Mentre le notizie sul Coronavirus affollano la rete, i criminali informatici stanno diversificando i metodi per trarre profitto da utenti poco accorti. nei giorni scorsi Kaspersky aveva individuato 32 file dannosi diffusi come documenti legati al Coronavirus. Ora gli esperti hanno rilevato campioni di email di spam che propongono maschere filtranti antismog affermando che sono in grado di proteggere gli utenti dal Coronavirus e da altre infezioni trasmesse per via aerea. Le email di spam inviate agli utenti includono informazioni su alcune maschere in grado di proteggere gli utenti da qualsiasi virus trasmissibile per via aerea, in particolare dal Coronavirus, con un “un’efficacia del 99.99%”.
Sophos, leader globale nella sicurezza degli endpoint e della rete, ha pubblicato un report investigativo dal titolo "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" realizzato dai SophosLabs e Sophos Managed Threat Response. Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode (modalità provvisoria) per aggirare le protezioni basate sull'analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.
Il Payment Security Report 2019 di Verizon evidenzia i motivi per cui la compliance è importante e suggerisce le misure per combatterne il trend negativo. La percentuale delle aziende che rispettano pienamente la compliance con il PCI DSS diminuisce per il secondo anno consecutivo, scendendo al 36,7% a livello globale. In America, solo 1 organizzazione su 5 rispetta completamente gli standard di conformità; guidano la classifica delle aziende più virtuose quelle dell’area Asia-Pacifico. Il Framework 9-5-4 di Verizon include gli elementi per aiutare a sviluppare e migliorare la capacità e la maturità dei processi in un programma di compliance di protezione dei dati.
Secondo il recente Threat Report di Webroot le infezioni sono in crescita di oltre il 70%. Il rapporto di Webroot, società di Smarter Cybersecurity®, deriva da metriche acquisite e analizzate dall’architettura avanzata di machine learning basata sul cloud. Webroot, azienda del gruppo Carbonite, ha condiviso i risultati del suo ultimo Threat Report: Mid-Year Update, lo studio che intende esplorare l’evoluzione del panorama della cybersecurity. Sulla base dei trend osservati durante la prima metà del 2019, è emerso che 1 link su 50 è malevolo, quasi un terzo dei siti di phishing utilizza il protocollo HTTPS e gli exploit di Windows® 7 sono cresciuti più del 70% a partire da gennaio.
WhatsApp ha identificato ad inizio mese un difetto di sicurezza avanzato nel suo servizio di messaggistica, confermato dalla società di proprietà di Facebook, che ha consentito agli hacker di installare sui telefoni lo spyware Pegasus sviluppato dealla società israeliana NSO Group. WhatsApp ha invitato i suoi 1,5 miliardi di utenti ad aggiornare la versione più recente dell'app. La notizia fa seguito alla recente scoperta di Exodus, uno spyware che pare essere stato commissionato dalla Polizia di Stato, che è finito sia nel Play Store di Google che su alcuni siti di phishing che si spacciavano per noti provider di telefonia, riuscendo così a contaminare centinaia di utenti italiani.
Un nuovo approccio per una vecchia tecnica. I malware privi di file fanno leva sulle vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Negli ultimi anni, Microsoft ha cercato di rendere PowerShell lo strumento di gestione preferito. Quasi tutti i nuovi prodotti server Microsoft richiedono PowerShell e ci sono molte attività di gestione che non possono essere eseguite senza scavare nella riga di comando. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che chiaramente sta nuovamente prendendo piede.
I software malevoli più diffusi rimangono i ransomware: sono alla base del 39 per cento dei casi legati ai malware. Il fattore umano è ancora una debolezza: gli attacchi finanziari di tipo pretexting – un’altra forma di ingegneria sociale - e phishing ne sono la prova, e adesso la preda sono i reparti risorse umane (HR). L’undicesima edizione del DBIR include i dati di 67 organizzazioni che hanno contribuito a questa ricerca; sono stati analizzati più di 53,000 attacchi e 2,216 violazioni, perpetrati in 65 Paesi. Gli attacchi ransomware rimangono tra le più temibili minacce informatiche per le organizzazioni a livello mondiale, avverte il Data Breach Investigations Report 2018 (DBIR) di Verizon.
