McAfee Labs Threat-Report August 2014

Report McAfee Labs sulle minacce Agosto 2014

Heartbleed è stato l'evento di sicurezza più significativo dalla violazione dei dati di Target nel 2013.

Informazioni su McAfee Labs McAfee Labs è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce — file, Web, messaggi e rete — McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. www.mcafee.com/it/mcafee-labs.aspx Segui McAfee Labs

Introduzione Per molti di noi, l'estate è l'occasione per rilassarsi e godersi quanto di buono il mondo ha da offrire. Per i cattivi, invece, l'estate è una stagione come le altre, con nuove opportunità per mettere a segno furti. All'inizio di quest'estate, con un occhio alla Coppa del Mondo FIFA, la divisione consumer di McAfee ha segnalato alcuni siti Web pericolosi associati ai calciatori più famosi del mondo nel McAfee Red Card Club (Club del cartellino rosso McAfee). Si tratta di siti che attirano tifosi ignari ed entusiasti e infettano automaticamente i loro sistemi, oppure convincono con l'inganno i visitatori a rivelare informazioni personali. Questa storia è un chiaro esempio di come il divertimento estivo può trasformarsi in un incubo estivo, con un solo clic del mouse.

Questo trimestre, il nostro argomento principale riguarda la vulnerabilità Heartbleed. Come è noto a quasi tutti i professionisti della sicurezza, Heartbleed è stato l'evento di sicurezza più significativo dalla violazione dei dati di Target nel 2013. McAfee Labs ha lavorato senza sosta per capire questa vulnerabilità e garantire che le tecnologie McAfee deputate fossero in grado di rilevare e di prevenire i furti attuati tramite Heartbleed. Purtroppo, i cattivi continuano ad approfittare di questa vulnerabilità perché molti siti Web sono ancora privi di patch. Inoltre, vi illustriamo i risultati del Quiz McAfee sul phishing, che ha messo alla prova la capacità degli utenti aziendali di riconoscere i messaggi email di phishing. Infine, documentiamo gli eventi accaduti da quando le autorità giudiziarie internazionali, coadiuvate da società che si occupano di sicurezza informatica fra cui McAfee, hanno smantellato l'infrastruttura di Gameover Zeus e CryptoLocker. È stato un clamoroso successo ma, com'era ampiamente previsto, il sollievo è stato solo temporaneo. Redigere report sulle minacce è un'arte in continua evoluzione. I lettori affezionati dei Report McAfee Labs sulle minacce avranno notato numerosi cambiamenti nel tipo di eventi segnalati e nel modo di presentare le informazioni. Per capire meglio come indirizzare il nostro lavoro in futuro, ci interessa il vostro parere. Se desiderate farci conoscere la vostra opinione, fate clic qui per partecipare a un sondaggio di soli cinque minuti sui report sulle minacce. Vincent Weafer, Vice Presidente Senior, McAfee Labs

Inviaci la tua opinione

Report McAfee Labs sulle minacce, agosto 2014 | 2

Sommario Report McAfee Labs sulle minacce Agosto 2014 Questo report è stato preparato e redatto da: Christiaan Beek Benjamin Cruz Daniel Flaherty Charles McFarland Francisca Moreno Daisuke Nakajima François Paget Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu

Sintesi

4

Argomenti principali I postumi di Heartbleed: un'altra opportunità per il crimine informatico

6

Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente

9

Operazione Tovar: un grande successo di breve durata

15

Statistiche sulle minacce Malware mobile

19

Malware

20

Minacce Web

25

Minacce per la messaggistica

27

Minacce di rete

28

Sintesi I postumi di Heartbleed: un'altra opportunità per il crimine informatico L'evento di sicurezza di gran lunga più importante del secondo trimestre è stata la divulgazione al pubblico della vulnerabilità "Heartbleed" contenuta in numerose versioni dell'implementazione OpenSSL dei protocolli di sicurezza SSL e TLS. Per rimediare a questa vulnerabilità, che ha interessato tutte le aziende informatiche — che ne fossero consapevoli o meno — occorreranno probabilmente centinaia di milioni di dollari. Le stime indicano che, in tutto il mondo, Heartbleed ha colpito circa il 17% dei siti Web che utilizzano il protocollo TLS (in genere quelli che richiedono l'autenticazione mediante nome utente e password). Si tratta di oltre 600.000 siti. Per trovare gli obiettivi dei loro attacchi, i criminali informatici utilizzano elenchi disponibili al pubblico di siti Web privi di patch e vulnerabili a Heartbleed.

In questo Report sulle minacce, McAfee Labs spiega come gli aggressori utilizzino gli elenchi di siti Web privi di patch come una miniera da cui estrarre dati sensibili. Creati inizialmente per aiutare gli utenti che desideravano essere sicuri di autenticarsi senza rischi su un sito, gli elenchi di siti vulnerabili a Heartbleed sono diventati in breve degli elenchi di risultati di ricerca per i criminali informatici. Un ladro informatico particolarmente intraprendente ha persino fatto il grosso del lavoro per altri cybercriminali, estraendo i dati dai siti ancora vulnerabili e vendendoli sul mercato nero. Mentre scriviamo, più di 300.000 siti Web sono ancora privi di patch e vulnerabili a questo tipo di attività criminale, secondo una delle nostre fonti.

Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente Il Quiz McAfee sul phishing rivela che, sul totale dei partecipanti, l'80% è stato ingannato da almeno un messaggio di phishing su sette.

