Una media di 480 nuove minacce al minuto e un forte aumento dei malware che hanno colpito i dispositivi IoT sono quanto riportato da McAfee nel suo Report McAfee Labs sulle minacce.
Nello specifico, stando a quanto emerso esaminando le attività relative ai cybercriminali informatici e l’evoluzione delle cyber minacce diffuse nel corso del terzo trimestre 2018, l’effetto a catena degli attacchi del 2017 ai mercati dark web Hansa e AlphaBay è proseguito mentre i criminali informatici hanno adottato nuove misure per eludere le forze dell’ordine.
Seguire i criminali informatici per conoscere i trend
A dirlo sono gli esperti McAffe convinti che, seguendo le tendenze emergenti nei mercati clandestini e nei forum nascosti, i responsabili della sicurezza informatica sapranno come continuare a difendersi dagli attacchi attuali e rimarranno un passo avanti nei confronti di quelli futuri.
Di suo, ogni trimestre, McAfee valuta lo status del panorama delle minacce informatiche sulla base di ricerche approfondite, analisi investigative e dati sulle minacce raccolti dal cloud McAfee Global Threat Intelligence, che conta oltre un miliardo di sensori per molteplici vettori di minacce in tutto il mondo.
Da minacce IT a prodotti disponibili nel mercato clandestino
Il terzo trimestre del 2018 ha visto i mercati Dream, Wall Street e Olympus reclamare quote di mercato, fino alla misteriosa scomparsa di Olympus. Nel tentativo di eludere le forze dell’ordine e creare fiducia direttamente con i clienti, alcuni criminali informatici con spirito imprenditoriale hanno smesso di utilizzare i mercati più grandi per vendere i loro prodotti e hanno iniziato a creare i loro negozi specializzati. Questo cambiamento ha creato un nuovo business per i progettisti di siti web che si offrono di costruire mercati nascosti per gli aspiranti imprenditori clandestini.
I forum degli hacker forniscono ai criminali informatici il luogo adatto in cui discutere con i loro pari di argomenti legati alla criminalità informatica. I ricercatori di McAfee hanno intercettato conversazioni sui seguenti argomenti nel terzo trimestre:
Violazioni di successo alimentano i mercati dei dati e degli attacchi basati sull’emulazione.
Credenziali utente: a causa di molte recenti violazioni in cui sono stati coinvolti dati su larga scala, le credenziali dell’utente rimangono un aspetto molto allettante. Gli account email violati sono di particolare interesse per i criminali informatici in quanto vengono utilizzati per ripristinare le credenziali di accesso ad altri servizi online.
Malware per i siti di e-commerce: i criminali informatici hanno spostato la loro attenzione dai sistemi dei punti vendita alle piattaforme di pagamento dei grandi siti di e-commerce.
Continuano a essere molto diffusi i metodi di ingresso e attacco comuni
Vulnerabilità ed esposizioni comuni (CVE): i ricercatori McAfee sono stati testimoni di numerose citazioni di CVE in discussioni incentrate sui kit di exploit per browser RIG, Grandsoft e Fallout, e sui ransomware GandCrab.
Remote Desktop Protocol (RDP): i negozi che offrono accessi ai sistemi informatici in tutto il mondo, dall’abitazione dei consumatori ai dispositivi medici fino ai sistemi governativi, hanno mantenuto la loro popolarità in tutto il terzo trimestre. Questi negozi offrono un’occasione unica per i criminali informatici che cercano di commettere frodi, vendendo l’accesso ai RDP e i numeri di previdenza sociale, le coordinate bancarie e l’accesso al conto online.
Ransomware-as-a-Service (RaaS): il ransomware rimane molto diffuso, con una crescita del 45% negli ultimi quattro trimestri e un forte interesse per i forum nascosti per le principali famiglie RaaS come Gandcrab. Il numero di famiglie di ransomware unico è diminuito fin dal 4° trimestre 2017, in quanto sono aumentate le partnership tra i servizi essenziali, come ad esempio la partnership tra il ransomware GandCrab e il servizio di cifratura NTCrypt, osservata nel 3° trimestre. Le partnership e gli schemi di affiliazione hanno migliorato il livello di servizio fornito ai clienti e aumentato le possibilità di successo di un attacco.
Attività delle minacce nel terzo trimestre 2018
Cryptomining e IoT. I dispositivi IoT, come le telecamere o i videoregistratori, non vengono abitualmente utilizzati per il cryptomining perché non hanno la potenza della CPU tipica di computer desktop e laptop. Tuttavia, i criminali informatici hanno preso atto del crescente volume e della scarsa sicurezza di molti dispositivi IoT e hanno iniziato a concentrarsi su di essi, sfruttando migliaia di dispositivi per creare un “super computer per il mining”. Le nuove minacce informatiche mirate ai dispositivi IoT sono cresciute del 72%, con un aumento del 203% del malware totale negli ultimi quattro trimestri. I nuovi malware coinmining sono cresciuti di quasi il 55%, con un aumento del 4,467% negli ultimi quattro trimestri.
Malware senza file. Il nuovo malware JavaScript è cresciuto del 45%, mentre il nuovo malware PowerShell è cresciuto del 24%.
Incidenti in ambito sicurezza. McAfee Labs ha contato 215 incidenti che riguardano la sicurezza che sono stati rivelati pubblicamente, con una diminuzione del 12% rispetto al secondo trimestre. Il 44% di tutti gli incidenti di sicurezza rivelati al pubblico si è verificato nelle Americhe, seguito dal 17% in Europa e dal 13% in Asia-Pacifico.
Obiettivi nei settori verticali. Gli incidenti divulgati che hanno colpito le istituzioni finanziarie sono aumentati del 20%, mentre i ricercatori McAfee hanno osservato un aumento delle campagne di spam che sfruttano tipi di file non comuni, uno sforzo per aumentare le possibilità di eludere le protezioni di base della posta elettronica. I ricercatori di McAfee hanno anche osservato che il malware bancario include operazioni a due fattori negli iniettori web per eludere proprio l’autenticazione a due fattori. A queste tattiche fanno seguito un ampio sforzo da parte degli istituti finanziari per aumentare la sicurezza negli ultimi anni.
Obiettivi regionali. Nel terzo trimestre i ricercatori di McAfee hanno osservato una nuova famiglia di malware, denominata CamuBot, che ha preso di mira il Brasile. CamuBot tenta di camuffarsi come un modulo di sicurezza richiesto dalle istutuzioni finanziarie che cerca di attaccare. Sebbene le bande organizzate di criminali informatici in Brasile siano molto attive nel prendere di mira la propria popolazione, le loro campagne sono state molto grezze in passato. Con CamuBot, i criminali informatici brasiliani sembrano aver imparato dai loro colleghi, adattando i loro malware per renderli più sofisticati e paragonabili a quelli di altri continenti.
Vettori d’attacco. Il malware è il principale vettore di attacco, seguito dal dirottamento degli account, dalla perdita di dati, dall’accesso non autorizzato e dalle vulnerabilità.
Riscatto. GandCrab, una delle famiglie più attive del trimestre, ha aumentato le richieste di riscatto da 1.000 dollari a 2.400 dollari. I kit di exploit, i metodi per la consegna di molti attacchi informatici, hanno aggiunto supporto per le vulnerabilità e il ransomware. I nuovi campioni di ransomware sono cresciuti del 10%, mentre il totale dei campioni di ransomware è cresciuto del 45% negli ultimi quattro trimestri.
Malware mobile. La diffusione di nuovi malware mobile è diminuita del 24%. Nonostante la tendenza al ribasso, sono apparse alcune insolite minacce in questo ambito, tra cui una falsa app Fortnite e una falsa app di incontri. Con l’obiettivo di colpire i membri delle Forze di Difesa Israeliane, quest’ultima app permetteva l’accesso alla posizione del dispositivo, all’elenco dei contatti e alla fotocamera e aveva la possibilità di ascoltare le telefonate.
Malware in generale. I nuovi campioni di malware sono aumentati del 53%. Il numero totale di campioni di malware è cresciuto del 34% negli ultimi quattro trimestri.
Malware per Mac. I nuovi campioni di malware per Mac OS sono aumentati del 9%. Complessivamente, il malware per Mac OS è cresciuto del 51% negli ultimi quattro trimestri.
Malware delle macro. I nuovi malware delle macro sono aumentati del 32%, con una crescita del 24% negli ultimi quattro trimestri.
Campagne di spam. Il 53% del traffico delle botnet di spam nel terzo trimestre è stato guidato da Gamut, la principale rete botnet di spam che ha prodotto truffe “sextortion”, che richiedono il pagamento e minacciano di rivelare le abitudini di navigazione delle vittime.