“Sei stato menzionato in un commento”. Con questa frase una nuova infezione sul social network ha gettato la sua esca. Gira da tempo, ma è stato registrato un boom negli ultimi giorni. La modalità di propagazione era quella ormai abituale. Un esperto di sicurezza di Kaspersky Lab ha scoperto un attacco malware che ha ingannato circa 10.000 utenti Facebook in tutto il mondo, infettando i loro dispositivi tramite un falso messaggio da parte di un amico di Facebook che afferma di averli menzionati in un commento. I dispositivi compromessi venivano usati per effettuare l’hijack degli account del social network per diffondere l’infezione tra gli amici della vittima stessa e permettere altre attività nocive.
Ottobre è stato il mese europeo della sicurezza informatica (European Cyber Security Month 2015 – ECSM), ed è tempo di fare un bilancio relativo al grado di consapevolezza di aziende e utenti riguardo alle minacce informatiche che ogni giorno mettono in pericolo la loro privacy. A prima vista il quadro non potrebbe essere peggiore: secondo il rapporto Clusit 2015, la crescita degli investimenti in sicurezza informatica rispetto all’anno precedente, pur segnando un +8 percento nel 2014, non tiene il passo di hacker sempre più “professionisti” del cyber crimine e fatica a contrastare attacchi in costante aumento, come dimostra anche il fatto che almeno 2/3 degli attacchi non vengano neppure rilevati.
Fare Cybercrime è sempre più semplice, l’attribuzione è sempre più complessa, qualità più che quantità e il vecchio diventa il nuovo. Websense, Inc., leader globale nella protezione delle aziende contro i più recenti attacchi informatici e il furto dei dati, ha rilasciato oggi tramite i propri Websense® Security Labs™ il Threat Report 2015, che analizza l'evoluzione delle tendenze di attacco informatico, le tattiche e le vulnerabilità nella difesa. Il rapporto esamina come gli autori delle minacce stiano incrementando funzionalità sempre più efficaci attraverso l'adozione di strumenti all'avanguardia, piuttosto che incrementare la propria competenza tecnica.
Si tratta del nuovo servizio gestito Symantec Managed Security Services-Advanced Threat Protection. Symantec (Nasdaq: SYMC) ha annunciato un nuovo approccio avanzato alla protezione delle minacce (Advanced Threat Protection), svelando una roadmap di soluzioni integrate che dimostra l’alto livello di innovazione nell’ambito sicurezza che solo essa può offrire. Questo approccio è supportato da due nuove soluzioni: Symantec Managed Security Services-Advanced Threat Protection e Symantec Advanced Threat Protection Solution (MSS-ATP), che combinano avvisi e intelligence all’interno di diverse tecnologie di sicurezza per offrire una prevenzione completa agli attacchi.
Gli esperti di Kaspersky Lab e Outpost24 hanno recentemente realizzato un audit sulla sicurezza su alcune organizzazioni europee, analizzando le vulnerabilità per cui non è prevista una patch per capire meglio il panorama della (in)sicurezza IT a livello globale. Il report dimostra che anche attacchi non particolarmente sofisticati contro le reti aziendali possono essere attuati senza l’impiego di costosi exploit zero-day. Nonostante il numero degli attacchi zero-day sia in aumento, i criminali informatici spesso utilizzano ancora vulnerabilità già note.
Questo non sorprende, considerando che in un’azienda ci vogliono in media 60-70 giorni per correggere una vulnerabilità - il tempo sufficiente per i criminali di ottenere l'accesso ad una rete aziendale. L’audit ha anche rivelato che per i criminali informatici non è necessario hackerare un sistema aziendale, ma è sufficiente attaccare le persone che gestiscono il sistema. Le vulnerabilità devono essere risolte entro tre mesi ma secondo il report, il 77% delle minacce che vanno oltre il termine dei tre mesi, un anno dopo essere state scoperte sono ancora presenti sulle macchine.
