Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Executive Summary

 Rassegna Annuale

 Le statistiche dell’anno 2016

Introduzione

Se si chiedesse di riassumere il 2016 in una sola parola, sarebbero di sicuro in molti, nel mondo – soprattutto in Europa e negli USA – a definire tale anno come “imprevedibile”. Lo stesso potrebbe dirsi per le cyber minacce nel 2016, con le imponenti botnet di dispositivi connessi che hanno paralizzato gran parte di Internet nel mese di ottobre; l’incessante hacking di siti web di alto profilo e le continue fughe di dati; le cyber rapine bancarie da miliardi di dollari che hanno preso di mira i sistemi SWIFT, ed altro ancora. Molti di questi incidenti, tuttavia, erano stati di fatto previsti, già anni fa, dall’industria della sicurezza IT: per essi, la migliore definizione è, probabilmente, “inevitabili”.

E soprattutto, nel 2016, ha continuato la sua inarrestabile marcia in tutto il mondo il ransomware, con sempre più nuove famiglie di malware, varianti, attacchi e vittime. Vi sono, tuttavia, raggi di speranza, come la nuova iniziativa congiunta No More Ransom. Kaspersky Lab ha designato la Rivoluzione del Ransomware come “Storia dell’Anno” per il 2016; qui vengono illustrati, in dettaglio, l’evoluzione del fenomeno e l’impatto da esso prodotto.

Altrove, nel complesso panorama della cyber sicurezza, gli attacchi mirati di cyber spionaggio, i furti nella sfera finanziaria, l’hacktivismo, le reti vulnerabili di dispositivi connessi – hanno tutti quanti giocato un ruolo importante in quello che è stato un anno particolarmente intenso e turbolento.

Il nostro Executive Summary fornisce, in sintesi, un quadro d’insieme delle principali minacce IT e delle statistiche del 2016. I dettagli completi figurano nel Rassegna Annuale e nel report Statistics.

Esso analizza ugualmente l’impatto che tali minacce possono avere sulle organizzazioni che cercano di far fronte a una fuga di dati o ad un cyber-attacco. Sono davvero pronte, le imprese, a prevenire e mitigare proattivamente una cyber-minaccia? Cosa si può fare, per aiutarle?

Sei cose che abbiamo scoperto quest’anno e che non sapevamo prima

1. L’economia underground è più sofisticata ed estesa che mai: xDedic, l’oscuro mercato online

In maggio, abbiamo scoperto una vasta, attiva piattaforma di trading cyber criminale, chiamata xDedic. xDedic elencava e facilitava la compravendita di credenziali relative a server hackerati. Erano in offerta circa 70.000 server compromessi; le prove raccolte in seguito hanno però evidenziato come i server in questione avrebbero potuto essere addirittura 176.000, situati presso organizzazioni di tutto il mondo. Nella maggior parte dei casi, i legittimi proprietari non avevano la minima idea che uno dei loro server, all’opera in qualche stanza sul retro o in un centro dati, potesse essere stato “hijacked”, per essere poi passato di mano in mano tra criminali.

xDedic non è certo il primo mercato underground, ma è una prova della crescente complessità e del livello di sofisticatezza dell’ecosistema economico basato sul mercato nero.

“xDedic è il sogno di ogni hacker: semplificare al massimo l’accesso ai computer-vittima, rendere lo stesso più veloce e meno costoso, ed aprire nuove possibilità sia per i cyber criminali che per gli eventuali attori APT.”

