Transcript Rapporto sulla sicurezza per il 2014

Rapporto sulla sicurezza per il 2014
Malware più intelligente, più insidioso
e più difficile da individuare
Rapporto sulla sicurezza per il 2014
Indice dei contenuti
1
14
Prefazione
Malware Web: più sofisticato, diversificato e invisibile
2
ÌÌ Kit di exploit: Blackhole perde terreno a favore di
modelli più avanzati................................................................................15
ÌÌ Zbot si diffonde in tutto il mondo......................................................16
ÌÌ Consigli pratici per la protezione di Web server e client..........17
Introduzione: L'evoluzione del malware nel 2013
4
Le botnet crescono e diventano
più difficili da individuare
ÌÌ Il trend di ZeroAccess nel 2013: scalfito dal sinkholing,
ma in rapida ripresa.................................................................................. 5
ÌÌ Rilevamenti di ZeroAccess per paese................................................6
ÌÌ Mining di bitcoin tramite botnet...........................................................6
18
Minacce mirate ai conti bancari
20
Windows: rischio sempre più elevato
per i sistemi privi di patch
7
22
Malware Android: in evoluzione e
sempre più intelligente
Lo spam si reinventa
ÌÌ I più diffusi rilevamenti di malware, ottobre 2013........................ 8
ÌÌ La struttura di un dispositivo mobile violato: come fanno
gli hacker a generare utile con il vostro smartphone..................9
10
Linux: una tecnologia importantissima
e molto allettante per i criminali
12
ÌÌ Allegati spam, giugno 2013: un carico di problemi....................23
24
SophosLabs: un passo avanti rispetto ai più
sofisticati attacchi in azione al giorno d'oggi
26
I trend che ci riserva il 2014
Mac OS X: un anno di tanti piccoli attacchi
29
ÌÌ 4 semplici modi per proteggere i Mac.............................................13
Un'ultima parola
ÌÌ Bibliografia................................................................................................ 30
Per le risorse e i tool citati nel report, visitare:
sophos.com/threatreport
Rapporto sulla sicurezza per il 2014
Rapporto sulla sicurezza per il 2014
Prefazione
Analizzando il trend in tema di sicurezza e il panorama delle minacce in circolazione nel
2013, emerge la crescente abilità degli autori di malware di mascherare i propri attacchi.
La vasta diffusione di avanzatissime botnet e codici sorgenti di kit di exploit consentono
agli autori di malware di creare attacchi sempre più innovativi e diversificati.
I criminali informatici hanno cominciato a sfruttare il
Web marketing per promuovere e vendere i propri servizi
sul mercato nero. Nel 2012, il kit di exploit Blackhole ha
conquistato nuove vette. Ma nel 2013 Blackhole è stato
surclassato da diversi kit di exploit da esso derivati e
contenenti parte del suo codice. Le loro botnet sono state la
causa di un rapido incremento degli attacchi di ransomware,
con Cryptolocker in cima alla classifica.
Non possiamo più dare per scontato la sicurezza di tali
sistemi. Gli incidenti e gli attacchi che hanno colpito questi
sistemi di controllo e infrastrutture di rete dimostrano la
presenza di vulnerabilità nella nostra società. Nell'anno
venturo, i sistemi che si basano su infrastrutture smart grid
potrebbero diventare un bersaglio per i cybercriminali.
La sempre maggiore diffusione dell'“Internet of Things” (ad
es. dispositivi mobili, applicazioni, social network e gadget e
dispositivi interconnessi) rende il panorama delle minacce un
bersaglio mobile. Emergono nuove minacce, con la diffusione
di tecnologie quali la near field communications (NFC) e la
loro integrazione nelle piattaforme mobili. L'uso moderno dei
servizi GPS per connettere le nostre vite reali a quelle digitali
fornisce ai cybercriminali nuove opportunità per violare la
nostra sicurezza e privacy.
Il malware moderno conta sull'invisibilità. Le Advanced
Persistent Threat (APT), uno dei più gravi esempi di minacce
con mascheramento, colpiscono individui precisi, aziende,
governi e i loro dati. Le APT sono un'arma molto sofisticata da
sfoderare durante gli attacchi mirati del cyberspazio. La fuga
dei dati — incluso spionaggio ed esposizione dei dati aziendali
— è stato uno dei problemi principali nell'anno appena
trascorso.
Questi sistemi possono essere vulnerabili agli attacchi e
hanno un impatto molto personale su tutti noi. Nel 2014
dovremo cominciare a tenere d'occhio non solo l'evoluzione
degli attacchi attuali, bensì anche l'emergere di nuove
minacce mai affrontate prima.
Nel 2013, gli attacchi APT si sono rivelati ben organizzati e
finanziati. Sono stati realizzati da individui altamente motivati
e dotati di competenze tecniche di vario genere molto
avanzate. Anche dopo aver completato la missione, le APT
non si fermano, e continuano a raccogliere altre informazioni.
Difendersi dall'oscura e persistente natura delle APT è
un'impresa ardua, e richiede un approccio coordinato sia a
livello di sistemi che di rete.
Cordiali saluti,
La sicurezza non è più un optional, ma un must. Aziende e
governi che esprimono ragionevoli dubbi sulla privacy e sulla
protezione dei dati di natura sensibile devono ora essere
ancora più attenti alle problematiche relative a questioni di
sicurezza che possono sorgere da sistemi e infrastrutture
critiche. Quando ci troviamo su un aereo, effettuiamo un
prelievo da un bancomat, o quando siamo sicuri di poter
contare sulla costante disponibilità di acqua ed elettricità...
Gerhard Eschelbeck
CTO, Sophos
1
Rapporto sulla sicurezza per il 2014
Introduzione: L'evoluzione del
malware nel 2013
Dal nostro ultimo Rapporto sulla sicurezza, il malware e le relative minacce IT sono
cresciute e maturate, e chi sviluppa e diffonde codice e siti malevoli è diventato ancor più
creativo nel camuffare i propri misfatti.
Nel 2013, le innovazioni apportate a botnet e kit di exploit,
un tempo riservate solamente a rari casi di malware molto
avanzato, sono diventate più prolifiche, in quanto gli autori
di malware hanno fatto tesoro dell'esperienza dei propri
predecessori, riciclandone il codice sorgente. I cybercriminali
sono diventati più abili a eludere l'identificazione, affidandosi
sempre di più alla cifratura e inserendo i propri server nelle
darknet — aree anonime e riservate di Internet, realizzate per
evadere i controlli.
Se da un lato gli utenti continuano a prestare più attenzione a
dispositivi mobili e servizi Web, è anche vero che gli autori di
malware non sono da meno. Quest'anno gli attacchi rivolti ad
Android hanno denotato maggiore complessità e maturità, e
attacchi ben camuffati come Darkleech hanno messo migliaia
di server Web nelle mani dei malintenzionati. Nel frattempo,
a partire dall’8 aprile 2014, gli utenti con versioni legacy
di Windows si stanno preparando ad affrontare gli ultimi
aggiornamenti di sicurezza per Windows XP e Office 2003 — e
ci si chiede quali pericolosi attacchi “zero-day-forever” ne
possano conseguire.
2
Rapporto sulla sicurezza per il 2014
Sophos, come altri vendor nel settore della sicurezza, ha
osservato una crescita del numero delle minacce rivolte ad
aziende, industrie ed enti governativi specifici. In taluni casi,
le minacce che colpiscono conti e transazioni bancarie —
un fenomeno che in passato si era riscontrato solamente
nell'Europa orientale — hanno cominciato a essere più diffuse.
Fortunatamente, come dimostrano le statistiche, non ci
sono solo cattive notizie. Il presunto autore del kit di exploit
Blackhole — uno dei flagelli internazionali del 2012 — è stato
arrestato ad ottobre: ciò costituisce una prova concreta dei
progressi fatti nel consegnare alla giustizia le organizzazioni
di cybercriminali. Anche Google ha compiuto grandi passi
avanti nel 2013 per quanto riguarda la protezione delle
piattaforme Android dal punto di vista tecnico, imponendo
regole più severe per limitare diverse app potenzialmente
indesiderate.
Alcune minacce sono cicliche, e ritornano in azione dopo
essere scomparse per anni. Si è ad esempio notato il ritorno
delle e-mail di spam delle truffe azionarie "pump-and-dump",
che erano state quasi completamente eliminate dall'U.S.
Securities and Exchange Commission diversi anni fa.
Nel frattempo, i nostri esperti che operano all’interno dei
SophosLabs, i centri di ricerca internazionali, stanno mettendo
a punto nuovi importanti approcci in fase di rilevamento e
correzione, sfruttando le più potenti tecnologie cloud e big
data in circolazione.
Nel 2013 è anche emersa una nuova e insidiosissima
versione di ransomware chiamata Cryptolocker. Anche se
il ransomware ha fatto la sua comparsa quasi un quarto di
secolo fa, l'ultima versione sfrutta una cifratura molto potente
che rende inaccessibili i file degli utenti al fine di estorcere
denaro.
Sia che siate un'azienda di grandi o piccole dimensioni, una
scuola o un ente governativo, oppure un singolo utente, la
nostra battaglia comune contro il malware continua. Proprio
come il nostro impegno a fornirvi tutte le armi e la protezione
che vi serve.
3
Rapporto sulla sicurezza per il 2014
Le botnet crescono e diventano più
difficili da individuare
Negli ultimi 12 mesi le botnet sono diventate sempre più diffuse, difficili da sconfiggere e
nascoste — e sembrano anche riuscire a trovare nuovi pericolosissimi bersagli.
Le botnet sono più difficili da sconfiggere
Al giorno d'oggi le botnet integrano diverse modalità di backup di comando e controllo. Ad esempio, se un client infettato
da una botnet come Gameover non riesce a connettersi
agli indirizzi di altri computer infetti della rete, esegue
un algoritmo incorporato di "generazione di domini". Se
l'algoritmo identifica anche solo uno dei server di C&C appena
creati, il client può riprendere il suo ruolo attivo all'interno
della botnet2.
Il codice sorgente delle botnet solitamente viene protetto
dai proprietari. Anche quando i cybercriminali decidono di
rinunciare alla gestione delle botnet, ne rivendono il codice a
prezzi molto elevati. Ma negli ultimi anni si è notata la fuga dei
codici sorgente di botnet operative. Ciò ha consentito ai nuovi
cybercriminali di creare così botnet diverse, che si sono poi
evolute nuovamente in modi che persino gli autori iniziali non
avrebbero mai potuto immaginare.
Ad esempio, qualche anno fa la fuga del codice sorgente
di Zeus ha dato origine allo sviluppo di Gameover, che
sostituisce il tradizionale link di comando e controllo (C&C)
di Zeus con un'interfaccia di rete peer-to-peer composta
da dispositivi infetti. Gameover ha aggiunto meccanismi di
comunicazione di back-up; ha esteso l'uso della cifratura; e ha
concesso ai botmaster maggiore flessibilità per l'impostazione
delle regole di comportamento delle botnet, come ad es. la
capacità di partecipare in attacchi diffusi di DDoS (denial-ofservice distribuito)1.
Gli operatori delle botnet sono ora anche più rapidi ed abili
quando si tratta di rispondere alle contromisure in atto.
Un'azienda antivirus è riuscita ad assumere il controllo di
una parte della botnet ZeroAccess, reindirizzando il traffico
proveniente da 500.000 client infetti su un server controllato
dall'azienda stessa (un'operazione nota come sinkholing)3.
Con l'aiuto delle reti affiliate, la risposta dei proprietari
della botnet è stata quella di incrementare rapidamente il
numero di nuovi dropper contenuti nei client. Nel giro di poche
settimane, sono riusciti a sostituire tutti i client persi — con
nuove versioni che si sono rivelate resistenti alla contromisura
originale.