Il team di ricerca composto da Kaspersky Lab e Outpost24 ha raccolto i dati relativi alle vulnerabilità a partire dal 2010, individuando i sistemi che sono stati vulnerabili negli ultimi tre anni. Tali vulnerabilità non sottoposte a patch sono considerate critiche a causa della facilità con cui possono essere utilizzate e l'impatto che possono avere. È interessante notare che in alcuni casi ci sono stati sistemi aziendali che sono rimasti senza patch per un decennio, nonostante le società pagassero un servizio specifico per monitorare la loro sicurezza.
Dopo aver raccolto i dati insieme ad Outpost24, David Jacoby, senior security researcher di Kaspersky Lab, ha deciso di condurre un esperimento di social engineering per dimostrare quanto fosse facile inserire un drive USB nel computer di un’istituzione governativa o di un’azienda privata. Vestito con un abito elegante, armato di una chiavetta USB contenente solo il PDF della sua biografia, David ha chiesto al personale della reception di 11 organizzazioni differenti se potevano aiutarlo a stampare un documento necessario per un appuntamento, che avrebbe avuto luogo in una sede diversa.
Il campione su cui è stato eseguito questo controllo di sicurezza comprendeva tre alberghi di diverse catene, sei organizzazioni governative e due grandi aziende private. I computer presenti nelle sedi degli enti governativi, in genere, memorizzano informazioni sensibili che riguardano i cittadini, mentre quelli presenti nelle grandi aziende private molto probabilmente contengono le connessioni di rete ad altre società e gli alberghi a cinque stelle sono i luoghi in cui soggiornano diplomatici, politici e dirigenti.
Solo un albergo ha permesso a David di connettere il proprio driver al computer, mentre gli altri due si sono rifiutati. Le aziende private non hanno invece potuto accettare la richiesta. Delle sei organizzazioni governative visitate, quattro hanno aiutato David, inserendo la chiavetta USB in un computer. In due casi la porta USB era disattivata e il personale ha chiesto di inviare il file tramite email.
“E’ sorprendente constatare che gli alberghi e le aziende private hanno una maggiore consapevolezza della sicurezza rispetto alle organizzazioni governative. L’esperimento che abbiamo svolto è importante per ogni paese, perché il divario tra il momento in cui viene rilevata una vulnerabilità e il momento in cui viene patchata esiste in ogni contesto. Il risultato del mio esperimento con il driver USB è anche un campanello d'allarme per chi sta cercando soluzioni di sicurezza su misura in grado di affrontare le 'minacce di domani', mentre dovrebbe per prima cosa formare adeguatamente il proprio staff”, ha dichiarato David Jacoby, Senior Security Researcher, Global Research & Analysis Team di Kaspersky Lab.
"Molte aziende utilizzano risorse preziose per combattere le potenziali minacce di domani, quando devono in realtà ancora risolvere le minacce di oggi e di ieri”, ha dichiarato Martin Jartelius, Chief Security Officer di Outpost24. “Le aziende che si trovano davanti a policy di sicurezza non adeguate, dispositivi di sicurezza mal configurati o personale non formato, devono capire che è possibile ottenere il controllo della maggior parte delle aree dell'organizzazione anche se non vengono utilizzati nuovi attacchi o metodi. E' quindi essenziale cambiare l'approccio alla sicurezza, adottando soluzioni integrate come parte dei processi di business". Per leggere il report completo, visitare il sito Securelist.com
Agenda Digitale, Pubblica Amministrazione, Difesa, PMI e Telecomunicazioni: queste le principali aree tematiche che contraddistinguono l’edizione romana in programma il 5 e 6 giugno. Si svolge il 5 e 6 giugno presso SGM Conference Center l'edizione romana del Security Summit, la manifestazione dedicata alla sicurezza delle informazioni, delle reti e dei sistemi informatici, promossa da Clusit (www.clusit.it), la principale associazione italiana del settore. L'evento assume particolare rilievo dopo il recente attacco di Anonymous al sito del Siulp, il sito del più grande sindacato italiano di polizia.
