VERIFICA DI SICUREZZA DEL 2°T 2012

Sono grossi affari... e la cosa si sta facendo personale.

Qualsiasi tipo di azienda può essere esposta agli attacchi quando i suoi dipendenti si aprono alle minacce esterne. Buona parte delle piccole aziende non prende in considerazione l'idea di poter essere presa di mira dai malintenzionati. Ciò che non sanno è che siamo tutti obiettivi potenziali, a prescindere dalla taglia.1 Oggi gli aggressori selezionano accuratamente i propri obiettivi, evitando di sferrare attacchi su larga scala, per concentrarsi su obiettivi più specifici e in un certo modo più “personali”.

1 http://www.trendmicro.it/media/misc/small-business-is-big-business-in-cybercrime-it.pdf

TrendMicrohaprotettopiccoleemedieimprese(PMI)dapiùdi142 milionidiminacceneisoliprimiseimesidell’anno.

Sommario

Crimini informatici

I criminali informatici stanno selezionando con cura i loro bersagli per lanciare attacchi più efficaci.

Minacce costanti evolute e altri attacchi mirati

Trend Micro ha previsto per il secondo trimestre i rapporti su due campagne di alto profilo che hanno preso di mira alcune nazioni più di altre.

Minacce mobili

L’ampia base di utenti Android rappresenta una grande occasione non solo per Google, ma anche per chi cerca costantemente di attaccare il sistema operativo.

Minacce dei social media

Non è necessario essere un hacker né ci vuole molte fatica per estrarre informazioni personali dai siti dei social network.

Vulnerabilità

Il secondo trimestre ha evidenziato vulnerabilità meno recenti che sono state utilizzate per nuovi attacchi.

I criminali informatici stanno selezionando con cura i loro bersagli per lanciare attacchi più efficaci. Secondo le osservazioni di Trend Micro per il trimestre in questione, i criminali informatici stanno per diventare più aggressivi, grazie a strumenti più sofisticati come sistemi di trasferimento automatico (ATS) e Blackhole Exploit Kit per incrementare la potenza dei rispettivi ZeuS, SpyEye e altri botnet.

Come previsto...• Anche se i botnet diventeranno più piccoli,

aumenteranno di numero e renderanno le efficaci retate delle forze dell’ordine assai più difficili da effettuare.

* http://www.trendmicro.de/media/misc/trend-micro-2012-security-predictions-it.pdf

CiCli di spam Blackhole exploit kit

• Sono stati utilizzati cicli di spam ad alto volume per guidare soprattutto bersagli situati negli Stati Uniti verso le migliaia di siti compromessi e, da questi, verso i siti di hosting Blackhole Exploit Kit

• Nel corso di un attacco specifico, Trend Micro ha identificato più di 2.000 diversi URL, distribuiti su più di 374 domini

• Ciascun dominio compromesso conteneva mediamente 5 pagine uniche di destinazione dannose

• Lo scopo principale è di infettare i sistemi delle vittime con varianti delle minacce informatiche ZeuS, per rubare informazioni personali2

• Più recentemente, la semplice azione di apertura dello spam ha portato a più reindiriz­za menti che hanno provocato lo scaricamento automatico di minacce informatiche3

2 http://blog.trendmicro.com/persistent-black-hole-spam-runs-underway/3 http://blog.trendmicro.com/an-aggressive-turn-of-tactics-used-in-black-hole-exploit-kit-spam-runs/

aTS

• La più recente funzionalità aggiunta a strumenti per il crimine informatico già ampiamente usati, come ZeuS e SpyEye per automatizzare le frodi bancarie online4

• Consente ai criminali informatici di trasferire segretamente fondi per importi variabili da 500 a 13.000 euro (ad es. USD 622,93-16.196) per transazione dai conti delle vittime a quelli di intermediari

• Colpisce soprattutto i clienti dei servizi di banking online di paesi come Germania, Regno Unito e Italia5

4 http://blog.trendmicro.com/evolved-banking-fraud-malware-automatic-transfer-systems/5 http://www.trendmicro.co.uk/media/misc/automating-banking-fraud-via-ats-research-paper-en.pdf

In questo trimestre, Trend Micro™ Smart Protection Network™ ha protetto gli utenti di prodotti da un totale di:

• 15,8 miliardi di spam

• 448,8 milioni di minacce informatiche

• 1,3 miliardi di URL dannosi

Dall’Internet Crime Complaint Center (IC3), nel suo 2011 Internet Crime Report:

• Ricevute 314.246 segnalazioni, di cui 115.903 con segnalazione di perdite

• Perdite totali registrate pari a USD 485.253.871

* http://www.ic3.gov/media/annualreport/2011_IC3Report.pdf

“AncheseGermania,RegnoUnitoeItaliasembranoibersaglipiùcolpiti[daATS],

bancheealtreistituzionifinanziarie,ovunquesitrovino,nonsonoal

riparodagliattacchi”.-LoucifKharouni,

RicercatoreseniorsulleminacceTrendMicro

Il grafico qui sopra mostra il numero totale degli indirizzi IP osservati entro 24 ore dopo l’azione di rimozione di ciascuna famiglia di minacce informatiche.

* http://www.abuse.ch/?p=3294

Top 10 degli Url dannoSi bloccaTi

URl daNNOsi dEsCRiZiONE

trafficconverter.biz:80/4vir/antispyware/loadadv.exeDistribuisce minacce informatiche, in particolare le varianti DOWNAD

serw.clicksor.com:80/newserving/getkey.phpAssociato alla proliferazione delle applicazioni piratate e di altre minacce

deepspacer.com:80/y2x8ms42fge0otk4yjhmzwu4ztu 5y2e4mtfjngewztqxnjmyodczfdmxma==

Contiene URL dannosi, registrati da un noto spammer

109.235.49.170:80/click.phpContatto mediante una backdoor rilevata

172.168.6.21:80/c6/jhsoft.web.workflat/dcgetonline.aspx Scarica minacce informatiche

api.yontoo.com:80/getclientdata.ashx Utilizzato da adware

trafficconverter.biz:80/Distribuisce minacce informatiche, in particolare le varianti DOWNAD

www.funad.co.kr:80/dynamic/adv/sb/searchnq_popu.htmlPone rischi alla sicurezza per sistemi e/o reti compromessi

install.ticno.com:80/service/friendometer.php Scarica minacce informatiche

irs01.com:80/irt Scarica minacce informatiche

* SecondoidatiTrendMicro™SmartProtectionNetwork™

Top 10 dei domini ip dannoSi bloccaTi

dOmiNiO ip daNNOsO dEsCRiZiONE

trafficconverter.bizDistribuisce minacce informatiche, in particolare le varianti DOWNAD

info.ejianlong.com Scarica minacce informatiche

serw.clicksor.comAssociato alla proliferazione delle applicazioni piratate e di altre minacce

deepspacer.com Contiene URL dannosi, registrati da un noto spammer

bms.jne.go.krNoto per sfruttare le vulnerabilità in applicazioni come Microsoft Excel

www.trafficholder.com Sito sul traffico noto per la distribuzione di minacce informatiche

install.ticno.com Scarica minacce informatiche

109.235.49.170 È un possibile reindirizzatore di URL

www.bit89.com Scarica minacce informatiche

www.funad.co.kr Pone rischi alla sicurezza per sistemi e/o reti compromessi

* SecondoidatiTrendMicroSmartProtectionNetwork

Top 10 dei paeSi miTTenTi dello Spam

* SecondoidatiTrendMicroSmartProtectionNetwork

Top 5 delle lingUe per lo Spam

* SecondoidatiTrendMicroSmartProtectionNetwork

Top 3 delle minacce informaTiche

* Numeriesatti:WORM_DOWNAD–627.218;CRCK_KEYGEN–215.704;TROJ_SIREFEF–147.919secondoidatiTrendMicroSmartProtectionNetwork

Altri51%

Altri7%

Tedesco1%

Russo4%

Giapponese2%

Cinese1%

Inglese86%

Polonia2%

Perù3%

Russia3%

Arabia Saudita3%

Pakistan4%

Brasile4%

India13%

Corea del Sud7%

Vietnam7%

Stati Uniti5%

Trend Micro ha previsto per il secondo trimestre i rapporti su due campagne di alto profilo che hanno preso di mira alcune nazioni più di altre. Secondo la ricerca di Trend Micro, India e Taiwan sono le nazioni maggiormente colpite.

Come previsto...• Nuovi perpetratori di minacce

utilizzeranno strumenti criminali sofisticati per raggiungere i propri scopi.

• Man mano che il social engineering si diffonde a tutti i livelli, piccole e medie imprese diventeranno facili bersagli.

iXeShe

• Esiste almeno da luglio 2009

• Colpisce i governi dell’Asia orientale, industrie elettroniche e un’azienda di telecomunicazioni

• Utilizza, come server di comando e controllo (C&C), i server compromessi che appartengono alle organizzazioni bersaglio

• Nel corso del tempo ha accumulato almeno 60 server C&C6

• Sfrutta almeno 5 vulnerabilità, cioè:

• CVE-2009-43247

• CVE-2009-09278

• CVE-2011-06099

• CVE-2011-061110

• CVE-2009-312911

6 http://blog.trendmicro.com/taking-a-bite-out-of-ixeshe/7 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-43248 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-09279 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-060910 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-061111 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3129

aTTacchi “police Trojan”

• Si riferisce a un insieme di attacchi mirati che hanno utilizzato ransomware, in grado di tracciare la posizione geografica delle vittime e catturare i loro sistemi, per intimidire le vittime sfruttando le forze di polizia della nazione di appartenenza12

• Colpisce utenti in Germania, Spagna, Francia, Italia, Belgio, Gran Bretagna, Austria, Stati Uniti e Canada

• Connesso ad altre campagne di furto di dati con cavalli di Troia ZeuS e CARBERP, rootkit TDSS e minacce informatiche di falsi antivirus, fin dal 2010 e 2011

• Osservato per la prima volta in Russia nel 2005­200613

12 http://blog.trendmicro.com/trojan-on-the-loose-an-in-depth-analysis-of-police-trojan/13 http://www.trendmicro.co.uk/media/misc/police-trojan-research-paper-en.pdf

Gli aggressori hanno sottratto circa 1 miliardo di dollari USA all’anno da PMI nei soli Stati Uniti ed Europa.* http://www.trendmicro.co.uk/media/misc/why-small-business-lose-

critical-data-en.pdf

India e Taiwan sono state due delle nazioni maggiormente colpite, secondo la ricerca di Trend Micro.

“Gliattacchimiratisiconcentranosusingole

organizzazionineltentativodiestrarreinformazionipreziose.

Inuncertosenso,sitrattadiunritornoai“beitempidell’hacking”,primadegliattacchipiùdiffusiamilionidiutentieall’incrementoaltissimodeiworm”.

-TeamTrendMicroperlericerche

sulleminaccefuture

* http://www.trendmicro.co.uk/media/misc/ixeshe-research-paper-en.pdf

L’ampia base di utenti Android rappresenta una grande occasione non solo per Google, ma anche per chi cerca costantemente di attaccare il sistema operativo. Con più di 400 milioni di dispositivi Android14 e più di 600.000 app disponibili su Google Play,15 il numero di attacchi non può che aumentare. Il fatto che solo nel 20% dei dispositivi Android siano installate app per la sicurezza non è d’aiuto.16

14 https://plus.google.com/104629412415657030658/posts/cZHiJaMSFzA15 http://www.engadget.com/2012/06/27/google-play-hits-600000-apps/16 http://fearlessweb.trendmicro.com/2012/misc/only-20-of-android-

mobile-device-users-have-a-security-app-installed/

Come previsto...• Le piattaforme smartphone e tablet,

soprattutto Android, subiranno molti attacchi da parte dei criminali informatici.

boTpanda

• Funziona in dispositivi Android su cui è stato effettuato il rooting, e consente ai criminali informatici di acquisire privilegi di root sui dispositivi infetti

• Contiene una libreria di file dannosa che causa l’accesso dei dispositivi infetti a specifici server C&C17

• Nasconde routine dannose, rendendo estremamente difficile il rilevamento e la rimozione

• Trend Micro ha distribuito una app risolutiva su Google Play chiamata BotPanda Cleaner18

17 http://blog.trendmicro.com/library-file-in-certain-android-apps-connects-to-cc-servers/18 https://play.google.com/store/apps/details?id=com.trendmicro.mobilelab.securetool.botpanda&feature=search_

result#?t=W251bGwsMSwxLDEsImNvbS50cmVuZG1pY3JvLm1vYmlsZWxhYi5zZWN1cmV0b29sLmJvdHBhbmRhIl0

spyiNg TOOls pER android

• Sono stati rinnovati con la comparsa della app Spyera, una minaccia informatica nota anche come TIGERBOT, che è capace non solo di tattiche di spionaggio ordinarie, ma anche di registrare le telefonate delle vittime19

• Contengono uno strumento di spionaggio che è stato scaricato da Google Play da un numero di utenti stimato in 500–1.000 prima di essere eliminato20

• Contengono Spy Phone PRO+, che è 1 delle 17 app mobili dannose scaricate più di 700.000 volte prima di essere eliminata da Google Play21

19 http://blog.trendmicro.com/a-closer-look-at-androidos_tigerbot-evl/20http://blog.trendmicro.com/beta-version-of-spytool-app-for-android-steals-sms-messages/21 http://blog.trendmicro.com/17-bad-mobile-apps-still-up-700000-downloads-so-far/

Top 5 delle famiglie di minacce informaTiche per android

1. FAKE

2. ADWAIRPUSH

3. BOXER

4. DROIDKUNGFU

5. PLANKTON

* http://blog.trendmicro.com/infographic-behind-the-android-menace-malicious-apps/

Entro giugno 2012 TrendLabsSM ha già raccolto più di 25.000 campioni di minacce informatiche per Android, più del doppio del numero inizialmente previsto.

“Tuttidevonopreoccuparsiquandoinstallanounaappneltelefono.Iltelefono

memorizzadeidatie,asecondadellivellodellepatchapplicate,lamiglioredifesaèdiessereconsapevolideltipodiinformazionichesitrasmettono”.

-JamzYaneza,ResponsabileperlaricercasulleminacceTrendMicro

* http://about-threats.trendmicro.com/relatedthreats.aspx?language=it&name=Mobile%20Apps%3A%20New%20

Frontier%20for%20Cybercrime

Non è necessario essere un hacker né ci vuole molte fatica per estrarre informazioni personali dai siti dei social network. A volte, tutte le informazioni ricercate sono già disponibili. Non importa quanto siano efficaci le misure di protezione adottate dai siti,22 i criminali informatici troveranno sempre il modo di superarle. Invece di attaccare i più grandi siti dei social network, ad esempio, prendono di mira attori di minori dimensioni come Pinterest. Al ritmo attuale, non ci vorrà molto perché gli attori più piccoli rappresentino anch’essi un “buon investimento”.

22 https://www.facebook.com/notes/facebook-security/trend-micro-and-facebook-protecting-people-from-online-threats/10150721637700766

Come previsto...• La nuova generazione avvezza ai social

network ridefinirà il concetto di “privacy”.

TRUffE TRamiTE sONdaggi sU pinterest

• Hanno utilizzato “pinterest” come parola chiave per i repin

• Conducono a siti che offrono premi, buoni e buoni regalo dopo avere risposto a finti sondaggi

• Inducono le vittime a comunicare i numeri dei cellulari, provocando addebiti indesiderati sul conto telefonico23

23 http://blog.trendmicro.com/bogus-pinterest-pins-lead-to-survey-scams/

Ad aprile 2012 Pinterest era considerato il terzo sito di social network più visitato negli Stati Uniti.* http://articles.cnn.com/2012-04-06/tech/tech_social-media_

pinterest-third-social-network_1_social-networking-facebook-and-twitter-social-media?_s=PM:TECH

Nel marzo 2012 Pinterest contava già 18 milioni di visitatori unici mensili.* http://www.comscore.com/Press_Events/Presentations_

Whitepapers/2012/State_of_US_Internet_in_Q1_2012

i NUmERi di pinterest

• 15,8 minuti: il tempo medio trascorso dagli utenti sul sito

• 62,8%: il numero di utenti di sesso femminile del sito

• 1,36 milioni: il numero di visitatori al giorno

* http://mashable.com/2012/02/25/pinterest-user-demographics/

Top 5 delle eSche per il Social engineering

* BasatosulnotorilevamentodegliincidentidiTrendMicro

“Isitideisocialnetworkcontinuanoad

aumentareilnumerodicontrollidisicurezzaeamigliorarequelli

esistenti...Èungiocodelgattoconiltopoincuilaprivacyelasicurezzadei

datisonoarischio”.-DavidSancho,

RicercatoreseniorsulleminacceTrendMicro

* http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_security_

guide_to_social_networks.pdf

Il secondo trimestre ha evidenziato vulnerabilità meno recenti che sono state utilizzate per nuovi attacchi. Diversamente da una diffusa convinzione, non sempre il problema è rappresentato da nuove vulnerabilità. In effetti, lo sfruttamento di vulnerabilità meno recenti resta un metodo efficiente, soprattutto perché molti utenti tuttora non aggiornano regolarmente i loro sistemi.

cVe-2012-0158

• Una vulnerabilità presente nel 2012 in uno dei software di Microsoft più utilizzati, Microsoft Word, a dimostrazione del fatto che “non sempre le cose nuove sono le migliori”24

• Utilizzato per campagne mirate di attacchi basate su “Tibetan”25

24 http://blog.trendmicro.com/snapshot-of-exploit-documents-for-april-2012/25 http://blog.trendmicro.com/cve-2012-0158-now-being-used-in-more-tibetan-themed-targeted-attack-campaigns/

cVe-2010-2729 e cVe-2010-2568

• Utilizzato per distribuire la minaccia informatica FLAME, che ha colpito gli utenti in Iran e altre nazioni fin dal 201026

26http://blog.trendmicro.com/flame-malware-heats-up-threat-landscape/

cVe-2011-0611

• Utilizzato all’apertura da parte degli utenti di un file dannoso di Microsoft PowerPoint, che causa l’installazione di una backdoor

• Le patch sono disponibili dall’aprile 2011 ma è ancora in uso27

27 http://blog.trendmicro.com/malicious-powerpoint-file-contains-exploit-drops-backdoor/

Uno studio CSIS ha rilevato che il 99,8% di tutte le infezioni da virus sono causate dal mancato aggiornamento di 5 pacchetti software specifici, fra cui Adobe Reader, Acrobat e Flash Player.* http://www.csis.dk/en/csis/news/3321

Top 10 dei forniTori per nUmero di vUlnerabiliTà diSTinTe

* Mostraifornitoridelsistemaoperativo/softwarepiùvulnerabiledaaprileagiugno2012inbaseaidatidisponibilisuhttp://cve.mitre.org/“Nell’arcodidue

settimane,CVE-2012-0158èpassatodallivellozeroal

sorpassosuCVE-2010-3333comevulnerabilitàsfruttabilepreferitadagli

aggressori.Ciòdimostrachelafinestraperladistribuzionedellepatchpervulnerabilitàcriticheèridotta,equestorichiededigestiresecondo“duediligence”edisciplinalepatch

atuttiilivellinelleorganizzazioni”.-RyanFlores,

RicercatoreseniorsulleminacceTrendMicro

TREND MICRO™

Trend Micro Incorporated, leader mondiale delle soluzioni di sicurezza in­the­cloud, crea un mondo sicuro per lo scambio di informazioni digitali grazie alla protezione dei contenuti Internet e alle soluzioni di gestione delle minacce per aziende e privati. Come pionieri della protezione dei server con più di 20 anni di esperienza, offriamo una sicurezza di punta per client, server e in­the­cloud che si adatta perfettamente alle esigenze dei nostri clienti e partner, blocca più rapidamente le nuove minacce e protegge i dati in ambienti fisici, virtualizzati e in­the­cloud. Basati sull’infrastruttura Trend Micro™ Smart Protection Network™, la nostra tecnologia e i nostri prodotti e servizi leader del settore per la protezione in ambito di cloud computing bloccano le minacce non appena si presentano, su Internet, e sono supportati da più di 1.000 esperti di minacce informatiche a livello globale. Per ulteriori informazioni visitare www.trendmicro.com.

TRENDLABSSM

TrendLabs è un centro di ricerca, sviluppo e assistenza internazionale, con una capillare presenza geografica, che garantisce monitoraggio delle minacce, prevenzione degli attacchi e fornitura di soluzioni immediate e trasparenti in modo costante. Con i suoi oltre 1.000 esperti di minacce e ingegneri dell'assistenza disponibili 24 ore al giorno nei laboratori di tutto il mondo, TrendLabs consente a Trend Micro di monitorare continuamente le minacce in tutto il mondo; fornire dati in tempo reale per rilevare, prevenire ed eliminare le minacce; ricercare e analizzare le tecnologie per contrastare le nuove minacce; rispondere in tempo reale alle minacce mirate e consentire ai clienti di tutto il mondo di limitare al minimo i danni, ridurre i costi e garantire la continuità delle attività.

©2012 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di aziende o prodotti potrebbero essere marchi o marchi registrati dei rispettivi proprietari.