In questo report esaminiamo anche la tattica estremamente efficace del phishing. Gli attacchi di phishing sfruttano quello che spesso è l'anello più debole nelle difese informatiche di un'azienda: il comportamento umano. E così continuano a godere di un notevole successo. McAfee ha messo alla prova la capacità degli utenti aziendali di riconoscere il phishing con il Quiz McAfee sul phishing. Dai risultati emerge che, sul totale dei partecipanti, l'80% è stato ingannato da almeno un messaggio di phishing su sette. Inoltre, abbiamo notato che gli uffici contabilità, finanza e risorse umane, quelli in cui verosimilmente circolano alcuni dei dati più sensibili dell'azienda, hanno fatto registrare i risultati peggiori.

Operazione Tovar: un grande successo di breve durata Prima dello smantellamento attuato con l'Operazione Tovar, McAfee Labs era sulle tracce di un giro di criminali che, in un solo mese, aveva guadagnato 255.000 $.

Per concludere, vi sveliamo qualche nuovo dettaglio sull'Operazione Tovar, una campagna di smantellamento di grande successo condotta congiuntamente dalle autorità giudiziarie internazionali e da società chiave del settore della sicurezza informatica, tra cui McAfee. L'Operazione Tovar ha messo fuori uso l'infrastruttura di Gameover Zeus e CryptoLocker, assumendo il controllo dei domini che fanno parte della rete di comunicazioni. Prima dello smantellamento, McAfee Labs aveva scoperto un giro di criminali che, in un solo mese, aveva ricavato 255.000 $ dal pagamento di riscatti. Dall'inizio di giugno, quando l'infrastruttura è stata neutralizzata, hanno già iniziato a spuntare i primi imitatori. In uno degli esempi citati in questo report, un servizio analogo a CryptoLocker viene offerto al prezzo di 3.000 $.

Condividi questo report


Argomenti principali I postumi di Heartbleed: un'altra opportunità per il crimine informatico Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente Operazione Tovar: un grande successo di breve durata


Argomenti principali

I postumi di Heartbleed: un'altra opportunità per il crimine informatico La libreria OpenSSL è un progetto open source che implementa più versioni di SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Questi protocolli consentono la comunicazione crittografata fra un client e un server e sono alla base di gran parte dei contenuti presenti sul Web — messaggi email crittografati, servizi bancari online e altri servizi che richiedono la crittografia end-to-end. L'utilizzo della libreria OpenSSL nei siti Web è molto diffuso.

L'heartbeat di TLS garantisce che server e client siano entrambi in grado di comunicare fra loro. Il client invia dei dati al server, ad esempio "hello". Il comportamento previsto è che il server risponda con gli stessi dati. Un aggressore può definire arbitrariamente i dati di risposta in modo che siano molti di più di quelli inviati. In questo modo viene divulgato il contenuto della memoria, che potrebbe includere dati sensibili come le chiavi di crittografia private.

Il 7 aprile è stata annunciata pubblicamente la vulnerabilità CVE-2014-0160, che interessa la libreria open source OpenSSL. La vulnerabilità aveva permesso a un hacker di accedere ai dati in memoria mediante un'estensione "heartbeat" in formato non corretto nel protocollo crittografico TLS (Transport Layer Security). A causa della sua prevalenza, molti considerano questa vulnerabilità la peggiore che sia stata mai scoperta. Ben presto la falla è stata ribattezzata "Heartbleed". A causa della diffusione di OpenSSL sui server commerciali, Heartbleed ha colpito una porzione significativa di Internet, stimata intorno al 17% dei siti Web che usano TLS. La stima comprende alcuni dei siti più visitati della rete, oltre a molti siti più piccoli e meno conosciuti. In risposta alla diffusione della notizia, McAfee Labs ha notato un'impennata nelle condivisioni di dati e risorse fra gli esperti di sicurezza. Nel giro di pochi giorni hanno iniziato a circolare numerosissimi strumenti e risorse gratuite, messi a disposizione da fornitori di prodotti per la sicurezza, da professionisti della sicurezza, dalla comunità scientifica e da appassionati. Come settore, abbiamo assistito all'impatto diretto di una collaborazione reciprocamente vantaggiosa e della sua capacità di mettere rapidamente in sicurezza i sistemi in pericolo. Tuttavia, malgrado la pletora di strumenti disponibili, per molte applicazioni, siti Web e dispositivi ancora privi di patch è quasi inevitabile restare vittime di un attacco.

Scansioni totali per Heartbleed con lo strumento di scansione online McAfee Stinger 250.000 200.000 150.000 100.000 50.000 0 14/4

15/4

16/4

17/4

18/4

Fonte: McAfee Labs, 2014.

L'uso dello strumento di scansione gratuito McAfee Stinger indica un rapido calo dell'interesse per Heartbleed.

