Le minacce online sono sempre più temibili. Ecco a cosa prestare particolare attenzione

Yoroi, società italiana di cyber security, annuncia la prima edizione del proprio Cybersecurity Annual Report, inteso ad aiutare i responsabili aziendali e gli addetti ai lavori a comprendere l’origine dei principali attacchi per attuare le azioni difensive più indicate per la propria organizzazione.

 

L’obiettivo del report è quello di fornire ai lettori le informazioni e gli strumenti atti a comprendere il modo in cui le minacce informatiche si distribuiscono, quali vulnerabilità sfruttano, quali tecniche utilizzano per infettare le vittime e quanto siano stati abili i sistemi antivirus nell’individuare attacchi e minacce. Si tratta quindi di un compendio utile agli addetti ai lavori per indirizzare la propria attenzione verso le minacce che possono colpirli con una maggiore probabilità, in accordo con la propria tipologia di business.

“Negli ultimi anni abbiamo osservato un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto,” dichiara Marco Ramilli, fondatore e CTO di Yoroi. “I criminali informatici oggi sono capaci creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni”. “Intelligenza artificiale o machine learning,” conclude Ramilli “sono componenti che si inseriscono in questo processo per supportare il lavoro e le competenze degli analisti, non per sostituirli.”

Il documento è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato nella finestra temporale tra il 1 gennaio 2017 e il 31 dicembre 2017. Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst – gli analisti di Yoroi – al fine di eliminare falsi positivi e/o problemi di classificazione. Non sono inclusi dati provenienti da fonti “terze”.

Data Leak

Gli analisti di Yoroi hanno analizzato le principali fughe di informazioni, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel darknet. Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% dei casi (289.799) ha riguardato domini unici riconducibili a organizzazioni italiane. Inoltre, il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).

Malware

La sezione dedicata al malware indica i volumi di propagazione delle minacce per percorso, come ad esempio: e-mail, web, social media, etc., e riconduce la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus. Inoltre, i ricercatori di Yoroi hanno studiato le percentuali di infezione per percorso di propagazione mettendole in relazione alla tipologia del business delle vittime.

Le principali minacce e i vettori di attacco

Ransomware si conferma il malware che ha colpito maggiormente nel corso del 2017. Fa capo al ceppo Rasomware il 50% del malware individuato e bloccato dal Cyber Security Defence Center di Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali (Sistemi AntiVirus, Sistemi Proxy, NextGeneration Firewall, Intrusion Detection and Prevention Systems, SandBoxes, etc.), seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro malware (1%).

I principali vettori degli attacchi malware individuati dagli analisti di Yoroi sono riconducibili a office (61%), script (23%), executable (14%), archive (1%), pdf (1%). “Nonostante le vaste e annose campagne di sensibilizzazione contro l’invio e l’utilizzo di file eseguibili,” commenta Ramilli, “abbiamo riscontrato che vi è ancora un 14% di attacchi che utilizzano file di questa natura per infettare le vittime.”

La tipologia di vettori di attacco basati su “script” (file con estensione .scr, .js, .jar, vbs) risulta essere di complessa individuazione da parte dei normali motori basati su signature e anche dalle più recenti soluzioni di SandBoxing in quanto spesso implementano sistemi di evasione. Per lo più il percorso di propagazione avviene su email (89%) o per download diretto (11%).

I settori più colpiti

Il report include una sezione dedicata alla correlazione tra malware e settori verticali, prendendo in esame sia la tipologia di attacco sia i principali vettori, sia i metodi di propagazione.

Il settore bancario si conferma tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware “Banker”. I settori Tessile e Abbigliamento, Bevande, Attrezzatture macchinari e Trasporti sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura “criminale” a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, incrociando i dati con quelli riguardanti la tipologia dei vettori delle minacce si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).

DNS Blocked Threats

La sezione dedicata alle minacce bloccate a livello di DNS include una disamina dei principali domini pericolosi (TOP malicious domain) contattati nel corso del 2017, le principali categorie di attacco individuate e una indicativa distribuzione per dominio. Si tratta di minacce che prevedono che le vittime siano indotte ad aprire un link contenente oggetti malevoli come per esempio: “malware”, “Exploit Kit” e/o documenti infetti, sia attraverso “malwertising”, sia attraverso tecniche come il “social engineering” anche attraverso email di “phishing”.

Le minacce bloccate a livello di DNS, sono state bloccate a “valle” dai sistemi di protezione perimetrale e sono le minacce che risultano essere penetrate eludendo i sistemi utilizzati dalla vittima stessa (Simda 30%, Cryptor 27%, Betabot 17% e Tinba (12%).