Yoroi rende disponibile il Cybersecurity Annual Report

Yoroi rende disponibile il suo Cybersecurity Annual Report

Yoroi presenta la prima edizione del Cybersecurity Annual Report per comprendere meglio i principali attacchi e per difendere in modo efficace la propria azienda. Obiettivo quello è di fornire informazioni e strumenti per comprendere il modo in cui le minacce informatiche si distribuiscono, quali vulnerabilità sfruttano, quali tecniche utilizzano, quanto siano abili i sistemi antivirus nell’individuare attacchi e minacce

Marco Ramilli, fondatore e CTO di Yoroi
Negli ultimi anni abbiamo osservato un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto. I criminali informatici oggi sono capaci creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni.

Il report è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato tra il primo gennaio e il 31 dicembre 2017. Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst Yoroi. Non sono inclusi dati provenienti da fonti “terze”.

Data Leak. Gli analisti hanno esaminato le principali fughe di informazioni, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel dark net. Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% (pari a289.799) ha riguardato domini unici riconducibili a organizzazioni italiane.
Il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).

Malware. In questa sezione sono indicati i volumi di propagazione delle minacce per percorso – e-mail, web, social media, etc. – e la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus.

Principali minacce e vettori di attacco. Ransomware è il malware che ha colpito maggiormente nel 2017. Al ceppo Rasomware si riconduce il 50% di malware individuato e bloccato dal Cyber Security Defence Center Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali, seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro (1%). I principali vettori sono riconducibili a Office (61%), Script (23%), Executable (14%), Archive (1%), pdf (1%).
Il percorso di propagazione avviene su email (89%) o per download diretto (11%).

I settori più colpiti. Nella sezione dedicata alla correlazione tra malware e settori verticali, in esame sia la tipologia di attacco sia i vettori, sia i metodi di propagazione.

Il settore Banche è tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware Banker. I settori Tessile e Abbigliamento, Bevande, Attrezzatture e macchinari e Trasporti sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).

DNS Blocked Threats. Esame dei principali domini pericolosi (TOP malicious domain) contattati nel corso del 2017, principali categorie di attacco individuate e distribuzione per dominio.
Si tratta di minacce che prevedono che le vittime siano indotte ad aprire un link contenente oggetti malevoli sia attraverso malwertising, sia attraverso social engineering o mail di phishing. Le minacce bloccate a livello di DNS, sono state bloccate a valle dai sistemi di protezione perimetrale e sono le minacce che risultano essere penetrate eludendo i sistemi utilizzati dalla vittima stessa (Simda 30%, Cryptor 27%, Betabot 17% e Tinba (12%).