Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Contenuti

Alla fine del 2014 abbiamo pubblicato le nostre previsioni riguardo alla possibile evoluzione degli avvenimenti nel mondo della cyber-(in)sicurezza nell’anno 2015. Quattro delle nove previsioni da noi complessivamente stilate risultavano direttamente correlate alle minacce IT dirette a società ed organizzazioni. Tali previsioni si sono poi rivelate corrette: tre delle quattro situazioni da noi ipotizzate, infatti, si sono puntualmente verificate:

  • Conduzione, da parte dei cybercriminali, di attacchi di natura mirata riconducibili alla categoria delle APT – Sì.
  • Frammentazione e diversificazione degli attacchi eseguiti dai gruppi АРТ – Sì.
  • Escalation degli attacchi rivolti ai bancomat e ai terminali PoS – Sì.
  • Attacchi nei confronti dei sistemi di pagamento virtuali – No.

Esamineremo, qui di seguito, gli incidenti informatici più significativi occorsi nel 2015; riassumeremo, inoltre, le nuove tendenze da noi individuate riguardo al tema della sicurezza informatica nell’ambito delle attività di business.

L’anno in cifre

  • Nel 2015, sul 58% dei computer aziendali è stato respinto perlomeno un attacco da parte di software nocivo; tale indice evidenzia un aumento di 3 punti percentuali rispetto all’analogo valore rilevato nell’anno precedente.
  • Il 29% dei computer utilizzati per la conduzione delle attività societarie, ovvero quasi un terzo degli stessi, è risultato sottoposto ad almeno un attacco via Internet.
  • Nell’ambito degli attacchi informatici eseguiti nei confronti di società ed organizzazioni, gli exploit destinati alle applicazioni per il lavoro d’ufficio vengono utilizzati con una frequenza 3 volte superiore rispetto a quella che si registra relativamente agli attacchi condotti a danno degli utenti domestici.
  • Il nostro modulo Anti-Virus File è entrato in azione sul 41% dei computer in uso presso gli utenti corporate (sono stati rilevati, nella circostanza, oggetti individuati direttamente sui computer aziendali oppure sulle unità rimovibili ad essi collegate — flash drive USB, schede di memoria, telefoni, hard disk esterni, dischi di rete).

Gli attacchi mirati nei confronti delle imprese: APT e cybercriminali

Il 2015 sarà ricordato per una serie di attacchi APT condotti nei confronti di società ed organizzazioni. L’arsenale e i metodi di cui si sono avvalsi i malintenzionati sono risultati molto simili a quelli da noi individuati nel corso delle analisi effettuate riguardo agli attacchi APT; la differenza sostanziale, ad ogni caso, è rappresentata dal fatto che, dietro tali attacchi, non si celavano strutture statali, bensì “semplici” criminali informatici. Sebbene i cybercriminali, nella circostanza, abbiano utilizzato metodi alquanto insoliti nell’ambito del crimine informatico “tradizionale”, lo scopo principale degli attacchi in questione è rimasto sostanzialmente invariato: ottenere profitti di natura finanziaria.

Un chiaro esempio relativo all’introduzione degli attacchi mirati APT nel quadro degli attacchi informatici diretti alle organizzazioni finanziarie, è indubbiamente rappresentato dall’operazione Carbanak. Si è trattato di una vera e propria cyber-rapina bancaria, perpetrata nell’era digitale: i malfattori sono penetrati all’interno della rete informatica degli istituti bancari vittima, ed hanno poi individuato un sistema critico di fondamentale importanza, attraverso il quale sono state in seguito sottratte cospicue somme di denaro dalle casse dell’organizzazione finanziaria sottoposta ad attacco. Ogni volta, dopo aver realizzato il furto di una somma davvero considerevole (dai 2,5 ai 10 milioni di dollari), i criminali hanno immediatamente cercato di individuare la vittima successiva.

La maggior parte delle vittime di tale campagna nociva è stata riscontrata nell’Europa Orientale. L’operazione Carbanak, tuttavia, è risultata essere ugualmente diretta ad organizzazioni situate sul territorio di Stati Uniti, Germania e Cina. Complessivamente, su scala mondiale, si contano oltre 100 vittime di tale attacco; le perdite totali subite da parte delle organizzazioni-vittima (si è trattato principalmente di banche) possono addirittura raggiungere il miliardo di dollari.

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Non bisogna tuttavia dimenticare come anche le informazioni possano essere ritenute di grande valore, soprattutto se si può far uso delle stesse al momento di concludere un affare, oppure quando si opera nell’ambito di borse di vario genere, relative allo scambio di merci, titoli e valute, incluso le criptovalute. Un esempio di attacco mirato, condotto allo scopo di entrare in possesso di simili informazioni, è rappresentato da Wild Neutron (conosciuto ugualmente con gli appellativi di Jripbot e Morpho). Si è parlato per la prima volta in maniera diffusa di tale campagna di cyber-spionaggio nel 2013, quando sono risultate vittime di Wild Neutron varie società ampiamente note, quali Apple, Facebook, Twitter e Microsoft. Una volta che gli incidenti informatici occorsi sono stati resi di pubblico dominio, gli organizzatori dell’operazione di cyber-spionaggio hanno considerevolmente ridotto la propria attività. Trascorso circa un anno, tuttavia, Kaspersky Lab ha rilevato il reintensificarsi delle attività condotte nell’ambito della campagna Wild Neutron.

