Le minacce più temibili dell’ultimo trimestre

Periscope

Il Report McAfee Labs sulle minacce: dicembre 2018 ha esaminanto le attività relative ai cybercriminali informatici e l’evoluzione delle cyber minacce diffuse nel corso del terzo trimestre 2018.  McAfee Labs ha visto una media di 480 nuove minacce al minuto e un forte aumento dei malware che hanno colpito i dispositivi IoT. L’effetto a catena degli attacchi del 2017 ai mercati dark web Hansa e AlphaBay è proseguito mentre i criminali informatici hanno adottato nuove misure per eludere le forze dell’ordine.

“I criminali informatici sono ansiosi di attaccare i punti di vulnerabilità sia nuovi che esistenti, e il numero di servizi ora disponibili sui mercati clandestini ha aumentato notevolmente la loro efficacia”, ha dichiarato Christiaan Beek, Lead Scientist di McAfee. “I criminali informatici forti dei successi che continuano ad ottenere con attacchi che prevedono il pagamento di riscatti, o con semplici attacchi come nei casi delle campagne di phishing, continueranno ad usare queste tecniche. Seguendo le tendenze emergenti nei mercati clandestini e nei forum nascosti i responsabili della sicurezza informatica sapranno come continuare a difendersi dagli attacchi attuali e rimarranno un passo avanti nei confronti di quelli futuri”.

Ogni trimestre, McAfee valuta lo status del panorama delle minacce informatiche sulla base di ricerche approfondite, analisi investigative e dati sulle minacce raccolti dal cloud McAfeeâ Global Threat Intelligence che conta oltre un miliardo di sensori per molteplici vettori di minacce in tutto il mondo.

I forum sotterranei e le chat nascoste dei criminali informatici rivelano i trend

Il terzo trimestre del 2018 ha visto i mercati Dream, Wall Street e Olympus reclamare quote di mercato, fino alla misteriosa scomparsa di Olympus. Nel tentativo di eludere le forze dell’ordine e creare fiducia direttamente con i clienti, alcuni criminali informatici con spirito imprenditoriale hanno smesso di utilizzare i mercati più grandi per vendere i loro prodotti e hanno iniziato a creare i loro negozi specializzati. Questo cambiamento ha creato un nuovo business per i progettisti di siti web che si offrono di costruire mercati nascosti per gli aspiranti imprenditori clandestini.

“I criminali informatici hanno una natura molto opportunistica”, ha affermato John Fokker, responsabile delle indagini sulla criminalità informatica di McAfee. “Le minacce informatiche che affrontiamo oggi sono iniziate tempo fa come conversazioni su forum nascosti e sono cresciute fino a diventare prodotti e servizi disponibili nel mercato clandestino. Inoltre, i marchi che vediamo emergere offrono molto ai criminali informatici: tassi di infezione più elevati e sicurezza operativa e finanziaria.”

I forum degli hacker forniscono ai criminali informatici il luogo adatto in cui discutere con i loro pari di argomenti legati alla criminalità informatica. I ricercatori di McAfee hanno intercettato conversazioni sui seguenti argomenti nel terzo trimestre:

  • Violazioni di successo alimentano i mercati dei dati e degli attacchi basati sull’emulazione
    • Credenziali utente: a causa di molte recenti violazioni in cui sono stati coinvolti dati su larga scala, le credenziali dell’utente rimangono un aspetto molto allettante. Gli account email violati sono di particolare interesse per i criminali informatici in quanto vengono utilizzati per ripristinare le credenziali di accesso ad altri servizi online.
    • Malware per i siti di e-commerce: i criminali informatici hanno spostato la loro attenzione dai sistemi dei punti vendita alle piattaforme di pagamento dei grandi siti di e-commerce. Gruppi di criminali informatici, come Magecart, sono riusciti a prelevare migliaia di dati delle carte di credito direttamente dai siti web presi di mira, il che ha alimentato la domanda di dati delle carte di credito e degli strumenti dannosi che possono essere utilizzati per rubarli. Inoltre, dato che le aziende implementano sempre nuovi livelli per le loro misure di sicurezza, i criminali informatici rispondono di conseguenza. Ad esempio, quando le aziende aggiungono controlli geografici per verificare l’ubicazione geografica dell’IP per gli acquisti online, aumenta la richiesta di computer compromessi con lo stesso codice di avviamento postale dei dati della carta di credito rubati.
  • Continuano ad essere molto diffusi i metodi di ingresso e attacco comuni
    • Vulnerabilità ed esposizioni comuni (CVE): i ricercatori McAfee sono stati testimoni di numerose citazioni di CVE in discussioni incentrate sui kit di exploit per browser RIG, Grandsoft e Fallout, e sui ransomware GandCrab. La popolarità di questi argomenti segnala l’importanza della gestione delle vulnerabilità per le aziende di tutto il mondo.
    • Remote Desktop Protocol (RDP): i negozi che offrono accessi ai sistemi informatici in tutto il mondo, dall’abitazione dei consumatori ai dispositivi medici fino ai sistemi governativi, hanno mantenuto la loro popolarità in tutto il terzo trimestre. Questi negozi offrono un’occasione unica per i criminali informatici che cercano di commettere frodi, vendendo l’accesso ai RDP e i numeri di previdenza sociale, le coordinate bancarie e l’accesso al conto online.
    • Ransomware-as-a-Service (RaaS): il ransomware rimane molto diffuso, con una crescita del 45% negli ultimi quattro trimestri e un forte interesse per i forum nascosti per le principali famiglie RaaS come Gandcrab. Il numero di famiglie di ransomware unico è diminuito fin dal 4° trimestre 2017, in quanto sono aumentate le partnership tra i servizi essenziali, come ad esempio la partnership tra il ransomware GandCrab e il servizio di cifratura NTCrypt, osservata nel 3° trimestre. Le partnership e gli schemi di affiliazione hanno migliorato il livello di servizio fornito ai clienti e aumentato le possibilità di successo di un attacco.