Quando viene scoperta una vulnerabilità come Heartbleed, è imperativo che i professionisti IT e gli esperti di sicurezza dispongano degli strumenti per testare i loro sistemi, ma non solo: devono anche capire come funziona la vulnerabilità al livello più profondo. Fra i dispositivi per testare la vulnerabilità a Heartbleed vi sono le decine di strumenti di scansione online messi a disposizione poco dopo la divulgazione, una manciata di esempi di codice di script Python e Ruby, script NMAP (Network Mapper), plug-in per test di penetrazione e molti altri. Non tutti, però, sono onesti professionisti della sicurezza: esistono persone che userebbero queste risorse per scopi illeciti, o per crearne altre dagli intenti meno nobili. Condividi questo report



Fra i numerosi strumenti utili per contrastare Heartbleed (fra cui uno di McAfee) a disposizione dei professionisti della sicurezza ve ne è uno completo di nome heartleech, disponibile gratuitamente su GitHub. Heartleech non si limita a testare la vulnerabilità a Heartbleed, ma memorizza anche i dati trafugati e li analizza alla ricerca di chiavi private. Inoltre, heartleech è stato sviluppato per eludere alcune forme di rilevamento delle intrusioni e consente agli amministratori di rete di rilevare se i loro sistemi sono vulnerabili e contemporaneamente di estrarre le chiavi sensibili eventualmente trafugate. Si tratta di informazioni preziosissime per tutti i professionisti della sicurezza, che siano white hat o black hat.

Uno strumento con fini meno nobili è Project Un1c0rn, che sembra sia stato rilasciato il 12 maggio sulla rete TOR del Deep Web e il 15 maggio per il resto degli utenti di Internet. Questo strumento è unico per il fatto che tenta di rendere ricercabili gli indirizzi IP pubblici vulnerabili. Anche se probabilmente quasi tutti i siti Web più importanti al mondo sono stati dotati di patch per Heartbleed, numerosi proprietari di piccoli siti non hanno la competenza per farlo o non si rendono ancora conto di essere vulnerabili. Project Un1c0rn stila un elenco di questi obiettivi, nello stesso modo in cui un ladro potrebbe mettere insieme una lista di case facilmente svaligiabili. McAfee Labs ha eseguito questo tipo di ricerca e ha scoperto 2.440 obiettivi unici e potenzialmente vulnerabili. Tuttavia, secondo almeno un analista del settore, i siti ancora vulnerabili sarebbero circa 300.0001. Questa cifra non tiene conto delle porte non standard e dei dispositivi IP.

Lo strumento Project Un1c0rn permette a chiunque di cercare server vulnerabili a Heartbleed.




I criminali informatici meno raffinati possono usare strumenti come Project Un1c0rn per procurarsi dati trafugati pagandoli anziché estrarli personalmente. I ladri informatici possono comprare dati trafugati con Heartbleed per soli 0,01 Bitcoin, circa 6 dollari al momento della stesura di questo report. Un criminale informatico leggermente più sofisticato potrebbe usare questo strumento come un elenco personale di risultati di ricerca, prendendo di mira solo i siti con la maggiore probabilità di essere vulnerabili. Anche se quest'ultimo avversario è più pericoloso per via della sua capacità di personalizzare un attacco, con solo qualche competenza in più qualcuno potrebbe creare uno script automatizzato per attaccare tutti gli indirizzi IP di cui è nota la vulnerabilità. Sostanzialmente, se un sito Web è privo di patch, è quasi certo che sarà vittima di un attacco se viene indicizzato da strumenti come Project Un1c0rn. Lo strumento è disponibile sul Deep Web, per cui ha buone probabilità di restare online per parecchio tempo.

Un acquirente può pagare i dati trafugati con Heartbleed inviando Bitcoin al portafoglio Bitcoin di Project Un1c0rn.

Anche se quasi tutti i siti Web più visitati sono ormai dotati di patch per Heartbleed, esistono molti dispositivi IP in cui la gestione della sicurezza non è stata altrettanto rigorosa. Ad esempio, si è scoperto che le telecamere di sicurezza sono vulnerabili a Heartbleed e sono state rilasciate le relative patch. Ma non tutti le hanno applicate. Un altro esempio riguarda un dispositivo NAS (network attached storage) IP, che è risultato vulnerabile a Heartbleed. Poco dopo l'annuncio della vulnerabilità Heartbleed è stata messa a disposizione una patch per questo dispositivo; ciononostante, 10 settimane dopo McAfee Labs ha individuato un sistema NAS privo di patch. Il proprietario aveva persino ottenuto l'emissione di un nuovo certificato il 20 maggio, 43 giorni dopo che Heartbleed era stata resa pubblica, ma il dispositivo NAS continuava a utilizzare una versione vulnerabile di OpenSSL.

Un sito ha aggiornato il suo certificato molto tempo dopo la scoperta di Heartbleed; malgrado ciò, rimane vulnerabile.

Quanto sarebbe difficile per degli hacker passare da un attacco manuale a uno completamente automatizzato contro obiettivi vulnerabili a Heartbleed? Purtroppo si tratta di una cosa talmente banale che probabilmente qualcuno ci ha già pensato. In effetti, un programmatore di medio livello impiegherebbe meno di un giorno per creare un sistema di questo tipo. Se i professionisti della sicurezza possono contare su un gran numero di strumenti liberamente disponibili sul mercato, i criminali informatici possono fare altrettanto. Con strumenti semplici, poche righe di codice e qualche tazza di caffè, è possibile assemblare un sistema automatizzato che prende di mira solo le macchine la cui vulnerabilità è nota e ne estrae dati sensibili come le chiavi private. Ma se le cose stanno così, le organizzazioni che si occupano di sicurezza informatica dovrebbero forse agire con maggiore riservatezza? McAfee e le altre organizzazioni dovrebbero forse evitare di rendere pubbliche le vulnerabilità, i tentativi di hacking e altre informazioni di questo tipo? Ovviamente no. Heartbleed ha dimostrato che il settore della sicurezza informatica è in grado di proteggere le reti interne e la stessa Internet grazie alla condivisione di informazioni e di risorse. In questo modo, ci si può preparare per il prossimo Heartbleed. Fino a quel momento, gli utenti dovranno essere diligenti e adottare le migliori pratiche di sicurezza per tutti i servizi che utilizzano.




