Home News Minacce informatiche: fondamentale la condivisione delle informazioni

Minacce informatiche: fondamentale la condivisione delle informazioni

-

Tempo di lettura: 4 minuti

La piattaforma di cloud delivery Akamai Technologies ha da poco pubblicato il Rapporto sullo stato di Internet/Security Carrier Insights. Secondo lo studio, la condivisione delle informazioni rappresenta un fattore importante nella difesa contro le minacce informatiche. Il rapporto analizza i dati provenienti da 14 mila miliardi di query DNS raccolte da Akamai tra settembre 2017 e febbraio 2018 dalle reti dei provider dei servizi di comunicazione (CSP) in tutto il mondo.

Per oltre 19 anni Nominum, acquisita da Akamai nel 2017, ha sfruttato i dati dettagliati delle query DNS per migliorare la protezione complessiva contro sofisticati attacchi informatici, come gli attacchi ransomware, trojan, botnet e DDoS (Distributed Denial of Service). Il rapporto di Akamai, stilato in base alle informazioni degli operatori, si fonda sull’esperienza di Nominum e sottolinea l’efficacia della sicurezza basata sul DNS, che viene potenziata dai dati provenienti da altri livelli di sicurezza. Questo approccio stratificato alla sicurezza consiste nell’utilizzo congiunto di varie soluzioni per la sicurezza al fine di proteggere in modo completo i dati di un’organizzazione.

“La comprensione da parte degli esperti di sicurezza dei singoli attacchi sferrati contro i diversi sistemi non è sufficiente nel complicato scenario delle minacce dei giorni nostri”, ha affermato Yuriy Yuzifovich, Director of Data Science, Threat Intelligence, Akamai. “La comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Riteniamo che le query DNS fornite dal nostro servizio siano componenti strategiche che ci consentono di offrire ai team addetti alla sicurezza i dati necessari per avere una visione complessiva del panorama delle minacce.”

Come contrastare la botnet Mirai: la collaborazione in azione

La collaborazione tra i team all’interno di Akamai ha svolto un ruolo di cruciale importanza nell’individuazione dei domini C&C (Command and Control) di Mirai nell’intento di rendere più completo il rilevamento della botnet Mirai per il futuro. L’Akamai Security Intelligence and Response Team (SIRT) ha seguito la botnet Mirai fin dai suoi esordi, utilizzando vari sistemi per attirarla in modo da poter rilevare le comunicazioni Mirai e identificare i relativi server C&C.

A fine gennaio 2018, i team SIRT e Nominum di Akamai hanno condiviso un elenco di oltre 500 domini C&C sospetti. L’obiettivo di questa operazione era comprendere se, utilizzando i dati DNS e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini C&C per rendere più completo il rilevamento della botnet Mirai in futuro. Tramite vari livelli di analisi, i due team di Akamai sono riusciti ad ampliare il dataset C&C di Mirai rilevando una connessione tra le botnet Mirai e i distributori del ransomware Petya.

Questa analisi congiunta ha suggerito un’evoluzione delle botnet IoT, passate da un utilizzo quasi esclusivo per sferrare attacchi DDoS ad attività più sofisticate, come la distribuzione di ransomware e il crypto-mining. Le botnet IoT sono difficili da rilevare perché per molti utenti generano solo minimi indicatori di compromissione, nonostante questo la ricerca congiunta effettuata da parte di questi team ha permesso di individuare e bloccare dozzine di nuovi domini C&C in modo da controllare l’attività della botnet.

Criptominer Javascript: un modello di business nascosto

L’aumento esponenziale dell’adozione da parte dei consumatori di criptovalute ha portato ad un incremento evidente e netto nel numero di malware di crypto-mining e nel numero di dispositivi infetti.

Akamai ha osservato due distinti modelli di business per il crypto-mining su larga scala. Il primo modello usa la potenza di elaborazione dei computer infetti per generare token di criptovalute. Il secondo modello usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer. Akamai ha condotto una dettagliata analisi su questo secondo modello di business poiché pone una nuova sfida in termini di sicurezza agli utenti e ai proprietari di siti web. Dopo aver analizzato i domini di cryptominer, Akamai è riuscita a stimare i costi relativi alla potenza di elaborazione e ai guadagni economici derivanti da questa attività. Un’interessante implicazione di questa ricerca dimostra come il crypto-mining potrebbe diventare una valida alternativa ai ricavi pubblicitari per sponsorizzare i siti web.

Minacce in continua evoluzione: i nuovi obiettivi di exploit e malware

La sicurezza informatica non è un settore statico: i ricercatori hanno osservato che gli hacker sfruttano tecniche già usate in passato per riutilizzarle nell’attuale panorama digitale. Akamai ha raccolto questi dati per più di sei mesi, rilevando alcuni noti exploit e campagne di malware che mostrano significativi cambiamenti nelle loro procedure operative e in particolare:

  • È emerso che il protocollo WPAD (Web Proxy Auto-Discovery) è stato utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017. Il protocollo WPAD è progettato per essere utilizzato su reti protette (ad es., le LAN) e lascia i computer vulnerabili ad attacchi significativi una volta esposti a Internet.
  • Gli autori di malware stanno attaccando le credenziali di accesso dei social media, oltre ai dati finanziari. Terdot, una branca della botnet Zeus, crea un proxy locale e consente agli autori degli attacchi di eseguire attività di cyberspionaggio e di divulgare “fake news” sul browser della vittima.
  • La botnet Lopai è un esempio di come gli autori di botnet stiano creando strumenti più flessibili. Questo malware per dispositivi mobili si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.

 

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Gruppo IMQ

    Il Gruppo IMQ acquisisce Intuity e Minded Security

    Prosegue la crescita del Gruppo IMQ, che si rafforza divenendo uno tra i riferimenti del settore
    GPAI, il Partenariato Globale sull'Intelligenza artificiale

    Webinar: Intelligenza artificiale e responsabilità dell’ingengere

    L’Ordine degli Ingegneri della Provincia di Milano e UNI Ente Italiano di Normazione ti invitano martedì 29 settembre 2020 dalle ore 16.00 alle ore 19.00 al webinar
    Physics for Technologies and Innovation: ML alla Cattolica di Brescia

    Physics for Technologies and Innovation: Machine Learning alla Cattolica di Brescia

    Il percorso di studi è erogato in inglese con un’ampia scelta di corsi nei campi di Innovation Management e Data Science
    Italia in vetta alle classifiche mondiali per malware e ransomware

    Italia in vetta alle classifiche mondiali per attacchi malware e ransomware

    Il nostro Paese è l’ottavo al mondo più colpito dai malware e l’undicesimo per attacchi ransomware
    Top Startups Italia 2020: le 10 migliori startup italiane

    Top Startups Italia 2020: le 10 migliori startup italiane

    LinkedIn presenta la prima classifica annuale per il nostro paese delle migliori startup emergenti