Minacce informatiche, Italia sempre più sotto attacco. Che cosa dicono i report di Cisco e Check Point

Non si arresta l’incidenza della minaccia informatica sull’Italia. Le ultime classifiche, ricavate dalla telemetria dei Vendor del mese di luglio e il Cisco 2017 Midyear Cybersecurity Report, aiutano a fare luce sul panorama complessivo degli attacchi e sui possibili target futuri. Nel dettaglio, sono state divulgate le nuove classifiche di incidenza del malware campionate sul mese di luglio dalle telemetrie di Check Point ed Eset. I risultati evidenziano le principali categorie di malware che hanno interessato il Bel Paese e che si sono distinte per incidenza e pericolosità. Per avere una visione complessiva dell’anno in corso è interessante anche il confronto di questi dati mensili con le risultanze complessive del Cisco 2017 Midyear Cybersecurity Report che si è occupato di analizzare e sintetizzare i dati primi 6 mesi del 2017.

Sotto attacco

Secondo il Global Threat Impact Index l’Italia è stata maggiormente sotto attacco rispetto ai mesi precedenti, poiché

è salita di 8 posizioni ed è attualmente classificata 34^ nel ranking mondiale dei paesi più colpiti

La colpa principale è attribuita a RoughTed, un tipo di malvertising che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli antipubblicità e quelli sulle impronte digitali così da sferrare un attacco più potente. Questo malware ha inciso negativamente anche a livello mondiale con il 18% di casi nel mese di osservazione. I dati provengono dall’analisi effettuata sul database di ThreatCloud che contiene oltre 250 milioni di indirizzi, analizzati per scoprire bot, un valore superiore agli 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infettati.

Submelius, ScriptAttachment e gli altri

La classifica tratta dalla telemetria Live Grid ESET, riporta minacce e classifica completamente diverse, in cui la vetta del più cattivo spetta a Submelius con il 31,97% di incidenza. Si tratta di un malware veicolato principalmente attraverso Google Chrome dal quale colpisce siti famosi per la visione di film online. Scende drasticamente al 6% l’incidenza del secondo, ScriptAttachment, un JavaScript distribuito come allegato email che se clickato scarica e installa differenti varianti di malware, tipicamente cripto-ransomware. La sua incidenza all’estero è maggiore rispetto al territorio italiano: Giappone (27,36%), Repubblica Ceca (20,99%), Austria (13,33%) e Regno Unito (12,92%). Il terzo posto con il 4,11% di incidenza spetta a Nemocud un trojan downloader che reindirizza il browser a uno specifico URL contenente un ransomware. In questo caso gli altri paesi risulterebbero meno colpiti rispetto al Bel Paese: seguito dall’Australia (4%), dal Canada (2,81%) e dal Regno Unito (2,58%). Gli altri malware segnalati nel ranking sono il trojan FakeAlert e l’adware AztecMedia con un tasso di incidenza rispettivamente del 2,94% e del’1,89%.

Per capire i motivi di queste differenze nello stesso mese di osservazione si deve considerare che i vendor basano i loro dati telemetrici sulle appliance installate o i servizi erogati a fronte di incidenti di security.  Maggiore è il perimetro coperto in termini di numero di clienti e dei relativi eventi di sicurezza (sventati, scoperti o risolti) e più esteso e rappresentativo è il campione informativo su cui ciascuno può fare affidamento. Al di là del singolo sample di malware mensili o della campagna offensiva che può avere un carattere globale è importante analizzare il fenomeno degli anche in termini più ampi, per capirei i trend caratterizzanti dall’inizio dell’anno.

Il Midyear Cybersecurity Report di Cisco

Alcuni risultati presentati in formato sintetizzato sono evidenziati dal Midyear Cybersecurity Report (MCR) di Cisco, che esamina i più recenti dati di intelligence delle minacce raccolti dagli esperti di sicurezza del Cisco Collective Security Intelligence su circa 40 miliardi di punti di telemetria. Il documento sottolinea come gli attacchi si siano progressivamente sofisticati con un intento non più solo finalizzato alla resa economica (come nelle campagne ransomware) ma totalmente distruttivo e orientato ad impedire il ripristino di sistemi e dati, tanto da coniare una nuova definizione di attacco: la Destruction Of Service (DeOS). In particolare gli attacchi ransomware che hanno caratterizzato i primi sei mesi dell’anno mostrano un diverso comportamento degli attaccanti finalizzato a distruggere le reti delle aziende danneggiandone la capacità di ripresa. L’osservazione della minaccia sembra anche indicare modalità particolareggiate di social engineering (SE) tese a personalizzare le tecniche di distribuzione, offensive e di evasione secondo il target designato. Infatti, è stata osservata la tecnica della Business email compromise (BEC), un attacco di social engineering in cui viene inviata un’email con l’intento di ingannare le aziende per far trasferire denaro agli aggressori e soprannominata “truffa del CEO”. Farebbe ridere non fosse che tra ottobre 2013 e dicembre 2016 sono stati rubati 5,3 miliardi di dollari con questo metodo secondo i dati dell’Internet Crime Complaint Center.

Malware fileless

I malware evolvono verso le tecniche fileless che permettono la residenza nella memoria volatile ed una conseguente ridotta capacità di rilevazione e investigazione da parte dei difensori, a causa della cancellazione al riavvio del dispositivo. Anche la fase di distribuzione è stata affinata mediante l’utilizzo di infrastrutture anonime e decentrate, come il servizio di proxy Tor, per oscurare le attività di comando e controllo. In comune con il trend analizzato nel mese di Luglio il report Cisco conferma la ripresa degli attacchi tradizionali a mezzo di spam, spyware, adware naturalmente il social engineering. Infine si riscontra l’ampliamento della superficie, della portata e dell’impatto, testimoniata dalle campagne mondiali Wannacry e Nyetya mentre per il futuro il target centrale che determinerà impatti progressivamente crescenti è stato individuato da Cisco nell’ambito dell’Internet of Things (IoT) e nella sua miriade di dispositivi e sistemi che presentano ancora numerose debolezze.