Il phishing adesca vittime ignare: gli utenti aziendali ci cascano facilmente

Spesso i marchi più conosciuti vengono imitati per ingannare i destinatari dei messaggi email e spingerli a fare un clic. Per saperne di più su come riconoscere le email di phishing, fate clic su questi link: PayPal

Dall'ultimo Report sulle minacce, McAfee Labs ha raccolto più di 250.000 nuovi URL di phishing, il che ci porta a un totale di quasi un milione di nuovi siti nell'ultimo anno. Tuttavia, dai dati notiamo non solo un aumento del volume totale, ma anche del grado di raffinatezza degli attacchi di phishing in circolazione. Di fatto, per i cattivi è diventato più facile conoscere i loro obiettivi, sapere dove lavorano, quali sono i loro interessi e così via. Questa capacità è stata amplificata da tutti i tipi di media digitali, soprattutto i social media. Le nostre decisioni si basano sulla fiducia: l'email proviene da una persona o da un'azienda che conosciamo e con cui attualmente abbiamo rapporti commerciali? Contiene un elemento di personalizzazione che la fa sembrare legittima? Spesso, questo è sufficiente a garantire un clic. Date un'occhiata ai principali marchi utilizzati attualmente negli attacchi di phishing. Fareste clic su un link contenuto in uno di questi messaggi email? • PayPal • Amazon • eBay • Bank of America • HSBC

Amazon eBay

Nuovi URL di phishing

Bank of America HSBC

450.000 400.000 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 3° T

URL

4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014

Domini associati Fonte: McAfee Labs, 2014.




Un moderno attacco di phishing

Il phishing è il tentativo di acquisire informazioni sensibili tramite email o messaggi istantanei che sembrano provenire da fonti affidabili. Solitamente i messaggi contengono allegati con malware o link a siti Web infettati da malware.

Il phishing attuato con campagne di massa e lo spear phishing, sua diabolica creatura, continuano a farla da padroni nelle strategie di attacco usate dai criminali informatici in ogni parte del mondo. Per dimostrare il grado di raffinatezza e l'impatto potenziale dei moderni attacchi di phishing, esaminiamo da vicino un esempio che circola attualmente.

Lo spear phishing è un tentativo che prende di mira un soggetto o un'organizzazione specifica. Un messaggio tipo di spear phishing contiene informazioni personalizzate che possono indurre il destinatario a credere che il mittente sia una fonte legittima.

Questa email di phishing sembra inviata da amazon.com.

Questo messaggio di phishing utilizza una tattica classica: falsificare un marchio fidato e aspettare un clic. Il messaggio, che finge di essere un'email di conferma d'ordine, ha un contenuto semplice e conciso, come molte delle conferme d'ordine inviate da società legittime. Alla base dell'inganno, qui, vi sono due elementi: l'indirizzo email falsificato con un dominio @amazon.com e delle immagini caricate dinamicamente da un dominio amazon.com falsificato. Nel giro di una settimana, abbiamo osservato 21.000 indirizzi IP di mittenti unici distribuire questo messaggio in tutto il mondo. Tuttavia, abbiamo scelto questo esempio non tanto per le sue tattiche di social engineering, che ormai sono comuni e persino meno convincenti di un'email di spear phishing ben studiata, quanto per il payload del suo malware. Facendo clic sulla "fattura" allegata si innesca una catena di eventi che per molte forme di difesa sarebbero difficili da arrestare. A partire dal quel clic, il malware effettua una serie di controlli prima di azzardare l'esecuzione. Con il malware inizialmente in stato di "quiescenza totale", un controllo determina se il disco locale è una macchina virtuale, potenziale indizio del fatto che si trova in un ambiente sandbox. Se il controllo è positivo, il malware resta inattivo. A riprova della sua raffinatezza, il codice stesso è in grado di modificarsi. McAfee Labs ha decompilato questo malware e ha scoperto che è in grado di decrittografare il suo stesso codice in tempo reale e di sovrapporsi alle istruzioni per scoraggiare l'analisi statica da parte dei prodotti di sicurezza. Abbiamo anche rilevato delle istruzioni jump, che indicano il tentativo di evitare le firme degli antivirus. Condividi questo report



Se questi controlli (oltre ad altri che qui non citiamo) hanno esito positivo, il malware si attiva e si decomprime attraverso svariati livelli di crittografia e compressione, consentendo l'esecuzione del codice malevolo vero e proprio. Quindi, iniettandosi in un'istanza del processo svchost.exe di Windows, controlla la presenza di una connessione Internet attiva tentando di accedere a msn. com. Se il tentativo non riesce, il malware resta inattivo. Se invece viene stabilita una connessione, il malware decrittografa dal suo codice una serie di nomi di dominio di server di controllo.

Codice binario crittografato.

Codice binario decrittografato che rivela uno dei tre server di controllo.

Segui McAfee Labs



Per ulteriori informazioni su come riconoscere le email falsificate che sembrano inviate da amazon.com, fate clic qui.

Il passo successivo nella catena degli eventi è il download di altro malware dai domini di controllo decrittografati. I server di controllo verificano che i download siano andati a buon fine, e l'esemplare di malware originale assume il controllo installando meccanismi di avvio automatico come file .Ink e voci di registro per il nuovo malware. Nelle nostre osservazioni, il nuovo malware assumeva la forma di un password stealer e di uno spambot. Potete immaginare il tipo di dati che si potrebbe trafugare una volta compromesse le credenziali di accesso. In seguito l'host appena infettato continua la campagna, inviando messaggi identici con ordini di conferma di amazon.com per ingannare nuovi destinatari ignari. Il phishing ha dimostrato ripetutamente la sua efficacia. La tecnologia può aiutare a rilevare il malware e i mittenti fasulli, ma in prima battuta il compito di individuare le frodi spetta ai destinatari dei messaggi email.

Volete mettere alla prova la vostra capacità di riconoscere i messaggi email di phishing? Partecipate al Quiz McAfee sul phishing.

McAfee ha messo alla prova la capacità degli utenti aziendali di riconoscere il phishing con il Quiz McAfee sul phishing, composto da 10 messaggi email presentati in emulazioni di client email. Il test chiede agli intervistati di classificare ciascun esempio come messaggio legittimo o come tentativo di phishing, esattamente come se stessero consultando la loro casella di posta. Ogni esempio di email contiene funzionalità attive, con l'occultamento delle informazioni che consentono di risalire all'identità personale e dei contenuti malevoli ove necessario.

Esempio di domanda del Quiz McAfee sul phishing, presentata su un client mobile Android.




Su 16.000 utenti aziendali che hanno partecipato al test, l'80% è stato ingannato da almeno un messaggio email di phishing. Anche se gli intervistati non stavano effettivamente consultando le loro caselle di posta, questa percentuale a nostro avviso è impressionante. Basta che il malware sia recapitato una sola volta in un sistema vulnerabile per infestare praticamente qualsiasi azienda.

Sul totale dei partecipanti al test, l'80% non è stato in grado di riconoscere almeno un messaggio di phishing su sette. I risultati peggiori sono stati ottenuti dagli uffici contabilità e finanza e risorse umane. Inoltre, facendo una media del grado di precisione con cui gli intervistati hanno distinto i messaggi legittimi da quelli illegittimi, abbiamo scoperto che i risultati sono stati decisamente peggiori proprio negli uffici in cui circolano i dati più sensibili. Come mostra il grafico sotto, gli uffici contabilità e finanza e risorse umane sono quelli che più difficilmente si accorgono delle frodi, con un distacco dal 4 al 9% rispetto agli altri reparti. L'accesso ai sistemi di questi uffici può consentire di attingere a una miniera di dati sensibili. Chiaramente, in queste aree è necessario sensibilizzare gli utenti sui problemi della sicurezza.

Quiz McAfee sul phishing: punteggio medio per reparto (percentuale di esempi di email identificati correttamente)

70% 65% 60% 55% 50%

R&S

IT

Consulenti

Dirigenti

Engineering

Marketing

Studenti

Management

Vendite

Altri

Contabilità e finanza

Risorse umane

0


Risultati del Quiz McAfee sul phishing suddivisi secondo i reparti selezionati dai partecipanti stessi.

Abbiamo anche identificato la tattica più efficace per ingannare i partecipanti: l'uso di indirizzi email falsificati. Due dei nostri esempi di email utilizzavano questa tattica, e i partecipanti al test non sono stati in grado di riconoscerli rispettivamente nel 63% e nel 47% dei casi.

Segui McAfee Labs



Il messaggio email di phishing più efficace è risultato essere quello inviato da un indirizzo UPS fasullo. I metodi adottati per l'inganno, per quanto comuni, erano efficaci. Innanzitutto, l'indirizzo del mittente è stato falsificato per far sì che il messaggio risultasse spedito dal dominio UPS. com. L'email conteneva diversi elementi grafici tipici del marchio UPS, compreso il logo ufficiale. Tuttavia, l'aspetto più interessante era l'uso di un solo URL pericoloso in tutto il messaggio. Il primo URL consentiva al destinatario di tracciare la spedizione — ed effettivamente inviava le vittime alla pagina Web UPS per il tracciamento dei colli spediti. Dal secondo URL si poteva scaricare la "fattura" e si apriva effettivamente un file, ma non un file presente nel dominio UPS. Questo era il link che consegnava il payload: un malware compresso in un archivio .zip.

Esempio di email tratto dal Quiz McAfee sul phishing: il messaggio di phishing, che sembra inviato da indirizzo UPS, viene presentato in un client email Outlook.

Il phishing è ancora largamente utilizzato e ha un grado di efficacia molto elevato. Non è un problema semplice da affrontare, in quanto deve essere filtrato non solo dalla tecnologia, ma anche dai comportamenti. Per dare ai lettori un'idea delle nostre procedure ottimali, proponiamo un breve elenco di operazioni da eseguire che può servire come traccia per i professionisti della sicurezza. Per affrontare questa minaccia servirà la collaborazione di tutti. Per ulteriori informazioni su come riconoscere le email di phishing provenienti da un indirizzo UPS fasullo, fate clic qui.

Sommersi dai tentativi di phishing: una guida per i professionisti della sicurezza Attività

Tecnologie principali

Eliminare le campagne di phishing di massa con il filtraggio dei messaggi email tramite gateway protetti

Reputazione degli IP dei mittenti, degli URL, dei file e delle reti, antivirus ed elenchi di blocco in tempo reale

Implementare la verifica dell'identità dei mittenti per ridurre il rischio di scambiare criminali informatici per mittenti affidabili

Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC)

Rilevare ed eliminare gli allegati pericolosi con strumenti antimalware avanzati

Reputazione dei file, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice

Scansione degli URL presenti nei messaggi alla ricezione, e nuovamente al clic di un utente

Reputazione degli URL, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice

Scansione del traffico Web alla ricerca del malware quando il phishing induce un utente a fare clic più volte e a infettarsi

Reputazione degli URL, antivirus, emulazione dei contenuti, sandboxing e analisi statica del codice

Implementare la prevenzione delle fughe di dati per arrestare la diffusione in caso di violazione o di input di un utente

Prevenzione delle fughe di dati per gli endpoint, il traffico email e Web

Educare gli utenti ad adottare pratiche ottimali per sapere come riconoscere e come trattare i messaggi email sospetti

Seguite questo link per un elenco di suggerimenti utili





Operazione Tovar: un grande successo di breve durata Con l'Operazione Tovar le autorità giudiziarie internazionali, in collaborazione con il settore privato e con McAfee Labs, sono intervenute per smantellare l'infrastruttura di Gameover Zeus e di CryptoLocker. L'operazione ha assunto il controllo dei domini che fanno parte di questa rete di comunicazioni, offrendo ai proprietari di sistemi infetti un'opportunità rara per eliminare il malware e riacquisire il controllo della loro vita digitale.

Minacce diverse Si tratta di due minacce molto diverse. Gameover Zeus è una botnet peer-to-peer che si basa sul trojan bancario Zeus. Quando riesce a infiltrarsi nel computer di una vittima, Gameover Zeus tenta di sottrarre vari tipi di informazioni. I criminali informatici hanno usato questo malware con successo in attacchi di ogni genere. Dal furto di credenziali bancarie online a quello di numeri di carta di credito e persino di credenziali di accesso a bacheche di offerte di lavoro online, la scia di devastazione lasciata da Gameover Zeus è considerevole e ha fruttato ai criminali milioni di dollari. Ad esempio, solo nell'agosto del 2012, le stime calcolano che i sistemi infetti siano stati più di 600.000, molti dei quali in aziende Fortune 500.

Secondo le stime, Gameover Zeus ha infettato più di 600.000 sistemi, fra cui quelli di molte società Fortune 500. Gameover Zeus si basa sul trojan Zeus originale per il furto di credenziali bancarie, ma funziona in modo diverso perché si avvale di un sistema di controllo decentralizzato e crea una rete peer-to-peer. In genere le vittime vengono infettate tramite campagne di spear phishing che recapitano il malware al sistema preso di mira mediante una serie di exploit basati su browser e su Web. Per garantirsi la persistenza, il malware inietta il suo codice in processi di Windows legittimi; inoltre, stabilisce associazioni con funzioni del sistema e del browser per iniettare contenuti "fasulli" nel browser dell'utente allo scopo di mascherare l'attività fraudolenta. Questo metodo è estremamente efficace quando il criminale mira a sottrarre grosse somme di denaro dal conto di un'azienda, ma ha bisogno di dissimulare questa attività fino a quando i fondi non vengono trasferiti sul suo conto. Le varianti di Gameover Zeus scaricano gli aggiornamenti e le configurazioni dagli host disponibili sulla rete peer-to-peer, e questo rende molto più difficile neutralizzarle. Inoltre, Gameover Zeus dispone di una funzione che aggiorna dinamicamente il file di configurazione che contiene il payload per il furto di denaro dal conto corrente di un utente. CryptoLocker è un trojan ransomware che crittografa i file della vittima e li blocca fino al pagamento di un riscatto, generalmente con una moneta virtuale come Bitcoin. Dopo avere crittografato un sistema, CryptoLocker genera una finestra pop-up che chiede alla vittima di pagare per recuperare i file. Per crittografare i file della vittima, il malware si serve di algoritmi di crittografia a chiave pubblica. Una volta infettato il computer preso di mira, viene generata la chiave, e la chiave privata viene inviata al server del criminale. Solitamente il malware concede alla vittima 72 ore prima che il server CryptoLocker distrugga la chiave privata, rendendo i file irrecuperabili. Le vittime di CryptoLocker vengono infettate tramite email di phishing e botnet. 

Segui McAfee Labs



In un caso di infezione del ransomware CryptoLocker, McAfee Labs ha assistito al furto di 255.000 $ in un solo mese.

McAfee Stinger, uno strumento gratuito per il rilevamento e la rimozione del malware, è stato scaricato più di 80.000 volte nei tre giorni successivi all'annuncio dell'Operazione Tovar.

McAfee Labs studia CryptoLocker dal settembre del 2013. Durante una recente indagine abbiamo scoperto una famiglia di esemplari di malware che puntava a un portale che chiedeva 0,7 BTC (circa 461 $ al momento della redazione di questo report) per decrittografare i file. Tracciando il flusso delle transazioni Bitcoin sono venuti alla luce alcuni dati interessanti. In un solo giorno, 83 vittime hanno pagato 76 BTC (35.036 $) per decrittografare dei file. Abbiamo anche osservato che i criminali responsabili di questa campagna possiedono vari portafogli e trasferiscono cospicue somme in Bitcoin fra di loro, che alla fine confluiscono tutte in due soli portafogli. Durante uno dei mesi osservati, il portafoglio A conteneva 110,892 BTC e il portafoglio B 442,477. Agli attuali tassi di cambio del Bitcoin, queste cifre ammontano a un totale di circa 255.000 $, guadagnati tutti in un solo mese. Il ransomware è un'attività redditizia, non c'è che dire.

Flusso di trasferimento dei Bitcoin di CryptoLocker.

Un sinkhole è un server DNS configurato per restituire indirizzi non instradabili per tutti i domini del sinkhole, in modo tale che tutti i computer che chiedono la risoluzione dei nomi di dominio non riescano a connettersi all'obiettivo. I sinkhole sono uno strumento molto diffuso ed efficace per rilevare e bloccare il traffico malevolo.


Lo smantellamento di Gameover Zeus e CryptoLocker Gameover Zeus e CryptoLocker utilizzano entrambi algoritmi di generazione di domini (DGA). Nel caso di CryptoLocker, il file binario del malware tenta per prima cosa di connettersi a un server di controllo codificato con un indirizzo IP. Se il tentativo non riesce, CryptoLocker genera un nome di dominio mediante un algoritmo di generazione casuale. Durante l'Operazione Tovar, i DGA delle due famiglie di malware sono stati violati e le forze dell'ordine hanno potuto prevedere i nomi di dominio che sarebbero stati generati nel corso del 2014. Con un'operazione di blocco e di sinkholing di questi domini, si è impedito ai clienti di comunicare con il server di controllo o di scaricare ulteriori payload. L'operazione ha consentito il blocco di oltre 125.000 domini per il solo CryptoLocker e il sinkholing di più di 120.000 domini per Gameover Zeus. Nei tre giorni successivi all'annuncio dell'Operazione Tovar, McAfee Stinger, uno strumento gratuito di rilevamento e rimozione del malware (compresi Gameover Zeus e CryptoLocker) è stato scaricato più di 80.000 volte. Strumenti analoghi hanno registrato aumenti dei download nell'ordine del 300-400%. Report McAfee Labs sulle minacce, agosto 2014 | 16


Il futuro Anche se l'Operazione Tovar ha avuto un successo straordinario, spuntano continuamente imitatori che creano nuove varianti di ransomware o di malware che prende di mira le transazioni finanziarie sfruttando il codice sorgente di Zeus trapelato in rete. Nei forum clandestini sono già comparsi nuovi progetti:

Un progetto di malware simile a CryptoLocker.

La schermata precedente è tratta da un forum clandestino che offre un "servizio di tipo CryptoLocker" per 3.000 $. Sono incluse le seguenti funzioni: • Uso della crittografia AES 128 e RSA 2048. • Uso dei servizi TOR. • Supporto per piattaforme di affiliazione. • Adeguamento del prezzo del riscatto secondo il tasso di cambio del Bitcoin e una selezione dei tipi di file della vittima da crittografare. • Creazione di portafogli Bitcoin per ogni cliente. • Accettazione di carte prepagate come iTunes e simili. Gameover Zeus e CryptoLocker sono minacce molto pericolose e sono state estremamente redditizie per i loro sviluppatori. L'Operazione Tovar ha avuto un successo formidabile e ha inferto un grave colpo a questa

infrastruttura criminale; inoltre, molti utenti sono riusciti a ripulire i loro sistemi, una vittoria rara per chi è infestato dal malware. Tuttavia, gli sviluppatori di malware non demordono, e si capisce bene il perché: sono in ballo un sacco di soldi. Abbiamo già notato la comparsa di malware e di infrastrutture alternative. Le operazioni come Tovar sono studiate per contrastare le minacce informatiche che colpiscono le aziende, le infrastrutture, i singoli e altri obiettivi. Il successo di questa operazione è dovuto alla cooperazione fra molti attori — autorità giudiziarie internazionali, ISP e fornitori di prodotti per la sicurezza. Negli ultimi sei mesi, diversi criminali sono stati arrestati e condannati a lunghe pene detentive. Il crimine informatico può essere redditizio, ma l'Operazione Tovar dimostra che gli aggressori non restano sempre impuniti. McAfee Labs è pronta a dare il suo contributo in operazioni del genere in qualsiasi momento.



Statistiche sulle minacce Malware mobile Malware Minacce Web


Minacce per la messaggistica Minacce di rete

Statistiche sulle minacce

Malware mobile Nuovo malware mobile 900.000 800.000

Nel 2° trimestre, il numero totale di esemplari di malware mobile è aumentato del 17%. Contemporaneamente, il ritmo a cui compaiono nuovi esemplari di malware mobile sembra essersi stabilizzato a circa 700.000 a trimestre.

700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 3° T

4° T 2012

1° T

2° T

3° T

4° T

2013

1° T

2° T 2014


Malware mobile complessivo 5.000.000 4.500.000 4.000.000 3.500.000 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 3° T


4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014




Malware Nuovo malware 35.000.000

Nel 2° trimestre il nuovo malware è aumentato solo dell'1%, anche se con oltre 31 milioni di nuovi esemplari si tratta comunque del numero più elevato mai registrato in un singolo trimestre.

30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 3° T

4° T 2012

1° T

2° T

3° T

4° T

2013

1° T

2° T 2014


Malware complessivo 300.000.000

250.000.000

200.000.000

150.000.000

100.000.000

50.000.000

0 3° T

4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014





Nuovo ransomware Il nuovo ransomware ha continuato il declino iniziato un anno fa, calando del 63% in questo trimestre con 63.857 nuovi esemplari.

400.000 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 3° T

4° T 2012

1° T

2° T

3° T

4° T

2013

1° T

2° T 2014


Ransomware complessivo 2.000.000 1.800.000 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T

4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014





Nuovo malware rootkit Per i rootkit, la tendenza è generalmente stabile, con una singola famiglia di bootkit, Gupboot, responsabile dell'aumento negli ultimi due trimestri. Come notavamo nel Report McAfee sulle minacce di giugno 2014, riteniamo che il numero di nuovi esemplari di rootkit riprenderà ad aumentare quando gli aggressori impareranno a eludere le misure di sicurezza dei sistemi a 64 bit.

250.000

200.000

150.000

100.000

50.000

0 1° T 2° T 3° T 4° T 1° T 2° T 3° T 4° T 1° T 2° T 3° T 4° T 1° T 2° T 2011 2012 2013 2014 Fonte: McAfee Labs, 2014.

Malware rootkit complessivo 2.000.000 1.800.000 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T

4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014





Nuovo malware legato al record di avvio principale Le minacce che attaccano il record di avvio principale di un sistema sono calate del 44% in questo trimestre.

1.000.000 900.000 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 3° T

4° T 2012

1° T

3° T

2° T

4° T

1° T

2013

Componenti MBR identificati

2° T 2014

Varianti di famiglie con payload MBR conosciuti Fonte: McAfee Labs, 2014.

Malware legato al record di avvio principale complessivo 8.000.000 7.000.000 6.000.000 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 3° T

4° T 2012

Componenti MBR identificati

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014

Varianti di famiglie con payload MBR conosciuti Fonte: McAfee Labs, 2014.




Nuovi file binari firmati pericolosi I nuovi file binari firmati pericolosi continuano la loro ascesa inarrestabile: nel 2° trimestre hanno superato la soglia dei 3 milioni a trimestre.

3.500.000 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 3° T

4° T 2012

1° T

2° T

3° T

4° T

1° T

2013

2° T 2014


Nuovi file binari firmati pericolosi 40.000.000 35.000.000 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 3° T

4° T 2012

1° T

2° T

3° T 2013

4° T

1° T

2° T 2014





Minacce Web Nuovi URL sospetti 20.000.000 18.000.000 16.000.000 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 2.000.000 0 3° T

URL

4° T 2012

2° T

1° T

3° T

1° T

4° T

2013

2° T 2014

Domini associati Fonte: McAfee Labs, 2014.

Posizione dei server con contenuti sospetti 3%

Il Nord America continua a ospitare una quantità di contenuti sospetti superiore a qualsiasi altra regione. Nord America

37%

44%

Asia Pacifico Europa-Medio Oriente America Latina

16% Fonte: McAfee Labs, 2014.




Principali paesi che ospitano URL di phishing

26%

50% 2% 2%

Stati Uniti

Francia

Germania

Canada

Regno Unito

Russia

Brasile

Paesi Bassi Altri

3% 4% 4%


4%

5%

Principali paesi che ospitano URL di spam

2%

2% 12%

9% 42%

Stati Uniti

Germania

Regno Unito

Russia

Giappone

Altri

33%





Minacce per la messaggistica Volume globale di spam e email (Trilioni di messaggi)

10 9 8 7 6 5 4 3 2 1 0 3° T

4° T 2012

Spam

1° T

2° T

3° T

1° T

4° T

2013

2° T 2014

Email legittime Fonte: McAfee Labs, 2014.

Diffusione mondiale delle botnet

Il numero di infezioni dovute alla botnet Dapato, nota anche con il nome di Carberp e con altri nomi, ha subito un brusco aumento in questo trimestre.

19% 39%

10%

7% 5% 5% 3% 3%

Dapato

Ramnit

Sality

Cycbot

Maazben

SpyBot

Darkness

Spam-Mailbot

NGRBot

Altri

6%


3%




Minacce di rete

Principali attacchi di rete

Gli attacchi Denial of Service sono aumentati del 4% in questo trimestre e continuano a essere il tipo di minaccia di rete più diffuso.

2% 2% 12%

2% 3%

29%

Denial of service Worm

3%

Brute force

9%

17%

21%

SSL Backdoor Scansione

Browser

Chiamata di procedura remota

Botnet

Altri




Informazioni su McAfee Commenti. Per capire meglio come indirizzare il nostro lavoro in futuro, ci interessa il vostro parere. Se desiderate farci conoscere la vostra opinione, fate clic qui per partecipare a un sondaggio di soli cinque minuti sui report sulle minacce.

McAfee, divisione di Intel Security e società interamente controllata da Intel Corporation (NASDAQ: INTC), consente ad aziende, pubbliche amministrazioni e utenti consumer di usufruire dei vantaggi di Internet in modo sicuro. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il mondo. Grazie alla lungimirante strategia Security Connected, a un approccio innovativo alla sicurezza potenziata dall'hardware e all'esclusiva rete Global Threat Intelligence, McAfee è impegnata senza sosta nella ricerca di nuovi modi per garantire protezione ai propri clienti. http://www.mcafee.com/it

Segui McAfee Labs

1 http://blog.erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html#.U8P7VY1dVYO.

Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee. Le informazioni qui contenute possono essere modificate senza preavviso, e vengono fornite "come sono", senza alcuna garanzia della loro accuratezza o applicabilità a situazioni o circostanze specifiche. McAfee, Part of Intel Security. 2821 Mission College Boulevard Santa Clara, CA 95054 888 847 8766 www.intelsecurity.com

Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti qui contenuti hanno unicamente scopo informativo, sono soggetti a variazioni senza preavviso e sono forniti senza alcun tipo di garanzia, esplicita o implicita. Copyright © 2014 McAfee, Inc. 61245rpt_qtr-q2_0814_fnl