Secondo il 2017 SonicWall Annual Threat Report, il 2016 potrebbe essere considerate un anno di grandi successi dal punto di vista di professionisti e cyber criminali. Diversamente dagli anni scorsi, SonicWall ha visto il volume di campioni unici di malware raccolti scendere a 60 milioni rispetto ai 64 milioni del 2015, registrando una riduzione del 6,25 percento. I tentativi di attacco malware sono diminuiti per la prima volta in tanti anni passando a 7,87 miliardi dagli 8,19 miliardi del 2015. Tuttavia, i malviventi hanno guadagnato molto con il ransomware, trainato soprattutto dall’aumento di ransomware-as-a-service (RaaS).
“Non sarebbe corretto affermare che il panorama delle minacce si è ridotto o esteso nel 2016 — piuttosto si è evoluto e modificato”, afferma Bill Conner, presidente e CEO di SonicWall. “La cybersecurity non è una Battaglia ma una corsa agli armamenti, ed entrambe le parti si stanno rivelando incredibilmente capaci e innovative”.
Progressi nel mercato della sicurezza
Gli attacchi malware Point-of-sale sono diminuiti del 93 percento dal 2014 al 2016.
I breach di alto profilo nel settore retail nel 2014 hanno portato le aziende ad adottare misure di sicurezza proattive. Da allora, il settore ha visto l’implementazione di sistemi POS chip-based, l’uso di checklist PCI-DDS (Payment Card Industry Data Security Standard) ed altri processi.
- Nel 2014, il SonicWall GRID Threat Network ha osservato un aumento del 333 percento nel numero di contromisure sviluppate e implementate per malware POS rispetto all’anno precedente.
- Il SonicWall GRID Threat Network ha visto il numero di varianti malware POS ridursi dell’88 percento anno su anno e del 93 percento dal 2014. Questo significa che i cyber criminali sono sempre meno interessati a dedicare tempo all’innovazione dei malware POS.
Il traffico cifrato Secure Socket Layer/Transport Layer Security è salito del 38 percento, parzialmente in risposta alla crescente adozione di applicazioni cloud.
Il trend verso la cifratura SSL/TLS è in crescita da diversi anni. Poiché il traffico web è aumentato nel 2016, così è stato per la cifratura SSL/TLS che è passata da 5,3 trilioni di connessioni web nel 2015 ai 7,3 trilioni nel 2016 secondo il SonicWall GRID Threat Network.
- La maggior parte delle sessioni web che il SonicWall GRID Threat Network ha identificato nell’anno erano SSL/TLS-encrypted, e costituivano il 62 percento del traffico web.
- Uno dei motivi di questo aumento è dovuto alla crescente adozione di applicazioni cloud. Il SonicWall GRID Threat Network ha visto l’uso delle cloud application passare da 88 trilioni nel 2014 a 118 trilioni nel 2015 a 126 trilioni nel 2016.
Nonostante questo trend verso la cifratura SSL/TLS è positivo, richiede un po’ di attenzione. Infatti, se da un lato rende più difficile per i cyber thief l’intercetto di informazioni di pagamento dei consumatori, offre un’inaspettata e fidata backdoor alla rete che i cyber criminali possono sfruttare per far entrare il malware. Il motivo per cui questa misura di sicurezza può diventare un vettore di attacco è che la maggior parte delle imprese non dispone ancora dell’infrastruttura adeguata per effettuare la deep packet inspection (DPI) al fine di identificare il malware nascosto all’interno delle sessioni web SSL/TLS-encrypted.
Exploit kit dominant come Angler, Nuclear e Neutrino sono scomparsi a metà del 2016.
All’inizio del 2016 il mercato del malware era dominato da una manciata di exploit kit, in particolare Angler, Nuclear e Neutrino. A seguito dell’arresto di oltre 50 hacker russi per l’uso di Lurk Trojan al fine di perpetrare frodi bancarie, il SonicWall GRID Threat Network ha visto scomparire improvvisamente l’Angler exploit kit, facendo pensare che i suoi creatori fossero tra i criminali arrestati.[i] Per breve tempo dopo la scomparsa di Angler, la presenza di Nuclear e Neutrino è aumentata, ma sono anch’essi spariti rapidamente.
- Il SonicWall GRID Threat Network ha visto che gli exploit kit rimanenti si sono frammentati in versioni più piccole al fine di colmare questo vuoto. Entro il terzo trimestre 2016, Rig si era evoluto in tre versioni che sfruttavano diversi schemi URL, cifratura delle landing page e payload delivery encryption.
- Come per lo spam e altri modelli distributive, nel 2016 SonicWall ha rilevato exploit kit divenire parte della macchina di somministrazione del ransomware, con varianti di Cerber, Locky, CrypMIC, BandarChor, TeslaCrypt e altri utilizzati come payload primari nel corso dell’anno. Tuttavia, gli exploit kit non si sono mai ripresi dal colpo ricevuto all’inizio dell’anno con la scomparsa delle famiglie dominanti.
Progressi dei cyber criminali
L’uso del ransomware è cresciuto di 167x anno su anno ed è stato il payload prescelto per campagne email malevole ed exploit kit.
Il SonicWall GRID Threat Network ha identificato una crescita negli attacchi che sono passati da 3,8 milioni nel 2015 a 638 milioni nel 2016. La nascita del ransomware-as-a-service ha reso il ransomware molto più semplice da ottenere e implementare. L’aumento senza precedenti del malware è stato trainato da un accesso più facile al mercato nero, dal costo contenuto per perpetrare un attacco ransomware, dalla facilità di distribuzione e dal basso rischio di venire presi e puniti.
- Il ransomware è cresciuto costantemente nel 2016, a partire da marzo quando i tentativi di attacco sono passati da 282.000 a 30 milioni nel corso del mese, e hanno continuato a salire fino ai 266,5 milioni nel quarto trimestre.
- Il payload più diffuso per le campagne email malevole nel 2016 è stato il ransomware, tipicamente Locky, adottato nel 90 percento degli attacchi Nemucod e in più di 500 milioni di attacchi nell’anno.
- Nessun settore è stato risparmiato. I mercati sono stati colpiti in egual misura tra cui meccanico e industrial engineering (15%), farmaceutico e servizi finanziari (ciascuno 13%), e immobiliare (12%) al terzo posto.
I dispositivi Internet of Things sono stati compromessi su scala massiva a causa di scarse funzionalità di sicurezza, aprendo la porta ad attacchi distributed denial-of-service.
Con l’integrazione nei componenti chiave delle nostre vite private e lavorative, i dispositivi IoT hanno rappresentato un interessante vettore di attacco per i cyber criminali nel 2016. Le lacune nella sicurezza IoT hanno permesso ai cyber thief di lanciare i più estesi attacchi distributed denial-of-service (DDoS) della storia, sfruttando centinaia di migliaia di device IoT dotati di deboli password telnet per perpetrare attacchi DDoS con il Mirai botnet management framework.
- Il SonicWall GRID Threat Network ha osservato vulnerabilità in tutte le categorie di dispositivi IoT, compresi smart camera, smart wearable, smart home, smart vehicle, smart entertainment e terminali intelligenti.
- Durante il picco Mirai che è iniziato a novembre 2016, il SonicWall GRID Threat Network ha verificato che gli Stati Uniti sono stati il paese più colpito con il 70 percento degli attacchi DDoS, seguito da Brasile (14%) e India (10%).[ii]
I dispositivi Android™ dispongono di maggiore sicurezza ma sono sempre vulnerabili agli attacchi overlay.
Google ha lavorato molto nel 2016 per eliminare le vulnerabilità e gli exploit sfruttati dai cyber criminali contro Android in passato, ma i malviventi si sono avvalsi di nuove tecniche per superare queste migliorie.[iii],[iv]
- Il SonicWall GRID Threat Network ha notato che i cyber criminali usano gli screen overlay per mimare schermate di app legittime e indurre gli utenti a inserire informazioni di login e altri dati. Quando Android ha risposto per contrastare questi attacchi, SonicWall ha visto che i malviventi hanno superato queste misure convincendo gli utenti con l’inganno ad abilitare gli overlay.[v]
- Le app adult-centric compromesse sono diminuite su Google Play ma i cyber criminali hanno continuato a mietere vittime sugli app store di terze parti. Il ransomware è stato un mezzo molto utilizzato, così come le app auto-installanti. Il SonicWall GRID Threat Network ha osservato oltre 4.000 app diverse con self-installing payload in sole due settimane.[vi],[vii]
[i] Kevin Townsend, “Did Angler Exploit Kit Die with Russian Lurk Arrests?” Security Week, June 13, 2016, http://www.securityweek.com/did-angler-exploit-kit-die-russian-lurk-arrests
[ii] Nicky Woolf, “DDoS attack that disrupted internet was largest of its kind in history, experts say,” The Guardian, October 26, 2016, https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet
[iii] John E Dunn, “Android Marshmallow’s 10 most important security features,” Techworld, September 30, 2015, http://www.techworld.com/picture-gallery/security/android-marshmallows-10-most-important-security-features-3626468/
[iv] Al Sacco, “Google details security features in Android 7.0 ‘Nougat,’” CIO, August 16, 2016, http://www.cio.com/article/3108382/android/google-details-security-features-in-android-7-0-nougat.html
[v] “Malicious banker tries to bypass Android Marshmallow security barriers,” SonicWall Security Center, September 16, 2016, https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=967
[vi] “New Android Lockscreen campaign spotted in the wild,” SonicWall Security Center, May 12, 2016, https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=929
[vii] “Self-installing porn apps rampage the Android ecosystem,” SonicWall Security Center, June 17, 2016, https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=940
