.” Ultimo accesso 24 aprile 2014, http://www.business-standard.com/
article/finance/mobile-banking-transactions-double-payments-rise-threefold-113041100353_1.html.
[19] Greater Pacific. (Marzo 2013). Greater Pacific Capital. “The Indian Diaspora: A Unique Untapped
Global Asset for India.” Ultimo accesso 24 aprile 2014, http://greaterpacificcapital.com/
march-2013/.
[20] Ilja Lebedev. (21 febbraio 2014). TrendLabs Security Intelligence Blog. “Ransomware ‘Goes Local’
in Europe.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/ransomware-goes-local-in-europe/.
[21] David Sancho e Feike Hacquebord. (2012). “The ‘Police Trojan’: An In-Depth Analysis.” Ultimo
accesso 15 aprile 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/
white-papers/wp_police_trojan.pdf.
[22] Vincenzo Ciancaglini. (8 novembre 2013). TrendLabs Security Intelligence Blog. “The Boys Are Back
in Town: Deep Web Marketplaces Back Online.” Ultimo accesso 22 aprile 2014, http://blog.
trendmicro.com/trendlabs-security-intelligence/the-boys-are-back-in-town-deep-web-marketplacesback-online/.
[23] Alvin John Nieto. (27 marzo 2014). TrendLabs Security Intelligence Blog. “Word and Excel Files Infected
Using Windows PowerShell.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/word-and-excel-files-infected-using-windows-powershell/.
[24] Abigail Pichel. (25 marzo 2014). TrendLabs Security Intelligence Blog. “Microsoft Word Zero-Day
Spotted in the Wild.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/microsoft-word-zero-day-spotted-in-the-wild/.
[25] Pavithra Hanchagaia. (23 febbraio 2014). TrendLabs Security Intelligence Blog. “New Adobe Flash Player
Zero-Day Exploit Leads to PlugX.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/new-adobe-flash-player-zero-day-exploit-leads-to-plugx/.
[26] Jonathan Leopando. (14 febbraio 2014). TrendLabs Security Intelligence Blog. “New IE Zero-Day
Targets IE9 and IE10.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/new-ie-zero-day-targets-ie9-and-ie10/.
[27] Pawan Kinger. (31 marzo 2014). TrendLabs Security Intelligence Blog. “Managing Windows XP’s Risks
in a Post-Support World.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/managing-windows-xps-risks-in-a-post-support-world/.
[28] Trend Micro Incorporated. (Marzo 2013). Threat Encyclopedia. “Managing Your Legacy Operating
Systems: What Will Life Be Like After Windows XP?” Ultimo accesso 22 aprile 2014,
http://about-threats.trendmicro.com/ent-primers/#managing_your_legacy_systems.
[29] David Sancho. (7 aprile 2014). TrendLabs Security Intelligence Blog. “Windows XP Support Ending—
Now What?” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/windows-xp-support-ending-now-what/.
[30] Lion Gu. (2014). “The Mobile Cybercriminal Underground Market in China.” Ultimo accesso
17 aprile 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp-the-mobile-cybercriminal-underground-market-in-china.pdf.
[31] Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_DENDROID.HBT.”
Ultimo accesso 16 aprile 2014, http://about-threats.trendmicro.com/it/malware/ANDROIDOS_
DENDROID.HBT.
[32] Abigail Pichel. (26 marzo 2014). TrendLabs Security Intelligence Blog. “Mobile Malware and High-Risk
Apps Reach 2M Mark, Go for ‘Firsts.’” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/mobile-malware-and-high-risk-apps-reach-2m-mark-go-for-firsts/.
[33] Veo Zhang. (18 febbraio 2014). TrendLabs Security Intelligence Blog. “Flappy Bird and Third-Party App
Stores.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/
flappy-bird-and-third-party-app-stores/.
[34] Trend Micro Incorporated. (11 novembre 2013). TrendLabs Security Intelligence Blog. “3Q Security
Roundup: The Invisible Web, 1 Million Mobile Malware Highlight Quarter.” Ultimo accesso
15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/3q-security-roundupthe-invisible-web-1-million-mobile-malware-highlight-quarter/.
[35] Ina Fried. (13 novembre 2014). All Things D. “AT&T, Sprint, T-Mobile, Verizon Dropping Most
Premium Text Service Billing in Effort to Combat Fraud.” Ultimo accesso 15 aprile 2014,
http://allthingsd.com/20131121/att-sprint-t-mobile-verizon-all-dropping-most-premium-textservice-billing-in-effort-to-combat-fraud/.
