giovedì 28 febbraio 2019

Symantec, crescono attacchi Formjacking: a rischio ditte e consumer


Il report annuale di Symantec sulle minacce rivela attacchi più ambiziosi, distruttivi e furtivi, aumentando la posta in gioco per le organizzazioni. Quasi uno su dieci gruppi di attacchi mirati ora utilizza il malware per distruggere e interrompere le operazioni aziendali; in aumento del 25 percento rispetto al 2017. Gli aggressori migliorano le tattiche provate e collaudate tra cui spear-phishing, hackeraggio di strumenti legittimi e allegati e-mail dannosi. Le infezioni da Enterprise ransomware salgono del 12 percento. Le risorse cloud sono obiettivi sempre più facili per i ladri digitali con 70 milioni di record rubati o trapelati da bucket di storage pubblico S3 configurati in modo inadeguato.

Un numero maggiore di aggressori mostra interesse nel compromettere i sistemi di controllo operativi e industriali con il potenziale di sabotaggio. Affrontando i ritorni decrescenti dal ransomware e dal cryptojacking, i criminali informatici stanno raddoppiando i metodi alternativi, come il formjacking, per fare soldi secondo l'Internet Security Threat Report (ISTR) di Symantec (Nasdaq: SYMC), volume 24. L'ISTR di Symantec offre una panoramica complessiva delle minacce, inclusi approfondimenti (insights) sulle attività globali delle minacce, tendenze dei criminali informatici e motivazioni per gli aggressori.

Il rapporto analizza i dati del Global Intelligence Network di Symantec, la più grande rete di intelligence sulle minacce civili al mondo, che registra eventi da 123 milioni di rilevatori di attacchi in tutto il mondo, blocca 142 milioni di minacce al giorno e monitora le attività criminali in oltre 157 paesi. I punti chiave della relazione di quest'anno includono: Il Formjacking è la nuova modalità rapida per i cybercriminali. Gli attacchi di tipo "formjacking" sono semplici - essenzialmente lo skimming ATM virtuale - in cui i criminali informatici iniettano codice dannoso nei siti Web dei rivenditori per rubare i dettagli delle carte di pagamento degli acquirenti.

In media, più di 4.800 siti web unici vengono compromessi con il codice di formjacking ogni mese. Symantec ha bloccato più di 3,7 milioni di attacchi di formjacking sugli endpoint nel 2018, con quasi un terzo di tutti i rilevamenti verificatisi durante il periodo di shopping online più intenso dell'anno, novembre e dicembre. Mentre alcuni siti di pagamento online di rivenditori noti, tra cui Ticketmaster e British Airways, sono stati compromessi con il codice di formjacking negli ultimi mesi, la ricerca di Symantec rivela che i rivenditori di piccole e medie dimensioni sono, nel complesso, i più ampiamente compromessi.

Secondo stime prudenziali, i criminali informatici potrebbero aver raccolto decine di milioni di dollari l'anno scorso, rubando informazioni finanziarie e personali dei consumatori attraverso frodi e vendite di carte di credito sul Dark Web. Solo 10 carte di credito rubate da ogni sito Web compromesso potrebbero generare un rendimento fino a 2,2 milioni di dollari ogni mese, con una singola carta di credito che raggiunge fino a 45 dollari nei forum di vendita underground. Con più di 380.000 carte di credito rubate, il solo attacco alla British Airways potrebbe aver permesso ai criminali di raggiungere più di 17 milioni di dollari.

"Il formjacking rappresenta una seria minaccia per aziende e consumatori", ha affermato Greg Clark, CEO di Symantec. "I consumatori non hanno modo di sapere se stanno visitando un rivenditore online infetto senza utilizzare una soluzione di sicurezza completa, lasciando le loro preziose informazioni personali e finanziarie vulnerabili a un potenziale furto di identità potenzialmente devastante. Per le imprese, l'aumento vertiginoso del formjacking riflette il crescente rischio di attacchi alla supply chain, per non parlare dei rischi di reputazione e responsabilità che le aziende affrontano quando vengono compromesse".

I rendimenti decrescenti di Cryptojacking e Ransomware. Negli ultimi anni, il ransomware e il cryptojacking, dove i criminali informatici sfruttano la potenza di elaborazione rubata e l'utilizzo della CPU in cloud da parte dei consumatori e delle imprese per estrarre la criptovaluta, sono stati i metodi più gettonati per i cyber criminali che cercano di guadagnare denaro. Tuttavia, il 2018 ha comportato rallentamenti delle attività e rendimenti decrescenti, principalmente a causa del calo dei valori di criptovaluta e dell'aumento dell'adozione di cloud e mobile computing, rendendo gli attacchi meno efficaci.

