SonicWall rilascia i risultati del proprio Threat annuale, che evidenzia gli avanzamenti salienti di professionisti della sicurezza e cyber criminali per il 2016.
Il report è stato realizzato con dati raccolti nel corso del 2016 dal SonicWall Global Response Intelligence Defense (GRID) Threat Network che alimenta quotidianamente oltre un milione di sensori di sicurezza in circa 200 paesi. Florian Malecki, international product marketing director di SonicWall, ha commentato in esclusiva per noi il rapporto, rispondendo alle domande e svelando alcuni aspetti salienti in materia di cyber-security.
Secondo il 2017 SonicWall Annual Threat Report, il 2016 potrebbe essere considerate un anno di grandi successi dal punto di vista di professionisti e cyber criminali. Diversamente dagli anni scorsi, SonicWall ha visto il volume di campioni unici di malware raccolti scendere a 60 milioni rispetto ai 64 milioni del 2015, registrando una riduzione del 6,25%. I tentativi di attacco malware sono diminuiti per la prima volta in tanti anni passando a 7,87 miliardi dagli 8,19 miliardi del 2015. Tuttavia, i malviventi hanno guadagnato molto con il ransomware, trainato soprattutto dall’aumento di ransomware-as-a-service (RaaS).
Gli attacchi malware Point-of-sale sono diminuiti del 93% dal 2014 al 2016.
I breach di alto profilo nel settore retail nel 2014 hanno portato le aziende ad adottare misure di sicurezza proattive. Da allora, il settore ha visto l’implementazione di sistemi POS chip-based, l’uso di checklist PCI-DDS (Payment Card Industry Data Security Standard) ed altri processi.
Il traffico cifrato Secure Socket Layer/Transport Layer Security è salito del 38%, parzialmente in risposta alla crescente adozione di applicazioni cloud.
Il trend verso la cifratura SSL/TLS è in crescita da diversi anni. Poiché il traffico web è aumentato nel 2016, così è stato per la cifratura SSL/TLS che è passata da 5,3 trilioni di connessioni web nel 2015 ai 7,3 trilioni nel 2016 secondo il SonicWall GRID Threat Network.
Nonostante questo trend verso la cifratura SSL/TLS è positivo, richiede un po’ di attenzione. Infatti, se da un lato rende più difficile per i cyber thief l’intercetto di informazioni di pagamento dei consumatori, offre un’inaspettata e fidata backdoor alla rete che i cyber criminali possono sfruttare per far entrare il malware. Il motivo per cui questa misura di sicurezza può diventare un vettore di attacco è che la maggior parte delle imprese non dispone ancora dell’infrastruttura adeguata per effettuare la deep packet inspection (DPI) al fine di identificare il malware nascosto all’interno delle sessioni web SSL/TLS-encrypted.
All’inizio del 2016 il mercato del malware era dominato da una manciata di exploit kit, in particolare Angler, Nuclear e Neutrino. A seguito dell’arresto di oltre 50 hacker russi per l’uso di Lurk Trojan al fine di perpetrare frodi bancarie, il SonicWall GRID Threat Network ha visto scomparire improvvisamente l’Angler exploit kit, facendo pensare che i suoi creatori fossero tra i criminali arrestati. Per breve tempo dopo la scomparsa di Angler, la presenza di Nuclear e Neutrino è aumentata, ma sono anch’essi spariti rapidamente.
Progressi dei cyber criminali
L’uso del ransomware è cresciuto di 167x anno su anno ed è stato il payload prescelto per campagne email malevole ed exploit kit.
Il SonicWall GRID Threat Network ha identificato una crescita negli attacchi che sono passati da 3,8 milioni nel 2015 a 638 milioni nel 2016. La nascita del ransomware-as-a-service ha reso il ransomware molto più semplice da ottenere e implementare. L’aumento senza precedenti del malware è stato trainato da un accesso più facile al mercato nero, dal costo contenuto per perpetrare un attacco ransomware, dalla facilità di distribuzione e dal basso rischio di venire presi e puniti.
● Il ransomware è cresciuto costantemente nel 2016, a partire da marzo quando i tentativi di attacco sono passati da 282.000 a 30 milioni nel corso del mese, e hanno continuato a salire fino ai 266,5 milioni nel quarto trimestre.
● Il payload più diffuso per le campagne email malevole nel 2016 è stato il ransomware, tipicamente Locky, adottato nel 90% degli attacchi Nemucod e in più di 500 milioni di attacchi nell’anno.
● Nessun settore è stato risparmiato. I mercati sono stati colpiti in egual misura tra cui meccanico e industrial engineering (15%), farmaceutico e servizi finanziari (ciascuno 13%), e immobiliare (12%) al terzo posto.
I dispositivi Internet of Things sono stati compromessi su scala massiva a causa di scarse funzionalità di sicurezza, aprendo la porta ad attacchi distributed denial-of-service.
Con l’integrazione nei componenti chiave delle nostre vite private e lavorative, i dispositivi IoT hanno rappresentato un interessante vettore di attacco per i cyber criminali nel 2016. Le lacune nella sicurezza IoT hanno permesso ai cyber thief di lanciare i più estesi attacchi distributed denial-of-service (DDoS) della storia, sfruttando centinaia di migliaia di device IoT dotati di deboli password telnet per perpetrare attacchi DDoS con il Mirai botnet management framework.
● Il SonicWall GRID Threat Network ha osservato vulnerabilità in tutte le categorie di dispositivi IoT, compresi smart camera, smart wearable, smart home, smart vehicle, smart entertainment e terminali intelligenti.
● Durante il picco Mirai che è iniziato a novembre 2016, il SonicWall GRID Threat Network ha verificato che gli Stati Uniti sono stati il paese più colpito con il 70% degli attacchi DDoS, seguito da Brasile (14%) e India (10%).
I dispositivi Android dispongono di maggiore sicurezza ma sono sempre vulnerabili agli attacchi overlay.
Google ha lavorato molto nel 2016 per eliminare le vulnerabilità e gli exploit sfruttati dai cyber criminali contro Android in passato, ma i malviventi si sono avvalsi di nuove tecniche per superare queste migliorie.
● Il SonicWall GRID Threat Network ha notato che i cyber criminali usano gli screen overlay per mimare schermate di app legittime e indurre gli utenti a inserire informazioni di login e altri dati. Quando Android ha risposto per contrastare questi attacchi, SonicWall ha visto che i malviventi hanno superato queste misure convincendo gli utenti con l’inganno ad abilitare gli overlay.
● Le app adult-centric compromesse sono diminuite su Google Play ma i cyber criminali hanno continuato a mietere vittime sugli app store di terze parti. Il ransomware è stato un mezzo molto utilizzato, così come le app auto-installanti. Il SonicWall GRID Threat Network ha osservato oltre 4.000 app diverse con self-installing payload in sole due settimane.