[36] Veo Zhang. (23 marzo 2014). TrendLabs Security Intelligence Blog. “New Android Bug Causes
‘Bricked’ Devices.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/new-android-bug-causes-bricked-devices/.
[37] Weichao Sun. (20 marzo 2014). TrendLabs Security Intelligence Blog. “Android Custom Permissions
Leak User Data.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/android-custom-permissions-leak-user-data/.
[38] Apple Inc. (2013). Apple. “About the Security Content of iOS 7.0.6.” Ultimo accesso 15 aprile 2014,
http://support.apple.com/kb/HT6147.
[39] Trend Micro Incorporated. (2013). Threat Encyclopedia. “Cybercriminals Unleash Bitcoin-Mining
Malware.” Ultimo accesso 15 aprile 2014, http://about-threats.trendmicro.com/it/webattack/93/
Cybercriminals+Unleash+BitcoinMining+Malware.
[40] Veo Zhang. (25 marzo 2014). TrendLabs Security Intelligence Blog. “Mobile Malware Mines Dogecoins
and Litecoins for Bitcoin Payout.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/mobile-malware-mines-dogecoins-and-litecoins-for-bitcoin-payout/.
[41] Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_TORBOT.A.” Ultimo
accesso 16 aprile 2014, http://about-threats.trendmicro.com/it/malware/ANDROIDOS_
TORBOT.A.
[42] Trend Micro Incorporated. (2014). Threat Encyclopedia. “Mobile Malware: 10 Terrible Years.”
Ultimo accesso 23 aprile 2014, http://about-threats.trendmicro.com/us/mobile/monthly-mobilereview/2014-03-mobile-malware-10-terrible-years.
[43] Trend Micro Incorporated. (2014). Threat Encyclopedia. “12 Most Abused Android Permissions.”
Ultimo accesso 23 aprile 2014, http://about-threats.trendmicro.com/us/library/image-gallery/
12-most-abused-android-app-permissions.
[44] Gregory Wallace. (5 marzo 2014). CNN Money. “Timeline: Retail Cyber Attacks Hit Millions.”
Ultimo accesso 15 aprile 2014, http://money.cnn.com/2014/02/11/news/companies/retailbreach-timeline/.
[45] David Sancho. (16 febbraio 2014). TrendLabs Security Intelligence Blog. “Hitting the Data Jackpot.”
Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/
hitting-the-data-jackpot/.
[46] Thomson Reuters. (10 aprile 2014). Reuters. “Hackers Steal South Korean Credit Card Data to Aid
Forgeries.” Ultimo accesso 17 aprile 2014, http://www.reuters.com/article/2014/04/11/us-koreacybercrime-idUSBREA3A09820140411.
[47] Trend Micro Incorporated. (2014). “Point-of-Sale System Breaches: Threats to the Retail and
Hospitality Industries.” Ultimo accesso 17 aprile 2014, http://www.trendmicro.com/cloud-content/
us/pdfs/security-intelligence/white-papers/wp-pos-system-breaches.pdf.
[48] Ben April. (21 gennaio 2014). TrendLabs Security Intelligence Blog. “A Free Solution for DDoS
Reflection Attacks: A Decade in Waiting.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.
com/trendlabs-security-intelligence/a-free-solution-for-ddos-reflection-attacks-a-decade-inwaiting/.
[49] Network Working Group. (2000). “Network Ingress Filtering: Defeating Denial-of-Service Attacks
Which Employ IP Source Address Spoofing.” Ultimo accesso 15 aprile 2014, http://tools.ietf.org/
html/bcp38.
[50] Maharlito Aquino. (6 marzo 2014). TrendLabs Security Intelligence Blog. “The Siesta Campaign: A New
Targeted Attack Campaign.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/.
[51] Nicole Perlroth e Jenna Wortham. (2 gennaio 2014). New York Times. “Snapchat Breach Exposes
Weak Security.” Ultimo accesso 15 aprile 2014, http://bits.blogs.nytimes.com/2014/01/02/
snapchat-breach-exposes-weak-security/.
[52] Team Snapchat. (9 gennaio 2014). Snapchat Blog. “Find Friends Improvements.” Ultimo accesso
15 aprile 2014, http://blog.snapchat.com/post/72768002320/find-friends-improvements.
[53] Paul Pajares. (30 gennaio 2014). TrendLabs Security Intelligence Blog. “Does the Twitter Follower Scam
Actually Work?” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/does-the-twitter-follower-scam-actually-work/.
[54] Rika Joi Gregorio. (17 marzo 2014). TrendLabs Security Intelligence Blog. “Malaysia Airlines Flight 370
News Used to Spread Online Threats.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/