GReAT

2. I più grandi furti nella sfera finanziaria non hanno riguardato alcuna borsa valori: i trasferimenti illeciti di denaro tramite SWIFT

Uno degli attacchi più gravi del 2016 è stato quello che ha utilizzato il network interbancario SWIFT (Society for Worldwide Interbank Financial Telecommunication). Nel febbraio 2016, gli hacker hanno fatto uso delle credenziali SWIFT di alcuni dipendenti della Banca Centrale del Bangladesh per inviare richieste di transazioni fraudolente alla Federal Reserve di New York, chiedendo a quest’ultima di trasferire milioni di dollari su vari conti bancari in Asia. Gli hacker sono riusciti a far sì che venissero trasferiti 81 milioni di dollari nelle Filippine, alla Rizal Commercial Banking Corporation, ed ulteriori 20 milioni di dollari alla Pan Asia Banking. La campagna si è interrotta quando la banca ha individuato un errore di battitura in una delle richieste di bonifico. Potete leggere qui l’intera “storia”. Nei mesi successivi, sono venuti alla luce ulteriori attacchi alle banche mediante l’utilizzo delle credenziali SWIFT.

3. Le infrastrutture critiche sono vulnerabili in modo preoccupante: gli attacchi BlackEnergy

Merita un posto nell’elenco anche BlackEnergy, sebbene tali attacchi abbiano avuto luogo, per essere precisi, alla fine del 2015. Ad ogni caso, gli effetti del cyber-attacco BlackEnergy, condotto nei confronti di società ucraine attive nel settore energetico, si sono manifestati pienamente solo all’inizio del 2016. In termini di danni causati, l’attacco si è rivelato davvero unico nel suo genere. Gli hacker hanno disattivato il sistema di distribuzione di energia elettrica sul territorio dell’Ucraina Occidentale, hanno lanciato l’esecuzione del programma Wiper nei sistemi-target, ed hanno sferrato un attacco DDoS (Distributed Denial of Service) a danno dei servizi di assistenza tecnica forniti dalle società prese di mira. Kaspersky Lab ha supportato le indagini su BlackEnergy sin dal 2010, pubblicando, tra l’altro, un’analisi sullo strumento impiegato per penetrare all’interno dei sistemi-vittima. Potete trovare qui il nostro report del 2016.

Per aiutare le società che operano con i sistemi di controllo industriali (ICS) ad individuare eventuali punti deboli, gli esperti di Kaspersky Lab hanno svolto un’indagine sulle minacce ICS. I risultati della ricerca sono stati pubblicati nel report “Panorama delle minacce IT nell’ambito della sicurezza informatica industriale”.

4. Un attacco mirato può non ricorrere all’utilizzo di un modello: l’APT ProjectSauron

Nel 2016 abbiamo scoperto l’APT ProjectSauron: un gruppo di cyber-spionaggio verosimilmente sponsorizzato a livello di stati nazionali, che, a partire da giugno 2011, ha sottratto dati confidenziali ad organizzazioni situate in Russia, Iran e Ruanda – e, probabilmente, in altri Paesi ancora. L’analisi da noi condotta ha permesso di evidenziare alcune caratteristiche di notevole interesse: il gruppo, ad esempio, ha adottato le tecniche innovative di altre APT estremamente avanzate, migliorando le strategie utilizzate dalle stesse, con il preciso intento di non essere scoperto. E, soprattutto, i tool da esso impiegati vengono personalizzati per ogni specifica vittima; questo, in pratica, rende quasi inutile l’abituale utilizzo degli IoC (Indicatori di Compromissione). Una breve descrizione dei metodi disponibili per far fronte ad una minaccia così complessa si trova qui.

5. Il rilascio online di grandi volumi di dati può essere una tattica in grado di influenzare enormemente: ShadowBrokers e altre fughe di dati

Il 2016 ha visto una lunga serie di ingenti fughe di dati. La più famosa, tra queste, è probabilmente quella realizzata da un gruppo che si fa chiamare ShadowBrokers. Il 13 agosto, esso ha annunciato online di essere in possesso di file appartenenti al più grande “predatore” APT, Equation Group. La nostra ricerca indica come vi siano similarità tra i dati resi noti da ShadowBrokers e quelli utilizzati da Equation Group. La fuga di dati iniziale comprendeva una serie di zero-day sconosciute; negli ultimi mesi, poi, si sono verificate ulteriori fughe. Non si conosce quale impatto possa avere, a lungo termine, tale attività, ma essa ha già rivelato l’enorme e piuttosto preoccupante influenza che simili fughe di dati possono potenzialmente esercitare sull’opinione pubblica e sul pubblico dibattito.

