McAfee Inc. ha pubblicato oggi il report McAfee Labs sulle minacce: settembre 2017, che prende in esame l’aumento del malware basato su script, suggerisce cinque comprovate best practice per il rilevamento delle minacce, fornisce un’analisi dei recenti attacchi di ransomware WannaCry e NotPetya, studia le tipologie di attacchi segnalati nei vari settori e rivela le tendenze di crescita di malware, ransomware, ecc. All’interno del report, gli analisti di McAfee Labs hanno visto la sanità superare il settore pubblico per il numero di incidenti di sicurezza segnalati nel secondo trimestre, mentre il Trojan Faceliker ha contribuito a guidare l’aumento del 67% di nuovi campioni di malware in grado di sfruttare i social media.
Il secondo trimestre del 2017 ha visto Facebook emergere come importante vettore di attacco, con Faceliker che ha rappresentato ben l’8,9% dei 52 milioni di nuovi campioni di malware rilevati nel trimestre. Si tratta di un Trojan che agisce infettando il browser di un utente che visita siti Web dannosi o compromessi. Successivamente, dirotta i “like” Facebook dell’utente e promuove altri contenuti senza che ne sia a conoscenza e senza autorizzazione. Procedure che se attuate su larga scala possono far guadagnare denaro dal momento che sono in grado di gonfiare i numeri di visualizzazioni di notizie, video, siti web o annunci pubblicitari.
“Faceliker sfrutta e manipola i social media e le comunicazioni tramite app che oggi utilizziamo sempre più spesso”, ha dichiarato Vincent Weafer, Vice President di McAfee Labs. “Rendendo app o articoli di notizie più popolari, accettati e legittimi tra gli amici, malintenzionati sconosciuti possono influenzare segretamente il modo in cui percepiamo il valore e persino la verità. Finché vi sarà un profitto da tali azioni, ci possiamo aspettare in futuro di vedere un maggior numero di tali schemi”.
L’analisi trimestrale di McAfee Labs degli incidenti di sicurezza resi pubblici ha rilevato che il settore pubblico è stato quello maggiormente colpito nel corso degli ultimi sei trimestri, ma nel secondo trimestre 2017 è stato superato dalla Sanità con il 26% degli incidenti registrati. Mentre le violazioni dei dati sanitari globali sono probabilmente il risultato di divulgazioni accidentali ed errori umani, gli attacchi informatici al settore continuano ad aumentare. La tendenza è iniziata nel primo trimestre del 2016, quando numerose strutture ospedaliere in tutto il mondo hanno subito attacchi Ransomware. Gli attacchi hanno paralizzato diversi reparti e, in alcuni casi, gli ospedali hanno dovuto trasferire i pazienti e posticipare interventi chirurgici.
“Che si tratti di materiale fisico o digitale, le violazioni dei dati nel settore sanitario evidenziano il valore delle informazioni personali sensibili possedute dalle aziende sanitarie”, ha aggiunto Weafer. “E ribadiscono anche l’estrema necessità di rafforzare le policy di sicurezza aziendali per garantire la gestione sicura di tali informazioni”.
Dati sull’andamento delle minacce nel secondo trimestre 2017
Nel secondo trimestre 2017, la rete Global Threat Intelligence di McAfee Labs ha registrato notevoli trend di crescita nelle minacce e negli incidenti di sicurezza informatica nei vari settori:
· Incidenti di sicurezza. McAfee Labs ha registrato la divulgazione pubblica di 311 incidenti di sicurezza nel secondo trimestre, con un incremento del 3% rispetto al primo trimestre. Tra tutti gli incidenti resi pubblici il 78% si è verificato nelle Americhe.
§ I settori verticali maggiormente colpiti. I settori della Sanità, dell’Istruzione e la Pubblica Amministrazione hanno subito più del 50% degli incidenti di sicurezza totali nel corso del 2016-2017 a livello globale.
Nord America. In Nord America il maggior numero di attacchi tra i vari settori verticali si è verificato nella Sanità.
Asia Pacifico. In Asia, è stato il settore pubblico a rendere pubblico il maggior numero di incidenti, seguito dal comparto dei servizi finanziari e tecnologico.
Europa, Medio Oriente e Africa. In Europa, il settore pubblico è stato quello con il maggior numero di incidenti resi noti nel secondo trimestre, seguito da Entertainment, Sanità, Finanziario e Tecnologico.
· Vettori di attacco. I principali vettori di attacco sono stati i sequestri degli account, seguiti da DDoS, fuoriuscite di dati, attacchi mirati, malware, e SQL injection.
· Crescita del malware. Il numero dei nuovi campioni di malware ha visto una crescita del 67% che li ha portati a 52 milioni nel secondo trimestre. L’ascesa del nuovo malware nel secondo trimestre è dovuta in parte all’aumento dei relativi programmi di installazione e del trojan Faceliker. Questi ultimi hanno rappresentato l’8,9% di tutti i nuovi campioni di malware. Il numero totale di campioni di malware è aumentato del 23% negli ultimi quattro trimestri, raggiungendo quasi 723 milioni di campioni.