Le indagini da noi condotte hanno evidenziato come, nel corso della suddetta campagna di cyber-spionaggio, siano stati infettati i computer di utenti ubicati in 11 diversi paesi e territori, ed in particolar modo in Russia, Francia, Svizzera, Germania, Austria, Slovenia, Palestina, Emirati Arabi Uniti, Kazakhstan, Algeria e Stati Uniti. Fanno parte del novero delle vittime studi legali, società di investimento, organizzazioni che operano con la criptovaluta Bitcoin, gruppi di società e di imprese oggetto di fusioni e acquisizioni, società attive nel settore IT, istituzioni sanitarie, società immobiliari, e persino singoli utenti privati.

Sottolineiamo, inoltre, come nell’ambito della campagna di spionaggio Wild Neutron sia stato fatto uso di un certificato digitale – utilizzato per firmare il codice – sottratto alla compagnia taiwanese Acer.

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

La firma digitale della società Acer presente nell’installer di Wild Neutron

La specifica tendenza alla diversificazione, nell’ambito degli attacchi APT, è perfettamente illustrata dal cambiamento intervenuto a livello di obiettivi presi di mira dagli attacchi del gruppo Winnti. È stato a lungo ritenuto che il raggruppamento cybercriminale cinese denominato Winnti attaccasse esclusivamente le società operanti nel settore del gaming online. Tuttavia, a partire dalla primavera del 2015, sono state raccolte precise informazioni che testimoniano in maniera inequivocabile come i malintenzionati, una volta rodati gli strumenti e i metodi nocivi abitualmente utilizzati, stiano cercando di ricavare profitti e benefici dalla conduzione di attacchi nei confronti di nuovi obiettivi. I loro interessi non si limitano più alla sola industria dell’entertainment: il gruppo ha in effetti rivolto le proprie “attenzioni” a società operanti nel settore farmaceutico e nel campo delle telecomunicazioni. Analizzando la nuova ondata di attacchi eseguiti da Winnti, è stato appurato, così come nel caso della campagna Wild Neutron, che il rootkit Winnti risultava firmato mediante un certificato digitale rubato, appartenente ad una delle divisioni di un enorme conglomerato giapponese.

Nel corso del 2015 abbiamo ugualmente rilevato un evidente allargamento dei confini geografici, sia riguardo agli attacchi informatici effettuati, sia relativamente ai criminali responsabili degli stessi. Ad esempio, durante la conduzione di un’indagine in merito ad un incidente informatico prodottosi in Medio Oriente, gli esperti di Kaspersky Lab hanno rilevato le attività svolte da un gruppo sino a quel momento sconosciuto, intento a condurre attacchi di tipo mirato. Il gruppo in questione è denominato “Falchi del Deserto” (Desert Falcons); si tratta del primo gruppo arabo impegnato in operazioni di cyberspionaggio, le quali vengono condotte su larga scala. Al momento in cui il gruppo è stato individuato, sono state contate all’incirca 300 vittime dello stesso, tra cui anche alcune organizzazioni finanziarie.

Il gruppo Blue Termite, da parte sua, ha invece condotto attacchi nei confronti di organizzazioni e società ubicate in Giappone:

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Specifiche informazioni relative agli attacchi informatici mirati eseguiti a danno di società ed organizzazioni sono disponibili all’interno degli appositi resoconti pubblicati da Kaspersky Lab: Carbanak, Wild Neutron, Winnti, DarkHotel 2015, Desert Falcons, Blue Termite, Grabit. Maggiori dettagli riguardo ai risultati delle analisi condotte dai nostri esperti sono poi a disposizione dei clienti di Kaspersky Intelligence Service (intelreports@kaspersky.com).

L’analisi delle caratteristiche e dei dati relativi ai suddetti attacchi consente di porre in risalto alcune tendenze che emergono in maniera evidente nel quadro dell’evoluzione degli attacchi informatici mirati condotti nei confronti delle società ed organizzazioni che svolgono attività di business:

  • Sono finite nel mirino dei malintenzionati le organizzazioni che custodiscono denaro e mezzi finanziari: banche, fondazioni e società collegate con le borse, incluso le borse preposte allo scambio di criptovaluta.
  • Gli attacchi vengono preparati con estrema cura: i malintenzionati conducono specifiche ricerche riguardo agli interessi coltivati dalle potenziali vittime (i dipendenti della società da sottoporre ad attacco) e identificano i siti web che, con ogni probabilità, questi ultimi visiteranno; i malfattori, inoltre, indagano in maniera approfondita in merito ai contatti della vittima, e cercano ugualmente di individuare i fornitori di apparecchiature e servizi di cui si avvale la società target.
  • I dati raccolti durante la fase di preparazione dell’attacco vengono poi attivamente utilizzati. I cyber criminali, infatti, violano i siti legittimi in precedenza identificati, così come gli account utilizzati dai dipendenti della società target durante lo svolgimento delle proprie attività lavorative. Tali siti web/account vengono utilizzati per poche ore; da essi viene in pratica diffuso il codice nocivo dispiegato nell’occasione; il processo di infezione viene poi interrotto. Uno schema d’attacco del genere fornisce ai malintenzionati la possibilità di utilizzare nuovamente, dopo alcuni mesi, la risorsa compromessa.
  • Attivo utilizzo di file provvisti di firma digitale, così come di software legittimi, per effettuare la raccolta di dati sensibili custoditi all’interno della rete informatica sottoposta ad attacco.
  • Diversificazione degli attacchi eseguiti; attacchi nei confronti di società di piccole e medie dimensioni.
  • Ampliamento della “geografia” degli attacchi condotti nei confronti di aziende ed organizzazioni: attacco di vasta portata in Giappone; gruppi APT nel mondo arabo.