Nel 2016 abbiamo assistito ad altre eclatanti fughe di dati, subite da beautifulpeople.com, Tumblr, nulled.io, noto forum di hacker, Kiddicare, VK.com, Sage, dal forum ufficiale di DotA 2, Yahoo, Brazzers, Weebly e Tesco Bank – per motivi che vanno dal profitto finanziario al ricatto a livello di reputazione personale.

6. Una telecamera potrebbe far parte di un cyber-esercito globale: l’insicura Internet delle Cose

I dispositivi e i sistemi connessi – dalle abitazioni ai veicoli, dagli ospedali alle “città intelligenti” – esistono per rendere la nostra vita più facile e sicura. Molti di essi, tuttavia, sono stati progettati e costruiti senza pensare troppo alla sicurezza – e venduti a persone che hanno sottovalutato la necessità di proteggere gli stessi con qualcosa di più delle impostazioni di sicurezza predefinite in fabbrica.

Come si sa, milioni e milioni di dispositivi connessi non sicuri rappresentano una forte tentazione, per i cyber criminali. In ottobre, gli hacker hanno fatto uso di una botnet composta da oltre mezzo milione di dispositivi domestici connessi ad Internet per sferrare un attacco DDoS nei confronti di Dyn, una società che fornisce servizi DNS a Twitter, Amazon, PayPal, Netflix ed altri ancora. Tutti sono rimasti scioccati, ma già da molto tempo vengono lanciati precisi avvertimenti circa la traballante sicurezza IoT.

In febbraio, ad esempio, abbiamo dimostrato come fosse facile individuare un ospedale, ottenere l’accesso alla sua rete interna e assumere il controllo di un dispositivo MRI, per poi reperire i dati personali dei pazienti, le terapie ad essi applicate, ed accedere persino al file system dell’apparecchiatura MRI. In aprile, abbiamo pubblicato i risultati della nostra ricerca condotta, tra l’altro, riguardo alla vulnerabilità dei sensori del traffico urbano e dei terminali intelligenti per biglietti.

Le altre minacce principali

APT dotate di inventiva

In febbraio, abbiamo riferito in merito all’Operazione Blockbuster, un’indagine condotta in maniera congiunta da una serie di importanti società del settore sicurezza IT, riguardo alle attività svolte dalla gang Lazarus, un’entità altamente nociva, responsabile della distruzione di dati.

Adwind è un RAT (Remote Access Tool) multi-funzionale, cross-platform, liberamente distribuito come servizio a pagamento; in pratica, il cliente paga una certa tariffa in cambio dell’utilizzo del software nocivo. Esso detiene l’equivoco primato di essere una delle più estese piattaforme di malware attualmente esistenti, con circa 1.800 clienti nel sistema alla fine del 2015.

Le APT hanno continuato ovunque a sfruttare al meglio il fatto che non tutti installano prontamente i nuovi aggiornamenti software; in maggio abbiamo riferito che, nell’area Asia-Pacifico e in varie regioni dell’Estremo Oriente, almeno sei gruppi diversi, incluso Danti e SVCMONDR – scoperti di recente – stavano sfruttando la vulnerabilità CVE-2015-2545. Tale falla di sicurezza permette ad un hacker di eseguire codice arbitrario utilizzando un file immagine EPS appositamente progettato. Si tratta, peraltro, di una vulnerabilità già patchata nel 2015.

Nuove zero-day

Le zero-day hanno continuato ad essere un trofeo molto ambito, per molti di coloro che realizzano attacchi mirati.