· Ransomware. I nuovi campioni di ransomware sono nuovamente aumentati bruscamente nel secondo trimestre, del 54%. Il numero totale dei campioni di ransomware è cresciuto del 47% negli ultimi quattro trimestri, attestandosi sui 10,7 milioni di campioni.
· Malware mobile. Il numero totale di casi di malware mobile è cresciuto del 61% negli scorsi quattro trimestri per arrivare a 18.4 milioni di esemplari. Le infezioni globali di dispositivi mobile sono aumentate dell’8% nel secondo trimestre dell’anno, con l’Asia in testa tra le più colpite, con il 18%.
· Malware Mac. Con l’esaurirsi dell’elevata ondata di adware registrata lo scorso trimestre, il malware Mac OS è tornato a livelli storici, crescendo solo di 27.000 unità nel secondo trimestre. Ancora basso rispetto alle minacce per i sistemi Windows, il numero totale di campioni di malware Mac OS è aumentato del 4% nel secondo trimestre.
· Malware delle macro. Il nuovo malware delle macro è aumentato del 35% nel secondo trimestre. Sono stati 91.000 i nuovi elementi che hanno portato il totale di malware delle macro a 1,1 milioni.
· Andamento dello spam. Il botnet Gamut si è confermato ancora una volta al primo posto per volume di spam durante il secondo trimestre, continuando la sua attività di spam legato a offerte di lavoro e a medicinali falsi. La botnet Necurs è stata la più dannosa, avendo stimolato numerose speculazioni azionarie durante il trimestre.
Per ulteriori informazioni sulle minacce sopradescritte o ulteriori dati relativi al panorama delle minacce per il secondo trimestre 2017, visitare www.mcafee.com per scaricare il report completo e le infografiche.
Qualche nota aggiuntiva: WannaCry e NotPetya
L’analisi di McAfee degli attacchi WannaCry e NotPetya si basa su precedenti ricerche dell’azienda, cui aggiunge maggiori informazioni su come l’aggressore sia riuscito a combinare creativamente una serie di tattiche relativamente semplici, fondendo lo sfruttamento delle vulnerabilità, il ransomware collaudato e la propagazione tipica del worm. McAfee sottolinea che entrambe le campagne d’attacco mancavano delle capacità di pagamento e decrittografia per estorcere con successo i riscatti delle vittime e sbloccare i loro sistemi.
“È stato sostenuto che queste campagne ransomware non hanno avuto successo perché non hanno guadagnato molto denaro,” ha commentato Raj Samani, Chief Scientist di McAfee. “Tuttavia, è altrettanto probabile che la motivazione di WannaCry e NotPetya non fosse il guadagno economico, ma qualcos’altro. Se la motivazione fosse stata la creazione di caos e l’interruzione di servizi, allora si può affermare che entrambe le campagne sono state estremamente efficaci. Siamo arrivati al punto in cui il motivo alla base del ransomware non è più solo fare soldi, ma anche dare il benvenuto nel mondo dello pseudo-ransomware”.
Ulteriori informazioni su queste analisi sono disponibili sul blog dal titolo “More Effective at Destruction than Ransomware”.
L’ascesa del Malware basato sugli script
I ricercatori di McAfee hanno inoltre evidenziato il notevole aumento del malware basato sugli script negli ultimi due anni. Questo linguaggio di scripting Microsoft viene utilizzato per automatizzare le attività di amministrazione come l’esecuzione dei comandi di sfondo, il controllo dei servizi installati sul sistema, la terminazione dei processi e la gestione delle configurazioni di sistemi e server. Gli script PowerShell dannosi di solito arrivano sulla macchina di un utente tramite email di spam, diffondendosi attraverso social engineering piuttosto che attraverso le vulnerabilità del software, e successivamente sfruttano le funzionalità degli script per compromettere il sistema.
Tra il malware basato sugli script viene incluso anche l’utilizzo malevolo di JavaScript, VBScript e altri tipi di moduli non eseguibili che utilizzano le estensioni .doc, PDF, .xls, HTML e altri standard utilizzati comunemente nei personal computing.
Consigli per migliorare la caccia alle minacce
Il report di settembre offre anche alcuni suggerimenti per aiutare i ‘cacciatori di minacce’ a individuare la presenza di avversari nel loro ambiente. Partendo da tre principi fondamentali del gruppo Foundstone di McAfee – conosci il tuo nemico, conosci la tua rete, conosci i tuoi strumenti – il report offre le migliori pratiche per andare a caccia di minacce comando e controllo, persistenza, escalation dei privilegi, movimento laterale ed esfiltrazione.
Un presupposto di fondo è che, in ogni momento, c’è almeno un sistema compromesso sulla rete, un attacco che è riuscito a eludere le misure di sicurezza preventiva dell’azienda”, ha dichiarato Ismael Valenzuela, Principal Engineer, Threat Hunting and Security Analytics, McAfee. I cacciatori di minacce devono trovare rapidamente manufatti o prove che possano indicare la presenza di un avversario nella rete, aiutando a contenere ed eliminare un attacco prima che faccia scattare un allarme o provochi una violazione dei dati”.