trendlabs-security-intelligence/malaysia-airlines-flight-370-news-used-to-spread-online-threats/.
[55] Michael Casayuran. (14 marzo 2014). TrendLabs Security Intelligence Blog. “Grand Theft Auto V PC
Beta Test Lures Victims.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/grand-theft-auto-v-pc-beta-test-lures-victims/.
[56] Michael Casayuran. (25 febbraio 2014). TrendLabs Security Intelligence Blog. “WhatsApp Desktop Client
Doesn’t Exist, Used in Spam Attack Anyway.” Ultimo accesso 15 aprile 2014,
http://blog.trendmicro.com/trendlabs-security-intelligence/whatsapp-desktop-client-doesnt-existused-in-spam-attack-anyway/.
[57] Nitesh Dhanjani. (28 marzo 2014). “Cursory Evaluation of the Tesla Model S: We Can’t Protect
Our Cars Like We Protect Our Workstation.” Ultimo accesso 15 aprile 2014,
http://www.dhanjani.com/blog/2014/03/curosry-evaluation-of-the-tesla-model-s-we-cant-protectour-cars-like-we-protect-our-workstations.html.
[58] Richard Chirgwin. (2 aprile 2014). The Register. “SmartTV, Dumb Vuln: Philips Hardcodes Miracast
Passwords.” Ultimo accesso 15 aprile 2014, http://www.theregister.co.uk/2014/04/02/smarttv_
dumb_vuln_philips_hardcodes_miracast_passwords/.
[59] Sal Cangeloso. (15 agosto 2013). Extreme Tech. “Philips Hue LED Smart Lights Hacked, Home
Blacked Out by Security Researcher.” Ultimo accesso 15 aprile 2014, http://www.extremetech.com/
electronics/163972-philips-hue-led-smart-lights-hacked-whole-homes-blacked-out-by-securityresearcher.
[60] Robert McMillan. (1 aprile 2014). Wired. “Hackers Turn Security Camera DVRs into Worst Bitcoin
Miners Ever.” Ultimo accesso 15 aprile 2014, http://www.wired.com/2014/04/hikvision/.
Realizzato da:
Supporto tecnico globale e ricerca e sviluppo di TREND MICRO
DECLINAZIONE DI RESPONSABILITÀ TREND MICRO
Le informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite
e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non essere
applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non devono
essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da un’adeguata
consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere interpretate
diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento senza preavviso.
La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto.
L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione,
fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non è
vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione.
Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate, Trend Micro
non rilascia alcuna garanzia o dichiarazione di qualsiasi tipo in relazione all’accuratezza, alla validità corrente o alla completezza delle
informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto a proprio rischio.
Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali terzi coinvolti
nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo di conseguenza,
perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali di qualsiasi tipo
derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori o omissioni nel contenuto del
presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come sono”.
Trend Micro Incorporated, leader globale di software e soluzioni di
protezione, vuole rendere il mondo sicuro per lo scambio di informazioni
digitali. Per ulteriori informazioni, visitare il sito www.trendmicro.com.
©2014 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro
e il logo Trend Micro della sfera con il disegno di una T sono marchi
o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di
prodotti o società potrebbero essere marchi o marchi registrati dei
rispettivi proprietari.

La criminalità informatica colpisce obiettivi inattesi

Transcript

Documenti analoghi

Documento riepilogativo Int 1 e 2 Via Bari 7

Al comunicato ai media Hippie Chic

Scarica scheda tecnica PDF

Pubblicità dannose e minacce zero-day: il riemergere

Micro PC - Hannspree

case history sloggi - Kiosko - Servizi per le Agenzie di Pubblicità

FINALE DI POTENZA A STATO SOLIDO MC - Hi

Passione e oltre - Gremese Editore

Artemide - Tolomeo Terra Micro

FERTI MICRO MIX DI MICROELEMENTI IN FORMA

CRIPTOVALUTE E BITCOIN: PROFILI GIURIDICI.