4
Rapporto sulla sicurezza per il 2014
Per saperne di più
Botnet: Il lato oscuro del cloud
computing
Ransomware: l'hijacking dei dati
Backchannel e bitcoin: le
comunicazioni segrete di comando
e controllo di ZeroAccess
Le botnet inviano ransomware sempre più pericoloso
Siccome gli utenti sono sempre più consci delle truffe relative
a falsi allarmi e fake antivirus, vi sono ora sempre più botnet
che inviano ransomware. Gli utenti devono ora affrontare
assurde richieste di pagamento per poter ripristinare
l'accesso ai propri dati.
Cryptolocker in azione
Le botnet che diffondono malware bancario
sembrano essere in aumento
Il codice sorgente di Carberp, un kit botnet mirato al prelievo
di credenziali e dati bancari e adoperato per il furto di oltre
$250 milioni da varie istituzioni finanziarie e relativi clienti, è
stato violato verso la metà del 20136. Un tempo concentrato
in Russia, recentemente si sono notate tracce dell'attività di
Carberp in tutto il mondo, con alcuni elementi riscontrabili
anche in altre botnet. Alcuni esempi sono i codici basati su
Power Loader, che includono alcune delle più sofisticate
tecniche sinora create per eludere il rilevamento e inviare il
malware a un computer7.
Il più pericoloso e diffuso esempio attualmente in circolazione
è probabilmente Cryptolocker. Questo ransomware si
aggiunge alla lista dei programmi Windows eseguiti all'avvio.
Rintraccia un server infetto, carica un file ID sul computer,
recupera una chiave pubblica dal server (che contiene una
chiave privata corrispondente) e cifra tutti i dati e i file di
immagine che trova sul computer.
Nel frattempo, nel Regno Unito e nell'Europa continentale,
molti utenti si sono recentemente imbattuti in Shylock/
Caphaw: malware finanziario inviato da botnet, che colpisce
i clienti di diverse istituzioni bancarie internazionali, da
Barclays e Bank of America, fino a Capital One, Citi Private
Bank e Wells Fargo8.
Una volta cifrati dai cybercriminali, l'unico modo per
recuperare i dati è utilizzare la chiave privata archiviata sul
loro server — ottenibile solamente in seguito al pagamento di
un riscatto ai criminali (un'azione che sconsigliamo)4.
Anche se talvolta Cryptolocker viene inviato tramite spam
e-mail, spesso proviene da botnet dalle quali si è già stati
infettati. In questi casi, le bot non fanno altro che rispondere
a un comando di upgrade che consente ai criminali di
aggiornare, sostituire o aggiungere altri elementi al malware
già inviato al vostro PC — e voi non ve ne renderete conto fino
a quando non è troppo tardi5.
Numero di campioni
Il trend di ZeroAccess nel 2013: scalfito dal sinkholing, ma in rapida ripresa
Il sinkholing, realizzato da
aziende che forniscono
antivirus, ha drasticamente
ridotto il numero di endpoint
infettati da ZeroAccess
rilevati da Sophos nei mesi
di luglio e agosto 2013. Ma
i proprietari di ZeroAccess
hanno risposto in maniera
aggressiva, e a settembre si
è rilevato un numero molto
più alto di endpoint infetti.
Fonte: SophosLabs
Gen
Feb
Mar
Apr
5
Mag
Giu
Lug
Ago
Set
Ott
Rapporto sulla sicurezza per il 2014
Le botnet sono più elusive
In alcune botnet, il primo indirizzo di controllo C&C a cui il
client infetto cerca di connettersi non appartiene alla botnet:
si tratta invece di un dominio legittimo (ma violato) che non
può essere bloccato in maniera convenzionale.
Le botnet si affidano sempre di più alle “darknet”
Le botnet sfruttano sempre di più le reti nascoste, come
ad es. Tor, che sono realizzate per eludere i controlli9. Tor è
diventata famosa per essere una risorsa chiave sfruttata da
Wikileaks e altri per proteggere i propri informatori; ha anche
svolto la funzione di host del mercato nero on-line Silk Road,
recentemente accusato di facilitare transazioni illegali.
Spesso il primo indirizzo di controllo del client della botnent
è un server PPP leggero (un tipo di server di accesso remoto)
in modalità proxy, che a sua volta reindirizza la connessione.
Disattivando il primo server, si disabilita un semplice proxy, e
non il vero e proprio centro di comando della botnet.
Le botnet possono contenere server C&C come servizi
nascosti all'interno della rete Tor, rendendole molto più
difficili da individuare. Sovente le aziende rispondono vietando
l'uso di Tor da parte dei propri dipendenti e implementando
tecnologie di controllo delle applicazioni per impedire l'utilizzo
di software client browser Tor.
Rilevamenti di ZeroAccess per paese
Nel mese di ottobre 2013 ZeroAccess già controllava migliaia di endpoint negli USA e nel
Regno Unito, con moltissimi casi anche in Germania, Australia e Italia.
Singoli endpoint
Stati Uniti Regno Unito Germania Australia Italia Canada Francia Paesi Bassi
Spagna Altro
6.754
1.625
747
622
458
360
340
170
110
1.014
Fonte: SophosLabs
Mining di bitcoin tramite botnet: un importante
flusso di cassa per il malware
Anche se il valore dei bitcoin è cresciuto in maniera esponenziale
durante quel periodo, ZeroAccess ha finito col disabilitare questa
funzionalità. Perché? Non si sa di preciso. Forse perché stava
attirando troppa attenzione. Forse perché non generava la stessa
quantità di utili dei clic fraudolenti. C'è chi sostiene che il nuovo
hardware modificabile per il mining dei bitcoin sia più efficace
delle botnet distribuite12.
Gli operatori delle botnet sono alla costante ricerca di nuovi
metodi per generare utile. Il mining (o generazione) di bitcoin
è risultato in enormi introiti finanziari nel 2013. I bitcoin sono
solamente una valuta digitale che non è supportata da alcun
governo. Anche se il valore di un bitcoin ha subito notevoli
fluttuazioni, negli ultimi mesi si aggira fra i $150 e i $200 USD10.
Anche se ZeroAccess non si occupa più del mining dei bitcoin,
altri proprietari di botnet non hanno abbandonato l'idea. Uno dei
principali ricercatori di sicurezza, Brian Krebs, ha scoperto che
la botnet russa FeodalCash ha incrementato le proprie attività di
mining di bitcoin a maggio 201313.
I nuovi bitcoin sono realizzati allo scopo di risolvere complessi
problemi matematici che richiedono un enorme potere di
elaborazione — il tipo di potere che possono sfruttare le botnet
internazionali più imponenti.
A questo scopo, da maggio 2012 a febbraio 2013, e poi per
tre settimane ad aprile 2013, i client infettati dalla botnet
ZeroAccess sono stati arruolati con il solo scopo di generare
nuovi bitcoin11.
6
Rapporto sulla sicurezza per il 2014
Malware Android: in evoluzione e
sempre più intelligente
Il malware Android continua a crescere e ad evolversi, seguendo le orme del malware
Windows. Tuttavia, si sono riscontrati progressi nella protezione di questa piattaforma.
Dal primo rilevamento di malware Android avvenuto ad
agosto del 2010, abbiamo individuato ben oltre 300 famiglie
di malware. Inoltre, abbiamo notato come l'ecosistema del
malware Android segua le orme lasciate anni fa dal malware
Windows.
Nel 2012, Ginmaster comincia a evitare il rilevamento
offuscando nomi di categorie, cifrando URL e istruzioni di
C&C, e iniziando ad adottare tecniche di polimorfismo ormai
estremamente diffuse nel malware Windows. Nel 2013, i
developer di Ginmaster implementano tecniche molto più
complesse ed elusive di occultamento e cifratura, rendendo
questo tipo di malware più difficile da rilevare e da sottoporre
a ingegneria inversa14. Nel frattempo, dall'inizio del 2012 e
per ogni trimestre, abbiamo notato una crescita costante
dei rilevamenti di Ginmaster, con più di 4.700 campioni tra
febbraio e aprile 2013.
Sofisticato nell'eludere rilevamento e rimozione
Recentemente si sono osservate notevoli innovazioni nel
modo in cui il malware Android cerca di evitare e rispondere
ai metodi di rilevamento. Ginmaster ne è un esempio.
Identificato per la prima volta in Cina ad agosto del 2011,
questo programma “trojanizzato” viene incorporato in diverse
app legittime, distribuite su mercati di terzi.
7
Rapporto sulla sicurezza per il 2014
Le nuove botnet Android
Recentemente è emersa una botnet di vasta scala che
controlla i dispositivi Android in un modo molto simile a
quello delle botnet che controllano i PC. L'ambito di azione di
questa botnet, identificata da Sophos come Andr/GGSmart-A,
sembra essere limitato alla Cina. La botnet sfrutta un sistema
di comando e controllo centralizzato per inviare istruzioni a
tutti i dispositivi mobili infettati, in modo da costringerli, ad
esempio, a mandare SMS a numeri a tariffa maggiorata, con
costi a carico del proprietario del dispositivo. Diversamente
dai tipici attacchi rivolti ad Android, è in grado di modificare e
controllare contenuti, numeri a tariffa maggiorata per gli SMS,
e persino schemi di affiliazione per la sua vastissima rete.
Tutto ciò la rende meglio organizzata e potenzialmente più
pericolosa di qualsiasi altro malware Android sinora rilevato15.
All'inizio, Android Defender sfruttava una vasta gamma di
stratagemmi di ingegneria sociale e un aspetto insolitamente
professionale per ottenere privilegi di amministratore sul
dispositivo. Se riesce ad appropriarsi di tali privilegi, è in grado
di limitare l'accesso a tutte le altre applicazioni, rendendo
impossibile effettuare chiamate, modificare le impostazioni,
chiudere le attività, disinstallare app e persino eseguire
un ripristino delle informazioni di fabbrica. Visualizza sullo
schermo un avviso relativo a un'infezione, indipendentemente
da cosa cerchi di fare l'utente. È persino in grado di
disabilitare i pulsanti indietro/menu principale e di avviarsi
automaticamente all'accensione, per impedirne la rimozione.
L'unica cosa che non è in grado di fare è cifrare contenuti
e dati personali16. Sinceramente, ci sorprenderebbe se il
Rapporto sulla sicurezza del prossimo anno non includesse
anche casi di attacchi con cifratura.
Il ransomware mette le mani su Android
Il ransomware ha una storia lunga e crudele — le prime
versioni rilevate risalgono a 25 anni fa. Per chi non sapesse
di cosa si tratta, il ransomware rende file o interi dispositivi
inaccessibili, esigendo un pagamento per renderli nuovamente
disponibili. A giugno del 2013, il ricercatore Sophos Rowland
Yu ha scoperto il primo attacco di ransomware rivolto ai
dispositivi Android. Si chiama Android Defender, ed è un'app
ibrida fake antivirus/ransomware che esige un pagamento di
$99,99 per ripristinare l'accesso al dispositivo Android.
Furto delle coordinate bancarie tramite smartphone
A settembre del 2013 abbiamo rilevato un nuovo tipo di
malware bancario che rappresenta una combinazione fra i
tradizionali attacchi "Man-in-the-Browser" mirati a Windows
e gli stratagemmi di ingegneria sociale studiati per violare
i dispositivi Android, in modo da finalizzare il furto tramite
smartphone. A volte noti come Qadars, nel nostro rilevamento
si chiamano Andr/Spy-ABN. Anche se per il momento i livelli
di questo malware sono relativamente bassi, ha già attaccato
istituzioni finanziarie francesi, olandesi e indiane.