In giugno abbiamo riferito in merito ad una campagna di cyber-spionaggio lanciata da un gruppo soprannominato ScarCruft e denominata, in codice, Operation Daybreak, nell’ambito della quale veniva utilizzato un exploit Adobe Flash Player in precedenza sconosciuto (CVE-2016-1010). In settembre, poi, abbiamo scoperto una zero-day Windows, CVE-2016-3393, sfruttata per allestire attacchi mirati da un threat actor noto come FruityArmor.

In totale, le nuove tecnologie di Kaspersky Lab preposte a identificare e bloccare tali vulnerabilità ci hanno aiutato a scoprire, nel 2016, quattro zero-day. Le altre due sono una vulnerabilità Adobe Flash, CVE-2016-4171, ed un exploit EoP (Escalation of Privilege) per Windows, CVE-2016-0165.

A caccia di profitti illeciti

Indurre con l’inganno gli utenti a rivelare informazioni personali o ad installare malware in grado di carpire i dati sensibili relativi al conto bancario online delle vittime è rimasta, anche nel 2016, una scelta diffusa e di successo, per i cyber-ladri. Le soluzioni Kaspersky Lab hanno bloccato tentativi di lanciare tale genere di malware su 2.871.965 dispositivi. La quota degli attacchi diretti ai dispositivi Android è aumentata più di 4 volte.

Anche alcuni gruppi APT si sono dimostrati più interessati ai profitti finanziari che al cyber-spionaggio. Ad esempio, il gruppo che si nasconde dietro Metel si è infiltrato nella rete aziendale di numerose banche, allo scopo di automatizzare il roll-back delle transazioni via bancomat: i membri della gang hanno potuto poi utilizzare carte di debito per rubare ripetutamente denaro dagli apparecchi bancomat senza mai modificare il saldo presente sulla carta. Alla fine del 2016, questo gruppo risulta ancora attivo.

In giugno, Kaspersky Lab ha supportato la polizia russa nelle indagini da essa condotte riguardo alla cybergang Lurk. La collaborazione ha prodotto l’arresto di 50 persone sospettate di essere coinvolte nella creazione di reti di computer infetti e nel furto di oltre 45 milioni di dollari a danno di banche locali, altre istituzioni finanziarie ed organizzazioni commerciali.

Durante le indagini, i ricercatori hanno rilevato come gli utenti attaccati da Lurk avessero installato, sui loro computer, il software di amministrazione remota Ammyy Admin. Questo ha permesso di scoprire che il sito web ufficiale di Ammyy Admin era stato verosimilmente compromesso: in pratica, il Trojan veniva scaricato sui computer-vittima assieme al software legittimo Ammyy Admin.

La vulnerabilità maggiore: le persone

Il 2016 ha ugualmente rivelato che, per avere successo, le campagne basate sugli attacchi mirati non hanno sempre bisogno di essere tecnicamente avanzate. Le persone, da certi “sventurati” dipendenti agli insider nocivi, si sono dimostrate essere, spesso, la via d’accesso più facile per gli hacker e i loro tool.

In luglio, abbiamo riferito riguardo ad un gruppo denominato Dropping Elephant (noto anche come ‘Chinastrats’ e ‘Patchwork’). Utilizzando ingegneria sociale di alta qualità, abbinata a vecchi codici exploit e malware basato su PowerShell, il gruppo è stato in grado di rubare dati sensibili ad organizzazioni diplomatiche ed economiche di alto profilo, collegate alle relazioni esterne della Cina.

Operation Ghoul, da parte sua, ha inviato e-mail di spear-phishing, che sembravano provenire da una banca situata negli EAU, ai massimi dirigenti e al middle management di numerose società. I messaggi offrivano, a nome della banca, servizi di consulenza sulle forme di pagamento, ed includevano, in allegato, un documento SWIFT contenente malware.

“I cyber criminali stanno utilizzando gli insider per ottenere l’accesso alle reti di telecomunicazione e ai dati relativi agli utenti; essi reclutano dipendenti scontenti attraverso canali “sotterranei”, o ricattano il personale utilizzando informazioni compromettenti raccolte da fonti pubblicamente accessibili.
Threat Intelligence Report per l’Industria delle Telecomunicazioni

Il mobile advertising

Le principali minacce mobile del 2016 si sono rivelate essere i Trojan pubblicitari in grado di ottenere i diritti di “root” o superutente su un dispositivo Android infetto – un livello di accesso che ha consentito loro di poter fare, letteralmente, qualsiasi cosa. In primo luogo, nascondersi nella cartella di sistema, rendendo quasi impossibile la loro rimozione; in secondo luogo, installare e lanciare furtivamente varie app, che mostrano poi pubblicità in maniera aggressiva. Essi, inoltre, possono persino acquistare nuove app da Google Play.

Molti di questi Trojan sono stati distribuiti attraverso il Google Play Store: alcuni sono stati installati più di 100.000 volte; uno di essi, un’app infetta mascherata da guida per Pokémon GO è stato installato oltre 500.000 volte.

Un trojan Android installato e persino aggiornato come app “pulita” (malware-free), prima di colpire i target con una versione infetta. Altri, tra cui Svpeng, hanno utilizzato Google AdSense, il celebre network pubblicitario, per la loro distribuzione.

Inoltre, alcuni Trojan hanno trovato nuovi modi per bypassare le funzionalità di sicurezza di Android, in particolare la sovrapposizione alle app e l’obbligo di autorizzazione prima di aprire una nuova applicazione – costringendo in pratica l’utente a cedere i diritti di accesso di cui era in cerca il Trojan.

Anche il ransomware mobile si è evoluto, e ora sovrappone le proprie finestre, bloccando, anziché criptare i dati, visto che gli stessi vengono in genere sottoposti a backup.

Per saperne di più riguardo a tali “storie”, si prega di scaricare qui il Kaspersky Security Bulletin completo del 2016.

Per visionare in dettaglio il report Statistics del 2016, si prega di registrarsi qui, per scaricare il report statistico.

ksb_big_numbers_it

L’impatto sulle imprese. Il vasto panorama delle minacce IT ha evidenziato, nel 2016, una crescente necessità di intelligence sulla sicurezza

Il Kaspersky Security Bulletin 2016 pone in risalto l’ascesa di minacce informatiche complesse e altamente dannose, molte delle quali hanno un impatto di vasta portata sulle imprese. Tale impatto trova ampio riflesso nei nostri report “Corporate IT Security Risks” (1, 2), basati su un sondaggio al quale hanno preso parte, nel 2016, oltre 4.000 imprese in tutto il mondo.

Tra le altre cose, è stato posto alle società uno specifico quesito riguardo al parametro di maggiore importanza nel rilevare un incidente IT e “rispondere” ad esso: la tempistica.

È di fondamentale importanza il tempo impiegato per rilevare gli incidenti

Alcuni risultati inediti della nostra ricerca mostrano come, di solito, il tempo occorrente per rilevare un evento di IT Security sia di vari giorni – il 28,7% delle società ha dichiarato che ad esse, in media, è occorso così tanto tempo per rilevare una violazione della sicurezza IT.

ksb_summary_01_it

Tempistiche occorrenti per rilevare un evento di sicurezza IT

Solo l’8,2% delle imprese è stato in grado di rilevare violazioni della sicurezza quasi all’istante, mentre il 19,1% delle stesse ha impiegato diverse settimane per rilevare un grave evento di sicurezza IT. Quando poi abbiamo chiesto in che modo le aziende abbiano eventualmente individuato una violazione in atto da tempo, le risposte ricevute si sono rivelate “illuminanti”.