Per la prima volta dal 2013, le infezioni ransomware sono diminuite, scendendo del 20%. Tuttavia, le aziende non dovrebbero abbassare la guardia: le infezioni da ransomware aziendale sono aumentate del 12% nel 2018, in controtendenza rispetto alla tendenza generale al ribasso e alla dimostrazione della continua minaccia del ransomware alle aziende. Infatti, più di otto su dieci infezioni da ransomware hanno un impatto sulle imprese. Sebbene l'attività di cryptojacking abbia raggiunto il picco all'inizio dello scorso anno, è invece diminuita del 52% nel corso del 2018.

Anche se i valori della criptovaluta diminuiscono del 90% e riducono significativamente la redditività, la crittografia continua comunque a suscitare attrattiva per gli hacker a causa della bassa barriera di ingresso, minimo sovraccarico e l'anonimato che offre. Symantec ha bloccato 3,5 milioni di eventi di cryptojacking sugli endpoint solo nel mese di dicembre 2018. Quando si tratta di sicurezza, il cloud è il nuovo PC. Gli stessi errori in materia di sicurezza che sono stati fatti con i PC durante la loro iniziale adozione da parte delle aziende stanno ora accadendo nel cloud.

Un singolo workload o istanza di storage cloud configurati in modo errato potrebbero costare a una compagnia milioni di dollari o portarla in un incubo di conformità. Solo nell'ultimo anno sono stati rubati o trafugati oltre 70 milioni di record da bucket S3 mal configurati. Esistono anche numerosi strumenti facilmente accessibili che consentono agli aggressori di identificare risorse cloud mal configurate su Internet. Le recenti scoperte relative alle vulnerabilità dei chip hardware, tra cui Meltdown, Spectre e Foreshadow collocano anche i servizi cloud a rischio di essere sfruttati per accedere agli spazi di memoria protetta delle risorse di altre aziende ospitate sullo stesso server fisico.

 https://symc.ly/2tHsvYx

Gli strumenti per attacchi LotL (Living off the Land) e le debolezze presenti nella supply chain stimolano attacchi più ambiziosi. Gli attacchi alla catena di approvvigionamento e Living off the Land (LotL) sono adesso un pilastro del moderno panorama delle minacce, ampiamente adottato sia dai criminali informatici sia dai gruppi di attacco mirati. In effetti, gli attacchi alla supply chain sono aumentati del 78% nel 2018. Le tecniche LotL consentono agli aggressori di mantenere un basso profilo e nascondere la propria attività in una massa di processi legittimi. Ad esempio, l'utilizzo di script PowerShell dannosi è aumentato del 1.000% lo scorso anno. Mentre Symantec blocca 115.000 script PowerShell dannosi ogni mese, questo in realtà rappresenta meno dell'1% dell'intero utilizzo di PowerShell.

Un approccio maldestro per bloccare tutte le attività di PowerShell sarebbe di disturbo per le organizzazioni, provando ulteriormente perché le tecniche di LotL sono diventate la tattica preferita per molti gruppi di attacco mirati. L'identificazione e il blocco di questi attacchi richiede l'utilizzo di metodi di rilevamento avanzati che sfruttino analytics e machine learning, come il servizio MEDR (Managed Endpoint Detection and Response) di Symantec, la sua migliorata tecnologia EDR 4.0 e la sua avanzata soluzione AI, Targeted Attack Analytics (TAA). TAA ha consentito a Symantec di scoprire dozzine di attacchi mirati silenziosi, compresi quelli del gruppo Gallmaker che ha condotto le proprie campagne di spionaggio informatico completamente senza malware.

Oltre agli attachi di tipo LotL e alle debolezze nella supply chain del software, gli aggressori stanno anche aumentando il loro uso di metodi di attacco convenzionali, come lo spear-phishing, per infiltrarsi nelle organizzazioni. Mentre la raccolta di informazioni (intelligence gathering) rimane il motivo principale degli attacchi mirati, il numero di gruppi di attacco che utilizzano malware progettato per distruggere e interrompere le operazioni aziendali è aumentato del 25% nel 2018. L'Internet of Things nel mirino di cybercriminali e dei gruppi di attacco. Mentre il volume degli attacchi Internet of Things (IoT) rimane elevato e coerente con i livelli del 2017, il profilo degli attacchi IoT sta cambiando radicalmente.

Sebbene i router e le telecamere connesse costituiscano la percentuale maggiore di dispositivi infetti (90%), quasi tutti i dispositivi IoT si sono dimostrati vulnerabili, dalle lampadine intelligenti (smart light bulbs) agli assistenti vocali, creando punti di ingresso aggiuntivi per gli aggressori. I gruppi di attacco mirati si concentrano sempre più sull'IoT come punto di ingresso chiave. L'emergere del malware router VPNFilter rappresenta un'evoluzione delle tradizionali minacce IoT. Concepito da un threat actor esperto e dotato di risorse, il malware consente ai creatori di distruggere o cancellare un dispositivo, rubare credenziali e dati, e di intercettare le comunicazioni SCADA.

"Con una crescente tendenza verso la convergenza dell'IT e dell'indotto IoT industriale, il prossimo campo di battaglia cibernetico è la tecnologia operativa", ha dichiarato Kevin Haley, direttore di Symantec Security Response. "Un numero crescente di gruppi, come Thrip e Triton, mostrano interesse verso la compromissione dei sistemi operativi e dei sistemi di controllo industriale per prepararsi potenzialmente alla guerra informatica". Il grande risveglio della privacy. Con il recente scandalo di Cambridge Analytica e  le audizioni sulla privacy dei dati di Facebook, l'implementazione del regolamento generale sulla privacy dei dati (GDPR), e le rivelazioni relative al tracciamento della posizione da parte delle app e, ancora, ai bug sulla privacy in app di uso comune come la funzionalità FaceTime di Apple, la privacy dei consumatori è entrata nei riflettori dello scorso anno.

Lo smartphone potrebbe essere probabilmente il più grande dispositivo di spionaggio mai creato: una fotocamera, un dispositivo di ascolto e un localizzatore di posizione tutto in uno che viene trasportato e utilizzato volentieri ovunque vada il suo proprietario. Sebbene siano già stati presi di mira dagli Stati nazionali per lo spionaggio tradizionale, i telefoni intelligenti sono anche diventati un modo redditizio con cui raccogliere le informazioni personali dei consumatori, con gli sviluppatori di app mobile esistenti come i peggiori trasgressori.

Secondo la ricerca di Symantec, il 45 percento delle app Android più popolari e il 25 percento delle app iOS richiedono il rilevamento della posizione, il 46 percento delle app Android più diffuse e il 24 percento delle app iOS richiedono l'autorizzazione per accedere alla fotocamera del dispositivo, mentre gli indirizzi email sono condivisi con il 44 percento delle applicazioni Android e con il 48 percento delle app iOS più popolari. Anche gli strumenti digitali che raccolgono i dati dei cellulari per rintracciare i bambini, gli amici o i telefoni persi sono in aumento e aprono la strada agli abusi per rintracciare gli altri senza consenso. Oltre 200 app e servizi offrono agli stalker una varietà di funzionalità, tra cui il rilevamento della posizione di base, la raccolta di testo e persino la registrazione di video segreti.

A proposito dello Internet Security Threat Report. L'Internet Security Threat Report fornisce una panoramica e un'analisi su base annua delle attività globali delle minacce informatiche. Il report si basa sui dati forniti dal Global Intelligence Network di Symantec che gli analisti dell’azienda usano per identificare, analizzare e commentare le tendenze emergenti relative ad attacchi informatici, attività con codici nocivi, phishing e spam. Visitare go.symantec.com/ISTR per visualizzare i principali risultati di quest'anno e registrarsi al webinar  che si svolge il 28 marzo alle 10:00 ora locale. Informazioni su Symantec. Symantec Corporation (NASDAQ: SYMC), l'azienda leader globale nella cybersecurity, aiuta imprese, governi e consumatori a tenere al sicuro i loro dati più importante ovunque essi risiedano.

Aziende in tutto il mondo si rivolgono a Symantec per soluzioni strategiche e integrate per difendersi da attacchi sofisticati verso endpoint, cloud e infrastrutture. Parimenti, una comunità globale di oltre 50 milioni di persone e famiglie affida alla suite di prodotti Norton by Symantec per la protezione domestica e dei loro dispositivi. Symantec gestisce uno dei network di cyber intelligence civili più grandi al mondo, che le consentono di proteggere utenti e aziende dalle minacce più avanzate. Per maggiori informazioni, visitare www.symantec.com oppure seguire l'azienda su Facebook, Twitter e LinkedIn. Se si desiderano ulteriori informazioni su Symantec Corporation e sui suoi prodotti, visitare la Symantec News Room all'indirizzo http://www.symantec.com/news. Fonte: Symantec Investor. Foto: Fotolia



Nessun commento:

Posta un commento