Negli ultimi anni si è verificata un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto. I criminali informatici oggi sono capaci creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni.
Sono queste le prime evidenze emerse dalla prima edizione del Yoroi Cybersecurity Annual Report, una risorsa preziosa pensata dalla società italiana Yoroi, specializzata in servizi di cyber security, per aiutare i responsabili aziendali e gli addetti ai lavori a comprendere l’origine dei principali attacchi per attuare le azioni difensive più indicate per la propria organizzazione.
In questo senso, il documento è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato nella finestra temporale tra il 1 gennaio 2017 e il 31 dicembre 2017.
Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst – gli analisti di Yoroi – al fine di eliminare falsi positivi e/o problemi di classificazione, senza includere dati provenienti da fonti “terze”.
“Data Leak”
Gli analisti di Yoroi hanno analizzato le principali “fughe di informazioni”, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel “darknet”.
Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% dei casi (289.799) ha riguardato domini unici riconducibili a organizzazioni italiane.
Inoltre, il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).
“Malware”
La sezione dedicata al malware indica i volumi di propagazione delle minacce per percorso, come ad esempio: e-mail, web, social media, etc. e riconduce la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus. Inoltre, i ricercatori di Yoroi hanno studiato le percentuali di infezione per percorso di propagazione mettendole in relazione alla tipologia del business delle vittime.
Le principali minacce e i vettori di attacco
Ransomware si conferma il malware che ha colpito maggiormente nel corso del 2017.
Fa capo al ceppo Rasomware il 50% del malware individuato e bloccato dal Cyber Security Defence Center di Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali (Sistemi AntiVirus, Sistemi Proxy, NextGeneration Firewall, Intrusion Detection and Prevention Systems, SandBoxes, etc.), seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro malware (1%).
I principali vettori degli attacchi malware individuati dagli analisti di Yoroi sono riconducibili a office (61%), script (23%), executable (14%), archive (1%), pdf (1%).
La tipologia di vettori di attacco basati su “script” (file con estensione .scr, .js, .jar, .vbs) risulta essere di complessa individuazione da parte dei normali motori basati su signature e anche dalle più recenti soluzioni di SandBoxing in quanto spesso implementano sistemi di evasione.
Per lo più il percorso di propagazione avviene su email (89%) o per download diretto (11%).
I settori più colpiti
Il settore bancario si conferma tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware “Banker”. I settori “Tessile e Abbigliamento”, “Bevande”, “Attrezzatture macchinari” e “Trasporti” sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura “criminale” a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, incrociando i dati con quelli riguardanti la tipologia dei vettori delle minacce si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).
“DNS Blocked Threats”
La sezione dedicata alle minacce bloccate a livello di DNS include una disamina dei principali domini pericolosi (TOP malicious domain) contattati nel corso del 2017, le principali categorie di attacco individuate e una indicativa distribuzione per dominio.
Si tratta di minacce che prevedono che le vittime siano indotte ad aprire un link contenente oggetti malevoli come per esempio: “malware”, “Exploit Kit” e/o documenti infetti, sia attraverso “malwertising”, sia attraverso tecniche come il “social engineering” anche attraverso email di “phishing”.
Le minacce bloccate a livello di DNS, sono state bloccate a “valle” dai sistemi di protezione perimetrale e sono le minacce che risultano essere penetrate eludendo i sistemi utilizzati dalla vittima stessa (Simda 30%, Cryptor 27%, Betabot 17% e Tinba 12%).