I più diffusi rilevamenti di malware, ottobre 2013
Sebbene non vi sia una famiglia di malware Android più prominente delle altre, attualmente il malware Android più
frequentemente rilevato è Andr/BBridge-A. Questo trojan sfrutta un exploit privilege escalation
per installare altre app malevole sul dispositivo. Andr/BBridge-A si è dimostrato estremamente
tenace — era al secondo posto nel nostro elenco di infezioni Android a giugno del 201217.
Andr/BBridge-A Andr/Fakeins-V Andr/Generic-S Andr/Qdplugin-A 9%
6%
5%
3%
Andr/Adop-A Andr/Boxer-D Andr/SmsSend-BY Andr/DroidRt-A 2%
2%
2%
2%
Andr/SmsSend-BE Andr/MTK-B Altro Nota: le percentuali sono arrotondate
Fonte: SophosLabs
8
2%
2%
65%
Rapporto sulla sicurezza per il 2014
Per saperne di più
Strumento gratuito
GinMaster: un case study di
malware Android
iPhone vs Android vs Windows
Phone 8
L'aumento del malware mobile
Sophos Mobile Security per
Android
Proteggere gli Android
È un'ottima notizia che negli ultimi mesi Google abbia
adottato importanti strategie per contribuire alla protezione
della piattaforma Android. Prima di tutto, Android 4.3 elimina
i download automatici delle app presenti nelle versioni
precedenti. In secondo luogo, Google ha reso più restrittivo
il proprio Developer’s Agreement, specialmente per quanto
riguarda le app potenzialmente indesiderate (potentially
unwanted app, PUA), le quali non rientrano strettamente nella
categoria del malware, ma tendono a comportarsi in maniera
più intrusiva di quanto si aspettino gli utenti.
Esattamente come il suo predecessore Zeus, Andr/Spy-ABN
comincia con Windows, inserendo codice su Internet Explorer
per intercettare le informazioni dell'utente prima che vengano
cifrate e inoltrate alle istituzioni finanziarie. È anche in
grado di appropriarsi dei certificati personali e dei cookie del
browser.
Una volta effettuata l'autenticazione, agli utenti viene
comunicato che la banca richiede l'uso di una nuova app per
smartphone come sistema anti-frode (ironia della sorte).
All'utente viene richiesto numero di telefono e modello;
viene quindi inviato un SMS con un link al download dell'app
malevola. Come se non bastasse, il codice incorporato
impedisce agli utenti di accedere al proprio account sino a
quando il malware sullo smartphone sia stato installato e
abbia fornito un codice di attivazione18.
Google ha identificato diverse app e vari comportamenti di
framework di marketing che non saranno più autorizzati. Ad
esempio, i developer non possono più includere annunci e
link di terzi nella schermata principale, non sono più in grado
di modificare l'home page del browser, né utilizzare l'area
di notifica di sistema per scopi non strettamente legati alla
propria funzionalità19.
La struttura di un dispositivo mobile violato: come fanno gli hacker a generare utile con il vostro smartphone
Il vostro smartphone Android può sembrare innocente. Ma, se violato dal malware, può essere in
grado di monitorarvi e assumere illegalmente la vostra identità, partecipando a pericolose attività
botnet, intercettando i vostri dati personali e persino appropriandosi dei vostri soldi20.
Impersonificazioni
Controlli
350.000
ÌÌ
ÌÌ
ÌÌ
ÌÌ
ÌÌ
Malware Android
casi rilevati dai
SophosLabs*
ÌÌ Reindirizzamenti
degli SMS
ÌÌ Invio di messaggi e-mail
ÌÌ Post sui social media
Audio
Video
Registro chiamate
Geolocalizzazione
Messaggi SMS
Servizi finanziari
Smartphone
smarriti al
minuto negli
U.S.A.2
ÌÌ
ÌÌ
ÌÌ
ÌÌ
ÌÌ
ÌÌ
Costo medio di un
caso di violazione
dei dati negli
U.S.A. nel 20121
ÌÌ Invio di messaggi SMS a
numeri a tariffa maggiorata
ÌÌ Furto dei codici di autenticazione
delle transazioni mobili (TAN)
ÌÌ Ricatto tramite ransomware
ÌÌ Fake antivirus
ÌÌ Chiamate con costi elevati
Furto di dati
113
$5,4
milioni
Dati degli account
Informazioni di contatto:
Registro chiamate
Telefono
Furto tramite vulnerabilità delle app
Furto dell'International Mobile
Equipment Identity (IMEI)
Attività botnet
ÌÌ Lancio di attacchi DDoS
ÌÌ Clic fraudolenti
ÌÌ Invio di messaggi SMS a numeri
a tariffa maggiorata
Fonte: SophosLabs
1
Fonte: 2013 Cost of Data Breach Study, Ponemon Institute
2
Fonte: What’s the Worst U.S. City for Smartphone Theft?, Mashable
*
9
$99,99
Costo estorto
dal ransomware
Android Defender*
Rapporto sulla sicurezza per il 2014
Linux: una tecnologia
importantissima e molto
allettante per i criminali
Linux è una piattaforma molto colpita, in quanto i server Linux vengono sovente usati per
eseguire siti Web e per inviare contenuti Web.
Anche se, rispetto a Windows e Android, Linux è il bersaglio
di una minima parte del volume totale del malware, si è
notato un gruppo piccolo ma costante di file eseguibili e
script di malware rivolti a questa piattaforma. Abbiamo anche
rilevato un elevato numero di campioni rivolti a servizi che non
dipendono da piattaforme specifiche, ma che sovente vengono
eseguiti su server Linux.
vengono generalmente ritenuti più sicuri di altri sistemi
operativi, per cui spesso non vengono considerati come
potenziali bersagli per le infezioni. Ciò significa che un
server Linux può rimanere infetto per mesi o anni, con uno
straordinario ritorno di investimento per le organizzazioni
criminali.
Di conseguenza, la nostra ricerca indica che la grande
maggioranza dei server infettati utilizzati per reindirizzare il
traffico su landing page gestite da criminali, sono in effetti
server Linux. Per cui, anche se il volume del malware
in esecuzione su Linux è basso, le infezioni di malware
devono comunque essere considerate un serio motivo di
preoccupazione per tutti gli amministratori Linux.
Per vari motivi, i server Web basati su Linux sono diventati
un ovvio bersaglio per i criminali che vogliono reindirizzare
il traffico verso i propri kit di malware illegali. Prima di
tutto, Linux è il sistema operativo alla base di un'elevata
percentuale di server Web di Internet — incluse molte
delle più importanti pagine Web ad alto volume di traffico
e a connessione continua. In secondo luogo, i server Linux
10
Rapporto sulla sicurezza per il 2014
Per saperne di più
Naked Security: Linux
Al momento vengono identificate al mese decine di migliaia di
campioni sospetti di codice PHP in esecuzione su server Linux
(PHP è un linguaggio di scripting lato server comunemente
usato sui siti Web) — nonostante gli autori di malware stiano
facendo di tutto per occultare gli script PHP per eludere il
rilevamento, talvolta anche occultando lo stesso campione a
più di 50 livelli.
Ovviamente, quando gli amministratori aggiungono ulteriori
script e servizi di terzi, incrementano la superficie di attacco,
coinvolgendo altri sistemi Linux e rendendo ancora più
importante la rapida applicazione delle patch e l'adozione
di una difesa multi-layer, per l'hardening sia del sistema
operativo Linux che dei servizi in esecuzione su di esso.
Sovente i tradizionali file server Linux ospitano malware
rivolto a Windows e ad altri sistemi operativi. Di conseguenza,
anche se un server Linux non è direttamente infettato, è pur
sempre in grado di contagiare i dispositivi a cui invia file.
Si nota una vasta quantità si script PHP realizzati per
costringere i server Linux a fungere da nodi nei sistemi di
distribuzione del traffico più estesi, con diverse funzionalità
tipiche di una botnet tradizionale. Ciò consente l'esecuzione
sui sistemi di altri spietati payload, quali gli attacchi DDoS.
(Gli attacchi ai Web server come Darkleech e Redkit saranno
oggetto di osservazione diretta a pagina 16).
Nel 2013 si sono rilevate per la prima volta significative
quantità di malware Android sui sistemi Linux. Ovviamente nel
caso in cui un server Linux, un host di script, o un Web server
vengano effettivamente infettati dal malware, è tecnicamente
semplice per tale malware riuscire a intercettare le richieste
HTTP provenienti dai dispositivi Android, facilitando quindi
la distribuzione di malware Android. Sia che i sistemi Linux
forniscano servizi per Windows o per altri client, è importante
che utilizzino software antimalware.
Gli script PHP violati vengono spesso eseguiti su piattaforme
vulnerabili, quali ad es. le versioni di WordPress prive di
adeguate patch21. Nel 2013, ad esempio, è stato individuato un
exploit nel motore PHP del sistema di gestione dei contenuti
Plesk. Con un comando POST specifico, i malintenzionati
sono potenzialmente in grado di ottenere l'accesso al motore,
eseguendo qualsiasi script PHP desiderino22.
11
Rapporto sulla sicurezza per il 2014
Mac OS X: un anno di tanti
piccoli attacchi
Sebbene quest'anno non siano stati rilevati attacchi di alto profilo rivolti a Mac OS X, si è
comunque notata una quantità costante di piccoli e diversi attacchi modesti ma creativi,
che devono essere di monito per gli utenti Mac.
Trojan Mac
L'anno scorso, AlienVault e Sophos hanno identificato backdoor
trojan che sono riusciti a violare pc Mac in Asia sfruttando
documenti Word dal contenuto malevolo. Questi trojan erano
incorporati all'interno di file che si spacciavano per documenti
contenenti casi di abuso dei diritti dell'uomo in Tibet, scatenando
voci che davano l'attacco come proveniente da fonti legate al
governo cinese25.
Gli attacchi rivolti alla piattaforma Mac OS X hanno continuato
ad evolversi nel 2013, sebbene non vi siano stati attacchi a
livello internazionale dell'entità di Flashback nel 2012. I tipi
di attacchi Mac rilevati includono trojan, attacchi rivolti alle
vulnerabilità della piattaforma Java e dei formati di Microsoft
Word, plug-in del browser molto aggressivi, script JavaScript
e Python malevoli, nonché malware con Apple Developer ID, in
grado di eludere la protezione Apple Gatekeeper e di convincere
gli utenti della propria legittimità.
A febbraio si è riscontrato un simile attacco in documenti
riguardanti presunti abusi agli Uiguri nel Turkestan Orientale.
Tutti questi attacchi sfruttano una vulnerabilità di Word
2004/2008 per la quale Microsoft aveva da tempo rilasciato
patch (MS09-027)26. Sia che vi troviate o meno in questa parte
del mondo, se siete in possesso di versioni di Word prive di
patch, è il momento ideale per applicarvi finalmente tutte le
patch necesssarie.
Nel mese di febbraio 2013, ad esempio, Reuters ha comunicato
che i Mac dei dipendenti di Apple erano stati violati dagli
hacker con l'ennesimo attacco del giorno zero mirato a una
vulnerabilità di Java — lo stesso che aveva colpito Facebook
una settimana prima23 e che ha poco dopo attaccato anche
l'unità operativa Microsoft per Mac24. Distribuito su un sito per
sviluppatori software, questo attacco di tipo “watering hole”
può essere prova del fatto che gli hacker capiscono che a volte
è più facile attaccare le aziende partendo dai siti visitati dai loro
dipendenti, invece di puntare direttamente alle solide difese
dell'infrastruttura aziendale.