Attacchi informatici sempre più sofisticati e con un aumento record, addirittura del 254%. Dall'analisi degli attacchi noti del 2012 emerge che per il 54% si tratti di cybercrime, per il 31% di hacktivism, per il 9% di attacchi realizzati da ignoti, per il 4% di attacchi legati ad attività di cyber warfare e per il 2% di cyber espionage. Lo rileva il Rapporto Clusit 2013 che lancia l'allarme di una vera e propria emergenza, dove tutti sono minacciati, dai singoli cittadini alle imprese grandi o piccole, fino agli stati nazionali.
Nella classifica delle vittime, diminuiscono leggermente gli attacchi verso enti governativi, ma aumentano quelli contro l'industria dello spettacolo, i servizi web e le istituzioni scolastiche. Nonostante il settore governativo mantenga il non invidiabile primato di essere bersaglio più frequentemente colpito, è il settore online service e Cloud (che include i Social Network) a mostrare i tassi di crescita maggiori degli attacchi: +900%.
Complice il fatto che oggi, tra la scoperta di una vulnerabilità critica e il suo sfruttamento da parte di cyber criminali, spie o «cyber warriors» possono passare anche solo poche ore. Tutti sono ormai potenziali bersagli, basta essere connessi ad Internet. Molti utenti utilizzano allo stesso tempo Pc fissi o portatili e device mobili, aumentando la propria «superficie di attacco». Nessuna piattaforma è immune alle minacce: se fino ad un paio di anni fa, ad essere attaccati erano soprattutto i prodotti Microsoft, oggi ad essere a rischio sono anche le piattaforme meno diffuse, ma in forte ascesa, quali Mac Os X, iOs, Android e Blackberry.
Le protezioni tradizionali (antivirus, firewall) non sono più sufficienti per bloccare minacce sempre più sofisticate, è dunque particolarmente importante prevenire, cioè correggere le abitudini più pericolose da parte degli utenti che si esprimono soprattutto sui Social Network e, in particolare, tra i giovani. Facebook ha raggiunto il miliardo di profili (corrispondenti a circa 800 milioni di utenti reali), LinkedIn e Twitter hanno superato i 200 milioni di iscritti e cresce anche Google+.
Tra gli utenti di Social Network figura circa l'80% degli utenti abituali di internet italiani, ovvero oltre 22 milioni di persone. All'interno dei Social Network gli utenti ormai trascorrono 1 minuto ogni 3 di navigazione Internet. In Italia, nel 2012, il 40% degli utenti adulti di Internet sono stati raggiunti da qualche forma di minaccia informatica, circa la metà delle quali veicolate tramite Social Network.
Il fenomeno però non ha coinciso con una presa di coscienza da parte degli utenti, nè con l'adozione di particolari forme di protezione da parte delle piattaforme Social che sono state vittime di importanti attacchi, con furto di credenziali di milioni di utenti. A dicembre 2012, in Italia vi erano 38,4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet. Nel 60,4% dei casi l'attività più citata dagli utenti consiste nella navigazione su Internet e quasi 5 milioni di utenti hanno scaricato almeno una volta una applicazione.
Si fa strada, soprattutto tra i giovani, un nuovo concetto di privacy che li espone maggiormente alle minacce virtuali, con la condivisione di una quantità eccessiva di informazioni personali che sono facile preda per bulli e stalker digitali, nonchè per i criminali che possono ottenere dai social network o da altre informazioni inconsapevolmente condivise indicazioni utili per portare a termine eventuali azioni illecite in ambito virtuale e reale.
