Invertire la tendenza degli attacchi informatici2014-0112 e CVE-2014-0113) che hanno colpito...

TrendLabsSM - Verifica di sicurezza del 2° trim. 2014

Invertire la tendenza degli attacchi informaticiRispondere alle tattiche in evoluzione

TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014

Sommario

1 | Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico

5 | Le aziende hanno risposto all’intensificazione degli attacchi

8 | I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili

11 | La collaborazione con le forze dell’ordine ha condotto a una serie di arresti a livello mondiale

13 | Riemergenza dei problemi della privacy utente

15 | Analisi del panorama delle minacce


Eventi recenti come le violazioni dei dati nella

prima metà del 2014 indicano decisamente che le

aziende devono iniziare ad adottare un approccio

maggiormente strategico per proteggere le

informazioni digitali. Questa strategia comprende

la protezione dei dati sensibili come la proprietà

intellettuale e i segreti industriali, spesso i beni più

preziosi di qualsiasi azienda.

Secondo uno studio condotto dall’Identity Theft

Resource Center (ITRC), al 15 luglio 2014 più

di 10 milioni di record personali risultavano già

essere esposti, con la maggior parte delle violazioni

sferrate nel settore commerciale.1 Il crescente

numero di record personali esposti e di violazioni

dei dati porta a chiedersi come abbiano fatto le

aziende a diventare così vulnerabili.

La soluzione principale a questi problemi in

costante crescita è l’attuazione di un cambiamento

di mentalità. Secondo il nostro CTO, Raimund

Genes, le aziende devono innanzitutto stabilire

quali sono le informazioni che considerano “dati

essenziali” per poi concentrarsi sulla loro solida

protezione.2 Le aziende devono inserire la sicurezza

delle informazioni all’interno della propria

strategia aziendale a lungo termine ed evitare

di gestire i problemi legati alla sicurezza come

contrattempi secondari. Inoltre, come dimostrano

gli incidenti rilevati in questo trimestre, le aziende

dovrebbero sforzarsi di trovare una risposta di

sicurezza maggiormente strategica.

Analogamente a disporre di una strategia aziendale

volta a migliorare l’efficienza, sarebbe necessario

attuare anche una strategia di sicurezza ben

concepita per migliorare le pratiche di protezione

attuali e garantire alle aziende vantaggi e fatturato

a lungo termine. La mancata protezione delle

tecnologie emergenti ed esistenti potrebbe

annientare un’azienda, proprio come è accaduto

a Code Spaces. Sono emerse anche risposte

favorevoli da parte delle aziende nei confronti

degli attacchi, sebbene alcune si siano dimostrate

totalmente impraticabili. Le aziende dovrebbero

ricordare che nessun tipo di mitigazione potrà mai

essere sufficiente se non vengono implementate

strategie di sicurezza preventive.

Nel frattempo, a livello più ampio, è possibile

vincere la lotta contro la criminalità informatica

solo mediante la cooperazione tra enti pubblici

e privati. Nell’ambito di tali partnership, gli esperti

della difesa contro le minacce come Trend Micro

potrebbero fornire le informazioni sulle minacce

alle forze dell’ordine di qualsiasi paese e consentire

loro di arrestare i criminali informatici. Nel corso

di questo trimestre, le nostre partnership con le

forze dell’ordine in diversi paesi del mondo hanno

di fatto dimostrato che gli attori del settore della

sicurezza possono compiere un grande passo in

avanti per fornire una risposta alle minacce odierne

alla sicurezza informatica.

NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui computer

degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le

cifre citate in questo rapporto si basavano sui dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart

Protection Network™, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare

i prodotti on site e i servizi in hosting.

Introduzione


1 | Invertire la tendenza degli attacchi informatici

Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico

Le vulnerabilità critiche hanno interessato componenti diversi dei servizi Web e di navigazione su Internet, dalle librerie lato server ai sistemi operativi dei computer, fino alle applicazioni e i browser mobili. La divulgazione delle vulnerabilità e la distribuzione delle patch hanno tuttavia sottolineato l’urgenza e aumentato la consapevolezza delle problematiche relative alla maggior parte delle vulnerabilità rilevate in questo trimestre.

Heartbleed è la vulnerabilità più critica rilevata

fino ad oggi. Il 7 aprile, OpenSSL Foundation

ha annunciato la scoperta di un bug presente

da due anni che ha messo a rischio di possibili

attacchi informatici milioni di siti Web e relativi

utenti.3 Heartbleed ha permesso agli aggressori

di impadronirsi dei dati, quali password

e informazioni sulle carte di credito, dagli utenti

che effettuavano transazioni finanziarie tramite il

protocollo SSL (Secure Sockets Layer) sui siti Web

vulnerabili.

Sono stati pubblicati numerosi avvisi di sicurezza in

merito al bug Heartbleed con cui veniva ricordata

agli amministratori di sistema l’importanza di

tenere il software aggiornato, di revocare i certificati

di sicurezza obsoleti e di emetterne di nuovi.4 Pur

essendo trascorsi diversi mesi dalla divulgazione

pubblica del bug, sono ancora più di 300.000

i sistemi connessi a Internet privi di patch.

Il bug Heartbleed ha interessato anche

1.300 applicazioni Android™ per banking e shopping

online, per i pagamenti e per molto altro ancora

che hanno eseguito l’accesso ai server vulnerabili.5

Una libreria OpenSSL appositamente inclusa in

Android 4.1.1 si è rivelata suscettibile al bug che ha

potuto esporre i dispositivi interessati ad attacchi

lato server.

Heartbleed non è stato tuttavia l’unico problema;

in questo trimestre sono state rilevate anche

vulnerabilità in Windows® XP, che non riceve

più assistenza dal fornitore dall’8 aprile. Da

allora, i computer su cui è ancora in esecuzione il

sistema operativo obsoleto non hanno ricevuto più

patch, salvo nel caso di una vulnerabilità zero-day

(CVE‑2014‑1776) rilevata nelle versioni da 6 a 11 di

Internet Explorer®.6 Questo incidente ha dimostrato

che il sistema operativo ormai desueto presenta

delle vulnerabilità che potrebbero venire sfruttate.

Ne sono una prova i bollettini di Patch Tuesday

di aprile, maggio e giugno 2014 che includevano

patch per i bug di Windows Server® 2003 che

interessavano anche Windows XP.7, 8, 9 Dal

momento che Windows XP continua a essere

utilizzato anche dopo l’interruzione dell’assistenza

da parte di Microsoft ad aprile, numerose aziende

vengono ancora colpite dalle infezioni DOWNAD/

Conficker.10

Un’altra vulnerabilità zero-day (CVE-2014-0515),

presente questa volta in Adobe® Flash®, è stata

rilevata a fine aprile.11 Adobe ha ammesso che



Divulgato Con patch Decisione su Trend Micro Vulnerability Protection

8

7

7

22 25

24

24

2826 1

2

28

28

CVE-2014-0160(Heartbleed)

CVE-2014-0112CVE-2014-0113

CVE-2014-0515 CVE-2014-1776

ApacheStruts

InternetExplorer

AdobeFlashOpenSSL

APRILE MAGGIO

2 84 6 10 1612 14 18 2420 22 26 2 4 28 30

lo sfruttamento di questo bug sulla piattaforma

Windows potrebbe consentire agli aggressori

remoti di assumere il controllo dei computer

infetti.

Anche in Apache Struts, un framework open source

per lo sviluppo di applicazioni Web basate su Java™,

sono state rilevate tantissime vulnerabilità zero-

day critiche.12 I suoi sviluppatori hanno pubblicato

un avviso con i dettagli relativi a due bug (CVE-

2014-0112 e CVE-2014-0113) che hanno colpito

specificatamente le versioni da 2.0.0 a 2.3.16.1

del software.13 In questo avviso gli sviluppatori

venivano invitati a effettuare immediatamente

l’upgrade alla versione 2.3.16.2 come espediente.