Anche se questi sono a tutti gli effetti attacchi mirati, non
sembrano essere gli unici. A settembre 2013 è emerso OSX/
Bckdr-RQV, un nuovo attacco backdoor che, una volta installato,
12
Rapporto sulla sicurezza per il 2014
Strumento gratuito
Sophos Antivirus per Mac Home Edition
trasmette una serie di informazioni relative al computer
infetto. Secondo Intego, alcune versioni cercano di scaricare
un'immagine dal Syrian Electronic Army, un gruppo di hacker
che sostiene di aver mosso una cyberguerra a sostegno del
governo siriano di Bashar al-Assad27.
semplice malware. Sovente questi plug-in adware adoperano un
programma di installazione aggressivo (che può anche ignorare
le preferenze dell'utente), oppure si spacciano per codec video
di cui gli utenti potrebbero avere bisogno (OSX/FkCodec-A)30;
possono anche ingannare l'utente per indurlo ad autorizzare
l'installazione.
Attacchi che sfruttano gli Apple Developer ID
Per default, sulle più recenti versioni di OS X il tool Apple
Gatekeeper consente l'installazione di software OS X scaricato
dallo store di Apple, oppure firmato digitalmente con un Apple
Developer ID attivo. Ma cosa succede se un software malevolo
viene firmato con un Developer ID attivo? È esattamente quel
che è successo fra dicembre 2012 e febbraio 2013, con le e-mail
malevole contenente l'app Christmas Card, firmate dall'Apple
Developer “Rajinder Kumar”. Prima che Apple fosse in grado
di revocare l'ID di Kumar, alcuni utenti avevano già lanciato il
payload di spearphishing OSX/HackBack-A: un malware che
caricava versioni compresse dei file di documento su un server
remoto28.
Restando in tema di browser Web, quest’anno alcuni malcapitati
utenti di Safari per Mac si sono trovati alle prese con un tipo
di ransomware con basso “canone”. Come la maggior parte
del ransomware, presenta messaggi terrificanti, con i quali
si spaccia per una comunicazione delle forze dell'ordine,
sostenendo che l'utente abbia visualizzato contenuti illeciti ed
esigendo il pagamento immediato di una multa. A differenza
del peggior ransomware dell'anno (Cryptolocker, che colpiva
solamente Windows), questo malware Mac non cifra i file:
si limita ad eseguire codice JavaScript che viola il browser
e ricompare dopo un'uscita forzata. Fortunatamente, come
ha sottolineato Malwarebytes, questo JavaScript può essere
rimosso selezionando Reset Safari dal menu di Safari — senza
alcun costo o danno31.
Christmas Card non è l'unico esempio di malware Mac con firme
digitali autentiche: in estate il trojan Janicab basato su Python
ha adoperato lo stesso stratagemma29. È possibile che esistano
anche altri attacchi non rilevati che sfruttano Apple Developer
ID attive; ma se così non fosse, è pur sempre probabile che ne
emergano di nuovi.
Infine, proprio come avviene per i server Linux, spesso i server
(e talvolta anche i client) Mac OS X contengono malware
Windows dormiente che si attiva quando viene trasferito su
un sistema Windows. Inoltre, molti utenti eseguono computer
virtuali Windows su OS X, con software come Parallels Desktop.
Questi computer virtuali Windows sono altrettanto vulnerabili al
malware quanto qualsiasi altro sistema Windows. Alcuni utenti
Mac che adoperano Windows occasionalmente rischiano di
lasciare tali computer privi di difesa — e ciò va evitato.
Adware e ransomware
Esattamente come quanto successo con Android, quest'anno
si sono rilevati ulteriori plug-in adware del browser molto
aggressivi — si tratta di software che si trova a metà fra PUA e
4 semplici modi per proteggere i Mac
significa che non vi siano anche vulnerabilità recenti a cui dover
applicare i fix: l'aggiornamento di Apple OS X 10.8.5 di settembre
del 2013 ha individuato e risolto falle di esecuzione remota in
diverse aree del sistema, da CoreGraphics e ImageIO to PHP sino
a QuickTime33.
Ebbene sì, il malware è meno prevalente sui Mac di quanto non
lo sia su Windows o Android. Ma alcuni utenti vengono comunque
infettati. Se siete fra loro, la sicurezza relativa dei Mac è una
magra consolazione. Per fortuna potete limitare i rischi con pochi
semplici stratagemmi.
Se la versione di OS X eseguita lo permette, impedire al Mac
di installare app scaricate da qualsiasi sito eccetto il Mac App
Store. È poi possibile rimuovere provvisoriamente tale limitazione
se si desidera scaricare un'app legittima da un percorso sicuro,
ma in qualsiasi altra situazione tale accorgimento fornisce un
ulteriore livello di protezione.
Rimuovere Java dal Mac, a meno che non sia strettamente
indispensabile.
Se non è possibile rimuovere completamente Java, si proceda
quantomeno a disattivarlo sul browser, dove si trovano le peggiori
minacce Java. Ultimamente Apple ha reso più facile evitare Java.
OS X Lion e le versioni successive non lo installano per default;
e se si decide comunque di installarlo, viene automaticamente
disabilitato se lasciato inutilizzato per cinque settimane32.
Se non è già presente, installare software antivirus sul Mac.
Se siete un utente privato che utilizza Mac senza antivirus, vi
consigliamo di scaricare un programma come Sophos Antivirus
per Mac Home Edition. È gratuito e blocca il malware con le
stesse tecnologie di livello business che proteggono i nostri
clienti aziendali dalle minacce — incluse quelle dell'ultima
generazione di malware Web.
Applicare le patch e mantenere il software aggiornato con
gli ultimi fix. Gli hacker continuano a mietere vittime, sfruttando
attacchi che avrebbero potuto essere bloccati anni fa. Ciò non
13
Rapporto sulla sicurezza per il 2014
Malware Web: più sofisticato,
diversificato e invisibile
Gli attacchi ai Web server e i kit di exploit diffusi nel 2013 si sono rivelati più pericolosi
e difficili da individuare; e in più, hanno causato un maggior numero di attacchi drive-by
rivolti a client Web vulnerabili.
Come si è già visto prima per il malware Linux, si è riscontrato
un notevole aumento degli attacchi che assumono le
sembianze di moduli di Apache; una volta installati su siti
legittimi violati, questi moduli lanciano attacchi drive-by
dinamici contro i browser Web aventi vulnerabilità note.
A marzo del 2013, Darkleech e gli attacchi da esso derivati si
sono dimostrati la minaccia Web prevalente sugli endpoint e
sulle appliance Web dei clienti, rappresentando quasi il 30% di
tutte le minacce Web rilevate.
Alcuni di questi attacchi sono anche realizzati in maniera da
essere particolarmente difficili da riprodurre. Possono ad
esempio attivarsi solamente una volta su dieci, inducendo
gli amministratori sospettosi a credere che il problema — se
ritengono che esista — non provenga dal sistema locale.
Darkleech gestiva blacklist, per fare in modo che i singoli IP
ricevessero un reindirizzamento malevolo una sola volta. Molti
hacker optavano per evitare di inserire il reindirizzamento se si
imbattevano in un IP proveniente da una comunità di sicurezza
o da un motore di ricerca.
Darkleech attacca i Web server
Quest'anno l'esempio di più alto profilo è stato Darkleech,
che (secondo un report) è riuscito a violare più di 40.000 IP
di siti e domini entro maggio del 2013, inclusi 15.000 solo
nell'ultimo mese. Fra le vittime sono presenti siti importanti,
come quelli del Los Angeles Times e di Seagate. I Web
server compromessi da Darkleech sono responsabili per aver
inviato del malware molto pericoloso, incluso il ransomware
Nymaim, che cifra i file degli utenti ed esige un pagamento di
$300 per fornire la chiave34. Dalla nostra ricerca è emerso che
il 93% dei siti infettati da Darkleech eseguiva Apache35.
14
Rapporto sulla sicurezza per il 2014
Per saperne di più
Scegliere un provider di hosting
Malware B-Z: dentro la minaccia
Da Blackhole a ZeroAccess
Come avviene un attacco
malware sul Web in cinque
passaggi
Gli attacchi ai Web server mettono in evidenza la necessità
di una più stretta collaborazione fra aziende di sicurezza e
di hosting, al fine di ottenere maggiore visibilità su attacchi
complessi e subdoli come Darkleech. Dal punto di vista
tecnico, questi attacchi sono già straordinariamente difficili
da rilevare. Abbiamo collaborato a stretto contatto con
diversi provider di hosting colpiti, per aiutarli a disinfettare
i server. Ma a causa del basso margine di redditività a
disposizione delle aziende, quando i provider di hosting
scoprono un server infetto spesso si limitano a ricostruire una
nuova istanza virtuale del server, invece di diagnosticare il
problema. Siccome né loro né i partner di sicurezza riescono
a capire cosa sia successo, anche le nuove istanze vengono
rapidamente infettate.
Malware 101
In alcuni casi, gli utenti Flash possono essere infettati anche
senza venire reindirizzati, in quanto l'annuncio Flash contiene
codici di exploit che colpiscono le vulnerabilità del Flash
Player del client.
Oltre Blackhole: un mondo di kit di exploit
Il Rapporto sulla sicurezza dell'anno scorso includeva
un'analisi approfondita di Blackhole, un kit di exploit
preconfezionato all'avanguardia, che semplificava la vita degli
autori di malware, consentendo l'invio virtuale di qualsiasi
payload. Blackhole è ancora in circolazione: viene persino
utilizzato negli attacchi Darkleech di cui abbiamo appena
discusso. Ma Blackhole non è più unico nel suo genere.
Anche senza sottoporre Blackhole ad ingegneria inversa,
diversi gruppi sono riusciti a creare nuovi kit di exploit
basati sulle sue caratteristiche innovative. Nella nostra
ultima ricerca, Blackhole era solamente all'ottavo posto
per prevalenza — ma con l'arresto del suo presunto autore
principale, Paunch36, avvenuto ad ottobre 2013, la sua
presenza potrebbe ora diminuire ulteriormente. E tipicamente,
così come avviene solitamente nel mercato, all'arresto di
Paunch è seguito l'aumento dei prezzi di un suo rivale diretto,
Neutrino37.
Ai clienti si consiglia di chiedere ai provider quali siano le loro
procedure in caso di infezione e, nello specifico, quali tecniche
adottino per evitare le nuove infezioni.
Il malvertising
Per malvertising si intende una serie di annunci pubblicitari
malevoli inviati da reti pubblicitarie e siti Web legittimi. È in
circolazione da anni, ma il 2013 ne ha visto l'aumento — con
alcuni tipi provenienti da siti molto in vista, quali YouTube.
Al giorno d'oggi il malvertising si manifesta come contenuto
Flash malevolo. Se un utente clicca su un annuncio Flash,
rischia di venire reindirizzato su un sito malevolo mediante
codice ActionScript. Ne è un ottimo esempio il recente trojan
Troj/SWFRed-D. Diffusissimo negli annunci di YouTube diffusi
durante il 2013, questo trojan reindirizza gli utenti sul kit
di exploit Styx — il che contribuisce al livello di prevalenza
riscontrato da Styx negli ultimi tempi (vedere grafico a fondo
pagina).
Kit di exploit: Blackhole perde terreno a favore di modelli più avanzati
Nel 2012, Blackhole era il più diffuso kit di exploit al mondo, ma nel 2013 nuovi kit
come Neutrino e Redkit sono diventati molto più prevalenti.
Neutrino Kit sconosciuto
Redkit 24%
21%
19%
SweetOrange
Styx Glazunov/Sibhost 11%
10%
5%
Nuclear Blackhole/Cool Altro Nota: le percentuali sono arrotondate
Fonte: SophosLabs
15
4%
3%
3%
Rapporto sulla sicurezza per il 2014
Per saperne di più
Prevenire la violazione dei siti Web
L'aumento di Redkit
Blackhole colpisce i difetti di Java, Adobe PDF e Flash, ma
molti nuovi kit trovano terreno fertile dedicandosi solamente
a Java. Uno degli esempi principali è Redkit, che attacca
siti Web legittimi (a febbraio 2013 è stato infatti adoperato
per colpire il sito della NBC38), e che è stato coinvolto nelle
campagne di spam sorte in seguito all'attentato alla maratona
di Boston. A luglio del 2013 era diventato il più prevalente kit
di exploit riportato, costituendo il 42% dei rilevamenti di kit di
exploit durante il mese stesso.
