Yoroi, società italiana riconosciuta per la qualità e l’affidabilità dei servizi di cyber security che propone al mercato, annuncia oggi la prima edizione del proprio Cybersecurity Annual Report, una preziosa risorsa per aiutare i responsabili aziendali e gli addetti ai lavori a comprendere l’origine dei principali attacchi per attuare le azioni difensive più indicate per la propria organizzazione.
L’obiettivo del report, alla sua prima edizione, è di fornire ai lettori le informazioni e gli strumenti atti a comprendere il modo in cui le minacce informatiche si distribuiscono, quali vulnerabilità sfruttano, quali tecniche utilizzano per infettare le vittime e quanto siano stati abili i sistemi antivirus nell’individuare attacchi e minacce. Con questa pubblicazione, Yoroi intende offrire agli “addetti ai lavori” un compendio utile per indirizzare la propria attenzione verso le minacce che possono colpirli con una maggiore probabilità, in accordo con la propria tipologia di business.
“Negli ultimi anni abbiamo osservato un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto,” dichiara Marco Ramilli, fondatore e CTO di Yoroi. “I criminali informatici oggi sono capaci creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni”.
“Per combattere queste minacce dobbiamo prendere atto del fatto che le difese possono essere evase e che dobbiamo agire sul fronte della mitigazione”, prosegue Ramilli. “Anche se la sicurezza al 100% non esiste, oggi ci possiamo avvicinare il più possibile affidandoci ai servizi gestiti. Questo principalmente perché attaccanti e attaccati sono esseri umani, non macchine, e l’unico processo che può funzionare è un processo portato avanti e gestito da un essere umano.”
“Intelligenza artificiale o machine learning,” conclude Ramilli “sono componenti che si inseriscono in questo processo per supportare il lavoro e le competenze degli analisti, non per sostituirli.”
Principali insight emersi dal report:
Il documento è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato nella finestra temporale tra il 1 gennaio 2017 e il 31 dicembre 2017. Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst – gli analisti di Yoroi – al fine di eliminare falsi positivi e/o problemi di classificazione. Non sono inclusi dati provenienti da fonti “terze”.
“Data Leak ”
Gli analisti di Yoroi hanno analizzato le principali “fughe di informazioni”, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel “darknet”.
Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% dei casi (289.799) ha riguardato domini unici riconducibili a organizzazioni italiane.
Inoltre, il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).
“Malware”
La sezione dedicata al malware indica i volumi di propagazione delle minacce per percorso, come ad esempio: e-mail, web, social media, etc. e riconduce la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus. Inoltre, i ricercatori di Yoroi hanno studiato le percentuali di infezione per percorso di propagazione mettendole in relazione alla tipologia del business delle vittime.
Le principali minacce e i vettori di attacco
Ransomware si conferma il malware che ha colpito maggiormente nel corso del 2017.
Fa capo al ceppo Rasomware il 50% del malware individuato e bloccato dal Cyber Security Defence Center di Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali (Sistemi AntiVirus, Sistemi Proxy, NextGeneration Firewall, Intrusion Detection and Prevention Systems, SandBoxes, etc.), seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro malware (1%).
I principali vettori degli attacchi malware individuati dagli analisti di Yoroi sono riconducibili a office (61%), script (23%), executable (14%), archive (1%), pdf (1%).
“Nonostante le vaste e annose campagne di sensibilizzazione contro l’invio e l’utilizzo di file eseguibili,” commenta Ramilli, “abbiamo riscontrato che vi è ancora un 14% di attacchi che utilizzano file di questa natura per infettare le vittime.”
La tipologia di vettori di attacco basati su “script” (file con estensione .scr, .js, .jar, vbs) risulta essere di complessa individuazione da parte dei normali motori basati su signature e anche dalle più recenti soluzioni di SandBoxing in quanto spesso implementano sistemi di evasione.
Per lo più il percorso di propagazione avviene su email (89%) o per download diretto (11%).
I settori più colpiti
Il report include una sezione dedicata alla correlazione tra malware e settori verticali, prendendo in esame sia la tipologia di attacco sia i principali vettori, sia i metodi di propagazione.
Il settore bancario si conferma tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware “Banker”. I settori “Tessile e Abbigliamento”, “Bevande”, “Attrezzatture macchinari” e “Trasporti” sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura “criminale” a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, incrociando i dati con quelli riguardanti la tipologia dei vettori delle minacce si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).
“DNS Blocked Threats”
La sezione dedicata alle minacce bloccate a livello di DNS include una disamina dei principali domini pericolosi (TOP malicious domain) contattati nel corso del 2017, le principali categorie di attacco individuate e una indicativa distribuzione per dominio.
