Android colabrodo: 8.400 nuovi malware al giorno nel primo trimestre 2017.


Il livello di rischio rimane allarmante, ma non è dovuto solo all’alacre attività dei cybercriminali.

Con una quota di mercato del 72 per cento a livello mondiale, il sistema operativo Android domina chiaramente il mercato della telefonia mobile. In Italia, circa il 69 per cento dei possessori di smartphone utilizza un dispositivo Android (Fonte: Statcounter, marzo 2017). Nel primo trimestre 2017, gli esperti dei G DATA Security Labs hanno individuato oltre 750.000 nuovi malware per Android, in media 8.400 nuove app dannose al giorno, una ogni dieci secondi.

Ancora troppo bassa la diffusione di Android 7

La vulnerabilità del sistema operativo Android, come di altri sistemi operativi, non é una novità. Molte aziende, tra cui Microsoft, Adobe o la stessa Google rilasciano con regolarità aggiornamenti di sicurezza. I proprietari di dispositivi Nexus o Pixel ricevono queste patch direttamente da Google. Purtroppo però la quota dei possessori dei “Googlefonini” è molto ridotta (nel mese di marzo 2017 in Italia oltre il 40% dei naviganti con smartphone Android impiegava dispositivi Samsung – fonte Statcounter), e attualmente, su scala globale, solo il 4.9 per cento degli utenti Android beneficia della versione 7 del sistema operativo sul proprio dispositivo, nonostante Nougat sia disponibile dal 7 agosto 2016 (status al 04.2017 Fonte: Google).

Tale enorme dilatazione dei tempi di consegna degli aggiornamenti dipende in massima parte dal fatto che quando Google rilascia una patch o una nuova versione del proprio sistema operativo, i produttori e gli operatori devono adattarla ai propri dispositivi. Il tutto richiede un’eternità e in alcuni casi tale processo non ha proprio luogo, forse perché la strategia di mercato per cui, su base annuale, sono immessi sul mercato nuovi top di gamma lascia poco spazio alla cura dei modelli precedenti (comunque ancora commercializzati poiché recenti) e della pletora di dispositivi di gamma medio-bassa. Per gli utenti ciò comporta l’esposizione a inutili rischi. Considerando l’impatto dei dispositivi mobili sulla quotidianità personale e aziendale, beneficiare di frequenti aggiornamenti di sicurezza che chiudono falle del sistema operativo è essenziale.

Come proteggersi

A differenza di Windows, per chi acquista un dispositivo sia esso uno smartphone o un tablet Android, non è sempre possibile determinare per quanto tempo e se il produttore renderà disponibili i dovuti aggiornamenti di sicurezza. Dotarsi di una soluzione completa per la protezione dei propri dati e delle proprie credenziali contro trojan come BankBot, contro malware in genere, tentativi di phishing, di dirottamento delle sessioni e di infezione drive-by è assolutamente un must. Di fronte al crescente volume e alla sofisticatezza delle minacce e al grado di obsolescenza dei sistemi operativi presenti sulla stragrande maggioranza degli smartphone e tablet Android, stare attenti non è sufficiente.

Conclusioni

Sebbene le moderne soluzioni complete per la sicurezza mobile siano in grado di tutelare gli utenti, riteniamo quanto mai opportuna una massiccia riduzione dei tempi di reazione da parte di tutti i produttori e un repentino cambio di rotta nei processi di distribuzione degli aggiornamenti di Android.

Continua a leggere

Un nuovo malware ogni 4,2 secondi: G DATA presenta il primo trimestre 2017


“Non credere ad alcuna statistica che non abbia falsificato tu stesso”, usava dire Winston Churchill. Gli esperti di sicurezza di G DATA condividono quanto rilevato nel primo trimestre 2017 rapportandone i risultati ai trend registrati nel 2016.

Nel 2016 l’azienda ha rilevato 6.834.443 nuovi ceppi di malware per workstation, pari ad un incremento del 32,9% rispetto al 2015. Un trend che non accenna a rallentare neanche nel 2017: nel solo primo trimestre G DATA ha registrato 1.852.945 nuovi tipi di applicazioni malevole. Ciò corrisponde ad un nuovo campione di malware ogni 4,2 secondi, un valore che supera del 72,6% le rilevazioni degli analisti G DATA nello stesso periodo del 2016. Gli esperti di sicurezza G DATA pronosticano un nuovo record negativo di 7,41 milioni di nuovi malware entro la fine dell’anno.

 

Il malware in categorie

La quota predominante dei programmi malevoli consta di cavalli di troia prodotti tipicamente allo scopo di scaricare ulteriore malware, rilevare i caratteri digitati sulla tastiera, trafugare password, integrare la macchina infetta in botnet per la conduzione di attacchi DDoS. Al secondo posto in classifica figura l’adware, che lo scorso anno cubava per il 4,9% delle rilevazioni totali ma già nel primo trimestre 2017 è responsabile del 13,9% del malware registrato.

Anche il ransomware è aumentato notevolmente. Tra il primo ed il secondo semestre 2016 si è quasi decuplicato e nel solo primo trimestre 2017 ha mancato di poco i valori registrati nell’intera seconda metà dello scorso anno. Ma attenzione: „il ransomware ha cagionato danni ingenti destando un notevole interesse su scala globale, ma la quota di questo tipo di malware rispetto al totale non è quasi misurabile”, specifica Ralf Benzmüller, Direttore dei G DATA SecurityLabs, che aggiunge “l’adware invece è una delle categorie di malware più produttive, ma non viene quasi percepito dagli utenti”.

Obiettivi del malware: Windows, script e makro

Come d’abitudine, la parte preponderante dei malware per workstation mira a piattaforme Windows, obiettivo del 99,1% delle applicazioni malevole rilevate. Seguono, sebbene a lunga distanza, script, java applets e macro.

Continua a leggere

Porta aperta sul cuore


Come la ricerca e i fondi di investimento influenzano la sicurezza dei dispositivi medici interconnessilogo-claim-2015-3c-highres

Sebbene il titolo abbia un che di romantico, il contesto è davvero inquietante: da un recente comunicato dell’agenzia americana per il controllo di alimenti e farmaci (FDA) una specifica linea di pacemaker risulta presentare vulnerabilità che li rendono accessibili a distanza. Il produttore ha rilasciato un aggiornamento del firmware che dovrebbe chiudere tale falla.

La connettività dei dispositivi medici presenta indubbiamente una serie di indiscutibili vantaggi sia per i pazienti sia per il personale medico e paramedico. Anziché presentarsi personalmente presso lo studio medico, cosa che, a dipendenza della gravità della malattia è già di per sé una sfida, i pazienti possono sottoporsi a controlli di routine da remoto, senza dover metter piede fuori dalla propria abitazione. Il monitoraggio a distanza di particolari parametri vitali corrisponde per tutti i soggetti interessati ad un enorme risparmio di tempo e risorse, in grado di entusiasmare i più, se solo non vi fossero i moniti dei ricercatori sulle potenziali minacce costituite da sistemi violabili.

Un esempio interessante è il recente caso del produttore leader di pacemaker, la St. Jude Medical: una ricerca condotta da MedSec e Muddy Waters Capital ha evidenziato che il trasmettitore radio collegato a Internet per il monitoraggio in remoto dei valori cardiaci e del funzionamento del dispositivo impiantato era potenzialmente accessibile a terzi che avrebbero potuto riconfigurarlo cagionando un più rapido esaurimento della batteria, un forte disagio fisiologico al paziente e una compromissione dell’effettiva funzionalità del dispositivo in caso di necessità. L’unico requisito per procurarsi accesso al dispositivo impiantato era la vicinanza del paziente all’apparecchio per la trasmissione dei dati.

Questo è solo uno dei numerosi casi segnalati dal 2015 ad oggi in cui si riscontra un livello di sicurezza lontano anni luce dagli attuali standard. Uno dei motivi è che il processo di certificazione dei dispositivi medici, dalle pompe di insulina ai sistemi per la narcosi in sala operatoria, fino ai dispositivi per l’erogazione intravenosa automatica di medicinali, richiede anni, oltre ad un enorme investimento da parte dei produttori. Nel caso di dispositivi il cui malfunzionamento pregiudica l’incolumità dei pazienti, i requisiti sono estremamente complessi e talmente limitanti da rendere impossibile qualsiasi aggiornamento, anche nel caso di patch necessarie per chiudere eventuali falle: qualsiasi modifica richiederebbe una nuova certificazione.

g_data_securityblog_hacking_pacemakers_preview_78194w600h400

E se un giorno..

Se pensiamo al fenomeno dei ransomware, ci vuole ben poco per ipotizzare che dei malintenzionati possano un giorno estorcere denaro ai pazienti, ospedali o studi medici minacciando di disattivare i sistemi di supporto vitale in caso di

mancato pagamento del riscatto. Per affrontare questa sfida non vi sono alternative alla stretta collaborazione tra ricercatori e produttori, una collaborazione che non dovrebbe essere limitata ai soli dispositivi ma estesa anche alle piattaforme online cui molti di questi sono oggi collegati. Le ricerche degli ultimi anni hanno evidenziato quanto si sia lontani da un’integrazione della sicurezza sin dalle prime fasi della produzione. Va da sé che anche il processo di certificazione dovrebbe essere accelerato. Lo sviluppo nell’ambito della sicurezza IT ha raggiunto un grado di evoluzione notevole, procedure prolungate rappresentano un chiaro ostacolo al progresso e alla tutela efficace dei fruitori di questi dispositivi.

Vulnerabilità che arrichiscono gli insider

Il caso della St. Jude Medical conferma quanto sia essenziale il ruolo della sicurezza informatica nello sviluppo di tali apparecchi. La posta in gioco per gli attori è molto alta: la reputazione di un produttore può subire ingenti danni se la sicurezza dei propri dispositivi è compromessa. Gli interessi finanziari viaggiano di pari passo: danni alla reputazione di un produttore avranno un riscontro diretto sulla redditività delle sue azioni. La St. Jude Medical stava per essere acquisita dalla Abbot Laboratories per 25 miliardi di dollari proprio al momento della pubblicazione dei risultati dell’analisi sulle vulnerabilità dei dispositivi ad opera di MedSec e Muddy Waters Capital. Entrambe hanno attuato vendite allo scoperto e acquisti a termine antecedenti alla pubblicazione dei risultati della ricerca, anticipando le eventuali cadute del valore azionario dovute alla pubblicazione. La St. Jude Medical ha presentato una denuncia formale contro entrambe le aziende, il processo è in corso.

Questo caso lascia adito a scenari di stretta collaborazione tra esperti di alta finanza e ricercatori nel settore della sicurezza IT. Insieme possono sfruttare le proprie conoscenze da insider realizzando enormi profitti attraverso operazioni di borsa preventive alla pubblicazione dei risultati delle ricerche. Ovviamente i produttori hanno tutto l’interesse a prevenire questa evenienza migliorando efficacemente la sicurezza dei loro prodotti. Dall’altro lato però ci troviamo di fronte ad un dilemma etico di dimensioni epocali: si genera volutamente un profitto sulla base di conoscenze e informazioni che non solo possono mettere in pericolo la vita dei pazienti ma che, come in questo caso, non vengono neanche fornite ai produttori. I cosidetti “Bug Bounties” sono una vera manna per i ricercatori di sicurezza informatica che segnalano al produttore eventuali falle di sicurezza consentendo loro di porvi rimedio prima della pubblicazione della ricerca. A seconda della gravità di una determinata vulnerabilità un Bug Report può assicurare al ricercatore introiti a sei cifre. Se fosse dimostrato che l’approccio seguito da MedSec e Muddy Waters Capital frutti guadagni ancora maggiori (la sentenza non è stata ancora emessa), ciò potrebbe influenzare il modo in cui i ricercatori utilizzano le conoscenze che acquisiscono.

Continua a leggere

Attacchi contro le grandi aziende: tutto il giorno, tutti i giorni


logo-claim-2015-3c-highresCome riportato da diversi media durante lo scorso fine settimana, il gruppo industriale ThyssenKrupp è stato preso di mira dai cybercriminali. La società si dice vittima di un attacco hacker sapientemente progettato e sferrato già nel febbraio di quest’anno. Il dipartimento CERT (Cyber Emergency Response Team) interno ha scoperto però l’attacco solo nel mese di aprile. Gli aggressori avevano cercato di ottenere un punto di accesso permanente alla rete aziendale.

L’incidente conferma le stime dei G DATA Security Labs: qualora ben congeniato, un attacco mirato ad una rete può passare inosservato per oltre tre mesi dopo l’infiltrazione. Alla luce di tale valutazione, il reparto di sicurezza della ThyssenKrupp è stato relativamente veloce nel rilevare l’attacco. Esempi passati mostrano tuttavia che, in determinate circostanze, attacchi molto complessi e progettati per colpire un obiettivo specifico o per condurre campagne di spionaggio mirate possono rimanere celati addirittura per diversi anni. Un esempio di questo tipo è Uroburos.

thyssen_g_data_640h400

Anatomia di un attacco mirato

Un attacco mirato di solito segue un certo schema. Dapprima gli aggressori raccolgono informazioni sul loro obiettivo. In base alle informazioni raccolte formulano una strategia per accedere alla rete, che contempla diverse metodologie, da malware prodotto ad hoc all’ingegneria sociale. Una volta ottenuto l’accesso, i criminali cercano di estendere la portata dell’attacco incrementando il numero di sistemi alla propria mercè. Identificati i dati di proprio interesse, gli aggressori passano alla fase estrattiva ossia al vero e proprio furto di dati e segreti aziendali.

Non ci è dato conoscere al momento il livello di sofisticazione dell’applicazione back-door impiegata presso ThyssenKrupp. Va sottolineato, tuttavia, che non tutti gli strumenti per lo spionaggio sono costituiti da componenti sviluppate ad hoc. I criminali si avvalgono spesso di strumenti già esistenti per risparmiare in un certo qual modo sui costi di realizzazione dell’attacco. Secondo quanto divulgato dalla stessa ThyssenKrupp, quanto finora rilevato suggerisce l’area asiatica come origine geografica dell’attacco.

g_data_blog_targeted_attacks_webgrafik2016_en_78014w1280h580

Le grandi aziende non sono l’unico obiettivo

Una statistica prodotta da GE Capital indica che circa il 44% dei brevetti europei registrati sono di proprietà di aziende tedesche di medie dimensioni. Non meraviglia quindi che anche queste società rappresentino obiettivi appetibili per i cybercriminali. Secondo l’Ufficio federale tedesco per la Sicurezza Informatica (BSI), il 58% delle aziende pubbliche e private sul territorio teutonico ha già subito attacchi contro i rispettivi sistemi IT e di comunicazione. In Italia la percentuale di aziende colpite da attacchi mirati cresce di due cifre anno su anno, un incremento forse favorito dall’ingente numero di macchine zombie presenti sul nostro territorio, di cui i cybercriminali possono servirsi indisturbati per sferrare i propri attacchi.

Uno sguardo al passato: Uroburos – software di spionaggio di origini russe

Nel 2014, gli esperti di sicurezza di G DATA avevano rilevato e analizzato un malware altamente sofisticato e complesso, progettato per rubare dati provenienti da reti di alto profilo come quelle di agenzie governative, servizi informativi e grandi aziende. Il rootkit denominato Uroburos lavora in autonomia e si propaga nella rete colpita senza richiedere un ulteriore intervento da parte dei criminali, in questo modo è persino riuscito ad infettare macchine prive di connessione Internet. G DATA è giunta alla conclusione che un malware di questo livello possa essere realizzato esclusivamente con forti investimenti infrastrutturali e in personale altamente specializzato. Il design ed il livello di complessità di questo malware fanno supporre che lo stesso abbia avuto origine dal settore dell’intelligence. L’analisi rivelò inoltre che Uroburos avesse radici russe. Fino all’identificazione da parte dei G DATA Security Labs questo malware complesso era restato celato nella rete.

Continua a leggere

Cambio gomme invernale: Oltre la metà degli italiani non lo farà


Logo_123ReifenDue sono le domande dell’indagine condotta a fine settembre dallo specialista degli pneumatici 123gomme.it su un campione rappresentativo di 1001 intervistati. Interessanti i risultati, che vedono in netta pole position le gomme “quattro stagioni” e un’importante quota di preferenze per il “fai da te” tra chi le cambia.

Come affronti il cambio gomme in generale e, nello specifico, come ti comporterai in occasione del passaggio agli pneumatici invernali? Queste le due domande a risposta unica contenute nel sondaggio condotto nelle ultime due settimane di settembre dall’istituto di ricerca indipendente Norstat, commissionato da 123gomme.it allo scopo di valutare le abitudini degli italiani che si occupano in prima persona della manutenzione della propria vettura, tra cui figura una sorprendente quota rosa del 29%.

umfrage_winterreifen

clicca per ingrandire

Il quadro emerso risulta eterogeneo, i risultati in alcuni casi sconcertanti: il 18% degli italiani, di cui quasi il 30% laureati e il 13% di chi, tra gli intervistati, risiede al Nord, ritiene ad esempio che nella maggior parte delle regioni della penisola non occorra passare alle gomme invernali, pertanto non effettuerà il cambio gomme. A questo 18% si aggiunge chi ha optato per le gomme quattro stagioni in precedenza, ossia il 33% degli intervistati. Il 49% invece passerà alle gomme invernali. Tra questi, il 13% ha dichiarato di dover acquistare nuovi pneumatici invernali e il 40% che lo fa perché preferisce evitare problemi con l’assicurazione o la polizia.

In generale il “cambio gomme”, indipendentemente dal periodo dell’anno, è gestito in modo quasi compatto attraverso l’officina di fiducia, meta preferita dall’82% degli intervistati, di cui però il 20% acquista gli pneumatici online e li immagazzina autonomamente. Il restante 18% degli intervistati, di cui uno su tre ricopre ruoli dirigenziali, le monta da solo. Sorprendente anche il fatto che il 57% di chi preferisce il “fai da te”, acquista gli pneumatici in officina!

Per quanto riguarda l’acquisto, il 18% degli intervistati preferisce avvalersi di piattaforme online. Di questi, la stragrande maggioranza (88%) si reca in officina per il montaggio, dove viene reimpostata anche la convergenza.

Continua a leggere

G DATA: 9.468 nuovi malware per Android al giorno tra gennaio e giugno 2016


Logo-Claim-2015-3c-highresG DATA pubblica il Mobile Malware Report per la prima metà del 2016: nuovi ransomware minacciano i dispositivi Android

Con la fine del 2015 gli esperti di sicurezza G DATA avevano previsto un ulteriore incremento del malware per Android ma le attuali tipologie di attacco hanno raggiunto un nuovo livello di qualità: i ransomware prendono sempre più spesso di mira anche gli utenti Android. Sinora i malware per Android raggiungevano lo smartphone degli utenti poiché questi ultimi scaricavano app da fonti non sicure. Nel frattempo i cybercriminali hanno trovato il modo di iniettare ransomware e altri malware sui device mobili senza alcuna interazione diretta con l’utente: basta una visita ad un sito per scaricare il malware sul dispositivo mobile tramite infezione “drive-by” (di passaggio). Gli esperti G DATA illustrano il nuovo metodo di infezione nell’attuale
G DATA Mobile Malware Report relativo al periodo gennaio/giugno 2016, ora disponibile online.

“Gli smartphone e i tablet sono stati oggetto di particolare interesse da parte dei cybercriminali e gli attacchi perpetrati sono stati notevolmente perfezionati, lato qualitativo, nel corso di questo primo semestre”, spiega Christian Geschkat, Product Manager Soluzioni Mobili di G DATA. “Gli utenti dovrebbero dotare i propri dispositivi mobili di una protezione completa e assicurarsi di mantenere il sistema operativo sempre aggiornato[1]. In questo modo é possibile prevenire la maggior parte delle minacce”.

Come funzionano le infezioni “drive-by”?

I criminali accedono abusivamente a server web e creano siti manipolati ad arte, su cui attraggono eventuali utenti tramite spam o con campagne pubblicitarie. Quando vi si accede, il malware viene installato in modo invisibile sul dispositivo, sfruttando falle di sicurezza del sistema operativo Android ivi presente. Questa tipologia di attacco viene impiegata con crescente successo per infettare gli utenti con cavalli di Troja, preludio dell’installazione di ransomware, che criptano l’intero contenuto del dispositivo, chiedendo un riscatto in cambio della chiave di cifratura, o “congelano” il dispositivo e non permettono all’utente di accedere ai dati o a qualsiasi altra funzione, senza previo pagamento di un riscatto.

9,468 nuove istanze di malware al giorno!
GDATA Infographic MMWR Q1 16 New Android Malware per year EN RGB

I quasi due milioni (1.723.265) di nuove app fraudolente o istanze di malware per Android apparse nella prima metà del 2016 equivalgono ad un incremento delle minacce superiore al 30% rispetto allo stesso periodo del 2015. In media gli esperti G DATA hanno rilevato 9.468 nuovi malware per Android su base giornaliera, ossia un nuovo campione di malware ogni 9 secondi.  In questa prima metà dell’anno gli analisti hanno già identificato più malware che nell’intero corso del 2014.

Il G DATA Mobile Malware Report H1/2016 (in lingua inglese) é reperibile al link:
secure.gd/dl-en-mmwr201601

[1] Compito purtroppo arduo e non proprio per carente volontà degli utenti, come già accennato qui: bit.ly/2aUwtEe

Continua a leggere

World of Warcraft: una semplice linea di codice può costare davvero cara


Logo-Claim-2015-3c-highresUn nuovo tipo di truffa legata all’acquisizione di oggetti di valore o oro del gioco attira i gamer nella trappola tramite social engineering ed un espediente tecnico.

Bochum – Il furto e la vendita di oggetti di gioco come anche la valuta virtuale sono stati spesso argomento di discussione nella community dei giocatori di World of Warcraft ma di recente è comparso un nuovo tipo di truffa riguardo all’acquisizione di oro e oggetti di valore.

Ci si immagini la seguente situazione: un personaggio del gioco, che pare appartenere ad una gilda popolare di World of Warcraft, si avvicina e promette di procurare o regalare oggetti rari o potenti, come armi, oro e similari. Nella maggior parte dei casi però questo personaggio «di fiducia» non dispone di tali oggetti, quindi in sede di consegna degli stessi si verificano problemi. La trappola si chiude quando il personaggio convince il giocatore ignaro ad inserire una semplice linea di codice nella finestra della chat. Tale codice dovrebbe risolvere il problema e consentire all’utente di ricevere finalmente gli oggetti desiderati:

/run RemoveExtraSpaces=RunScript 

Inserendo questo codice nella finestra di chat e inviando il messaggio, il giocatore però consegna al ladro la propria interfaccia di gioco, trasformandosi in vittima con un click, poiché questa stringa consente ai criminali di determinare al “pixel” dove si trova il giocatore sulla mappa, cosa impossibile nelle forme di attacco precedenti, quindi di derubare il giocatore senza che lo stesso possa più fare alcunché per tutelarsi, concludendo al suo posto transazioni o scambi indubbiamente poco vantaggiosi. Peraltro i criminali, sotto le mentite spoglie del giocatore, chiederanno a tutti gli amici collegati nel gioco o agli altri membri della gilda di inserire nella chat la stessa stringa di codice, assicurandosi un bottino certo, dato che si tende a fidarsi degli “amici di gioco”, senza fare domande.

Questo attacco funziona grazie ad una vulnerabilità precedentemente non documentata del framework di scripting LUA su cui è basata l’interfaccia WoW, che – a differenza di altri tipi di attacco – non richiede l’installazione di alcun add-on per prendere il pieno controllo dell’interfaccia di gioco della vittima.

Come proteggersi:

  • Non inserire alcuna stringa di codice nella finestra della chat, anzi, bisogna mettere sempre in discussione qualunque richiesta di inserimento e invio di messagi specifici nella chat.
  • Fare attenzione a scaricare add-on di terzi: usare solo siti affidabili e popolari, soprattutto mantenere aggiornati gli add-on scaricati.

Un’analisi dettagliata é disponibile (in inglese) sul G DATA security blog: https://blog.gdatasoftware.com/2016/07/28809-world-of-warcraft-one-simple-line-of-code-can-cost-you-dearly

Continua a leggere