Attività delle minacce nel terzo trimestre 2018

Cryptomining e IoT. I dispositivi IoT, come le telecamere o i videoregistratori, non vengono abitualmente utilizzati per il cryptomining perché non hanno la potenza della CPU tipica di computer desktop e laptop. Tuttavia, i criminali informatici hanno preso atto del crescente volume e della scarsa sicurezza di molti dispositivi IoT e hanno iniziato a concentrarsi su di essi, sfruttando migliaia di dispositivi per creare un “super computer per il mining”. Le nuove minacce informatiche mirate ai dispositivi IoT sono cresciute del 72%, con un aumento del 203% del malware totale negli ultimi quattro trimestri. I nuovi malware coinmining sono cresciuti di quasi il 55%, con un aumento del 4,467% negli ultimi quattro trimestri.

Malware senza file. Il nuovo malware JavaScript è cresciuto del 45%, mentre il nuovo malware PowerShell è cresciuto del 24%.

Incidenti in ambito sicurezza. McAfee Labs ha contato 215 incidenti che riguardano la sicurezza che sono stati rivelati pubblicamente, con una diminuzione del 12% rispetto al secondo trimestre. Il 44% di tutti gli incidenti di sicurezza rivelati al pubblico si è verificato nelle Americhe, seguito dal 17% in Europa e dal 13% in Asia-Pacifico.

Obiettivi nei settori verticali. Gli incidenti divulgati che hanno colpito le istituzioni finanziarie sono aumentati del 20%, mentre i ricercatori McAfee hanno osservato un aumento delle campagne di spam che sfruttano tipi di file non comuni, uno sforzo per aumentare le possibilità di eludere le protezioni di base della posta elettronica. I ricercatori di McAfee hanno anche osservato che il malware bancario include operazioni a due fattori negli iniettori web per eludere proprio l’autenticazione a due fattori. A queste tattiche fanno seguito un ampio sforzo da parte degli istituti finanziari per aumentare la sicurezza negli ultimi anni.

Gli incidenti divulgati riguardanti l’assistenza sanitaria sono rimasti allo stesso livello, nel settore pubblico sono diminuiti del 2% e nel settore dell’istruzione del 14%.

Obiettivi regionali. Nel terzo trimestre i ricercatori di McAfee hanno osservato una nuova famiglia di malware, denominata CamuBot, che ha preso di mira il Brasile. CamuBot tenta di camuffarsi come un modulo di sicurezza richiesto dalle istutuzioni finanziarie che cerca di attaccare. Sebbene le bande organizzate di criminali informatici in Brasile siano molto attive nel prendere di mira la propria popolazione, le loro campagne sono state molto grezze in passato. Con CamuBot, i criminali informatici brasiliani sembrano aver imparato dai loro colleghi, adattando i loro malware per renderli più sofisticati e paragonabili a quelli di altri continenti.

Gli incidenti divulgati che colpiscono le Americhe sono diminuiti del 18%, quelli nell’Asia-Pacifico del 22% mentre  in Europa sono aumentati del 38%.

Vettori d’attacco. Il malware è il principale vettore di attacco, seguito dal dirottamento degli account, dalla perdita di dati, dall’accesso non autorizzato e dalle vulnerabilità.

Riscatto. GandCrab, una delle famiglie più attive del trimestre, ha aumentato le richieste di riscatto da 1.000 dollari a 2.400 dollari. I kit di exploit, i metodi per la consegna di molti attacchi informatici, hanno aggiunto supporto per le vulnerabilità e il ransomware. I nuovi campioni di ransomware sono cresciuti del 10%, mentre il totale dei campioni di ransomware è cresciuto del 45% negli ultimi quattro trimestri.

Malware mobile. La diffusione di nuovi malware mobile è diminuita del 24%. Nonostante la tendenza al ribasso, sono apparse alcune insolite minacce in questo ambito, tra cui una falsa app Fortnite e una falsa app di incontri. Con l’obiettivo di colpire i membri delle Forze di Difesa Israeliane, quest’ultima app permetteva l’accesso alla posizione del dispositivo, all’elenco dei contatti e alla fotocamera e aveva la possibilità di ascoltare le telefonate.

Malware in generale. I nuovi campioni di malware sono aumentati del 53%. Il numero totale di campioni di malware è cresciuto del 34% negli ultimi quattro trimestri.

Malware per Mac. I nuovi campioni di malware per Mac OS sono aumentati del 9%. Complessivamente, il malware per Mac OS è cresciuto del 51% negli ultimi quattro trimestri.

Malware delle macro. I nuovi malware delle macro sono aumentati del 32%, con una crescita del 24% negli ultimi quattro trimestri.

Campagne di spam. Il 53% del traffico delle botnet di spam nel terzo trimestre è stato guidato da Gamut, la principale rete botnet di spam che ha prodotto truffe “sextortion”, che richiedono il pagamento e minacciano di rivelare le abitudini di navigazione delle vittime.