Andare oltre la prevenzione

ksb_summary_02_it

Periodo di tempo necessario, in media, per rilevare un evento di sicurezza IT, in relazione a tutti gli eventi di sicurezza negli ultimi 12 mesi

In questo grafico combiniamo il tempo occorrente, in media, per scoprire un evento di sicurezza IT, con le risposte ricevute riguardo al modo in cui le imprese hanno rilevato la violazione. A quanto pare, le società che hanno difficoltà ad individuare rapidamente le violazioni IT subite, rilevano le stesse, eventualmente, attraverso una o più delle seguenti modalità: un controllo di sicurezza (audit) esterno o interno, o, purtroppo, tramite una notifica da parte di terzi.

Risulta che, per tali imprese, un audit di sicurezza di qualsiasi genere rappresenta la migliore misura “da ultima spiaggia” per portare finalmente alla luce l’evento. Ma dovrebbe davvero trattarsi dell’ultima risorsa disponibile?

È qui che il nostro report rileva un’evidente discrepanza tra la teoria e la pratica. Sebbene il 65% delle imprese ammetta che un audit di sicurezza costituisce un’efficace misura, meno della metà delle imprese interpellate (48%) ha eseguito tale verifica negli ultimi 12 mesi. Inoltre, il 52% delle società opera con la convinzione che la loro sicurezza IT, ad un certo punto, verrà inevitabilmente compromessa, sebbene il 48% delle stesse non sia pronto ad accettare tale evenienza. In breve: molte imprese ritengono che sia difficile adottare una strategia ben strutturata a livello di rilevamento e risposta.

I costi del ritardo

È lecito dare per scontato che quanto più tempo si impiega a rilevare una violazione della sicurezza IT, tanto più elevati saranno i costi di mitigazione, e tanto maggiore il danno potenziale. I risultati rivelano una scioccante verità: il fatto di non riuscire a scoprire un attacco entro pochi giorni comporta un raddoppiamento, o più, dei costi.

ksb_summary_03_it

Costi di recupero rispetto al tempo occorso, alle imprese, per scoprire una violazione della sicurezza IT

Per le imprese, il costo di un attacco non scoperto per una settimana, o più, è di 2,77 volte superiore a quello relativo ad una violazione rilevata quasi all’istante. Le PMI finiscono per pagare 3,8 volte di più per recuperare le conseguenze di un incidente individuato troppo tardi.

È evidente come migliorando il rilevamento si riducano in maniera significativa i costi per le imprese. Ma l’implementazione di strategie atte a rilevare gli incidenti, e rispondere ad essi, è qualcosa di molto diverso dal garantire un’adeguata prevenzione. Quest’ultima viene fornita da una gamma di soluzioni corporate ben collaudate. La prima richiede security intelligence, una profonda conoscenza del panorama delle minacce, e un’abilità, a livello di sicurezza IT, che consenta di applicare tali competenze alle specificità, talvolta uniche, di ogni società. Secondo il nostro speciale report “Corporate IT Security Risks”, le imprese che “faticano” ad attrarre gli esperti di sicurezza finiscono per pagare due volte tanto, per recuperare dopo un incidente.

La soluzione di Kaspersky Lab: trasformare l’intelligence in protezione

Nel 2016, Kaspersky Lab ha ampliato significativamente il proprio portfolio, con prodotti come Kaspersky Anti-Targeted Attack Platform e servizi di sicurezza IT quali Test di Penetrazione e Threat Data Feeds, tutti quanti concepiti per contribuire a soddisfare le esigenze dei clienti per un migliore rilevamento e una migliore risposta. Il nostro progetto è quello di offrire security intelligence attraverso qualsiasi mezzo si riveli necessario: con una tecnologia per rilevare le minacce mirate, un servizio per analizzare l’evento di sicurezza IT e rispondere allo stesso, ed un’intelligence che aiuti a indagare su una issue di sicurezza in maniera appropriata.

Ci rendiamo bene conto del fatto che, per molte aziende, andare oltre la prevenzione rappresenta una sfida. Ma anche un solo attacco mirato rilevato tempestivamente, e mitigato in tempi rapidi, vale l’investimento – ed aumenta le probabilità che il successivo assalto alle infrastrutture aziendali possa essere del tutto impedito.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *