Le previsioni di G DATA per il 2018: i cybercriminali puntano a Bitcon & Co.


Società, criptovalute e IoT sempre più spesso nel mirino dei cybercriminali.

Anche nel 2017 il ransomware è stato il protagonista dell’anno per quanto concerne la sicurezza IT. WannaCry e NotPetya hanno dimostrato che i criminali hanno perfezionato le proprie tecniche e che le aziende sono oggetto di attacchi mirati. Gli esperti di sicurezza G DATA non possono dichiarare il cessato allarme per il 2018, al contrario si aspettano un ulteriore incremento del livello delle minacce. A fronte di tassi di interesse sul capitale sempre più bassi, un crescente numero di persone investe in criptovalute come i Bitcoin. I cybercriminali non sono da meno, hanno creato nuovi modelli di business illegale particolarmente lucrativi e tentano di accaparrarsi la propria fetta di criptovalute con script per il mining e altri attacchi.

G DATA prevede di chiudere il 2017 con la rilevazione di almeno dieci milioni di nuovi ceppi di malware per Windows e più o meno tre milioni e mezzo per Android. Le statistiche mostrano che il livello di minaccia è in costante aumento. Molte attività quotidiane come le transazioni bancarie o gli acquisti vengono effettuate online. La conduzione di tali attività diventa di giorno in giorno sempre più semplice grazie all’utilizzo di supporti operativi quali gli assistenti vocali e ad una migliore fruibilità. Cosa che aumenta altresì il raggio d’azione dei criminali.

“I Bitcoin e le altre criptovalute stanno infrangendo record su record. Sempre più persone si interessano alle valute digitali. I criminali sfruttano questo trend, focalizzandosi sempre più sugli utenti Internet attivi in questo ambito “spiega Tim Berghoff, G DATA Security Evangelist. “Inoltre, ci aspettiamo di vedere molti più attacchi su larga scala condotti ai danni di piattaforme che in precedenza non erano mai state prese in considerazione, dato che solo di recente soluzioni IoT, come gli assistenti personali digitali e i dispositivi domotici, sono entrati nel mercato di massa.

Sicurezza IT: previsioni 2018

  • Maggiore attenzione all’IoT: i dispositivi intelligenti sono presenti tanto in ambito residenziale quanto aziendale / industriale. L’Internet of Things non è più solo una moda, per molti utenti è uno strumento quotidiano. Nel 2018 i cybercriminali daranno vita ad attività illegali mirate.
  • Attacchi ransomware in crescita: nel 2017 i cybercriminali hanno ottenuto enormi profitti dall’utilizzo di questa forma di estorsione virtuale. Le tecniche sono diventate sempre più raffinate. In virtù di ciò, per il 2018 ci si attende un’ulteriore aumento dei malware che chiedono un riscatto.
  • Estorsione di dati riservati: il furto di dati è stato un business estremamente lucrativo per molti anni. In passato i cybercriminali hanno messo in vendita i dati ottenuti sul dark web. Gli esperti di G DATA hanno però riscontrato un trend diverso: le aziende a cui sono stati criminali minacciano le aziende alle quali hanno estorto illegalmente i dati richiedendo un riscatto.
  • Attacchi agli assistenti vocali: Sempre più utenti si affidano ad assistenti personali come Siri e Alexa. Nel 2018, gli esperti di sicurezza G DATA si aspettano primi attacchi di successo contro queste piattaforme e la nascita dei primi (?) modelli di business redditizio.
  • Nuove normative sulla protezione dei dati: La data d’entrata in vigore del GDPR Europeo si avvicina inesorabilmente. La nuova normativa entrerà in vigore il 25 maggio 2018. Molte società sono ancora molto indietro in termine di conformità alle nuove leggi. Entro la data di scadenza, le aziende dovranno garantire che i dati sensibili dei propri clienti vengano elaborati e tutelati nel rispetto della legge. G DATA ritiene che circa il 50% delle aziende non si sarà adeguato integralmente al contenuto della normativa europea prima della sua data di decorrenza.
  • Criptovalute come vettore di attacco: L’euforia generata dalle criptovalute rievoca la corsa all’oro del diciannovesimo secolo. A fronte di un investimento sempre più massiccio in monete digitali, i cybercriminali stanno compiendo sforzi concertati con l’intento di derubare gli utenti.

Continua a leggere

Tutti parlano di «exploit», ma di cosa si tratta esattamente?


Immaginate che il recinto del vostro giardino sia danneggiato. Forse vi è noto che la recinzione presenti delle brecce o forse non ancora. Una cosa è certa: qualsiasi malintenzionato può avvalersene per fare irruzione nel vostro giardino e farsi strada verso casa vostra utilizzando i vostri attrezzi da giardino. Analogamente ciò accade con le falle di sicurezza sul vostro computer: i cybercriminali mirano a scovarne il più possibile per condurre i propri attacchi.

Come funziona un attacco con exploit?

Gli exploit sono piccoli programmi che individuano e sfruttano falle nella sicurezza. Il malware, come per esempio un ransomware, viene caricato solo in un secondo momento (“Payload”). Ecco come avviene un attacco.

1. Identificare le vulnerabilità
Gli exploit possono essere nascosti in un documento Word o essere scaricati automaticamente semplicemente visitando una pagina web. Cercano quindi punti attaccabili nell’applicazione con
cui sono stati scaricati (lettori di documenti, browser web ecc.).

2. Depositare un codice malevolo
Quando gli exploit trovano una vulnerabilità adatta, collocano un codice malevolo da qualche parte nella memoria del vostro computer.

3. Manipolazione dei processi delle applicazioni
Un’applicazione funziona compiendo tanti piccoli processi che hanno luogo in successione. L’avvio di un processo dipende dalla conclusione corretta del precedente, un
flusso stabilito esattamente nel codice di programmazione.Gli exploit sono programmati per modificare la sequenza originale in modo da dirottare il flusso dell’applicazione sul codice
manipolato. Ne consegue che non viene eseguito il normale codice dell’applicazione, bensì il codice dannoso infiltrato in precedenza.

4. Attivazione
Una volta attivato il malware può accedere alle funzioni del programma in cui è penetrato e a tutte le funzioni generalmente accessibili del sistema operativo. Quindi l’exploit raccoglie informazioni sul sistema e può scaricare ulteriori codici maligni da Internet.

5. Scaricamento del malware
A questo punto ransomware, trojan bancari o altri malware vengono scaricati sul computer.

Come arrivano gli exploit sul mio computer?

Gli exploit si diffondono prevalentemente in due modi. Nel primo caso si scaricano sul computer navigando, celati dagli altri contenuti della pagina web che si sta visitando. Nel secondo caso si celano nei documenti allegati alle e-mail, in chiavette USB, su hard disk esterni e simili.

Exploit “drive-by”

Lo scaricamento di exploit “drive-by” avviene “di passaggio” senza che l’utente se ne accorga. A tale scopo i cybercriminali manipolano direttamente i banner pubblicitari sulle pagine web o i server a cui sono collegati in modo piuttosto subdolo: tale trucco viene utilizzato anche su pagine affidabili. Basta un click sulla pubblicità per avviare il download in background. Il programma dannoso scaricato cerca quindi vulnerabilità nel browser o tra i plug-in.

L’infezione “drive-by” è quella più utilizzata per diffondere exploit kit. I kit consistono in una raccolta di exploit con obiettivi multipli. Molti kit presentano spesso strumenti per attaccare Flash, Silverlight, PDF Reader e browser web come Firefox e Internet Explorer.

Exploit nei file

Questa modalità di infezione è la più utilizzata per attaccare aziende. Gli exploit vengono diffusi sistematicamente attraverso PDF manipolati e allegati alle e-mail. Il file si presenta come una fattura o un’inserzione ma contiene exploit che dopo l’apertura sfruttano le vulnerabilità di Adobe Reader. Lo scopo di tali attacchi solitamente è lo spionaggio (APT).

Perché le applicazioni sono soggette a vulnerabilità?

Chi sviluppa software scrive righe su righe di codice in diversi linguaggi di programmazione. Spesso i programmatori si avvalgono di librerie di codici messe a disposizione da altri sviluppatori. Con la grande quantità di codici di programmazione e la crescente complessità delle applicazioni sfuggono immancabilmente degli errori.

Una volta venuti a conoscenza delle vulnerabilità insite nel codice delle proprie applicazioni, i produttori di software diffondono una versione “riparata” del programma (“Patch”), scaricabile dagli utenti che fanno uso del software.

Come mi difendo dagli exploit?

Per chiudere il maggior numero di falle possibili, al fine di ridurre quanto più possibile la superficie d’attacco, è consigliabile installare gli aggiornamenti del software per i programmi più importanti. È altresì essenziale dotarsi di una soluzione di sicurezza di nuova generazione in grado di riconoscere gli exploit zero-day, come le suite G DATA, una funzione che sopperisce al fatto che il più delle volte passano diverse settimane tra la scoperta della falla e il rilascio/ installazione di una patch sul dispositivo vulnerabile. Va da sé infatti che il periodo tra l’individuazione di una falla non nota al produttore da parte dei cybercriminali e la distribuzione di una patch sia ovviamente il più pericoloso.

Continua a leggere

Può essere che gli hacker vadano in ferie a luglio?


Dopo aver rilevato forti ondate di cybercriminalità a giugno abbiamo riscontrato una certa quiete fino alla fine di luglio – forse gli hacker vanno in ferie a luglio? Con lo strumento Breach Fighter, il team di Security Intelligence di Stormshield rileva e analizza i malware esaminando milioni di spam e attacchi mirati. Dagli stabilimenti balneari al ritorno di Locky – da un tipo di onda all’altra.

In vacanza a luglio e rientro in agosto?

Breach Fighter è uno strumento integrato in centinaia di migliaia di firewall di Stormshield Network Security distribuiti in tutto il mondo allo scopo di raccogliere quanti più campioni o modelli di attacco possibili. Utilizzando questo strumento, il team di Security Intelligence di Stormshield è riuscito a identificare una concreta variazione nel volume di attacchi cybernetici. Dopo i picchi verificatisi quasi quotidianamente nel mese di giugno, i volumi sono diminuiti drasticamente nel corso di luglio, con una modesta ripresa negli ultimi giorni del mese.

 

clicca qui per ingrandire

 

Non foss’altro che per il curioso periodo di calma, questa considerevole diminuzione di attacchi potrebbe suggerire che gli hacker e i loro committenti vadano in vacanza. Forse hanno dovuto scegliere tra investire fondi nelle vacanze o in nuovi attacchi malware? E hanno ripreso le proprie attività tra la fine di luglio e l’inizio di agosto per l’irrefrenabile desiderio di scoprire se e quando tra Daenerys e Jon Snow in Game of Thrones sboccerà qualcosa di più che una semplice amicizia? Oppure non volevano perdere l’occasione di influenzare gli acquisti del FC Barcelona dopo la partenza di Neymar? Fortunatamente anche attività apparentemente aride come l’analisi acribica delle minacce danno adito a ipotesi che strappano un sorriso.

Stormshield Security intelligence: prevenzione e reazione

La squadra di Security Intelligence di Stormshield ha due missioni principali: studiare e capire le minacce al fine di migliorare i prodotti Stormshield da un lato e di fornire il proprio contributo alla cybersecurity condividendo le proprie analisi e collaborando strettamente con organizzazioni professionali (CERT, istituti di ricerca, specialisti della sicurezza e altri).

Una chiara identificazione delle minacce è infatti il primo passo per affrontarle in maniera risolutiva. Come azienda votata all’innovazione, Stormshield valuta modi per combattere le minacce in modo proattivo, attraverso prodotti come Stormshield Endpoint Security, la cui capacità di bloccare minacce day zero sul nascere, senza richiedere alcun aggiornamento, è il carattere distintivo di una soluzione frutto del lavoro incessante del team di Security Intelligence.

Tramite Breach Fighter, integrato nei firewall perimetrali di Stormshield, i clienti Stormshield caricano su una sand-box nel cloud un gran numero di file da suddividere tra applicazioni legittime (goodware) e fraudolente (malware). Questo sistema di intelligence contro le minacce si avvale di strumenti proprietari, tra cui un honeypot (dati che fungono da “esca” per eventuali attacchi), un laboratorio d’analisi del malware, un linguaggio di classificazione personalizzato e algoritmi di apprendimento automatico.

Insieme a informazioni provenienti da fonti esterne, i prodotti Stormshield producono enormi quantità di informazioni e file, costantemente eviscerati dal team di Security Intelligence con l’obiettivo di disporre di un bacino di dati quanto più ampio possibile e di assicurare il miglior tasso di identificazione dei malware sul mercato.

Continua a leggere

Criminali a caccia dei vostri punti fedeltà e non solo


logo-claim-2015-3c-highresI programmi fedeltà con le rispettive carte sono molto apprezzati anche nel nostro Paese. Non stupisce quindi l’interesse dei cybercriminali nei dati dei detentori di tali carte fedeltà. I G DATA Security Labs hanno analizzato alcuni dei numerosi attacchi di phishing ai danni dei possessori della carta Payback, che in Germania è ormai tanto importante quanto la tessera sanitaria o il bancomat. Ecco come proteggersi nel caso in cui si fosse oggetto di campagne di phishing volte a carpire i vostri dati.

Bochum – Le carte fedeltà con raccolta punti tramite cui l’emittente accorda sconti presso i più diversi negozi o premi tramite catalogo ai propri utenti sono da sempre oggetto di discussione. Seppure molti trovino sgradevole il fatto che si consenta oggettivamente a terzi di analizzare le proprie abitudini d’acquisto, specie se la carta fedeltà è impiegabile in più negozi, i più se ne dimenticano a fronte dei premi e/o dell’indubbio risparmio che deriva dalla raccolta punti. G DATA ha analizzato alcune recenti campagne di phishing ai danni degli utenti di carte Payback in Germania, il cui obiettivo era proprio la raccolta dei dati personali dei detentori.

Sembra legittima ma non lo è: la mail di phishing

Come ammesso dalla stessa Payback, le email relative all’ultima campagna di phishing erano fatte davvero molto bene. A prima vista i messaggi appaiono legittimi, sebbene il mittente si sia firmato come “Payback.de Service” in luogo della firma ufficiale sulle comunicazioni Payback che si limita ad un “Payback Service” senza alcuna indicazione geografica.

gdata_blog_payback_scam_email1_v1_78012w526h900

 

Altra fonte che assicura credibilità al messaggio è che il destinatario indicato è corretto.

Il nome menzionato corrisponde ai dati reali così come l’indirizzo email citato nella sezione “Il tuo account Payback”. Salvo per alcune eccezioni le email analizzate presentano un layout identico ai messaggi originali di Payback. Sono davvero pochi e facilmente sorvolabili gli elementi che consentono all’utente di riconoscere che si tratta di un falso.

Gli indicatori della frode

  • Il dominio del mittente reale non corrisponde a quello del mittente presunto.
  • Il 15 ° anniversario di Payback Germania, promosso nei messaggi analizzati, è stato nel 2015. La “promozione anniversario” era scaduta da tempo al momento dell’invio della mail, Payback Germania esiste ormai da oltre 16 anni.
  • Il testo, accattivante ma generico, recita “clicca qui e raddoppia i tuoi punti”. Una mail ufficiale avrebbe presentato una formulazione tipo: “Assicurati la chance di raddoppiare i tuoi punti” con un probabile collegamento alla landing page di un gioco a premi, non direttamente alla pagina per il login.
  • Il carattere attorno al pulsante su cui cliccare è differente rispetto al resto del testo della email.
  • Le URL collegate al pulsante non hanno nulla a che vedere con il programma Payback.
  • Spesso e volentieri le offerte stagionali promosse dai cybercriminali sono completamente fuori luogo, come nel caso di offerte estive inviate in pieno inverno o promozioni per anniversari già passati o ancora da venire.

I siti di phishing

Le email analizzate indirizzavano i destinatari a due differenti siti web. I domini sono stati scelti accuratamente per lo scopo prefissato e chi non vi presta attenzione cade facilmente nella trappola senza sospettare niente:

• paybrack.pw
• paybaecks.pw

Al momento dell’analisi, entrambi i domini, ora offline, erano ospitati sullo stesso server presso la BlazingFast LLC, un servizio di hosting ubicato in Ucraina.

Entrambi i siti web si presentavano esattamente identici al sito Payback.

gdata_blog_payback_scam_website_copy_v1_78009w941h589

L’unica differenza è che il modulo in cui inserire i propri dati di accesso non era l’originale. I dati lì inseriti non venivano inoltrati a Payback ma ad un server controllato dai cybercriminali: www. loginpage .online. Tale dominio, ora offline, era ospitato negli USA e risultava anch’esso di proprietà della BlazingFast LLC.
Una rapida ricerca tramite dei più popolari motori di ricerca mostra che l’azienda non sia proprio priva di macchia. Riguardo alla conduzione di queste attività di phishing si specula che i criminali si siano avvalsi di siti hackerati. Il primo server infatti ospitava in realtà la pagina di un rivenditore brasiliano di impianti per l’aria condizionata. La pagina web risulta spesso coinvolta in attacchi di phishing di cui uno addirittura lanciato di recente contro i clienti di una banca brasiliana.

Quali sono i pericoli di questo tipo di phishing?

In generale si sottovalutano i rischi legati ad un accesso indesiderato al proprio account per la gestione dei punti della carta fedeltà, infondo si raccolgono solo punti. Purtroppo non è così, dietro a quell’account si nascondono informazioni di enorme valore per i cybercriminali e addirittura moneta sonante.

  1. Le emittenti di tali carte fedeltà necessitano dei dati personali per poter inviare i premi e per mantenere in funzione il proprio modello di business. Oltre ai nominativi completi spesso e volentieri sono richiesti la data di nascita, l’indirizzo di casa, il numero di telefono e, nei casi in cui sia previsto un rimborso in denaro, anche i dettagli bancari. Una volta ottenuti i dati per effettuare il login tramite phishing, i cybercriminali accedono indisturbati a tutti questi dati, li utilizzano o li rivendono.
  2. Una volta effettuato l’accesso, i criminali possono anche letteralmente svuotare il conto punti. Possono farsi recapitare i premi facendoli inviare a prestanomi per poi rivenderli, possono girare i punti su altri account di programmi fedeltà dei partner dell’emittente della carta (p.es. farsi dare il corrispettivo in miglia) o farsi emettere voucher e buoni sconto, per acquisti in qualsiasi negozio legato al circuito della carta fedeltà.

Consigli e suggerimenti

  • Se non lo avete ancora fatto, modificate la modalità di accesso al vostro conto impostandola su nome utente e password (da cambiarsi regolarmente) al posto della combinazione di numero cliente e codice avviamento postale o data di nascita, dato che questi ultimi elementi sono più facilmente reperibili da parte dei cyber criminali.
  • Valutate se è davvero necessario ricevere la newsletter del programma fedeltà. Se decidete di disabbonarvi dal servizio newsletter, quando riceverete eventuali offerte non potranno che suonare le sirene d’allarme.
  • Diffidate da offerte che sembrano troppo belle per essere vere (tipo raddoppia i tuoi punti ora!) e verificatene la reale esistenza andando direttamente sul sito dell’emittente della carta, senza cliccare alcun link della mail.
  • Verificate sempre la corrispondenza tra il dominio del mittente ipotetico e quello realmente utilizzato. Qualora non corrisponda a quello di solito impiegato dall’emittente della carta, non date seguito alcuno a tale messaggio.

Continua a leggere

G DATA: 9.468 nuovi malware per Android al giorno tra gennaio e giugno 2016


Logo-Claim-2015-3c-highresG DATA pubblica il Mobile Malware Report per la prima metà del 2016: nuovi ransomware minacciano i dispositivi Android

Con la fine del 2015 gli esperti di sicurezza G DATA avevano previsto un ulteriore incremento del malware per Android ma le attuali tipologie di attacco hanno raggiunto un nuovo livello di qualità: i ransomware prendono sempre più spesso di mira anche gli utenti Android. Sinora i malware per Android raggiungevano lo smartphone degli utenti poiché questi ultimi scaricavano app da fonti non sicure. Nel frattempo i cybercriminali hanno trovato il modo di iniettare ransomware e altri malware sui device mobili senza alcuna interazione diretta con l’utente: basta una visita ad un sito per scaricare il malware sul dispositivo mobile tramite infezione “drive-by” (di passaggio). Gli esperti G DATA illustrano il nuovo metodo di infezione nell’attuale
G DATA Mobile Malware Report relativo al periodo gennaio/giugno 2016, ora disponibile online.

“Gli smartphone e i tablet sono stati oggetto di particolare interesse da parte dei cybercriminali e gli attacchi perpetrati sono stati notevolmente perfezionati, lato qualitativo, nel corso di questo primo semestre”, spiega Christian Geschkat, Product Manager Soluzioni Mobili di G DATA. “Gli utenti dovrebbero dotare i propri dispositivi mobili di una protezione completa e assicurarsi di mantenere il sistema operativo sempre aggiornato[1]. In questo modo é possibile prevenire la maggior parte delle minacce”.

Come funzionano le infezioni “drive-by”?

I criminali accedono abusivamente a server web e creano siti manipolati ad arte, su cui attraggono eventuali utenti tramite spam o con campagne pubblicitarie. Quando vi si accede, il malware viene installato in modo invisibile sul dispositivo, sfruttando falle di sicurezza del sistema operativo Android ivi presente. Questa tipologia di attacco viene impiegata con crescente successo per infettare gli utenti con cavalli di Troja, preludio dell’installazione di ransomware, che criptano l’intero contenuto del dispositivo, chiedendo un riscatto in cambio della chiave di cifratura, o “congelano” il dispositivo e non permettono all’utente di accedere ai dati o a qualsiasi altra funzione, senza previo pagamento di un riscatto.

9,468 nuove istanze di malware al giorno!
GDATA Infographic MMWR Q1 16 New Android Malware per year EN RGB

I quasi due milioni (1.723.265) di nuove app fraudolente o istanze di malware per Android apparse nella prima metà del 2016 equivalgono ad un incremento delle minacce superiore al 30% rispetto allo stesso periodo del 2015. In media gli esperti G DATA hanno rilevato 9.468 nuovi malware per Android su base giornaliera, ossia un nuovo campione di malware ogni 9 secondi.  In questa prima metà dell’anno gli analisti hanno già identificato più malware che nell’intero corso del 2014.

Il G DATA Mobile Malware Report H1/2016 (in lingua inglese) é reperibile al link:
secure.gd/dl-en-mmwr201601

[1] Compito purtroppo arduo e non proprio per carente volontà degli utenti, come già accennato qui: bit.ly/2aUwtEe

Continua a leggere