Sul fronte mobile, le vulnerabilità presenti nelle

applicazioni Android continuano a porre seri

rischi per la sicurezza. Alcuni componenti delle

applicazioni monitorati nel corso di questo

trimestre hanno riportato vari difetti di sicurezza

che potrebbero mettere i dati degli utenti a rischio

di essere sottratti o utilizzati per sferrare attacchi.14

Attualmente stiamo lavorando a stretto contatto

con i fornitori e gli sviluppatori di applicazioni

per divulgare in modo responsabile queste

vulnerabilità.

Cronologia delle vulnerabilità zero-day, 2° trim. 2014

NOTA: una delle regole di Trend Micro Vulnerability Protection che affronta la vulnerabilità di Internet Explorer è disponibile dall’11 settembre 2007.

FONTI:http://heartbleed.com/http://helpx.adobe.com/security/products/flash-player/apsb14-13.htmlhttps://technet.microsoft.com/library/security/2963983

https://technet.microsoft.com/library/security/ms14-021http://struts.apache.org/release/2.3.x/docs/s2-021.html



20

10

0

ALTO MEDIO BASSO

14

3

8

Con patch

Senza patch

20

10

0

CRITICO IMPORTANTE MODERATO BASSO

5K

1

3

19

5

2 2

Con patch

Senza patch

Volume di vulnerabilità di Windows XP, 2° trim. 2014

NOTA: le valutazioni riportate nella presente tabella si basano sul Microsoft Security Bulletin Severity Rating System

(sistema di valutazione del rischio per i bollettini sulla protezione Microsoft), disponibile all’indirizzo

http://technet.microsoft.com/en-us/security/gg309177.aspx.

Volume di vulnerabilità di Java 6, 2° trim. 2014

NOTA: le valutazioni riportate nella presente tabella si basano sul CVSS (Common Vulnerability Scoring System, sistema di

valutazione delle vulnerabilità comuni), disponibile all’indirizzo http://nvd.nist.gov/cvss.cfm.



Tre mesi dopo, Heartbleed continua a essere una minaccia...

Il bug Heartbleed ha fatto emergere numerosi dubbi sul livello di sicurezza e ci si chiede in che misura gli utenti siano vulnerabili e quanto sia facile essere una vittima dell’hacking. Da una scansione eseguita a giugno 2014 da Errata Security è emerso che molte persone non hanno ancora imparato la lezione: a due mesi dalla scoperta di Heartbleed, erano infatti ancora più di 300.000 i server vulnerabili al bug.15 Heartbleed costituisce ancora una grande minaccia se gli sviluppatori non effettuano la ricompilazione di tutte le applicazioni dotate delle versioni vulnerabili di OpenSSL. L’implementazione di soluzioni di prevenzione delle intrusioni (ISP) rappresenta un modo adeguato e veloce con cui limitare il problema.

Da numerosi report emerge che molte aziende prese dal panico hanno

effettuato l’aggiornamento da versioni non vulnerabili a versioni vulnerabili. Sebbene l’aggiornamento sia un’operazione logica da effettuare per migliorare la sicurezza, prima di applicare le patch, le aziende devono ricordare due cose fondamentali: in primo luogo, non tutte le versioni software precedenti sono vulnerabili; in secondo luogo, è sempre opportuno verificare le versioni software prima di effettuare l’aggiornamento. Gli amministratori lato server dovrebbero esaminare le configurazioni dei database e le impostazioni dei servizi per limitare gli aggiornamenti solo ai casi necessari.

Generalmente, gli utenti dovrebbero effettuare l’aggiornamento alle ultime versioni software e automatizzare l’aggior‑namento e l’installazione delle patch per la sicurezza solo per sistema operativo, software e plug‑in del browser.

—Pawan KingerDirettore, Deep Security Labs



Le aziende hanno risposto all’intensificazione degli attacchi

La gravità degli attacchi contro le aziende è aumentata. Le organizzazioni hanno risposto in maniera diversa, evidenziando l’importanza di disporre di piani di risposta agli incidenti e di conoscere la sicurezza a livello aziendale.

L’attacco DDoS (distributed denial-of-service)

all’archivio di codice sorgente, Code Spaces, ha

avuto l’impatto più grave mai registrato fino

ad oggi. Ha portato l’azienda al fallimento.16 Il

secondo trimestre è stato caratterizzato anche da

attacchi DDoS che hanno interessato Rich Site

Summary (RSS)/Feedly, lettore di notizie dei blog.

L’attacco ha impedito agli utenti colpiti di accedere

alle proprie informazioni.17 Gli aggressori hanno

tentato di estorcere denaro al service provider in

cambio del normale funzionamento. Evernote ha

subito la stessa sorte, ma è riuscita a riprendersi

dall’attacco.

Oltre ai dannosi attacchi DDoS, nel secondo

trimestre abbiamo assistito anche a numerose

violazioni di dati. Secondo l’ITRC, al 15 luglio 2014

sono stati individuati oltre 400 incidenti di

violazione dei dati.18, 19 Ne è un esempio l’attacco

contro il sito Web di vendite all’asta, eBay, che

ha messo a rischio i dati personali di 145 milioni

di acquirenti attivi.20 A seguito dell’attacco, il

service provider ha chiesto ai propri membri di

reimpostare le password.21

La catena di ristoranti P.F. Chang’s è stata vittima

di una significativa violazione dei dati che ha avuto

come conseguenza il furto dei dati delle carte di

credito dei clienti di tutti gli Stati Uniti.22 In un

avviso pubblicato sul proprio sito Web, l’azienda

ha comunicato il passaggio all’uso di dispositivi

manuali per l’elaborazione di tutti i pagamenti

futuri con carta di credito e debito come ulteriore

misura di sicurezza.23

Le violazioni di dati e gli attacchi DDoS registrati

in questo trimestre indicano la necessità di

disporre di una strategia a livello aziendale che

consenta alle aziende di sopravvivere all’attacco.

La conoscenza e l’impegno nell’adottare un

piano di sicurezza strategico a livello aziendale

sono aspetti fondamentali. In caso contrario, le

aziende potrebbero ricorrere a misure totalmente

impraticabili, quali l’elaborazione manuale, come

nel caso della catena di ristoranti P.F. Chang’s

o, ancora peggio, potrebbero chiudere i battenti,

come nel caso di Code Spaces.

È consigliabile creare un team di risposta agli

incidenti in grado di guidare i programmi di

consapevolezza dei dipendenti incentrati sulla

prevenzione delle violazioni e degli attacchi

DDoS. È inoltre buona norma informare i clienti

del modo in cui vengono protetti i loro dati. In

caso di incidente, è necessario informare i clienti

sulle misure adottate per risolvere il problema

e limitare i rischi e sui piani futuri, affinché le

aziende interessate possano prevenire il ripetersi

di casi simili. Gli utenti che sottoscrivono un

abbonamento a servizi in-the-cloud dovrebbero

prendere in considerazione la possibilità di

effettuare il backup dei propri dati in vari percorsi

sicuri. Al contempo, tutti gli utenti dovrebbero

verificare di non utilizzare la stessa password per

account diversi.



Segnalazioni di incidenti di violazione dei dati e attacchi DDoS, 2° trim. 2014

AZIENDADATA

RILEVAMENTO/ATTACCO

CAUSA DICHIARATA

NUMERO STIMATO

DELLE VITTIME

IMPATTO DEI DANNI

STRATEGIA DI RISPOSTA

VIOLAZIONI DEI DATI

eBay Sconosciuto Compromesso un numero esiguo di credenziali di accesso dei dipendenti

145 mln. di acquirenti attivi

Furto di dati, quali nomi, password crittografate, indirizzi e-mail, indirizzi postali, numeri di telefono e date di nascita dei clienti; impatto significativo su vendite e profitti

Modifica delle password; violazione comunicata tramite il blog ufficiale

P.F. Chang’s 10 giugno 2014 Violazione della sicurezza

200 filiali Furto dei numeri di carte di credito dei clienti

Ritorno all’uso dei dispositivi manuali per l’elaborazione dei pagamenti con carta di credito e introduzione di terminali che supportano la crittografia; notifica pubblicata sul sito Web

ATTACCHI DDoS

Code Spaces 17 giugno 2014 Controllo da parte dell’aggressore del pannello di controllo in-the-cloud

Sconosciuto Eliminazione di dati, backup fuori sede e configurazione delle macchine, oltre a chiusura dell’azienda

Non pertinente

Feedly 11-13 giugno 2014 Attacco DDoS al sito Web

12 mln. di utenti

Impossibilità per gli utenti di accedere agli account e inter-ru zione dei servizi

Modifiche all’infra-struttura; violazione comuni cata tramite il blog ufficiale

Evernote 10 giugno 2014 Attacco DDoS al sito Web

100 mln. di utenti

Impossibilità per gli utenti di accedere agli account e inter-ruzione dei servizi

Utilizzo del servizio di prevenzione DDoS che comprendeva filtro dei pacchetti fasulli; violazione comunicata tramite Twitter e blog ufficiale

FONTI:http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/http://www.pfchangs.com/security/http://blog.feedly.com/2014/06/11/denial-of-service-attack/http://www.theregister.co.uk/2014/06/11/evernote_dos_attack/http://www.codespaces.com/http://www.forbes.com/sites/ryanmac/2014/07/16/ebay-ceo-sales-earnings-affected-by-cyberattack-body-blow-in-challenging-second-quarter/



L’effetto più sottovalutato delle violazioni dei dati…

Le aziende e i privati vengono spesso a sapere da terze parti di aver subito una violazione, il che tende a disorientarli e a orchestrare dinamicamente un piano di risposta all’incidente, un processo a breve termine che definisco “caos disorganizzato”. La gestione iniziale della risposta alla violazione è fondamentale per non perdere la fiducia dei clienti. È inoltre altrettanto essenziale riconoscere le lezioni apprese in seguito alla violazione. Il risultato principale è quello di lavorare in condizione di “caos organizzato”. Gli affari e la vita sono caotici, pertanto è fondamentale riuscire almeno a organizzare il “caos”.

L’aspetto più sottovalutato di una viola-zione è l’impatto a valle per gli anni a venire. Mentre prosegue l’attacco alle informazioni aziendali, i dati trafugati vengono rag-

gruppati e venduti in community inenar-rabili da persone che compiono operazioni inimmaginabili; il tutto a spese dell’azienda e per somme di denaro assurde. Dobbiamo ricordare che i dati rubati non hanno una data di scadenza. Possono essere usati a tempo indeterminato, e proba bilmente lo saranno. Dovremmo tutti ripensare le nostre strategie di sicurezza in qualità di custodi dei dati e tentare di diventare esperti della difesa delle minacce nelle nostre aziende.

I fornitori devono assegnare la massima priorità alla sicurezza, inclusi i piani di risposta agli incidenti per violazioni e attacchi DDoS e i programmi di consa-pevolezza della sicurezza a livello aziendale. Gli utenti dei servizi in-the-cloud devono valutare l’uso di più percorsi sicuri per il backup dei dati aziendali.

—JD SherryVicepresidente,

Tecnologia e soluzioni



Sex xonix

Virus Shield

I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili

I criminali informatici hanno risposto agli sviluppi tecnologici delle piatta-forme nell’online banking e nella mobilità, sviluppi che hanno condotto a un aumento nel numero di minacce informatiche nuove/migliorate.

Il ransomware ha continuato a diffondersi in

questo trimestre dopo essere stato ulteriormente

migliorato. Hanno proseguito prendendo di mira

la piattaforma Android tramite ANDROIDOS_

LOCKER.A, che colloca l’interfaccia utente sopra a

uno schermo non bloccato e proibisce agli utenti

di disinstallarla.24 Anche ANDROIDOS_LOCKER.

HBT ha dimostrato come il ransomware mobile

abbia saputo fare propri i trucchetti delle minacce

informatiche, come la comunicazione con i server

C&C (command-and-control) tramite Tor.25, 26

Alle vittime è stato anche chiesto di pagare circa

USD 30 per lo sblocco dei propri dispositivi. Il

mancato pagamento del riscatto avrebbe potuto

causare la distruzione di tutti i dati sui dispositivi

mobili.

Anche se il numero di utenti vittime del ransomware

è sceso da circa 11.000 alla fine dell’ultimo

trimestre a circa 9.000 in questo trimestre, sono

emerse nuove tipologie con capacità più avanzate.

Sono state anche osservate in questo trimestre

varianti come CryptoLocker con un componente

Tor, CryptoDefense, e CryptoWall.27

Anche i falsi antivirus hanno vissuto un revival

sotto forma di una falsa app mobile dal nome

“Virus Shield”, in precedenza disponibile per il

download da Google Play™.28, 29

La falsa app registrava che ANDROIDOS_

FAKEAV.B veniva scaricato più di 10.000 volte

e diventava addirittura l’app più venduta della

settimana.30

IN ALTO: ANDROIDOS_LOCKER.HBT si fa passare

per una falsa app dal nome “Sex xonix”;

IN BASSO: ANDROIDOS_FAKEAV.B “mascherato”

da “Virus Shield”



50.000

25.000

0

APR

38.000

MAG GIU

37.000

46.000

120.000

60.000

0

1° trim. 2° trim.

112.000

102.000

Confronto del volume rilevato delle minacce informatiche

di banking online, 1° trim. 2013 e 2° trim. 2014

Anche il Giappone ha riscontrato in maggio un

incremento significativo nel numero di vittime delle

minacce informatiche per il banking online a causa

dell’aumento dei rilevamenti VAWTRAK.31 Benché

non fossero considerate minacce informatiche

per il banking online prima di questo trimestre,

le più recenti varianti hanno ampliato le proprie

capacità fino a includere il furto delle credenziali

del banking online e le informazioni sulle carte di

credito.

Volume rilevato delle minacce informatiche di banking online,

2° trim. 2014

In questo trimestre è stato osservato un lieve aumento nel numero di rilevamenti di minacce informatiche

per il banking online dovuto all’aumento dei casi relativi a VAWTRAK in Giappone.

NOTA: il volume totale delle minacce informatiche per il banking online si riferisce al numero di infezioni univoche mensili.

La ricerca relativa all’Operazione Emmental ha a

sua volta dimostrato come le minacce informatiche

e mobili collaborino in modo trasparente per creare

più caos presso le banche online.32, 33 I criminali

informatici oggetto di questa operazione prendono

di mira le banche che utilizzano i token di sessione

inviati tramite SMS o l’autenticazione a due fattori.

Attacchi spam a carattere regionale, minacce

informatiche non persistenti, falsi server DNS,

pagine di phishing, minacce informatiche Android,

server C&C e server back-end reali fanno tutti parte

di questa complessa operazione.



Giappone

Stati Uniti

India

Brasile

Vietnam

Turchia

Indonesia

Cile

Malesia

Italia

Altri

24%

14%

7%

7%

5%

4%

3%

3%

3%

2%

28%

APR MAG GIU

16.000

8.000

0

Giappone

Stati Uniti

India5.000

3.0003.0004.000 4.000

2.000

8.000

13.000

11.000

Il Giappone è salito in testa all’elenco dei paesi con il più alto numero di infezioni da minacce informatiche per il banking online

in questo trimestre a causa di VAWTRAK. La maggior parte dei paesi citati lo scorso trimestre sono rimasti nell’elenco, ad

eccezione di Francia, Messico e Australia, che sono stati rimpiazzati da Indonesia, Cile e Italia.

Paesi maggiormente colpiti dalle minacce informatiche di banking online, 2° trim. 2014



La collaborazione con le forze dell’ordine ha condotto a una serie di arresti a livello mondiale

Lavorando a stretto contatto con le forze dell’ordine di vari paesi, siamo stati in grado di vanificare in modo diretto e definitivo diverse attività criminali informatiche a livello mondiale.

Rivelare i risultati della nostra ricerca alle aziende

colpite allo scopo di prevenire le perdite finanziarie

dovute alla criminalità informatica si è dimostrata

una scelta efficace.34 La dimostrazione è stata il

riconoscimento del Tokyo Metropolitan Police

Department (MPD) in aprile riguardo a quanto

avevamo scoperto sugli attacchi legati a Citadel

contro le banche giapponesi dal giugno 2013.

Abbiamo fornito alle forze dell’ordine anche

informazioni su Jam3s, alias James Bayliss: un

hacker che eseguiva server C&C legati a SpyEye;

le informazioni hanno contribuito all’arresto di

Jam3s nel Regno Unito in maggio.35

Lo scorso giugno, l’FBI ha annunciato che una

collaborazione internazionale era stata in grado

di vanificare le attività di GameOver, una variante

ZeuS/ZBOT in grado di eseguire comunicazioni

peer-to-peer (P2P).36 Trend Micro ha fornito

all’operazione di smantellamento dell’FBI uno

strumento per la disinfezione che ha contribuito

a un calo nel numero di utenti vittime di ZeuS/

ZBOT in questo trimestre. I dati dello Smart

Protection Network hanno mostrato un calo del

36% nel numero di utenti interessati al termine del

trimestre.

Altre iniziative delle forze dell’ordine, invece,

richiedono tempo. Nell’ambito dell’operazione

contro Esthost del 2011 da parte dell’FBI e della

polizia estone, cinque delle sei persone coinvolte

sono finalmente giunte negli Stati Uniti e sono

in attesa di giudizio.37 È la dimostrazione che

assicurare i criminali informatici alla giustizia

può anche richiedere tempo, ma alla fine ottiene

i risultati auspicati.



Trend Micro collabora con le forze dell’ordine…

Il team per le ricerche sulle minacce future (FTR, Forward‑Looking Threat Research), un’unità di e-crime dedicata di Trend Micro che gestisce tutte le richieste di indagini da parte delle forze dell’ordine. La collaborazione tra il team FTR e le forze dell’ordine viene messa in moto da una richiesta esplicita da un’unità di polizia o da indizi rilevati dal team FTR legati a crimini informatici. Offriamo assistenza alle indagini e condividiamo con le forze dell’ordine le informazioni disponibili sulle minacce. Siamo il punto di contatto per le attività collaborative del team CERT (Community Emergency Response Team) nazionale o commerciale e per il team CSIRT (Computer Security Incident Response Team) per Trend Micro.

Diverse collaborazioni avute in passato hanno condotto a ottimi risultati, la più

recente delle quali ha portato a una serie di arresti legati al cavallo di Troia del banking SpyEye. Abbiamo condiviso informazioni con i nostri contatti presso l’FBI e la National Crime Agency (NCA); le due agenzie hanno proseguito le indagini che hanno condotto da ultimo a una serie di arresti di alto profilo.

A parte i casi che sono già diventati di dominio pubblico, siamo coinvolti in una serie di casi in corso a livello mondiale. Siamo sempre lieti di collaborare con le forze dell’ordine, con il sostegno delle informazioni sulle minacce di Trend Micro e la nostra competenza investigativa sulla criminalità informatica, poiché riteniamo che soltanto attraverso la collaborazione si possa davvero rendere il mondo un posto più sicuro per lo scambio delle informazioni digitali.

—Martin RöslerDirettore Senior, Ricerca sulle

minacce



Riemergenza dei problemi della privacy utente

Le forze di mercato, i regolamenti e i tribunali a livello mondiale stanno prendendo posizione in modo deciso in difesa della privacy dell’utente.

Un anno fa, Edward Snowden ha reso pubbliche

le prassi diffuse di sorveglianza messe in atto dalla

National Security Agency (NSA).38 I difensori

della privacy dei dati hanno chiesto di cambiare

le leggi ma la prassi della sorveglianza rimane

intatta. Le rivelazioni di Snowden hanno avviato

un dibattito relativo ai dati archiviati in-the-

cloud, mentre una maggiore consapevolezza delle

minacce alla sicurezza del cloud ha condotto a una

serie di reazioni, tra cui i reclami di varie aziende

USA e la perdita di fiducia in alcuni provider di

servizi in-the-cloud. Questo dibattito è ancora

aperto, mentre i provider di servizi in-the-cloud

continuano a lottare per tenere i dati dei clienti

fuori dalle mani dei governi in un caso in corso

negli Stati Uniti.39

Le preoccupazioni di lunga data relative ai dati

che le aziende raccolgono sui singoli si sono

manifestate nella decisione europea relativa al

principio del “diritto di essere dimenticati” il

13 maggio, che consente agli utenti di chiedere

a Google di rimuovere le imbarazzanti rivelazioni

online dai risultati delle ricerche.40 La decisione

è stata giudicata una vittoria in Europa anche se

alcuni recenti dibattiti sostengono che potrebbe

contraddire il diritto alla libertà di espressione

affermato nella Dichiarazione universale dei diritti

umani dell’ONU.41

A favore della privacy digitale, a metà giugno, la

Corte Suprema degli Stati Uniti ha stabilito che la

polizia sarà tenuta a procurarsi un mandato per

perquisire un telefono cellulare.42 Questa decisione

epocale a favore dei diritti della privacy e il supporto

che ne consegue potrebbero influenzare in futuro

la protezione legale concessa ai dati digitali. I siti

Web che registrano dati personali possono avere

accesso a determinate informazioni ma soltanto

i proprietari di tali informazioni hanno il diritto di

utilizzarle come credono.43 Le misure adottate per

la protezione dei dati digitali personali segnano

decisamente un gradito cambiamento.



Il ruolo di Trend Micro nel dibattito sulla privacy...

Giorno dopo giorno, l’importanza delle domande e delle preoccupazioni che circondano la privacy aumenta. Quasi tutti gli abitanti del pianeta si preoccupano della privacy online o dovrebbero farlo. Il sopraggiungere dell’era dell’Internet di tutto/Internet delle cose (IoE/IoT) rende ancora più eclatanti gli errori della privacy perché coinvolge un numero maggiore di conseguenze nel mondo reale.

In un mondo come il nostro, con una privacy sempre più complessa e una difficoltà sempre maggiore nella sua protezione,

qual è il ruolo di un’azienda come Trend Micro? È quello di contribuire a ridurre la complessità e di facilitare l’utilizzo di tutti i vantaggi che le tecnologie e i servizi più recenti possono offrire senza dover rinunciare alla privacy.

È nostro compito in qualità di esperti della difesa contro le minacce fungere da guida e da risorsa per aiutare le persone a vivere la propria esistenza online nel modo più aperto o più privato che desiderano, comunque in sicurezza.

—Christopher BuddResponsabile,

Marketing minacce



500 mln.

250 mln.

0

APR

246 mln.

MAG GIU

266 mln.

412 mln.

6 mld.

3 mld.

0

APR

4,0 mld.

MAG GIU

4,3 mld.

5,1 mld.

Analisi del panorama delle minacce

Minacce informatiche, spam e siti dannosi

In questo trimestre è stato osservato un passaggio

dei volumi attraverso vari vettori di attacco

monitorati tramite Smart Protection Network. La

natura delle minacce nei segmenti consumer e delle

aziende è cambiata, come dimostra il declino nel

numero di infezioni DOWNAD/Conficker. Inoltre,

pare che il “pensionamento” di Windows XP abbia

spinto gli aggressori ad adottare una via diversa

come reazione.

Numero di indirizzi IP per l’invio di spam a cui Trend Micro Smart Protection Network ha bloccato

l’accesso, 2° trim. 2014

Il numero di indirizzi IP dediti all’invio di spam a cui

abbiamo bloccato l’accesso in questo trimestre non

è né sensibilmente aumentato né si è ridotto rispetto ai

12,9 miliardi dello scorso trimestre.

Numero di siti dannosi a cui Trend Micro Smart Protection Network

ha bloccato l’accesso, 2° trim. 2014

Il numero di siti dannosi a cui abbiamo bloccato

l’accesso è aumentato significativamente in giugno.

È interessante notare come i principali siti a cui

abbiamo bloccato l’accesso fossero legati all’adware.



3000/s

1500/s

0

APR

2000/s

MAG GIU

2200/s

2400/s

1,2 mld.

,6 mld.

0

APR

0,9 mld.

MAG GIU

1,1 mld.

1,1 mld.

8 mld.

4 mld.

0

APR

5,1 mld.

MAG GIU

5,8 mld.

6,5 mld.

Numero di file dannosi bloccati da Trend Micro Smart Protection Network,

2° trim. 2014

Il numero di file dannosi che abbiamo bloccato è

raddoppiato questo trimestre rispetto allo stesso

trimestre dello scorso anno (1,7 miliardi).44 Il numero

crescente di varianti di minacce informatiche in

generale e la tendenza a utilizzare minacce informatiche

personalizzate sono stati accelerati dall’accessibilità dei

toolkit di minacce informatiche nell’underground dei

criminali informatici.

Numero totale di minacce bloccate da Trend Micro Smart Protection Network,

2° trim. 2014

Abbiamo bloccato una media di 5,8 miliardi di minacce

per mese questo trimestre, segnando così un lieve

aumento rispetto ai 5,4 miliardi dello scorso trimestre.

Livello di rilevamento complessivo di Trend Micro Smart Protection Network, 2° trim. 2014

Non sono stati registrati cambiamenti significativi del numero di minacce bloccate al secondo rispetto al trimestre precedente.



Primi 3 adware, 2° trim. 2014

NOME VOLUME

ADW_INSTALCOR 234.000

ADW_OPENCANDY 204.000

ADW_DOWNWARE 107.000

L’adware ha costituito una parte consistente del numero

totale di minacce (adware e minacce informatiche

insieme) visto in questo trimestre. ADW_OPENCANDY

è rimasto nei primi 3 anche se il relativo volume

è diminuito rispetto al trimestre precedente. Questi

adware sono in circolazione da anni. Gli adware sono

principalmente plug-in che alcuni sviluppatori uniscono

in bundle al software gratuito. Gli sviluppatori dal canto

loro guadagnano consigliando software o prodotti agli

utenti tramite l’adware installato.

Prime 3 minacce informatiche, 2° trim. 2014

NOME VOLUME

WORM_DOWNAD.AD 35.000

LNK_DUNIHI.SMIX 33.000

JS_NEVAR.A 19.000

WORM_DOWNAD ha continuato a piazzasi ai

primi posti nell’elenco dei contaminatori di minacce

informatiche in questo trimestre. Anche se il relativo

volume è sceso a causa del calo nel numero di utenti di

Windows XP, le infezioni hanno continuato a persistere

in parte a causa di prassi non sicure come il mancato

aggiornamento del sistema operativo.

NOTA: le principali minacce informatiche non

comprendono gli strumenti di hacking comunemente

individuati quali i generatori di chiavi e i visualizzatori

delle chiavi dei prodotti.

Le prime 3 minacce informatiche per segmento, 2° trim. 2014

SEGMENTO 2° trim. 2014

NOME VOLUME

Aziende



WORM_DOWNAD.FUF 5.000

PMI


JS_CHECK.A 2.000


Consumer

JS_NEVAR.A 18.000

JAVA_XPLOIT.GOQ 11.000

JS_REDIR.ED 10.000

Il segmento aziendale è stato dominato da minacce desuete come quelle legate ai supporti USB. I principali contaminatori del

mercato consumer, nel frattempo, si sono piazzati alla pari con i kit di exploit. Infine, il segmento delle piccole e medie imprese

(PMI) è stato vittima di una combinazione di minacce vecchie e relativamente nuove.

NOTA: le principali minacce informatiche non comprendono gli strumenti di hacking comunemente individuati quali

i generatori di chiavi e i visualizzatori delle chiavi dei prodotti.



Stati Uniti

Paesi Bassi

Germania

Cina

Russia

Francia

Regno Unito

Corea del Sud

Giappone

Repubblica Ceca

Altri

25%

3%

3%

3%

3%

3%

2%

1%

1%

1%

55%

Primi 10 domini dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso, 2° trim. 2014

DOMINIO MOTIVO PER IL BLOCCO DELL’ACCESSO

ads.alpha00001.com Segnalato come server C&C che reindirizza gli utenti

a enterfactory com, un sito Web dannoso

www.ody.cc Legato a script e siti sospetti che forniscono l’hosting

a BKDR_ HPGN.B-CN

cnfg.toolbarservices.com Rilevato come ADW_MONTIERA

storage.stgbssint.com Rilevato come ADW_BUNDLED

cdn1.down.17173ie.com Noto per eseguire lo scaricamento di file dannosi

interyield.jmp9.com Legato agli attacchi delle minacce informatiche e ad altre

attività dannose

flyclick.biz Legato all’acquisizione del controllo dei computer e ad altre

attività dannose

directxex.com Noto per eseguire lo scaricamento di file dannosi

sp-storage.spccint.com Noto per eseguire lo scaricamento di minacce informatiche

checkver.dsiteproducts.com Rilevato come ADW_DOWNWARE

Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi rispetto al trimestre

precedente.

Primi 10 URL dannosi per paese di origine, 2° trim. 2014

La porzione di torta dell’hosting di URL dannosi degli Stati Uniti ha raggiunto il 25% questo trimestre, segnando un incremento

del 3% rispetto al 22% dello scorso trimestre.



Stati Uniti

Giappone

Francia

Australia

Taiwan

Italia

Cina

India

Regno Unito

Germania

Altri

29%

16%

4%

4%

4%

4%

4%

4%

3%

3%

25%

Inglese

Tedesco

Giapponese

Cinese

Russo

Spagnolo

Portoghese

Francese

Turco

Islandese

Altri

82,81%

3,98%

3,17%

1,82%

1,00%

0,40%

0,39%

0,17%

0,09%

0,07%

6,10%

Paesi con il maggior numero di visite a siti dannosi, 2° trim. 2014

L’Italia e il Regno Unito si sono unite all’elenco dei paesi con il maggior numero di visite ai siti web dannosi. Il Giappone e gli

Stati Uniti sono rimasti i 2 paesi in vetta, come nel trimestre precedente.

Lingue maggiormente usate per lo spam, 2° trim. 2014

Il trimestre ha segnato un apparente aumento nella quantità di spam in lingua tedesca. L’inglese ha tuttavia conservato il

primo posto.



Spagna

Argentina

Stati Uniti

Germania

Italia

Iran

Vietnam

Russia

Cina

Colombia

Altri

9%

8%

7%

6%

5%

4%

4%

4%

3%

3%

47%

Regno Unito

Stati Uniti

Germania

Russia

Ucraina

Cina

Corea del Sud

Paesi Bassi

Lettonia

Francia

Altri

32%

29%

3%

3%

3%

2%

2%

2%

1%

1%

22%

Paesi principali da cui partono gli attacchi spam, 2° trim. 2014

In questo trimestre non sono stati registrati cambiamenti significativi nell’elenco dei principali paesi da cui partono gli attacchi

di spam.

Paesi con il maggior numero di server C&C botnet, 2° trim. 2014

Il Regno Unito ha continuato a sovrastare l’elenco dei paesi con il maggior numero di server C&C botnet, come nel trimestre

precedente.



Regno Unito

Stati Uniti

Germania

Russia

Turchia

Portogallo

Cina

Paesi Bassi

Ucraina

Svizzera

Altri

27%

27%

8%

8%

5%

5%

4%

4%

4%

2%

6%

Paesi con il maggior numero di connessioni botnet, 2° trim. 2014

Gli utenti del Regno Unito e degli Stati Uniti hanno rappresentato più di metà del traffico di rete che ha colpito i server C&C

tramite i computer infetti questo trimestre.



GIU

MAG

APR

MINACCE

600.000

300.000

0

195.000

184.000

210.000

589.000TOTALE

Minacce mobili

Le minacce mobili restano evidenti, come dimo-

strato dall’aumento costante del loro numero. Le app ad alto rischio come l’adware sono a loro volta

aumentate.

Volume cumulativo delle minacce Android a partire dal 2° trim. 2014

Minacce

informatiche

mobili

App ad alto

rischio

71%

29%

Nuove aggiunte mensili alle minacce Android, 2° trim. 2014

In linea con le cifre dell’ultimo trimestre, le nuove

aggiunte di minacce informatiche mobili e app ad

alto rischio nel corso di questo trimestre hanno

rappresentato più di un quinto del numero totale delle

minacce Android.

NOTA: le app ad alto rischio o potenzialmente

indesiderate sono quelle che possono compromettere

l’esperienza dell’utente poiché visualizzano pubblicità

indesiderate, creano collegamenti indesiderati o rac-

colgono informazioni sui dispositivi senza che gli utenti

lo sappiano o lo consentano. Gli esempi includono

l’adware aggressivo.

3 mln.

1 mln.

0

APR

2,3 mln.

MAG GIU

37K2 mln.

2.7M

2,5 mln.

2,7 mln.



OPFAKE

FAKEINST

SMSAGENT

SMSREG

STEALER

JIFAKE

GINMASTER

SMSSENDER

CLICKER

BLOODZOB

Altri

14%

10%

8%

7%

4%

4%

3%

3%

3%

3%

41%

Principali famiglie di minacce informatiche per Android, 2° trim. 2014

OPFAKE è salita in vetta all’elenco delle famiglie di minacce informatiche Android osservate questo trimestre. FAKEINST

è arrivata al secondo posto, probabilmente grazie all’aumento nel numero di premium service abuser.

NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l’adware esegue il push

aggressivo delle pubblicità e può raccogliere informazioni personali senza il consenso della vittima.



60%

30%

0

Adware

Premiumservice abuser

Data stealer

Remotecontroller

Downloader di minacce

Spyware

46%

40%

20%

8%3% 3%

Distribuzione dei principali tipi di minacce Android, 2° trim. 2014

La quota di adware è rimasta la più consistente, benché sia scesa leggermente rispetto al trimestre precedente. È salito anche

il numero di premium service abuser e di ladri di dati. Anche lo spyware si è piazzato tra le minacce principali nel panorama

mobile.

NOTA: lo spyware rileva o monitora la posizione GPS (Global Positioning System), gli SMS e le chiamate degli utenti, quindi

invia tali informazioni a terze parti. Lo spyware viene in genere pubblicizzato come “strumenti di spionaggio” che gli utenti

possono installare sullo smartphone o tablet di coloro che desiderano “spiare”.

I dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware, che rappresentano il 71% del numero

totale di minacce mobili rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo aprile-giugno 2014. Una

famiglia di minacce potrebbe avere comportamenti tipici di più tipi di minacce.



Taiwan

Giappone

Stati Uniti

Brasile

Cina

Israele

Turchia

Altri

62%

22%

5%

1%

1%

1%

1%

7%

Attacchi mirati

Gli attacchi rilevati questo trimestre hanno

preso principalmente di mira gli enti pubblici

con campagne quali PLEAD e ANTIFULAI.45, 46

Abbiamo monitorato entrambe le campagne,

che prendevano di mira varie aziende nei settori

pubblico e privato, specie a Taiwan e in Giappone.

Volume di attacchi mirati per settore, 2° trim. 2014

La maggior parte degli attacchi ha continuato a prendere di mira gli enti pubblici anche in questo trimestre.

NOTA: la cifra mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre.

Pubblica amministrazione

Informatico Aerospaziale Industriale

81%4% 3% 3%

3% 3% 3% 1% 1%Elettrico Telecomunicazioni Militare Aviazione Finanziario

Taiwan è risultato il paese maggiormente preso di mira in questo trimestre, seguito dal Giappone.

NOTA: la mappa mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre.

Distribuzione degli attacchi mirati per paese, 2° trim. 2014



Campagne di attacchi mirati attive rilevanti, 2° trim. 2014

FONTI:http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2/http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/http://about-threats.trendmicro.com/us/webattack/139/HAVEX+Targets+Industrial+Control+Systems

CAMPAGNAMESE DI

RILEVAMENTOOBIETTIVO

PUNTO DI ACCESSO

MOTIVO DELLA RILEVANZA

PLEAD Maggio Pubblica

amministrazione ed

enti pubblici a Taiwan

E-mail Uso della tecnica

RTLO (right-to-left

override)

ANTIFULAI Giugno Pubblica amministra-

zione e vari settori

privati in Giappone

E-mail Sfruttamento delle

vulnerabilità del

programma Ichitaro

HAVEX Giugno Gli utenti di Industrial

Control Systems (ICS)

principalmente

in Europa e negli

Stati Uniti

E-mail di

phishing, attacchi

watering hole

L’hacking di siti

legati a ICS per

compromettere

applicazioni legittime



La principale preoccupazione rispetto agli attacchi mirati...

La preoccupazione numero 1 delle aziende deve essere il “rischio di pubblicità negativa”. Gli attacchi mirati incrementano sensibilmente il rischio per la reputazione, ma due vettori di attacco in particolare destano le maggiori preoccupazioni.

In primo luogo, gli attacchi watering hole, che stanno proliferando negli Stati Uniti. Un attacco watering hole è un attacco in cui il server Web aziendale viene compromesso e pagine specifiche all’interno del sito attaccano i visitatori con minacce informatiche appositamente create. Questi attacchi sono estremamente

efficaci contro i dipendenti che utilizzano questi siti Web come portali, per diffondere le minacce a clienti e partner. L’impatto per la reputazione dei marchi aziendali di questi attacchi può risultare disastroso.

Il secondo vettore è “island hopping”. Gli attacchi island hopping avvengono quando gli aggressori prendono di mira la rete di un’azienda per poter accedere alle reti dei relativi partner e clienti. Lo spostamento laterale attraverso sistemi di rete affidabili causa danni enorme per la reputazione e i marchi delle vittime.

Gli aggressori si focalizzano sull’anello debole della catena degli approvvi giona-menti. Maggiori sono le operazioni di ricognizione che gli aggressori compiono sulla catena degli approvvigionamenti aziendale e maggiore sarà il numero di attacchi di island hopping sferrati.

–Tom KellermannResponsabile della

sicurezza informatica



Vita digitale e IoE/IoT

Mentre il fenomeno IoE/IoT continua a spalancare

nuove possibilità per la condivisione e la

connessione con altri, migliorando così il nostro

stile di vita, coloro che ne beneficiano potrebbero

essere vulnerabili agli attacchi ad esso mirati.

I dispositivi IoE/IoT collegati a router wireless

vulnerabili potrebbero consentire a qualsiasi

utente esterno di accedere alla pagina firmware

per mettere gli utenti a rischio in caso di hacking

ai router.47 Manomettere un modem o router

vulnerabile può anche compromettere eventuali

dispositivi IoE/IoT (ad es. smart meter o un

intero smart hub). I router sono una parte vitale

di qualsiasi rete collegata a Internet, in quanto

componenti principali nell’attivazione degli

smart hub, ovvero dispositivi che collegano tutti i

dispositivi IoE/IoT l’uno all’altro. Gli utenti devono

quindi garantirne la protezione.

Oltre ai dispositivi smart, anche le attività di

navigazione Web rappresentano una consistente

porzione della vita digitale delle persone. È per

questo che è fondamentale essere vigili quando si

cercano informazioni o quando semplicemente si

va online.

Recentemente, i mondiali di calcio 2014 in Brasile

sono stati uno degli eventi sportivi con la maggiore

risonanza.48 Per questo, gli utenti hanno dovuto

affrontare varie minacce, poiché i mondiali si sono

dimostrati uno degli spunti di social engineering

maggiormente sfruttati nel corso del trimestre,

come hanno confermato gli oltre un miliardo di

commenti e mi piace su Facebook da parte di oltre

200 milioni di utenti e i 300 milioni di tweet.49



9 MAGGIO

Le ricerche relative ai mondiali di calcio hanno indotto gli utenti a scaricare un generatore di chiavi software che si è rivelato essere adware.

Siti Web fasulli sui mondiali in Brasile vendevano biglietti per le partite che le vittime hanno pagato senza mai ricevere.

Dello spam sosteneva che il destinatario aveva diritto a un biglietto della riffa con in palio biglietti per i mondiali. Ovviamente si trattava di una truffa.

Lo spam ha fatto sorgere sempre più siti di phishing legati ai mondiali di calcio.

Sono state diffuse su Google Play delle false app mobili legate ai mondiali. ANDROIDOS_SMSSTEALER.HBT è un altra minaccia informatica Android che ha sfruttato la febbre dei mondiali. Questa famiglia di minacce informatiche è nota per avere aggiunto un filtro SMS che bloccava gli SMS in entrata. L’analisi del relativo server C&C ha portato all’identificazione di 76 domini, che venivano utilizzati anche per l’hosting di siti Web per il download di app di terze parti.

20 MAGGIO

30 MAGGIO

9 GIUGNO

12 GIUGNO

FONTI:

http://blog.trendmicro.com/trendlabs-security-intelligence/threats-get-a-kick-out-of-2014-fifa-world-cup-brazil-buzz/http://blog.trendmicro.com/trendlabs-security-intelligence/brazilian-users-being-scammed-with-2014-fifa-world-cup-tickets/http://blog.trendmicro.com/trendlabs-security-intelligence/home-court-advantage-banload-joins-fifa-world-cup/http://blog.trendmicro.com/trendlabs-security-intelligence/phishing-sites-start-world-cup-campaign/http://blog.trendmicro.com/trendlabs-security-intelligence/watch-out-for-fake-versions-of-world-cup-2014-apps/

Riepilogo delle minacce relative ai mondiali di calcio, 2° trim. 2014



L’evento di maggiore portata legato a IoE/IoT e l’effetto della convergenza radio‑Internet...

L’evento più importante questo trimestre è stata la commercializzazione aperta a tutti di Google Glass; pare che la vendita sia andata esaurita in poche ore. Anche uno scettico nei confronti dell’adozione deve ammettere che si tratta di un risultato impressionante per una tecnologia che sarà obsoleta tra pochi anni. Se si aggiunge a questo la commercializzazione del discusso iWatch di Apple alla fine dell’anno diventa chiaro che il 2015 sarà l’“anno della connessione”, se non anche l’“anno dell’infezione”.

Queste tecnologie offrono nuove opportunità agli aggressori. Il GPS sul cinturino, ad esempio, non si limiterà a rilevare dove fate la vostra corsa quotidiana ma rivelerà anche quali sportelli bancomat utilizzate regolarmente. Il monitoraggio delle pulsazioni cardiache non è soltanto utile in palestra, ma consente anche di stabilire quanto dormite in un momento dato. E con l’incremento dell’adozione da parte dei consumatori aumenterà anche l’adozione da parte dei criminali.

Il fondamento del successo di IoE/IoT è la comunicazione. La trasmissione radio e le altre tecnologie wireless sono parte integrante di questa evoluzione. Sfortunatamente, molti dei principi tecnici alla base delle tecnologie radio preesistenti utilizzate per azionare l’IoE/IoT sono stati fissati definitivamente molto prima che il Web commerciale fosse una scintilla negli occhi di Tim Berners-Lee e non sono stati progettati pensando alla sicurezza. Come per TCP/IP, erano stati progettati pensando alla resistenza.

Si prevede senza dubbio che l’interesse dei criminali in quest’area continui ad aumentare, mentre la manipolazione della falsificazione esplicita della comunicazione avrà conseguenze misurabili nel mondo reale poiché la prospettiva sono i guadagni ottenuti illecitamente e la diffusione del caos.

—Rik FergusonVice President,

Security Research



Bibliografia

1. Noah Rayman. (3 luglio 2014). Time. “Breaches of Your Personal Data Are Up 20%.” Ultimo accesso 16 luglio 2014, http:// time. com/2953428/data‑breaches‑identity‑theft/.

2. Raimund Genes. (6 aprile 2014). TrendLabs Security Intelligence Blog. “Advice for Enterprises in 2014: Protect Your Core Data.” Ultimo accesso 17 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/advice-for-enterprises-in-2014-protect-your-core-data/.

3. Pawan Kinger. (8 aprile 2014). TrendLabs Security Intelligence Blog. “Skipping a Heartbeat: The Analysis of the Heartbleed OpenSSL Vulnerability.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/skipping-a-heartbeat-the-analysis-of-the-heartbleed-openssl-vulnerability/.

4. Maxim Goncharov. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Vulnerability Affects 5% of Select Top‑Level Domains from Top 1M.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed‑vulnerability‑affects‑5‑of‑top‑1‑million‑websites/.

5. Veo Zhang. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Bug—Mobile Apps Are Affected, Too.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed-bug-mobile-apps-are-affected-too/.

6. Jonathan Leopando. (27 aprile 2014). TrendLabs Security Intelligence Blog. “Internet Explorer Zero-Day Hits All Versions in Use.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/internet-explorer-zero-day-hits-all-versions-in-use/.

7. Abigail Pichel. (8 aprile 2014). TrendLabs Security Intelligence Blog. “April 2014 Patch Tuesday Fixes Microsoft Word Zero‑Day.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/april‑2014‑patch‑tuesday‑fixes‑microsoft‑word‑zero‑day/.

8. Abigail Pichel. (14 maggio 2014). TrendLabs Security Intelligence Blog. “May 2014 Patch Tuesday Rolls Out 8 Bulletins.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/may-2014-patch-tuesday-rolls-out-8-bulletins/.

9. Bernadette Irinco. (10 giugno 2014). TrendLabs Security Intelligence Blog. “June 2014 Patch Tuesday Resolves Critical Flaws in Internet Explorer, Microsoft Office.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/june‑2014‑patch‑tuesday‑resolves‑critical‑flaws‑in‑internet‑explorer‑microsoft‑office/.

10. Maria Manly. (1° luglio 2014). TrendLabs Security Intelligence Blog. “DOWNAD Tops Malware Spam Source in Q2 2014.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/downad‑tops‑malware‑spam‑source‑in-q2-2014/.

11. Abigail Pichel. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Adobe Releases Patch for Flash Zero‑Day Vulnerability.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/adobe‑releases‑patch‑for‑flash‑zero‑day-vulnerability/.

12. Pavithra Hanchagaiah. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Season of Zero-Days: Multiple Vulnerabilities in Apache Struts.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/season-of-zero-days-multiple-vulnerabilities-in-apache-struts/.

13. Apache Struts 2 Documentation. “S2‑021.” Ultimo accesso 16 luglio 2014, http://struts.apache.org/release/2.3.x/docs/s2-021.html.

14. Weichao Sun. (12 maggio 2014). TrendLabs Security Intelligence Blog. “Android App Components Prone to Abuse.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/android-app-components-prone-to-abuse/.

15. Errata Security. (21 giugno 2014). “300K Vulnerable to Heartbleed Two Months Later.” Ultimo accesso 23 luglio 2014, http:// blog. erratasec.com/2014/06/300k‑vulnerable‑to‑heartbleed‑two.html#.U8_Ds_mSySr.

16. Dan Goodin. (19 giugno 2014). Ars Technica. “AWS Console Breach Leads to Demise of Service with “Proven” Backup Plan.” Ultimo accesso 16 luglio 2014, http://arstechnica.com/security/2014/06/aws‑console‑breach‑leads‑to‑demise‑of‑service‑with‑proven-backup-plan/.



17. Jay McGregor. (11 giugno 2014). Forbes. “Feedly and Evernote Go Down as Attackers Demand Ransom.” Ultimo accesso 16 luglio 2014, http://www.forbes.com/sites/jaymcgregor/2014/06/11/feedly‑and‑evernote‑go‑down‑as‑attackers‑demand‑ransom/.

18. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Data Breach Category Summary.” Ultimo accesso 16 luglio 2014, http:// www.idtheftcenter.org/images/breach/ITRCBreachStatsReportSummary2014.pdf.

19. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Breach List.” Ultimo accesso 16 luglio 2014, http://www.idtheftcenter.org/images/breach/ITRC_Breach_Report_2014.pdf.

20. Rik Ferguson. (21 maggio 2014). Countermeasures. “Oy Vey, eBay! Five Questions for You….” Ultimo accesso 16 luglio 2014, http:// countermeasures.trendmicro.eu/oy‑vey‑ebay‑five‑questions‑for‑you/.

21. eBay Inc. (21 maggio 2014). eBay Inc. “eBay Inc. to Ask eBay Users to Change Passwords.” Ultimo accesso 16 luglio 2014, http:// www. ebayinc.com/in_the_news/story/ebay‑inc‑ask‑ebay‑users‑change‑passwords.

22. Narottam Medhora, Tanvi Mehta e Ankit Ajmera. (10 giugno 2014). Reuters. “Restaurant Chain P.F. Chang’s Investigating Possible Data Breach.” Ultimo accesso 16 luglio 2014, http://www.reuters.com/article/2014/06/11/us‑pfchang‑dataprotection‑idUSKBN0EM06C20140611.

23. P.F. Chang’s China Bistro Inc. (1° luglio 2014). P.F. Chang’s. “Security Compromise Update.” Ultimo accesso 16 luglio 2014, http:// www. pfchangs.com/security/.

24. Abigail Pichel. (26 maggio 2014). TrendLabs Security Intelligence Blog. “Ransomware Moves to Mobile.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/ransomware‑moves‑to‑mobile/.

25. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_LOCKER.HBT.” Ultimo accesso 16 luglio 2014, http:// about‑threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT.

26. Weichao Sun. (7 giugno 2014). TrendLabs Security Intelligence Blog. “Android Ransomware Uses Tor.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/android‑ransomware‑uses‑tor/.

27. Maria Manly. (9 giugno 2014). TrendLabs Security Intelligence Blog. “Social Engineering Watch: UPATRE Malware Abuses Dropbox Links.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/social-engineering-watch‑upatre‑malware‑abuses‑dropbox‑links/.

28. Warren Tsai. (16 aprile 2014). Trend Micro Simply Security. “FAKEAV in Google Play and How Trend Micro Mobile App Reputation Services Dynamic Analysis Helps Protect You.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/fakeav-google-play-mobile‑app‑reputation‑services/#.U8M4d5SSzTo.

29. Symphony Luo e Peter Yan. (2014). Trend Micro Security Intelligence. “Fake Apps: Feigning Legitimacy.” Ultimo accesso 17 luglio 2014, http:// about‑threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT.

30. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_FAKEAV.B.” Ultimo accesso 22 luglio 2014, http:// about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEAV.B.

31. Jonathan Leopando. (2 giugno 2014). TrendLabs Security Intelligence Blog. “Banking Trojan Trend Hits Japan Hard.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-trend-hits-japan-hard/.

32. David Sancho, Feike Hacquebord e Rainer Link. (2014). Trend Micro Security Intelligence. “Finding Holes: Operation Emmental.” Ultimo accesso 23 luglio 2014, http://www.trendmicro.com/cloud‑content/us/pdfs/security‑intelligence/white‑papers/wp‑finding‑holes‑operation‑emmental.pdf.

33. David Sancho. (22 luglio 2014). TrendLabs Security Intelligence Blog. “Finding Holes in Online Banking Security: Operation Emmental.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/finding‑holes‑operation‑emmental/.

34. Trend Micro Incorporated. (29 aprile 2014). TrendLabs Security Intelligence Blog. “The Challenge of Collaborating with Law Enforcement Agencies to Stop Cybercrime.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/the‑challenge‑of‑collaborating‑with‑law‑enforcement‑agencies‑to‑stop‑cybercrime/.

35. Trend Micro Incorporated. (22 maggio 2014). TrendLabs Security Intelligence Blog. “SpyEye-Using Cybercriminal Arrested in Britain.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/spyeye-using-cybercriminal-arrested-in-britain/.



36. Lord Alfred Remorin. (2 giugno 2014). TrendLabs Security Intelligence Blog. “GameOver: ZeuS with P2P Functionality Disrupted.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/gameover‑zeus‑with‑p2p‑functionality-disrupted/.

37. Feike Hacquebord. (9 novembre 2011). TrendLabs Security Intelligence Blog. “Esthost Taken Down—Biggest Cybercriminal Takedown in History.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/esthost-taken-down‑biggest‑cybercriminal‑takedown‑in‑history/.

38. Editor. (5 giugno 2014). KUOW.org. “A Year After Snowden, U.S. Tech Losing Trust Overseas.” Ultimo accesso 16 luglio 2014, http:// kuow.org/post/year‑after‑snowden‑us‑tech‑losing‑trust‑overseas.

39. David Kravets. (15 luglio 2014). Ars Technica. “Obama Administration Says the World’s Servers Are Ours.” Ultimo accesso 26 luglio 2014, http://arstechnica.com/tech‑policy/2014/07/obama‑administration‑says‑the‑worlds‑servers‑are‑ours/.

40. Raimund Genes. (5 giugno 2014). TrendLabs Security Intelligence Blog. “Privacy and the Right to Be Forgotten.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/privacy-and-the-right-to-be-forgotten/.

41. Rich McCormick. (11 luglio 2014). The Verge. “Google’s Top Lawyer Says EU’s ‘Right to Be Forgotten’ Restricts Freedom of Expression.” Ultimo accesso 16 luglio 2014, http://www.theverge.com/2014/7/11/5889133/google‑top‑lawyer‑says‑right‑to‑be‑forgotten-restricts-rights.

42. Bill Mears. (25 giugno 2014). CNN. “Supreme Court: Police Need Warrant to Search Cell Phones.” Ultimo accesso 16 luglio 2014, http://edition.cnn.com/2014/06/25/justice/supreme‑court‑cell‑phones/.

43. Office of the Data Protection Commissioner. (2014). Data Protection Commissioner. “A Guide to Your Rights.” Ultimo accesso 17 luglio 2014, http://www.dataprotection.ie/docs/A‑guide‑to‑your‑rights‑Plain‑English‑Version/858.htm.

44. Trend Micro Incorporated. (Maggio 2013). Trend Micro Security Intelligence. “TrendLabs 2Q 2013 Security Roundup: Mobile Threats Go Full Throttle.” Ultimo accesso 26 luglio 2014, http://www.trendmicro.com/cloud‑content/us/pdfs/security‑intelligence/reports/rpt-2q-2013-trendlabs-security-roundup.pdf.

45. Kervin Alintanahin. (23 maggio 2014). TrendLabs Security Intelligence Blog. “PLEAD Targeted Attacks Against Taiwanese Government Agencies.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted‑attacks‑against‑taiwanese‑government‑agencies‑2/.

46. Maersk Menrige. (4 giugno 2014). TrendLabs Security Intelligence Blog. “ANTIFULAI Targeted Attack Exploits Ichitaro Vulnerability.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/.

47. Ilja Lebedev. (20 maggio 2014). TrendLabs Security Intelligence Blog. “When Networks Turn Hostile.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs‑security‑intelligence/when‑networks‑turn‑hostile/.

48. Ryan Certeza. (13 luglio 2014). TrendLabs Security Intelligence Blog. “Being Secure in the Most-Connected World Cup Ever.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/being-secure-in-the-most-connected-world‑cup‑ever/.

49. Prashant Pansare (15 luglio 2014). Diligent Media Corporation Ltd. “This Is Why the FIFA World Cup 2014 Was the Biggest Social Media Event.” Ultimo accesso 23 luglio 2014, http://www.dnaindia.com/blogs/post‑this‑is‑why‑the‑fifa‑world‑cup‑2014‑was‑the‑biggest-social-media-event-2002244.

DECLINAZIONE DI RESPONSABILITÀ TREND MICROLe informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite

e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non

essere applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non

devono essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da

un’adeguata consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere

interpretate diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento

senza preavviso.

La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto.

L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione,

fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non

è vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione.

Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate,

Trend Micro non rilascia alcuna garanzia o dichiarazione di qualsiasi tipo in relazione all’accuratezza, alla validità corrente o alla

completezza delle informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto

a proprio rischio. Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali

terzi coinvolti nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo

di conseguenza, perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali

di qualsiasi tipo derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori o omissioni nel

contenuto del presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come

sono”.

Trend Micro Incorporated, leader globale di software e soluzioni di protezione, vuole rendere il mondo sicuro per lo scambio di informazioni digitali. Per ulteriori informazioni, visitare il sito www.trendmicro.it.

©2014 Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.

Realizzato da:

Supporto tecnico globale e ricerca e sviluppo di TREND MICRO

Invertire la tendenza degli attacchi informatici2014-0112 e CVE-2014-0113) che hanno colpito...

Documents

Transcript of Invertire la tendenza degli attacchi informatici2014-0112 e CVE-2014-0113) che hanno colpito...