Ma non sono solo i privati a utilizzare i Social Network: in base ai dati raccolti dalla ricerca «Social Media Effectiveness Use Assessment» svolta da Snid del Politecnico di Milano, in Italia la loro penetrazione in ambito aziendale è circa del 50% (con punte del 70% in alcune aree geografiche come la Lombardia), ed è destinata ad aumentare ulteriormente nel corso di quest'anno.
Per rimanere in Italia, degli attacchi rilevati nel 2012, il 67% risultano essere di matrice hacktivistica mentre un 33% è dovuto a motivazioni riconducibili al cybercrime (nel 2011 queste percentuali si attestavano rispettivamente all'84 e 14%). Aumentano, quindi gli attacchi motivati da cybercrime e calano quelli riconducibili a natura hacktivistica. Il campione analizzato mostra una preferenza degli attaccanti per il settore governativo, seguito da associazioni politiche e industria.
Ma quanto costa il cybercrime in Italia? Sebbene non esistano statistiche ufficiali in merito, per quanto riguarda i costi provocati dal cybercrime esistono dati parziali, provenienti da aziende private del settore. Secondo un'indagine pubblicata a settembre 2012, gli ultimi dati indicano che l'anno scorso dalle tasche dei cittadini italiani sono spariti 2,45 miliardi di euro, con 8,9 milioni di individui che nell'anno sono rimasti vittima di crimini informatici. È importante rilevare che questo numero corrisponde a circa un terzo degli utenti Internet attivi in Italia nel 2012.
Dagli attacchi di massa per compromettere Wordpress a quelli di spear-phishing contro la Casa Bianca, non c’è dubbio che nel corso del 2012 i cyber criminali sono diventati sempre più sicuri ed esperti. Per aiutare le aziende ad affrontare il prossimo anno, i Websense® Security Labs™ annunciano le sette previsioni sul panorama delle minacce per il 2013. Di seguito i principali risultati del report, comprensivo anche di approfondimenti su sicurezza mobile, e-mail e Java exploit:
Mercoledì scorso, gli esperti di sicurezza informatica hanno tirato giù Grum, la terza botnet più grande al mondo, un cluster di computer infetti utilizzati dai criminali informatici per inviare spam a milioni di persone. Gli esperti di sicurezza informatica dicono che Grum era responsabile di circa il 18% dello spam globale, o 18 miliardi di messaggi spam al giorno. Uno sforzo coordinato da parte dei ricercatori di sicurezza, ha portato al blocco martedì dei server di comando e controllo della botnet in Olanda e Panama, agli indirizzi IP 94.102.51.226 e 94.102.51.227.
Con tutte le violazioni che si sono verificate nel 2011, gli exploit e i famigerati attacchi hacker, cosa dobbiamo aspettarci dal 2012? Abbiamo chiesto agli esperti dei Websense Security Labs™ di fare delle previsioni per il prossimo anno. Le anticipazioni che avevano fatto nel 2011 si sono rivelate molto accurate quindi queste previsioni possono essere molto utili per i responsabili della sicurezza. Di seguito riportiamo i punti principali. Chi è interessato può scaricare, inoltre, il report completo.
1. Per i cyber criminali la vostra identità sui social media potrebbe essere più interessante della vostra carta di credito.
Questi criminali creano in Internet dei forum per la compravendita di identità sottratte dai social media. La fiducia è alla base dei social network, se un hacker entra in possesso dei vostri dati per il log-in dell’account c’è la possibilità che entri in contatto con i vostri amici e li strumentalizzi a loro insaputa. Questo ci porta alla previsione numero 2.
2. I principali attacchi misti utilizzati dalle minacce più avanzate avvengono attraverso i contatti dei social media, i cellulari e sfruttando il cloud.
Abbiamo già assistito a un attacco APT che utilizzava le funzionalità della chat con un account compromesso di un social network per colpire un utente. Prevediamo che questo diventerà il vettore principale, insieme al mobile e al cloud negli APT del 2012.