Sebbene il numero degli attacchi riconducibili alla categoria delle minacce APT – allestiti ad opera della cybercriminalità “organizzata” – sia relativamente contenuto, le specifiche tendenze che caratterizzano la progressiva evoluzione di tale genere di attacchi informatici, influiscono, indubbiamente, sugli approcci e sui metodi messi in atto nell’ambito degli attacchi condotti nei confronti di società ed imprese da parte di criminali informatici “ordinari”.

Le statistiche

Rileviamo, innanzitutto, come le statistiche generali relative agli utenti corporate (geografia degli attacchi, rating degli oggetti rilevati) in linea di massima coincidano con i dati statistici inerenti agli utenti domestici. Questo non costituisce motivo di particolare sorpresa: gli utenti business non vivono in un ambiente isolato; i loro computer divengono bersaglio di attacchi lanciati da malintenzionati che diffondono i programmi malware senza tenere in considerazione la specificità dell’obiettivo sottoposto ad attacco. Tali attacchi/software nocivi risultano in netta maggioranza; i dati relativi agli attacchi informatici mirati esclusivamente agli utenti business influiscono in maniera limitata sulle statistiche generali.

Nel 2015, è stato respinto perlomeno un attacco da parte di software dannoso sul 58% dei computer aziendali; tale significativo indice evidenzia un aumento di 3 punti percentuali rispetto all’analogo valore rilevato nell’anno precedente.

Le minacce provenienti dal web (attacchi via Internet)

Nel 2015, il 29% dei computer utilizzati negli ambienti business, ovvero quasi un terzo degli stessi, ha subito almeno un attacco via Internet.

TOP 10 dei programmi malware – Attacchi via Internet

Desideriamo sottolineare come facciano parte di tale rating esclusivamente i software nocivi; abbiamo in effetti escluso, dallo stesso, i cosiddetti programmi “pubblicitari” (Adware), i quali sono indubbiamente molto fastidiosi e invadenti, e causano di sicuro inconvenienti all’utente, ma non arrecano danni al computer.

Denominazione* % di utenti sottoposti ad attacco**
1 Malicious URL 57,0
2 Trojan.Script.Generic 24,7
3 Trojan.Script.Iframer 16,0
4 Exploit.Script.Blocker 4,1
5 Trojan-Downloader.Win32.Generic 2,5
6 Trojan.Win32.Generic 2,3
7 Trojan-Downloader.JS.Iframe.diq 2,0
8 Exploit.Script.Generic 1,2
9 Packed.Multi.MultiPacked.gen 1,0
10 Trojan-Downloader.Script.Generic 0,9

* Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti attaccati da tali malware, sul numero complessivo di utenti unici sottoposti ad attacco.

In pratica, l’intera TOP 10 qui sopra riportata risulta composta da “verdetti” riconducibili ad oggetti nocivi utilizzati per la conduzione di attacchi di tipo drive-by; si tratta, nella fattispecie, di Trojan-Downloader ed exploit di vario genere.

Geografia degli attacchi web

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Geografia degli attacchi informatici condotti attraverso i siti web – Situazione relativa al 2015 (quote percentuali relative al numero di utenti corporate sottoposti ad attacco nei vari paesi)

Minacce informatiche locali

Il nostro modulo Anti-Virus File è entrato in azione sul 41% dei computer in uso presso gli utenti corporate (sono stati rilevati, nella circostanza, oggetti individuati direttamente sui computer aziendali oppure sulle unità rimovibili ad essi collegate — flash drive USB, schede di memoria, telefoni, hard disk esterni, dischi di rete).

TOP 10 dei programmi malware – Minacce locali

Anche in questo caso, fanno parte del rating esclusivamente i software nocivi; abbiamo in effetti escluso, dallo stesso, i cosiddetti programmi “pubblicitari” (Adware), i quali sono indubbiamente molto fastidiosi ed invadenti, e causano di sicuro inconvenienti all’utente, ma non arrecano danni al computer.

Denominazione* % di utenti sottoposti ad attacco**
1 DangerousObject.Multi.Generic 23,1
2 Trojan.Win32.Generic 18,8
3 Trojan.WinLNK.StartPage.gena 7,2
4 Trojan.Win32.AutoRun.gen 4,8
5 Worm.VBS.Dinihou.r 4,6
6 Net-Worm.Win32.Kido.ih 4,0
7 Virus.Win32.Sality.gen 4,0
8 Trojan.Script.Generic 2,9
9 DangerousPattern.Multi.Generic 2,7
10 Worm.Win32.Debris.a 2,6

* I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti attaccati da tali malware, sul numero complessivo di utenti unici sottoposti ad attacco.

Il primo posto della TOP 10 relativa alle minacce informatiche locali è andato ad appannaggio di una serie di programmi dannosi rilevati tramite le sofisticate tecnologie “in-the-cloud” ed identificati con la denominazione DangerousObject.Multi.Generic. Le suddette tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare e neutralizzare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Gli utenti business ai quali non è consentito inviare dati statistici verso la “nuvola”, anziché disattivare le tecnologie “in-the-cloud” utilizzano Kaspersky Private Security Network; in tal modo, i computer presenti in rete ricevono ugualmente un’adeguata protezione dal cloud.

I rimanenti malware elencati nel rating sono, essenzialmente, programmi (e relativi componenti) in grado di auto-propagarsi.

Geografia delle minacce locali

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Geografia relativa al rilevamento di minacce informatiche locali – Situazione riguardante l’anno 2015 (quote percentuali inerenti al numero di utenti corporate sottoposti ad attacco nei vari paesi)

Caratteristiche peculiari degli attacchi condotti nei confronti di società ed organizzazioni

Le statistiche generali relative agli utenti corporate non riflettono le specificità che contraddistinguono gli attacchi condotti nei confronti di imprese ed organizzazioni; su tali dati statistici, in effetti, esercitano una notevole influenza sia il fattore legato alla probabilità che in un determinato paese possano verificarsi infezioni generate dal malware, sia il grado di popolarità di cui può godere, presso i malintenzionati, un particolare software nocivo.

Un’analisi più dettagliata, ad ogni caso, permette di evidenziare i tratti peculiari degli attacchi informatici rivolti agli utenti aziendali:

  • in primo luogo, gli exploit destinati alle applicazioni impiegate per il lavoro in ufficio vengono utilizzati con una frequenza 3 volte superiore rispetto a quella che si registra relativamente agli attacchi condotti a danno degli utenti domestici;
  • viene fatto uso di file dannosi appositamente firmati mediante certificati digitali validi;
  • nel corso di tali attacchi i malfattori si avvalgono di programmi legittimi facilmente accessibili; questo consente ai criminali di poter agire in maniera furtiva ancor più a lungo.

È stata inoltre da noi rilevata una significativa crescita del numero dei computer – riconducibili ad utenti corporate – sottoposti ad attacco da parte di temibili malware crittografici (cryptomalware).

Tali minacce informatiche sono state dispiegate non tanto nell’ambito degli attacchi APT, quanto piuttosto nel corso di azioni criminose condotte da malfattori “ordinari”. Questi ultimi, in effetti, hanno ripetutamente preso di mira gli utenti corporate; talvolta, poi, essi hanno focalizzato le proprie losche attenzioni su una singola impresa.

L’utilizzo degli exploit negli attacchi informatici rivolti agli utenti business

Le speciali graduatorie delle applicazioni vulnerabili, qui di seguito riportate, sono state elaborate sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; i grafici tengono in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via web e posta elettronica, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite “localmente” sui computer o sui dispositivi mobili degli utenti.

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco (Utenti Corporate – Situazione relativa all’anno 2015)

Kaspersky Security Bulletin 2015. Evoluzione delle minacce alla sicurezza informatica negli ambienti business

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco (Utenti Domestici – Situazione relativa all’anno 2015)

Comparando le diverse tipologie di exploit utilizzate dai malintenzionati per la conduzione di attacchi informatici nei confronti degli utenti domestici e degli utenti corporate, balza in primo luogo agli occhi come, nell’ambito degli attacchi rivolti a società ed organizzazioni dedite ad attività di business, i cyber criminali facciano un uso decisamente più ampio ed attivo degli exploit destinati a colpire le applicazioni abitualmente utilizzate per il lavoro di ufficio. Mentre nel quadro degli attacchi condotti a danno degli utenti privati ci siamo imbattuti in tale genere di exploit solo nel 4% dei casi, l’analoga situazione relativa agli attacchi informatici condotti nei confronti degli utenti aziendali si presenta in maniera ben diversa; in questo secondo caso, in effetti, la quota inerente agli exploit appositamente creati per sfruttare le vulnerabilità individuate nelle applicazioni per l’ufficio si attesta su un valore pari al 12% del volume complessivo degli exploit rilevati nel corso dell’anno qui esaminato.

Tuttavia, sia nel caso degli attacchi condotti contro gli utenti domestici, sia nel caso degli attacchi informatici eseguiti a danno degli utenti corporate, la categoria di applicazioni maggiormente sottoposta ad attacchi da parte degli exploit permane quella che raggruppa i browser, peraltro con un ampio margine percentuale in entrambe le circostanze. Nell’esaminare tali dati statistici occorre tenere in debita considerazione il fatto che le tecnologie sviluppate da Kaspersky Lab rilevano gli exploit nelle varie fasi. Sono riconducibili alla categoria “browser” anche i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit. Secondo le osservazioni da noi effettuate si tratta, nella maggior parte dei casi, di exploit destinati ad Adobe Flash Player.

business_ksb_2015_it_8

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa al 2014 e al 2015

Rileviamo innanzitutto come, rispetto al 2014, sia sensibilmente diminuita la quota relativa agli exploit Java e PDF, rispettivamente di 14 e 8 punti percentuali. Gli exploit destinati alla piattaforma Java hanno di fatto iniziato ad essere meno popolari, presso gli ambienti cybercriminali, nonostante nel corso dell’anno siano state individuate alcune vulnerabilità zero-day. Sono invece aumentati in maniera significativa, nell’arco di un anno, gli indici percentuali ascrivibili agli attacchi in cui sono state sfruttate vulnerabilità scoperte nei programmi utilizzati per il lavoro d’ufficio (+ 8%), nei browser (+ 9%), in Adobe Flash Player (+ 9%), ed anche nell’OS Android (+ 3%).

Come dimostra la pratica, derivante dall’attenta analisi degli incidenti di sicurezza IT, persino nell’ambito degli attacchi mirati rivolti ad imprese e società, i malintenzionati ricorrono con maggiore frequenza all’utilizzo di exploit destinati a sfruttare vulnerabilità già ampiamente note; tale specifica circostanza si basa proprio sul fatto che, negli ambienti aziendali, il processo di installazione delle patch di sicurezza via via rilasciate si svolge con una certa lentezza. Il consistente incremento (sino ad un valore complessivo del 7%) della quota inerente agli exploit appositamente sviluppati per colpire le applicazioni Android vulnerabili, testimonia infine il crescente interesse, da parte dei malintenzionati, nei confronti dei dati aziendali custoditi sui dispositivi mobili utilizzati dal personale delle imprese.

I malware crittografici

I Trojan riconducibili alla categoria del malware crittografico sono stati a lungo considerati una minaccia IT rivolta esclusivamente agli utenti domestici. Al momento attuale, invece, secondo i dati di cui disponiamo, i malintenzionati che realizzano profitti grazie all’impiego di software nocivi crittografici, stanno indirizzando sempre di più le loro attenzioni verso società ed imprese.

Nel 2015, le nostre soluzioni di sicurezza IT hanno rilevato malware criptatori su oltre 50.000 macchine situate all’interno di network aziendali; tale cifra è in pratica raddoppiata rispetto all’analogo valore riscontrato riguardo all’anno precedente. È altresì importante tener presente che il numero effettivo di incidenti informatici causati dai Trojan crittografici è di varie volte superiore alla cifra qui sopra indicata; in effetti, i dati statistici da noi elaborati nella specifica circostanza si basano esclusivamente sui risultati relativi ai rilevamenti eseguiti grazie agli euristici e alle firme del malware. I prodotti Kaspersky Lab, nella maggior parte dei casi, effettuano il rilevamento dei Trojan criptatori tramite le apposite tecnologie comportamentali.

business_ksb_2015_it_9

Numero di utenti corporate unici sottoposti ad attacco da parte di Trojan crittografici
nel corso del 2014 e del 2015

La rapida crescita dell’interesse manifestato dai malintenzionati nei confronti degli attacchi rivolti agli utenti business trova una logica spiegazione nei due motivi che illustriamo qui di seguito. In primo luogo, la somma di denaro ottenuta, in qualità di riscatto, da società ed organizzazioni può essere molto più consistente rispetto all’analoga cifra estorta agli utenti privati. In secondo luogo, la probabilità che il riscatto venga effettivamente pagato risulta decisamente superiore nel caso siano aziende ed imprese ad essere sottoposte ad attacco: le stesse, a volte, non sono difatti in grado di operare, se risultano codificate e inaccessibili le informazioni custodite su alcuni computer o server particolarmente critici.

Su questo fronte, uno dei casi più interessanti verificatisi nel 2015 è rappresentato dalla comparsa del primo malware crittografico destinato al sistema operativo Linux (i prodotti Kaspersky Lab rilevano tale software nocivo come “Trojan-Ransom.Linux.Cryptor”), appositamente creato dai virus writer per attaccare i siti web, tra cui i siti appartenenti ai negozi Internet. Utilizzando determinate vulnerabilità individuate nelle applicazioni web, i malfattori hanno ottenuto l’accesso ai siti Internet, ed hanno poi caricato al loro interno un programma maligno in grado di codificare i dati custoditi nel server. Nella maggior parte dei casi, tale “manovra” ha messo fuori servizio il sito web attaccato. Per procedere all’operazione di decodifica, i criminali hanno poi richiesto alle vittime il pagamento di un riscatto pari ad 1 bitcoin. Si stima che, nell’occasione, i siti web infettati dal temibile Trojan ransomware siano stati all’incirca 2.000. Considerando il grado di diffusione dei server *nix negli ambienti business, è logico presupporre che gli attacchi dei malware crittografici nei confronti delle piattaforme diverse da Windows possano proseguire anche nel corso del prossimo anno.

TOP-10 inerente alle famiglie di Trojan crittografici maggiormente diffuse

Famiglia di malware % di utenti sottoposti ad attacco*
1 Scatter 21
2 Onion 16
3 Cryakl 15
4 Snocry 11
5 Cryptodef 8
6 Rakhni 7
7 Crypmod 6
8 Shade 5
9 Mor 3
10 Crypren 2

* Quote percentuali relative al numero di utenti complessivamente attaccati dai software nocivi riconducibili ad una determinata famiglia, in relazione al numero totale di utenti sottoposti ad attacco da parte di Trojan crittografici.

In pratica, tutte le famiglie di Trojan ransomware entrate a far parte della TOP-10 qui sopra inserita richiedono il pagamento di un riscatto in bitcoin da parte della vittima.

Al primo posto della graduatoria, come evidenzia l’apposita tabella, si sono collocati i Trojan appartenenti alla famiglia Scatter, i quali provvedono a cifrare i file presenti sul disco, ed attribuiscono poi l’estensione .vault ai file da essi codificati. I programmi nocivi riconducibili alla famiglia Scatter sono, in sostanza, dei malware multifunzionali basati su script, provvisti di molteplici moduli. In un lasso di tempo relativamente breve, tale famiglia ha compiuto una notevole evoluzione, acquisendo, in aggiunta alle capacità crittografiche originariamente possedute, due significative funzionalità supplementari, ovvero quelle di Email-Worm e Trojan-PSW. Al secondo posto del rating relativo alle famiglie di malware crittografico maggiormente utilizzate nella conduzione degli attacchi rivolti agli utenti business, troviamo i ransomware della famiglia Onion, noti per il fatto che i loro server di comando e controllo si nascondono negli oscuri meandri della rete anonima Tor (acronimo di “The Onion Router”). Il terzo gradino del podio “virtuale” risulta occupato dai malware criptatori appartenenti alla famiglia Cryakl, comparsi già nel mese di aprile 2014 e scritti in linguaggio Delphi.

Esiste, in alcuni casi, la possibilità di riuscire a decodificare i dati cifrati in precedenza da tali software maligni; in particolar modo, tale opportunità si presenta quando l’algoritmo utilizzato per l’operazione crittografica contiene qualche errore. Sottolineiamo, tuttavia, come risulti in pratica impossibile decriptare i dati codificati tramite le versioni più recenti dei programmi malware facenti parte della TOP-10 qui sopra riportata.

È di fondamentale importanza comprendere come, nell’ambito di una società commerciale o finanziaria, l’infezione informatica provocata da un programma nocivo del genere, possa di fatto tradursi nell’interruzione forzata delle attività di business, in special modo nel caso in cui siano stati cifrati dati particolarmente “critici” per l’operatività dell’impresa, oppure nel caso in cui, a seguito del processo crittografico condotto sui dati societari, venga bloccato il funzionamento di qualche server di importanza altrettanto “critica”. La conseguenza di simili attacchi informatici può essere rappresentata da enormi perdite, paragonabili a quelle causate dagli attacchi eseguiti mediante l’utilizzo dei famigerati malware Wiper (dall’inglese “to wipe”, cancellare), preposti a distruggere i dati custoditi all’interno delle reti informatiche delle società prese di mira.

Per lottare efficacemente contro tale minaccia informatica risulta indispensabile adottare una serie di misure di sicurezza:

  • utilizzare, in primo luogo, un’adeguata protezione nei confronti degli exploit;
  • attivare obbligatoriamente, nel prodotto adibito alla protezione IT, le tecnologie di rilevamento basate sul comportamento del malware (nei prodotti Kaspersky Lab tale funzione è assolta dal componente System Watcher);
  • configurare il processo di backup dei dati.

Gli attacchi nei confronti dei terminali PoS

Un tema a parte, riguardante soprattutto le imprese che conducono attività di natura commerciale, è risultato essere, nell’anno 2015, la sicurezza dei terminali PoS (Point Of Sale — punto di vendita). Di fatto, attualmente, può essere utilizzato in qualità di terminale PoS qualsiasi computer equipaggiato con un apposito dispositivo esterno – ad esso collegato, adibito alla lettura delle carte di pagamento – e provvisto di un software dedicato. Ovviamente, i malintenzionati cercano di scovare simili computer, e tentano poi di infettare gli stessi tramite programmi malware che consentono di carpire i dati sensibili presenti sulle carte di pagamento introdotte nell’apposito terminale.

I prodotti Kaspersky Lab hanno complessivamente respinto, in tutto il mondo, oltre 11.500 tentativi di attacco informatico riconducibili a tale specifica tipologia. Al momento attuale, sono presenti, nella nostra “collezione”, ben 10 famiglie di programmi dannosi appositamente creati per compiere il furto dei dati confidenziali che transitano attraverso i terminali PoS. 7 di tali famiglie hanno fatto la loro comparsa sulla scena del malware proprio nel corso di questo anno. Nonostante il numero relativamente limitato di tentativi di attacco, non bisogna affatto sottovalutare la pericolosità degli stessi, in quanto anche un solo attacco dall’esito positivo (per i malfattori) può di fatto compromettere i dati riguardanti decine di migliaia di carte di credito. Un numero così elevato di possibili vittime risulta facilmente prevedibile in quanto i terminali PoS non vengono percepiti dai loro proprietari e dagli amministratori come oggetti che necessitano di un’adeguata protezione IT; per tale motivo, un terminale può rimanere a lungo infettato dal malware: nel frattempo, il programma maligno dispiegato dai cyber criminali provvederà ad inviare a questi ultimi i dati sensibili relativi alle carte di credito di volta in volta lette dal terminale.

Si tratta di un problema particolarmente rilevante in quei paesi dove non viene fatto uso di carte di pagamento provviste di apposito chip EMV. Il progressivo passaggio alle carte dotate di chip EMV dovrebbe notevolmente complicare le operazioni fraudolente appositamente allestite dai malintenzionati per carpire i dati sensibili, in seguito utilizzati per la clonazione delle carte di pagamento; si tratta, ad ogni caso, di una questione che non potrà di sicuro essere risolta a breve termine. Per tale motivo, debbono essere adottate apposite misure di sicurezza (per quanto minime) per proteggere i dispositivi PoS; nella circostanza, può essere ad esempio implementata la policy di sicurezza basata sul “divieto di esecuzione, per impostazione predefinita, di programmi sconosciuti”.

Ci attendiamo, per il futuro, che i cyber criminali inizino ad attaccare i dispositivi PoS mobili provvisti di sistema operativo Android.

Conclusioni

I dati da noi raccolti dimostrano come gli strumenti utilizzati per condurre attacchi informatici nei confronti di società ed organizzazioni risultino diversi rispetto a quelli abitualmente impiegati dai malfattori per sottoporre ad attacco gli utenti domestici. Nell’ambito degli attacchi rivolti agli utenti corporate vengono utilizzati con maggior frequenza, rispetto al recente passato, gli exploit destinati alle applicazioni normalmente impiegate per il lavoro di ufficio; i file maligni dispiegati dai cyber criminali, inoltre, risultano spesso firmati tramite certificati digitali validi; i malintenzionati cercano ugualmente di ricorrere all’utilizzo, per i propri loschi fini, di programmi legittimi, comunemente accessibili, con il preciso intento di far passare inosservato, più a lungo possibile, l’attacco da essi condotto. È stata infine da noi rilevata una significativa crescita del numero dei computer – riconducibili ad utenti corporate – sottoposti ad attacco da parte di temibili malware crittografici (cryptomalware). Tali circostanze non riguardano esclusivamente gli attacchi informatici ascrivibili alla categoria delle APT: in effetti, anche i malfattori “ordinari” eseguono attacchi mirati nei confronti degli utenti business; talvolta, poi, essi focalizzano le proprie attenzioni sui dipendenti di determinate imprese.

L’utilizzo – da parte di gruppi cyber criminali “specializzati” nell’attaccare gli utenti business – di metodi, schemi e programmi propri del mondo delle APT, trasferisce tali attacchi su un altro livello, rendendo gli stessi sensibilmente più pericolosi. In primo luogo, i cyber criminali hanno iniziato ad avvalersi di tali metodi per condurre attacchi nei confronti degli istituti bancari, con il preciso intento di impadronirsi di cospicue somme di denaro. Con gli stessi metodi, i malfattori possono ugualmente entrare in possesso del denaro depositato sui conti bancari da aziende ed imprese, una volta ottenuto l’accesso alla rete informatica dell’organizzazione presa di mira.

Nell’eseguire i propri attacchi, il criminale informatico si basa sullo sfruttamento di vulnerabilità già note; ciò è principalmente dovuto al fatto che, nell’ambito delle società, gli aggiornamenti del software vengono generalmente installati con una certa lentezza. Inoltre, i malintenzionati ricorrono attivamente all’utilizzo di file maligni provvisti di apposita firma digitale, nonché all’impiego di speciali strumenti del tutto “legittimi” allo scopo di creare un canale adibito all’esfiltrazione dei dati carpiti: citiamo, tra questi, noti programmi per l’amministrazione remota, alcuni client SSH, vari programmi per il recupero delle password, e via dicendo.

Sempre più spesso, gli obiettivi degli attacchi nocivi sono rappresentati dai server di cui è provvista l’organizzazione presa di mira. Sono noti dei casi in cui, oltre che per compiere il furto dei dati sensibili, i server compromessi sono stati utilizzati in qualità di strumento per la conduzione di attacchi DDoS; in altre circostanze, poi, i dati sono stati codificati, ed i malintenzionati hanno chiesto il consueto riscatto. Recenti avvenimenti hanno dimostrato come quest’ultima situazione risulti valida sia per i server Windows che per i server Linux.

Numerose organizzazioni, divenute vittima di attacchi, si sono trovate di fronte alla richiesta, avanzata dai malintenzionati, di pagare un sostanzioso riscatto per far sì che venisse interrotto l’attacco DDoS in corso, oppure per rendere possibile la decodifica dei dati criptati, o magari perché non venissero divulgate le informazioni confidenziali illecitamente sottratte. Quando una società si imbatte in una simile situazione occorre, in primo luogo, rivolgersi alle forze dell’ordine e agli esperti di sicurezza informatica. In effetti, una volta ricevuto il pagamento del riscatto, i malintenzionati possono non mantenere le promesse fatte in precedenza, come nel caso dell’attacco DDoS condotto nei confronti della società ProtonMail, il quale non è stato affatto interrotto, dai cyber criminali, una volta ottenuto il denaro richiesto.

Previsioni

Aumento del numero degli attacchi informatici rivolti alle organizzazioni finanziarie; i cyber criminali commettono frodi finanziarie nell’ambito di borse valori di vario genere

È lecito attendersi, nel corso del prossimo anno, sia un incremento del numero degli attacchi diretti alle organizzazioni finanziarie, sia un salto di qualità relativamente agli stessi. Oltre all’abituale trasferimento sui propri conti bancari delle somme di denaro sottratte, successivamente incassate, i malintenzionati potrebbero utilizzare nuove tecniche, tra cui quelle correlate alla manipolazione dei dati nell’ambito di determinate piattaforme di trading, operanti sia con gli strumenti finanziari tradizionali, sia con i nuovi strumenti attualmente disponibili, quali le criptovalute.

Attacchi nei confronti delle infrastrutture informatiche

Penetrare all’interno della rete informatica di un’organizzazione può rivelarsi, di fatto, un compito tutt’altro che agevole; ad ogni caso, quasi tutti i dati particolarmente “preziosi” vengono spesso custoditi non nell’ambito dell’organizzazione stessa, bensì nei server collocati in appositi data center. L’ottenimento dell’accesso a tali elementi dell’infrastruttura informatica costituirà, nel 2016, uno dei principali vettori utilizzati nel quadro degli attacchi eseguiti contro società e imprese.

Sfruttamento delle vulnerabilità individuate nei dispositivi IoT, per penetrare all’interno delle reti informatiche aziendali

In pratica, al giorno d’oggi, in tutte le moderne reti aziendali sono presenti dei dispositivi IoT (Internet delle Cose). Alcune ricerche, condotte nel 2015, hanno evidenziato l’esistenza di tutta una serie di problemi legati alla sicurezza IT di tali dispositivi; i malintenzionati, verosimilmente, cercheranno di sfruttare tale situazione a loro vantaggio, utilizzando le vulnerabilità IoT come step iniziale nel processo di penetrazione all’interno del network aziendale.

Introduzione di standard di sicurezza più rigorosi; collaborazione con le forze dell’ordine

La risposta da parte delle autorità di regolamentazione nei confronti del crescente numero di incidenti informatici di cui rimangono vittima società ed organizzazioni dedite ad attività di business, così come riguardo ai cambiamenti che si sono prodotti sul vasto panorama delle cyber-minacce, sarà rappresentata dallo sviluppo e dalla successiva adozione di nuovi standard di sicurezza e, al tempo stesso, dall’aggiornamento degli standard applicati in passato alle attuali, sempre più complesse, problematiche di cyber-sicurezza. Le organizzazioni interessate a preservare nel modo migliore i propri “valori digitali” collaboreranno ancor più attivamente con le forze dell’ordine, o saranno in ogni caso obbligate a far ciò a seguito dell’introduzione delle norme di sicurezza sopra menzionate. Questo, in effetti, può contribuire a rendere ancor più efficaci le operazioni di cyber-polizia volte alla cattura dei criminali informatici; nel 2016 verremo di sicuro a sapere di nuovi arresti effettuati.

Cosa fare, quindi?

Il 2015 ha dimostrato come, per penetrare all’interno dei network aziendali, i criminali informatici abbiano iniziato ad utilizzare attivamente le tecniche e i metodi propri degli attacchi APT. Stiamo parlando, nella fattispecie, dell’accurata prospezione preliminare condotta allo scopo di individuare gli anelli deboli dell’infrastruttura e di ottenere precise informazioni riguardo al personale dell’impresa; ci riferiamo, allo stesso modo, all’utilizzo delle e-mail di spear-phishing e degli attacchi di tipo waterhole, all’uso particolarmente intenso di exploit preposti a generare l’esecuzione di codice dannoso e ad ottenere i diritti di amministratore, così come all’utilizzo, nel corso degli attacchi, di software legittimo per l’amministrazione remota, l’analisi della rete e il “ripristino” delle password (accompagnato, ovviamente, all’impiego, da parte dei malintenzionati, di temibili programmi Trojan). Tutto questo, ovviamente, richiede lo sviluppo di appositi metodi e tecnologie di protezione delle reti informatiche aziendali.

Passando alle raccomandazioni specifiche, occorre innanzitutto prestare attenzione alla TOP-35 relativa alle strategie di mitigazione degli attacchi condotti nei confronti di società e imprese, stilata dall’Australian Signals Directorate (ASD). Dopo aver condotto un’analisi dettagliata ed esaustiva degli attacchi informatici e delle minacce locali, l’ASD è giunto alla conclusione che almeno l’85 percento delle cyber-intrusioni mirate può essere mitigato dall’impiego di quattro strategie di base. Tre di esse sono direttamente correlate all’utilizzo di speciali soluzioni di sicurezza IT (i prodotti Kaspersky Lab comprendono soluzioni tecnologiche in grado di coprire tre delle quattro strategie di maggiore rilevanza).

Le quattro strategie principali, in grado di ridurre le probabilità che l’attacco mirato possa avere esito positivo, sono le seguenti:

  • Utilizzo del whitelisting delle applicazioni, per aiutare a prevenire l’esecuzione di software nocivi e programmi non approvati.
  • Installazione delle apposite patch rilasciate per applicazioni quali Java, visualizzatori PDF, Flash, browser web e Microsoft Office.
  • Correzione delle vulnerabilità individuate a livello di sistema operativo mediante le patch rese progressivamente disponibili dalla software house.
  • Limitazione dei privilegi di amministratore relativamente all’accesso a sistemi operativi ed applicazioni, in base agli specifici compiti assegnati ad ogni utente.

Informazioni più dettagliate riguardo alle strategie formulate da ASD sono disponibili nel documento relativo alle strategie di mitigazione delle minacce, consultabile all’interno della sezione “Enciclopedia” di Securelist.

Il secondo fattore di particolare importanza è rappresentato dall’utilizzo dei dati relativi alle minacce attuali, ovvero dei servizi di Threat Intelligence (Kaspersky Lab, ad esempio, fornisce ai propri clienti il servizio denominato Kaspersky Intelligence Service). Un’adeguata configurazione ed una tempestiva verifica della rete aziendale, sulla base di tali dati, consentono, in effetti, di proteggersi dagli attacchi, oppure di identificare l’attacco nelle sue fasi iniziali.

I principi fondamentali relativi alla sicurezza nell’ambito dei network aziendali rimangono infine invariati:

  • Adeguata formazione del personale, in quanto prendersi cura della sicurezza informatica non è compito esclusivo della divisione di sicurezza IT appositamente allestita dalla società, ma anche un preciso obbligo per ogni singolo dipendente dell’impresa.
  • Efficace messa a punto dei processi inerenti alla sicurezza informatica: il sistema di sicurezza IT implementato nell’ambiente corporate deve essere in grado di rispondere adeguatamente alle minacce informatiche, peraltro in continua evoluzione.
  • Pronto utilizzo di nuove tecnologie e di nuovi metodi: ogni livello di protezione aggiuntivo consente, in effetti, di ridurre il rischio di possibili infiltrazioni nella rete aziendale da parte di malintenzionati.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *