Fortinet svela i risultati del report sulle minacce condotto dai suoi FortiGuard Labs e mette “sotto osservazione” il Brasile, registrando un aumento delle attività informatiche sospette.
Il report evidenzia un aumento delle attività legate alle minacce in Brasile e spiega perché questo richiede una maggiore attenzione in vista delle Olimpiadi di Rio. Sono inoltre stati idenditicati i Paesi maggiormente legati al phishing, oltre ai principali tipi di malware, botnet ed exploit kit trovati in giro per il mondo.
L’analisi degli esperti illustra l’emergere di una sofisticata metodologia per aiutare gli hacker a restare all’interno dei sistemi che hanno compromesso, chiamata “behavior blending”.
Incremento delle attività sospette in Brasile
Il volume degli oggetti (come nomi di dominio e URL) colpiti da software malevolo e phishing in Brasile è in aumento. In giugno, l’incremento percentuale in Brasile è stato superiore in tre delle quattro categorie del report Fortinet, se comparato con l’incremento percentuale registrato a livello globale. Il massimo incremento percentuale è stato registrato nella categoria degli URL malevoli, con l’83% rispetto al 16% del resto del mondo.
Con l’avvicinarsi delle Olimpiadi di Rio, la storia di questi attacchi in aumento continuerà sicuramente, e i FortiGuard Labs stanno già registrando indicazioni di metodologie ripetute, come similitudini di dominio per frodi sui pagamenti e website o URL malevoli mirate a responsabili governativi e degli eventi.
Gli attacchi informatici nel corso delle Olimpiadi non sono nuovi. Già a partire dai Giochi Estivi del 2004 in Grecia, i FortiGuard Labs di Fortinet hanno riscontrato in passato un picco di attacchi in corrispondenza dell’inizio delle Olimpiadi.
Panoramica delle minacce: il vecchio si rinnova e i volumi restano alti
La ricerca dei FortiGuard Labs di Fortinet vede un ritorno delle vecchie minacce e vettori di attacco, e la persistenza di attacchi classici, come Conficker ed il ransomware, attraverso varianti aggiornate. I dati remoti e le ricerche di Fortinet indicano che i due più comuni metodi di distribuzione sono le email di phishing e i website malevoli.
Metodologia di attacco avanzata – “Behavior Blending”: Nel corso degli ultimi tre mesi, si è fatto notare un nuovo sofisticato modo per aiutare gli hacker a restare nei sistemi che hanno compromesso. Il behavior blending è una tecnica usata dai criminali che permette loro di mimetizzarsi in una rete compromessa. Ad esempio, su un network aziendale, l’hacker può replicare il comportamento di un dipendente per evitare di essere identificato. Vista la capacità significativa di questa tecnica elusiva di evitare l’identificazione, Fortinet si attende una sua presenza crescente, man mano che questa verrà raffinata e verranno sviluppati nuovi tool per replicare in modo più accurato il comportamento di un obiettivo mirato.
Phishing: Il volume delle attività globali di phishing resta alto, con un aumento del 76% da aprile a giugno, sulla base dei dati legati a domini e URL di phishing dei FortiGuard Labs. L’incremento percentuale da maggio a giugno è stato dell’11%. Ulteriori informazioni sul phishing comprendono una maggiore attività da pare di Tokelau, con i maggiori quattro domini nazionali in Q2 2016 identificati come Brasile, Colombia, Russia e India. Inoltre, le copie di dominio sono sempre molto usate (nefflix al posto di netflix). Infine, FortiGuard ha anche osservato la presenza dei nomi di numerose grandi istituzioni finanziarie nei domini e nelle URL di phishing.
Exploit Kit: C’è una crescita nell’utilizzo di Exploit Kit (EK) Java-based, con URL malevoli per distribuire ransomware in particolare come downloader payload di prima istanza. E c’è un passaggio in corso, da Angler a Fiesta e Neutrino, con entrambi presenti in modo significativo nella top 10 globale dei exploit kit redatta dai FortiGuard Labs.
Malware avanzato: La famiglia JS/Nemucod è stata la tipologia di malware dominante a livello globale negli ultimi tre mesi. Si tratta del più attivo downloader di ransomware al momento, a fronte di attacchi ransomware in crescita significativa.
Estrazione dei dati – indicatori di botnet: La telemetria di FortiGuard sulle minacce mostra una crescita di chatter e attività botnet, con botnet ransomware come Locky e Cryptowall in particolare evidenza nella lista dei top 10.