Dal punto di vista della vittima, i contenuti malevoli vengono
inviati dal Web server compromesso utilizzato nella seconda
fase del reindirizzamento. Ma, per rendere Redkit ancora
più difficile da rilevare, il contenuto non si è mai trovato lì. I
Web server violati di Redkit eseguono invece una shell PHP,
che si connette a un server remoto di comando e controllo
Redkit. Questa shell aggiorna il suo elenco di siti violati ogni
ora, gestisce le vittime dei bouncer reindirizzandole sui vari
percorsi, e verifica che il contenuto malevolo della fonte
principale sia sempre aggiornato39.
Esattamente come i tradizionali download drive-by, Redkit
reindirizza gli utenti da un sito legittimo a uno malevolo
contenente exploit. Tuttavia prima di ciò, Redkit reindirizza
gli utenti su un altro server legittimo, ma pur sempre violato.
Quindi, nella seconda fase del reindirizzamento, porta la
vittima su una landing page .htm o .html violata, da cui scarica
contenuto malevolo mediante file Java JAR (un formato
spesso utilizzato per il delivery di applet Java).
Payload dei pacchetti di exploit, giugno 2013: i kit di exploit possono contenere un po’ di tutto — ecco cosa includono
I kit di exploit sono realizzati per contenere una vasta gamma di payload diversi: nel mese di
giugno 2013, ransomware e botnet ZeroAccess sono stati quelli più prevalenti.
Ransomware
ZeroAccess
Fareit
Moure
Shylock
Zbot
29%
24%
7%
7%
5%
4%
Karagany
FakeAV
Simda
Dofoil
Medfos
Redyms
4%
4%
2%
2%
2%
2%
Tobfy
Tranwos
Andromeda
Altro
Nota: le percentuali sono arrotondate
Fonte: SophosLabs
16
1%
1%
1%
5%
Rapporto sulla sicurezza per il 2014
Redkit adotta alcune caratteristiche delle botnet per
controllare i Web server, i quali possono interagire con
migliaia (o addirittura milioni) di utenti ciascuno. Siccome
questi Web server sono attivi 24 ore su 24 e sono in grado
di raggiungere moltissimi utenti, rappresentano anche una
risorsa estremamente preziosa per chiunque desideri sferrare
attacchi DDoS o inviare enormi quantità di malware.
Ma Redkit non è l'unico nuovo exploit a colpire i Web server.
Abbiamo identificato Glazunov su provider di hosting in tutto
il mondo. Come indica il grafico a pagina 15, a Glazunov
va attribuito il 5,47% di tutti i rilevamenti di kit di exploit
effettuati nel terzo trimestre del 2013. Questo kit di exploit
è diventato famoso per l'invio di ransomware estremamente
pericoloso. Altri due nuovi kit di exploit, Sibhost e Flimkit, sono
abbastanza simili da far pensare che possano avere la stessa
origine.
Zbot si diffonde in tutto il mondo
Il diffusissimo kit di exploit Zbot ha colpito Stati Uniti, Europa e Australia nel 2013, con il
31% dei rilevamenti negli USA, un ulteriore 23% nel Regno Unito e il 12% in Italia.
Singoli endpoint
Stati Uniti Regno Unito Italia Germania Australia
Francia Thailandia Canada Paesi Bassi
Singapore Altro
2.322
1.749
884
693
365
188
156
144
135
84
795
Fonte: SophosLabs
Consigli pratici per la protezione di Web server e client
Limitare o eliminare Java dal client. Nel 2013, molti autori di
botnet e kit di exploit hanno cambiato bersaglio, abbandonando
Flash e PDF per puntare su Java. Ed è proprio qui che si notano
le più serie vulnerabilità — il che significa ancora una volta che si
deve considerare attentamente se la presenza di Java sui client
sia veramente indispensabile.
Affidarsi a una protezione a livelli multipli. Integrare
rilevamento aggiornato del malware con Web filtering e
rilevamento runtime/host intrusion prevention.
Applicare tutte le patch il più rapidamente possibile. Sebbene
siano gli attacchi del giorno zero a fare notizia, la maggior parte
degli attacchi sfrutta vulnerabilità tutt'altro che recenti, per le
quali è necessario applicare le dovute patch.
Limitare le superfici di attacco evitando o rimuovendo plug-in
dei siti superflui, ad esempio plug-in di WordPress inutilizzati.
Proteggere le credenziali del proprio sito Web. Adoperare
password univoche e verificare di aver modificato tutte le
password di amministrazione predefinite.
17
Rapporto sulla sicurezza per il 2014
Minacce mirate ai conti bancari
Si notano attacchi sempre più persistenti e mirati — la maggior parte dei quali sembra
puntare alla violazione dei conti bancari.
Anche se non è possibile quantificarne l'incremento, i
SophosLabs hanno osservato attacchi sempre più persistenti,
che sembrano essere rivolti ad aziende o istituzioni specifiche,
incluse organizzazioni precedentemente non considerate
come bersagli primari. Questi attacchi sembrano puntare
alla violazione di conti bancari, rivelando che i classici
cybercriminali alla ricerca di un guadagno diretto mostrano
interesse verso metodi precedentemente utilizzati dagli
attacchi delle Advanced Persistent Threat (APT).
e con firme autentiche dei sistemi operativi Windows o di altri
vendor, allo scopo di caricare componenti malevoli. Il codice
malevolo viene quindi eseguito da un processo autorizzato,
per cui, se viene rilevato da un firewall, questo traffico in
uscita può essere considerato legittimo.
Recentemente Gabor Szappanos, Principal Researcher
presso Sophos, ha gettato nuova luce su questi attacchi
mirati, descrivendone la persistenza. Questi attacchi evitano
il rilevamento per mesi e anni, grazie a strategie con le quali
minimizzano l'impatto sul sistema, cifrando tutto il possibile e
comportandosi come applicazioni legittime. Queste tecniche
sono l'inizio di un'era nella quale gli attacchi diverranno
sempre più difficili da individuare40.
Lupi travestiti da agnello: Plugx, Blame e Simbot
Alcuni attacchi mirati cercano di spacciarsi per applicazioni
legittime. In particolare si sono notati pericolosi attacchi
mirati al furto dei certificati, che sfruttano componenti puliti
18
Rapporto sulla sicurezza per il 2014
Per saperne di più
APT
Plugx, ad esempio, punta molto sull'uso improprio di
applicazioni legittime con firme digitali. Sfrutta la vulnerabilità
nota degli ordini di caricamento delle DLL Windows, inserendo
la libreria malevola vicino all'applicazione. Quando viene
eseguita l'applicazione, questa carica la DLL del malware
dalla cartella attuale, invece di quella pulita situata nella
cartella di sistema41. Questa vulnerabilità riflette una
decisione di design presa anni fa; se Microsoft la cambiasse,
molte applicazioni legittime non funzionerebbero più42. Per
questo motivo sembra probabile che avremo a che fare con
questa vulnerabilità ancora per molto tempo.
Un terzo esemplare, Simbot, definisce il nuovo modello
di attacco BYOT (bring your own target). Contiene
un'applicazione pulita ma vulnerabile, che viene avviata
con una riga di comando estremamente lunga. Ciò porta
all'esecuzione di un shellcode malevolo, che decifra e carica il
payload principale.
Sebbene l'exploit delle applicazioni non sia una novità, Simbot
presenta un comportamento insolito, in quanto utilizza questa
tattica per ciascun avvio dei sistemi già infettati, accertandosi
che venga lanciata solamente un'applicazione pulita, e che
il codice malevolo venga eseguito esclusivamente tramite
l'exploit. Siccome si porta appresso l'applicazione, Simbot non
dipende dall'installazione dell'applicazione sul sistema, e non
risente necessariamente di eventuali fix della vulnerabilità
rilasciati con versioni successive dell'applicazione stessa.
L'approccio di Simbot quasi non lascia tracce.
Un altro esemplare, Blame, cela il proprio contenuto malevolo
all'interno di una DLL compilata con vari programmi open
source. Uno di essi è il diffusissimo codificatore di MP3 LAME,
che funge da esca, aggiungendo abbastanza codice pulito da
celare quello malevolo.
19
Rapporto sulla sicurezza per il 2014
Windows: il rischio sempre più
elevato dei sistemi privi di patch
A partire da aprile 2014 non saranno più disponibili patch per Windows XP e Office 2003.
Nel frattempo, l’installazione di patch di Windows è risultata essere un serio problema nei
mercati specializzati, come ad es. sistemi point-of-sale e attrezzature mediche.
Di questi tempi, Android e Web ricevono la massima
attenzione. È quindi facile dimenticare che più di un miliardo
di computer usano ancora Windows. Sebbene il tool
automatizzato Microsoft Update mantenga questi sistemi
aggiornati e ne fornisca le giuste patch, esistono pur sempre
preoccupanti lacune. In questo paragrafo ne tratteremo tre:
l'imminente interruzione del supporto di Windows XP e Office
2003 da parte di Windows; i sistemi point-of-sale a cui non
sono o non possono essere applicate le patch; e la sempre più
diffusa presenza del malware nelle attrezzature mediche che
eseguono diverse versioni di Windows.
Secondo NetMarketShare, nel mese di settembre 2013 più
del 31% di tutti i PC eseguivano ancora XP43, la popolarissima
versione introdotta per la prima volta nel 2001. Microsoft ha
ripetutamente insistito che l'8 aprile 2014 terminerà di fornire
il supporto e rilasciare gli aggiornamenti della sicurezza per
Windows XP44.
Se avete Windows XP, o se siete responsabili di sistemi
che lo eseguono, ciò rappresenta un serio problema di
sicurezza. Come sostiene il Direttore di Microsoft Trustworthy
Computing, alcune vulnerabilità nelle nuove versioni di
Windows saranno retrocompatibili con Windows XP. Quando
Microsoft rilascerà fix per queste vulnerabilità su Windows
Vista, Windows 7 o Windows 8, attirerà inevitabilmente
l'attenzione sul fatto che non vi sono patch per Windows XP45.
20
Rapporto sulla sicurezza per il 2014
Per saperne di più
Cinque consigli pratici per limitare il rischio
delle minacce Web in circolazione
Podcast di Naked Security: la fine di XP
Il ritiro di Windows influisce su POS e attrezzature mediche
Con la crescente preoccupazione dei sistemi privi di patch, è
giusto rivolgere l'attenzione ad altre categorie di dispositivi
che eseguono Windows, per molti dei quali non vengono
applicate patch in maniera consistente o affidabile. In alcuni
casi eseguono Windows XP (o addirittura versioni di Windows
precedenti, come Windows 2000); per questi sistemi, anche le
aziende che hanno impostato procedure di applicazione delle
patch non avranno più patch da applicare. In altri casi, questi
dispositivi eseguono versioni più recenti di Windows alle quali
è ancora possibile applicare patch. Ma gli utenti o i produttori
non le implementano.
Il motivo: diversi produttori di dispositivi che eseguono
Windows e altre piattaforme PC non sono riusciti “a fornire
aggiornamenti del software e patch di sicurezza in maniera
tempestiva”. Proprio come per i sistemi POS, la mancata o
tardiva applicazione delle patch sui dispositivi medici non
dipende da Microsoft. In questo caso, ricade sui produttori
delle attrezzature la responsabilità di certificare che i
sistemi siano adeguatamente compatibili con i fix rilasciati
da Microsoft. Tuttavia, quando Microsoft terminerà di
fornire aggiornamenti di sicurezza per Windows XP, anche i
produttori che apporteranno le dovute modifiche ai processi
di certificazione non avranno più patch di Windows XP da
testare.
Sovente i sistemi POS adoperano Windows per i pagamenti
tramite carta di credito e per altre transazioni. Nonostante
gli standard di settore esigano la rapida applicazione delle
patch di sicurezza, alcuni di questi sistemi vengono aggiornati
saltuariamente, specialmente negli ambienti di vendita al
minuto più piccoli, che non dispongono di una sofisticata
struttura IT46. Molti sistemi POS usano Windows XP per via
della sua diffusione e della sua presenza sul mercato. Alcuni
di questi sistemi possono essere aggiornati a versioni più
recenti di Windows; tuttavia, secondo il consulente leader di
settore Walter Conway, altri sistemi sono testati e omologati
solo per Windows XP47.
Si tratta di un problema concreto? Come sosteneva il MIT
Technology Review alla fine del 2012, le attrezzature mediche
stanno “diventando sempre più piene di malware”50. Al Beth
Israel Deaconess Medical Center di Boston, “664 attrezzature
mediche utilizzano sistemi operativi Windows obsoleti, per
le quali i produttori non prevedono modifiche o sostituzioni
— neppure l'aggiunta di software antivirus… Di conseguenza,
spesso vengono infettate dal malware, e ogni settimana uno o
due dispositivi devono essere rimossi dal sistema per essere
sottoposti a disinfezione”.
E per ultimo, ma non per questo meno importante, è giusto
sottolineare che Windows XP non è l'unico diffusissimo
prodotto Microsoft a non ricevere più gli aggiornamenti di
sicurezza a partire dall'8 aprile 2014. Questo interesserà
anche Microsoft Office 2003. Tutt'oggi ancora molto diffuso,
Office 2003 è l'ultima versione di Office basata sui vecchi
formati dei documenti Microsoft, che vengono ritenuti
tutt'altro che sicuri, anche dopo tre Service Pack. Siccome
Office 2003 è eseguibile anche su Vista e Windows 7, è
possibile che tra qualche anno possediate una versione di
Windows aggiornata e con tutte le patch, ma che vi troviate
pur sempre esposti al rischio di nuove vulnerabilità di Office.
I rischi sono tutt'altro che teorici. A dicembre 2012, Visa ha
segnalato ai commercianti la presenza di Dexter, un malware
Windows malevolo realizzato specificamente per violare
i sistemi POS, prelevando dati della banda magnetica, e
inviandoli a server di comando e controllo centrali48.
Seri rischi di sicurezza per Windows sono emersi anche in
ambito medico. A giugno del 2013, dopo ampia promozione,
l'U.S. Food and Drug Administration ha identificato diffuse
vulnerabilità all'interno di dispositivi medici che sono
“infettati o disabilitati dal malware”, incluso malware in grado
di “accedere a dati dei pazienti, sistemi di monitoraggio e
dispositivi impiantati”49.
21
Rapporto sulla sicurezza per il 2014
Lo spam si reinventa
Ancora un altro anno di spam. Non ha niente di speciale, ma questo rischio di sicurezza
non vuole assolutamente diminuire.
Il ritorno dello spam delle truffe
azionarie "pump-and-dump"
I messaggi "pump-and-dump" sostengono che un'azione
di poco valore sia in procinto di subire un incremento del
prezzo. Quando una determinata quantità di vittime cade
nella trappola dell'hoax, i mittenti dei messaggi vendono
tutto, tenendosi per sé l'intero utile generato. Diversi anni fa,
in alcuni giorni lo spam pump-and-dump costituiva il 50%
dell'intero traffico spam in circolazione, ma in seguito ad un
inasprimento dei controlli da parte dell'U.S. Securities and
Exchange Commission, finì quasi per scomparire.
Fino a quando la gente invierà e-mail, i malintenzionati
continueranno con tutta probabilità a inviare spam. Ci sono
tipi di spam che sono semplicemente fastidiosi. Ce ne sono
altri che sono legati a truffe finanziarie, e la maggior parte di
noi dovrebbe ormai avere imparato a ignorarli. E poi ci sono
tipi di link di spam che portano a malware pericolosissimo.
Alcuni degli stratagemmi utilizzati dagli spammer sembrano
immortali. Ad esempio, lo spam che sfrutta l'immagine (i
tentativi di vendita di Rolex taroccati rimangono un classico);
e lo spam legato a recenti fatti di cronaca (ad es. l'attacco
terroristico alla Maratona di Boston ad aprile 2013).
Ma all'inizio del 2013 si sono rilevate nuove grandi quantità,
che comparivano a sprazzi; “pump and dump” rappresentava
percentuali variabili di tutto lo spam: 1-7% dal 17 al 31
gennaio; 5-15% dal 16 al 20 febbraio; e 5-20% per la maggior
parte del mese di marzo. I messaggi sono poi diminuiti verso
fine giugno. E poi il volume ha subito un nuovo incremento:
a luglio, agosto e settembre si sono notate percentuali
giornaliere pari al 10-20%, con picchi del 50% in alcuni giorni.
Altre forme di spam sembrano avere andamento ciclico:
passano di moda e poi ritornano anni dopo. Ad esempio,
il 2013 ha visto il risorgere del classico spam delle truffe
azionarie "pump-and-dump".
22
Rapporto sulla sicurezza per il 2014
Per saperne di più
Chi si intrufola nella vostra e-mail?
Evitate che la perdita dei dati consumi tutto il vostro budget
Come si suol dire, non si è mai né troppo ricchi né troppo
magri. Non sorprende quindi che la seconda vastissima
campagna di spam sia relativa alla truffa in tema di salute/
dimagrimento: "greencoffee". Questi messaggi cercano di
falsificare newsletter legittime, spesso citando noti medici
televisivi quali il Dr. Oz, per sembrare più credibili. Ma
cliccando sui link si giunge a domini registrati solo per call-toaction di spam, che reindirizzano le vittime sui principali siti
che promuovono questi prodotti.
Gli spammer snowshoe distribuiscono lo spam su vari indirizzi
IP, siti Web e sottoreti. Alcuni inviano tutto lo spam su un
unico indirizzo IP per un breve periodo di tempo, per poi
passare a un altro indirizzo IP, spesso presente nel vicinato.
Con queste strategie cercano di sconfiggere gli schemi di
rilevamento basati sul volume, che vengono utilizzati dai
principali host e-mail, e di intrufolarsi nelle falle della legge
antispam statunitense, il CAN-SPAM Act del 200351. Nelle
aziende prive di un adeguato filtraggio antispam, spesso lo
spam snowshoe rappresenta la vasta maggioranza della
posta indesiderata sfuggita ai filtri.
Server distribuiti e spam snowshoe
Gli spammer sono continuamente soggetti all'interruzione
delle proprie spambot e dei propri server. Per cui, proprio
come i developer di malware, cercano aggressivamente di
nascondere le proprie tracce.
Nel 2013, ad esempio, si sono notati diversi spammer che
sfruttavano le tecniche snowshoe — che fortunatamente
i nostri filtri antispam sono generalmente in grado di
riconoscere e bloccare. Con il termine spam snowshoe si
definisce il modo in cui alcuni spammer distribuiscono il carico
su una superficie ampia, per impedirne l'"affondamento",
proprio come succede per chi indossa racchette da neve (in
inglese "snowshoe").
Allegati di spam, giugno 2013: un carico di problemi
Nel mese di giugno 2013 due loader, Fareit e Andromeda, sono stati le principali forme di
malware incorporato negli allegati di spam. Fareit (noto anche come Pony, Ponik) spesso
scarica Zeus P2P, ma preleva anche password archiviate in software quali client di posta e
FTP. Andromeda scarica altro malware, come ad es. Zeus P2P, spambot e ZeroAccess; talvolta
scarica anche moduli di sua proprietà per infettare condivisioni di rete e drive portatili.
Fareit
Andromeda
Zbot
Dofoil
52%
17%
12%
8%
Donx
Bublik
Ransomware
DnetBckdr
4%
3%
2%
1%
DarkComet
Banload
Nota: le percentuali sono arrotondate
Fonte: SophosLabs
23
1%
1%
Rapporto sulla sicurezza per il 2014
SophosLabs: un passo avanti
rispetto ai più sofisticati attacchi
in azione al giorno d'oggi
Con gli attacchi di malware che diventano sempre più complessi ed elusivi, le aziende di
sicurezza devono rispondere con estrema astuzia, flessibilità e rapidità. Ed è proprio quello
che stanno facendo i SophosLabs.
Un tempo le aziende che distribuivano soluzioni antimalware
si dedicavano principalmente a individuare le firme associate
ai software malevoli. Gli hacker hanno quindi ribattuto con
attacchi polimorfici, in grado di generare nuove versioni
di malware per ciascun computer infettato — rendendo
inefficace il rilevamento statico.
In risposta, noi contiamo su diversi livelli integrati di
protezione. Investiamo ad esempio molte risorse nel rilevare
e bloccare i siti Web che ospitano kit di exploit e contenuti
malevoli. Abbiamo strutturato livelli di rilevamento che hanno
lo scopo di individuare diversi componenti specifici dei kit di
exploit, inclusi reindirizzamenti occultati di JavaScript, Java
JAR violati, e documenti compromessi. Nessun singolo livello
può, da solo, essere perfetto; ma insieme sono estremamente
efficaci.
Alcuni attacchi polimorfici sono facili da prevenire. Ad
esempio, il filtraggio delle e-mail può quasi sempre prevenire
gli attacchi inviati tramite allegati e-mail. Ma al giorno d'oggi
gli attacchi più pericolosi sono costituiti da una catena di
componenti di attacco sparsi per il Web. E come dimostra
il report di quest'anno, sono emerse nuove potentissime
tecniche per eludere il rilevamento.
E stiamo continuando a migliorarci.
24
Rapporto sulla sicurezza per il 2014
Per saperne di più
SophosLabs
Ci siamo ad esempio concentrati su un rilevamento basato
sui contenuti che combina le informazioni dei file scaricati e
dei siti da cui provengono. Da solo, un file o un sito di origine
può non essere abbastanza sospetto per venire segnalato. Ma
se considerati insieme, questi due elementi spesso rivelano
pattern molto particolari, associati alle minacce — il che fa
entrare in azione il nostro software, senza il rischio di falsi
positivi.
Ovviamente, siccome i Web server di C&C infetti e il malware
si modificano con estrema velocità, le soluzioni Sophos
forniscono aggiornamenti immediati direttamente dal cloud.
I SophosLabs gestiscono una quantità immensa di dati che
sono essenziali per mantenersi un passo avanti rispetto ai
moderni hacker. Ogni giorno catturiamo miliardi di punti
di accesso ai dati, da milioni di endpoint in tutto il mondo.
Abbiamo impostato una struttura big data all'avanguardia,
per trasformare rapidamente i dati analizzati in informazioni
di intelligence. Ciò significa associare enormi quantità di
informazioni provenienti dagli endpoint e dai server protetti,
per identificare gli attacchi emergenti e per raccogliere
file binari, URL e dati di telemetria che contribuiscono a
sviluppare una protezione ancora più efficace.
Per le rare eventualità in cui a tutti i livelli di protezione
sfuggisse il rilevamento, abbiamo aggiunto un ultimo livello
di difesa: il rilevamento di runtime. Cerchiamo tracce che
indichino la possibile esecuzione di malware. Ad esempio, se
notiamo che un programma effettua un'azione insolita per
un programma legittimo, combiniamo questa informazione
con le analisi precedenti svolte sul file eseguibile. Un file che
presentava preoccupazioni marginali durante il download
può comportarsi in modo sospetto in questa fase, e indurci a
bloccarlo immediatamente.
Per chi desideri informazioni tecniche, la nostra struttura
big data si basa su Hadoop. Questo software open source
nasce dalle idee innovative di Google e Yahoo. È rivolto alle
aziende con enormi quantità di dati da analizzare in maniera
immediata — come Facebook, Twitter, eBay e sì, anche
Sophos.
Le nuove versioni delle nostre appliance di network security
sfruttano tecniche simili per bloccare i dispositivi che
mostrano comportamenti che di solito indicano la presenza
di un'infezione di malware — ad esempio dispositivi che
sembrano essere controllati da botnet. Sophos UTM 9.2 non
si limita semplicemente ad analizzare i pacchetti di rete e
ad identificare gli endpoint che cercano di contattare domini
illeciti; è anche in grado di riconoscere file di configurazione
malevoli, inoltrati dalle botnet ai computer infetti tramite
HTTP.
25
Rapporto sulla sicurezza per il 2014
I trend che ci riserva il 2014
dai SophosLabs
Gli enormi sviluppi delle tecnologie avvenuti durante l'anno appena trascorso — insieme
a una serie di rivelazioni sulla National Security Agency, che hanno scosso l'intera
comunità di sicurezza internazionale — hanno reso il 2013 un anno molto interessante.
Nel mettere in evidenza gli eventi in tema di sicurezza dell’anno passato, abbiamo preso
in considerazione alcune minacce emergenti che molto probabilmente caratterizzeranno
anche il prossimo anno.
Attacchi a dati aziendali e personali gestiti in the cloud
Con la sempre maggiore dipendenza delle aziende ai vari
servizi cloud per la gestione dei dati dei clienti, piani di
progetto interni e risorse finanziarie, si prevede un incremento
degli attacchi rivolti agli endpoint, ai dispositivi mobili e
alle credenziali, che vengono utilizzati per gestire contenuti
aziendali o personali in-the-cloud.
Password sicure e policy di accesso per i dati gestiti in-thecloud sono ora più importanti che mai. Il livello di sicurezza
complessivo rispecchia quello del punto più debole del
sistema, che in alcuni casi viene rappresentato dagli endpoint
Windows e dal grado di sensibilizzazione degli utenti.
Le APT si uniscono al malware finanziario
Prevediamo che il successo delle Advanced Persistent Threat
(APT) e dei loro attacchi a scopo di spionaggio industriale
ispirerà le tradizionali gang di malware finanziario ad
adottarne le tecniche. Anzi, si sono già notati stratagemmi
di exploit presi in prestito da gruppi di APT e utilizzati per
distribuire il malware.
È difficile predire quali sembianze assumeranno gli attacchi
futuri — ma possiamo sicuramente immaginare che il
ransomware potrà tenere in ostaggio non solo documenti
locali, ma qualsiasi tipo di dati memorizzati in-the-cloud. È
possibile che questi attacchi non prevedano la cifratura dei
dati, ma possano essere utilizzati come ricatto — minacciando
il proprietario di pubblicare i dati riservati.
26
Rapporto sulla sicurezza per il 2014
Per saperne di più
Social engineering (ingegneria sociale)
E siccome i vendor di sicurezza stanno facendo passi avanti
nell’ottimizzazione dei vari livelli di difesa, di sicurezza
dei sistemi operativi e di sensibilizzazione degli utenti, i
cybercriminali sono costretti a dover cercare di generare una
quantità maggiore di utili da un numero più limitato di vittime.
I nuovi attacchi sferrati dai tradizionali autori di malware
potranno in futuro includere componenti e meccanismi di
delivery appositamente strutturati o personalizzati, per un
target più limitato. Il confine tra APT e malware classico
continuerà a sfumare nel 2014.
di attacco. La diversificazione del malware a seconda delle
vittime a cui è rivolto continuerà ad aumentare nel 2014,
specialmente per quanto riguarda la differenziazione tra
consumatore e utente aziendale. Si prevede anche un
incremento degli attacchi mirati, in relazione ai vari livelli di
cyberdifesa e valore dei target.
I dati personali sono in pericolo a causa
delle app mobili e dei social network
Nel 2014 la mobile security continuerà a essere un
argomento di attualità. La continua adozione di nuove app per
le comunicazioni personali e di business aumenta la superficie
di attacco, in particolar modo per quanto riguarda le truffe
di ingegneria sociale e i tentativi di estrazione dei dati. La
vostra rubrica e i vostri contatti hanno un valore inestimabile
per malintenzionati di qualsiasi genere, per cui prestate
estrema attenzione a chi vi possa accedere e perché. I sistemi
di controllo per dispositivi mobili e applicazioni Web per gli
utenti aziendali possono aiutarvi a mitigare il rischio.
Il malware Android: sempre più complesso
e alla ricerca di nuove vittime
Il 2013 è stato caratterizzato dalla crescita esponenziale
del malware Android, non solo in termini di singole famiglie
e campioni, ma anche per quanto riguarda il numero di
dispositivi infettati a livello internazionale.
Anche se prevediamo che col tempo le nuove funzionalità
della piattaforma Android rappresenteranno un cambiamento
positivo per quanto riguarda i tassi di infezione, l'adozione di
tali funzionalità sarà lenta, e molti utenti rimarranno esposti
ai più basilari attacchi di ingegneria sociale. I cybercriminali
continueranno a esplorare nuovi metodi per monetizzare
il malware. Sebbene le opzioni di questa piattaforma siano
più limitate di quelle di Windows, i dispositivi mobili sono
un'allettante pista di lancio per gli attacchi rivolti ai social
network e alle piattaforme cloud.
Violazione delle difese
Nell’eterna lotta fra cybercriminali e vendor di sicurezza,
prevediamo la nascita di nuovi strumenti, mirati ad attaccare i
più recenti meccanismi di cyberdifesa. Servizi di reputazione,
database della sicurezza in-the-cloud, whitelist e livelli di
sandbox verranno tutti attaccati in nuovi infausti modi. Si
noterà una maggiore quantità di malware con firme digitali
rubate, nonché ulteriori tentativi di poisoning dei dati di
sicurezza e delle analisi di telemetria, nuove tecniche per
individuare e bypassare le sandbox e un uso più diffuso di tool
legittimi a scopo malevolo.
Mitigate questo rischio implementando policy per il BYOD
(bring your own device) che impediscano il sideload di app
mobili da fonti sconosciute e imponendo la protezione
antimalware come requisito obbligatorio.
Malware a 64 bit
Con la crescente diffusione di PC con sistemi operativi a 64
bit, si prevede un aumento del malware che non può essere
eseguito su PC a 32 bit.
Il malware diventa diversificato e specializzato
La diversità del malware finanziario riflette le differenze tra
le varie aree geografiche ed economiche. Ciò è già evidente
osservando le tendenze dei vari paesi in termini di tecniche
di ingegneria sociale, monetizzazione del malware e obiettivi
27
Rapporto sulla sicurezza per il 2014
I kit di exploit continuano a essere una delle
minacce principali per Windows
Nonostante Microsoft abbia compiuto notevoli progressi
tecnologici, con un sistema operativo Windows che
rappresenta una seria sfida per i developer di exploit, l'azienda
non ha ancora vinto la guerra.
Con tutta probabilità, queste scoperte sono soltanto la punta
dell'iceberg, e si prevedono molte storie simili nel 2014.
La maggior parte delle aziende non dispone delle risorse o
delle competenze necessarie a scoprire backdoor. È tuttavia
consigliabile monitorare attentamente l'attività dei ricercatori
di sicurezza e dei media per conoscere i nuovi sviluppi.
Con il ritiro di Windows XP dopo 12 anni, questo sistema è
in procinto di diventare un enorme bersaglio per gli hacker.
Riuscirà Windows 7 a guadagnarsi una simile egemonia per
un periodo altrettanto lungo? Quanto tempo occorrerà prima
che la maggior parte degli endpoint effettui la migrazione a
versioni più recenti di Windows con migliori funzionalità di
sicurezza?
Hacking per tutto
Abbiamo continuato a diversificare i dispositivi presenti nei
nostri ambienti, e questi dispositivi contengono dati aziendali
di natura sensibile. L'ecosistema della sicurezza non è
adeguatamente predisposto per tali dispositivi come quanto lo
sia per gli ambienti PC.
Per chi ci vuole attaccare, i dispositivi incorporati nelle nostre
reti domestiche, aziendali e cittadine rappresentano bersagli
molto allettanti. E le nuove valute e tecniche di pagamento
elettronico mettono a repentaglio ben più dei semplici numeri
di carta di credito.
Le minacce che richiedono l'interazione degli utenti
(ingegneria sociale) per andare a segno continueranno a
essere uno dei principali vettori di infezione. Ma gli autori del
malware dovranno affinare le proprie tecniche per convincere
le vittime a eseguire il payload, in quanto la gente diventa
sempre più abile a distinguere fra contenuti malevoli e non.
Gli autori di malware di massa dovranno escogitare esche
sempre più mirate e convincenti.
Sebbene non si preveda una maggiore diffusione degli
attacchi rivolti all'“Internet of Things” nel 2014, ci si attende
un incremento delle vulnerabilità riportate e degli exploit
proof-of-concept.
Hardware, infrastruttura e software sotto attacco
Nel corso del 2013, le rivelazioni riguardanti l'intrusione delle
agenzie governative nei dati privati degli utenti e le backdoor
(non solo da parte dei governi, ma anche delle organizzazioni
commerciali) hanno dimostrato che compromettere su vasta
scala il fulcro dell'infrastruttura su cui interagiamo non è solo
possibile ma realizzabile. Dobbiamo rivalutare le tecnologie e
in chi riponiamo la nostra fiducia.
28
Rapporto sulla sicurezza per il 2014
Un'ultima parola
Gli autori di malware, kit di exploit e botnet sono diventati più intelligenti e più aggressivi
nel 2013. Sono riusciti a individuare nuove forme di attacco, nuovi metodi di riproporre
vecchi approcci, nuovi target e nuove tecniche di mascheramento delle proprie attività.
Per proteggerci contro questi nuovi attacchi, dobbiamo tutti
agire in maniera più intelligente. Sophos si impegna 24 ore
su 24 per strutturare nuovi sofisticati metodi di rilevamento,
fornendo aggiornamenti in tempo reale dal cloud e aiutandovi
a proteggere le nuove generazioni di dispositivi mobili — sia
che siate voi a scegliere tali dispositivi, o che li abbiano già
scelti per voi i vostri utenti BYOD.
piattaforme come Java se non vi servono. Mantenetevi al
passo con le patch, in quanto la maggior parte degli attacchi
sfrutta vecchie vulnerabilità. E non tralasciate gli elementi
fondamentali della sicurezza (ad es. l'uso di password sicure
e corsi di formazione per gli utenti su come evitare gli attacchi
di ingegneria sociale).
La battaglia dell'IT security si protrarrà ancora a lungo. Ma
se rimanete attenti, applicate le best practice, utilizzate le
tecnologie di sicurezza con giudizio, e vi rivolgete a fonti fidate
per ricevere assistenza e aiuto, potrete mantenere protetta la
vostra azienda. Sophos vi offre tutto l’aiuto che vi occorre —
siamo sempre a vostra disposizione.
Che siate professionisti dell'IT, imprenditori, oppure semplici
utenti, molto probabilmente anche voi state agendo in
maniera più intelligente in materia di sicurezza. State
facendo (o dovreste fare) di tutto per verificare che i vostri
sistemi siano protetti, indipendentemente dalla piattaforma
utilizzata. Riducete la superficie di attacco, eliminando
29
Rapporto sulla sicurezza per il 2014
Bibliografia
1. ZeuS-P2P Monitoring and Analysis, v2013-06, NASK/CERT Polska,
http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf
27.New Mac Trojan Discovered Related to Syria, Intego, 17 settembre 2013, http://www.
intego.com/mac-security-blog/new-mac-trojan-discovered-related-to-syria/
2. An Analysis of the Zeus Peer-to-Peer Protocol, Dennis Andriesse and Herbert Bos,
VU University Amsterdam, Paesi Bassi, Technical Report IR-CS-74, rev. 8 maggio
2013, http://www.few.vu.nl/~da.andriesse/papers/zeus-tech-report-2013.pdf
28.Mac Spyware: OSX/KitM (Kumar in the Mac), F-Secure, 22 maggio 2013,
http://www.f-secure.com/weblog/archives/00002558.html
29.New Signed Malware Called Janicab, http://www.thesafemac.
com/new-signed-malware-called-janicab/
3. Symantec Uses Vulnerability to Take Out Part of the ZeroAccess
Botnet, CSO, http://www.csoonline.com/article/740626/symantecuses-vulnerability-to-take-out-part-of-the-zeroaccess-botnet
30.OSX/FkCodec-A, Detailed Analysis, Sophos, 11 giugno 2013, https://
secure2.sophos.com/en-us/threat-center/threat-analyses/virusesand-spyware/OSX~FkCodec-A/detailed-analysis.aspx
4. CryptoLocker Ransomware - See How It Works, Learn about Prevention,
Cleanup and Recovery, Sophos Naked Security, http://nakedsecurity.
sophos.com/2013/10/18/cryptolocker-ransomware-see-how-itworks-learn-about-prevention-cleanup-and-recovery/
31.FBI Ransomware Now Targeting Apple’s Mac OS X Users, Malwarebytes,
15 luglio 2013, http://blog.malwarebytes.org/fraud-scam/2013/07/
fbi-ransomware-now-targeting-apples-mac-os-x-users/
5. Destructive Malware “CryptoLocker” on the Loose - Here’s What to Do,
Sophos Naked Security, 12 ottobre 2013, http://nakedsecurity.sophos.
com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/
32.Apple Gets Aggressive - Latest OS X Java Security Update Rips Out
Browser Support, Paul Ducklin, Sophos Naked Security, 18 ottobre 2012,
http://nakedsecurity.sophos.com/2012/10/18/apple-gets-aggressivelatest-os-x-java-security-update-rips-out-browser-support/
6. With Carberp Source Code’s Release, Security Pros Expect the Worst,
CSO Online, 27 giugno 2013, http://www.csoonline.com/article/735569/
with-carberp-source-code-s-release-security-pros-expect-the-worst
33.Apple Ships OS X 10.8.5 Security Update - Fixes “sudo” Bug At Last, Paul
Ducklin, Sophos Naked Security, 13 settembre 2013, http://nakedsecurity.sophos.
com/2013/09/13/apple-ships-os-x-10-8-5-security-update-fixes-sudo-bug-at-last/
7. Carberp: The Never Ending Story, We Live Security, 25 marzo 2013, http://
www.welivesecurity.com/2013/03/25/carberp-the-never-ending-story/
34.Rampant Apache Website Attack Hits Visitors With Highly Malicious
Software, Ars Technica, 3 luglio 2013, http://arstechnica.com/
security/2013/07/darkleech-infects-40k-apache-site-addresses/
8. Shylock Financial Malware Back and Targeting Two Dozen Major
Banks, ThreatPost, 18 settembre 2013, http://threatpost.com/shylockfinancial-malware-back-and-targeting-two-dozen-major-banks
9. Cyber-thieves Blamed for Leap in Tor Dark Net Use, BBC News, 6
settembre 2013, http://www.bbc.co.uk/news/technology-23984814
35.Rogue Apache Modules Pushing Iframe Injections Which Drive Traffic to Blackhole
Exploit Kit, Fraser Howard, Sophos Naked Security, 5 marzo 2013, http://nakedsecurity.
sophos.com/2013/03/05/rogue-apache-modules-iframe-blackhole-exploit-kit/
10.Bitcoincharts.com, http://bitcoincharts.com/charts/
mtgoxUSD#rg60ztgSzm1g10zm2g25zv
36.Blackhole Malware Toolkit Creator ‘Paunch’ Suspect Arrested, ZDNet, 9 ottobre 2013,
http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/
11.Back Channels and Bitcoins: ZeroAccess’ Secret C&C Communications, James
Wyke, Senior Threat Researcher, SophosLabs, Virus Bulletin, ottobre 2013, http://
www.sophos.com/en-us/medialibrary/PDFs/technical papers/Wyke-VB2013.pdf
37.Blackhole Exploit Kit Author Arrested in Russia, ComputerWorld, 8
ottobre 2013, http://www.computerworld.com/s/article/9243061/
Blackhole_exploit_kit_author_arrested_in_Russia
12.The Delicate War Between Bitcoin Miners and Botnet Miners, Red Orbit,
28 marzo 2013, http://www.redorbit.com/news/technology/1112812519/
bitcoin-miners-versus-botnet-miners-032813/
38.Lifting the Lid on the Redkit Exploit Kit, Fraser Howard, Sophos
Naked Security, 3 maggio 2013, http://nakedsecurity.sophos.
com/2013/05/03/lifting-the-lid-on-the-redkit-exploit-kit-part-1/
13.Botcoin: Bitcoin Mining by Botnet, Krebs on Security, 18 luglio 2013, http://
krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet/
39.The Four Seasons of Glazunov: Digging Further into Sibhost and Flimkit, Fraser Howard,
Sophos Naked Security, 2 luglio 2013, http://nakedsecurity.sophos.com/2013/07/02/
the-four-seasons-of-glazunov-digging-further-into-sibhost-and-flimkit/
14.GinMaster: A Case Study in Android Malware, Rowland Yu,
SophosLabs Australia, Virus Bulletin, ottobre 2013, http://www.
virusbtn.com/pdf/conference_slides/2013/Yu-VB2013.pdf
40.Hide and Seek - How Targeted Attacks Hide Behind Clean Applications,
Gabor Szappanos, SophosLabs Hungary, ottobre 2013, Virus Bulletin, http://
www.virusbtn.com/conference/vb2013/abstracts/LM1-Szappanos.xml
15.Billion Dollar Botnets, Cathal Mullaney, Symantec, presented at Virus Bulletin, ottobre
2013, http://www.virusbtn.com/conference/vb2013/abstracts/Mullaney.xml
41.Plugx “Malware Factory” Celebrates CVE-2012-0158 Anniversary with Version 6.0, Gabor
Szappanos, Principal Researcher, SophosLabs, maggio 2013, http://sophosnews.files.
wordpress.com/2013/05/sophosszappanosplugxmalwarefactoryversion6-rev2.pdf
16.Hey Android, Are You Frightened of FakeAV plus Ransomware?
Rowland Yu, SophosLabs, ottobre 2013
17.Revealed! The Top Five Android Malware Detected in the Wild, Graham
Cluley, Sophos Naked Security, 14 giugno 2012, http://nakedsecurity.
sophos.com/2012/06/14/top-five-android-malware/
42.The Windows DLL Loading Security Hole, Dr Dobbs Journal, 9 settembre 2010, http://
www.drdobbs.com/windows/the-windows-dll-loading-security-hole/227400009
18.Qadars: A New Banking Malware With a Fraudulent Mobile Application
Component, 2 ottobre 2013, http://www.lexsi-leblog.com/cert-en/qadars-newbanking-malware-with-fraudulent-mobile-application-component.html
44.Windows XP SP3 and Office 2003 Support Ends 8, 2014, Microsoft,
http://www.microsoft.com/en-us/windows/endofsupport.aspx
43.NetMarketShare, http://www.netmarketshare.com/
45.The Risk of Running Windows XP After Support Ends, Tim Rains,
Microsoft Security Blog, April 2014, http://blogs.technet.com/b/security/
archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx
19.Google Play Developer Program Policies, https://play.google.
com/about/developer-content-policy.html
20.Graphic inspired by The Scrap Value of a Hacked PC, Revisited, Krebs On Security,
http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
46.Windows XP End of Life Affects PCI Compliance, Credit Card Processing
Space, 6 marzo 2013, http://www.creditcardprocessingspace.
com/windows-xp-end-of-life-affects-pci-compliance/
21.CVE Details: WordPress Vulnerabilities, http://www.cvedetails.
com/vulnerability-list/vendor_id-2337/product_id-4096/
47.Windows XP End-of-Life Could Cripple PCI Compliance, Walter Conway,
6 febbraio 2013, Storefront Backtalk, http://storefrontbacktalk.com/
securityfraud/windows-xp-end-of-life-could-cripple-pci-compliance/
22.Hacker Publishes Alleged Zero-Day Exploit for Plesk, Parity News,
6 giugno 2013, http://www.paritynews.com/2013/06/06/1112/
hacker-publishes-alleged-zero-day-exploit-for-plesk/
48.Dexter Malware Targeting Point-of-Sale (POS) Systems, Visa Data Security Alert,
dicembre 2012, http://usa.visa.com/download/merchants/alert-dexter-122012.pdf
23.Exclusive: Apple, Macs Hit by Hackers Who Targeted Facebook, Reuters, 19 febbraio 2013,
http://www.reuters.com/article/2013/02/19/us-apple-hackers-idUSBRE91I10920130219
49.FDA Safety Communication: Cybersecurity for Medical Devices and Hospital
Networks, U.S. Food and Drug Administration, 13 giugno 2013, http://www.
fda.gov/medicaldevices/safety/alertsandnotices/ucm356423.htm
24.Microsoft Also Victim of Recent Watering Hole Attack, Help Net Security, 25
febbraio 2013, https://www.net-security.org/secworld.php?id=14482
50.Computer Viruses Are “Rampant” on Medical Devices in Hospitals, MIT Technology
Review, 17 ottobre 2012, http://m.technologyreview.com/computing/41511/
25.Mac Backdoor Trojan Embedded Inside Boobytrapped Word Documents,
Sophos Naked Security, 30 marzo 2012, http://nakedsecurity.
sophos.com/2012/03/30/mac-malware-backdoor/
51.Following the Tracks: Understanding Snowshoe Spam, Brett Cove, SophosLabs,
http://sophosnews.files.wordpress.com/2011/10/vb2011-snowshoe2.pdf
26.Chinese Uyghur Dissidents Targeted by Mac Malware, Ben Weitzenkorn, TechNewsDaily,
15 febbraio 2013, http://www.technewsdaily.com/16937-china-uyghur-attacks.html
30
Copyright 2013 Sophos Ltd. Tutti i diritti riservati.
Sophos e Sophos Anti-Virus sono marchi registrati di Sophos Ltd. e Sophos Group. Tutti gli altri nomi di prodotti e aziende citati sono marchi o marchi registrati dei
rispettivi proprietari. Le informazioni contenute nel Rapporto sulla sicurezza sono esclusivamente a scopo di informazione generale. Sono fornite da Sophos e SophosLabs e NakedSecurity.sophos.com. Mentre le informazioni vengono mantenute aggiornate e corrette, non si rilasciano dichiarazioni o garanzie, esplicite o implicite,
di alcun tipo e per scopo alcuno in merito a completezza, accuratezza, affidabilità, adeguatezza o disponibilità in merito al sito o a informazioni, prodotti, servizi o
relativa grafica contenuti in questo documento. Qualsiasi affidamento venga riposto su tale informazioni è quindi effettuato a proprio rischio.
Vendite per Italia:
Tel: (+39) 02 911 808
E-mail: [email protected]
Oxford, Regno Unito | Boston, USA
© Copyright 2013. Sophos Ltd. Tutti i diritti riservati.
Registrata in Inghilterra e Galles con No 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Regno Unito
Sophos è un marchio registrato da Sophos Ltd. Tutti gli altri nomi di società e prodotti qui menzionati sono marchi o marchi
registrati dei rispettivi titolari.
1091-11.13DD.it.simple