3. Più di mille dispostivi mobile colpiti tra smartphone e tablet.
Gli esperti lo avevano predetto da anni, ma è solo dal 2011 che è cominciato a succedere. Attenzione: il numero di persone vittime di truffe sottoforma di social engineering credibili crescerà in modo esponenziale se i cyber criminali troveranno il modo di utilizzare i servizi mobile basati sulla localizzazione per creare attacchi superspecifici.
4. I tunnel SSL/TLS nascondono i dati in un “buco nero”.
Due elementi hanno provocato l’aumento del traffico attraverso i tunnel SSL/TLS sicuri dedicati alla privacy e alla protezione dei dati. Il primo fattore è la grande diffusione dei cellulari e dei tablet. Il secondo è il fatto che alcuni dei siti più importanti come Google, Facebook e Twitter passano di default alle sessioni HTTPS, offrendo una trasmissione apparentemente più sicura. Visto però che in questo modo una maggior quantità di dati viaggia attraverso i tunnel criptati, molte delle soluzioni di sicurezza adottate dalle aziende risultano inutilizzabili perché non hanno le capacità di ispezionare il traffico codificato.
5. Il “contenimento” è la nuova prevenzione.
Per anni, le soluzioni per la sicurezza dei dati hanno puntato a “tenere fuori” i malware e i criminali informatici. Ora le aziende all'avanguardia faranno controlli sui dati in uscita e adatteranno le tecnologie per la prevenzione in modo da garantire il “contenimento” dei dati, tagliando le comunicazioni e cercando di attenuare la perdita dei dati in caso di violazione.
6. Le Olimpiadi di Londra, le elezioni presidenziali americane, il calendario Maya e le previsioni apocalittiche saranno causa di forti attacchi da parte dei cybercriminali.
I cybercriminali continueranno a trarre vantaggio dall’aggiornamento 24 su 24 delle notizie, colpendo gli utenti nel momento in cui meno se lo aspettano: per esempio mentre consultano notizie su siti legittimi, feed Twitter, post e messaggi Facebook, aggiornamenti LinkedIn, commenti a video di YouTube e conversazioni sui forum.
7. L’ingegneria sociale e i rogue anti-virus continueranno a regnare.
Le tecniche dello scareware e l’uso dei rogue anti-virus, che sono diminuiti leggermente nel 2011, torneranno. Invece di trovare la scritta "Siete stati infettati" sulle pagine web, ci saranno 3 nuove sottocategorie di scareware nel 2012: false pagine di registrazione, falsi update software e falsi software di backup che imitano sistemi noti di personal backup su cloud.
Citazioni
“Nel 2011 è stato dimostrato che nel mondo della sicurezza aziendale può succedere qualsiasi cosa. Quest'anno c’è stata un’ampia adozione del mobile, del social, si è diffusa la tecnologia cloud e sicuramente ci saranno molti cyber criminali che approfitteranno di questi cambiamenti.
La cosa che accomuna la diffusione delle violazioni, l'amplificazione del malware avanzato e la moltiplicazione degli exploit kit è il web. Quasi tutti i maggiori attacchi del 2011 hanno utilizzato un componente web, sia come vettore sia come centro di comando e di controllo, sia come pipeline per sottrarre i dati e gli indirizzi IP. Gli attacchi web vanno oltre il browser e visto che è in aumento la richiesta di API (Application Programming Interface) web, vedremo un aumento degli attacchi che sfruttano a loro volta le API.
I criminali più evoluti stanno approfittando della grande diffusione dei dispositivi mobile e dell’uso dei social media e del web per usi personali da parte dei dipendenti per creare attacchi più efficaci e di ingegneria sociale. Molti degli attacchi alle aziende e ai governi previsti per il prossimo anno non saranno necessariamente basati su un codice complesso ma su metodologie per attrarre vittime inconsapevoli a cliccare”, ha dichiarato Dan Hubbard, chief technology officer di Websense.
Per saperne di più su come Websense protegge i clienti dalle minacce future, Websense® TRITON™ solution, che offre una soluzione completa per la sicurezza del web, dell’email e per la data loss prevention.
