Il report “Attack Landscape H1 2019” di F-Secure lancia l’allarme sull’intensità degli attacchi relativi a Internet of Things e SMB nella prima metà di quest’anno. L’indagine mette in evidenza le minacce che riguardano i dispositivi IoT quando sono online se non adeguatamente protetti, nonché la continua popolarità di Eternal Blue e degli exploit correlati due anni dopo WannaCry.
Jarno Niemela, F-Secure Principal Researcher Tre anni dopo la prima apparizione di Mirai e due anni dopo WannaCry, ciò dimostra che non abbiamo ancora risolto i problemi legati a questi focolai. L’insicurezza dell’IoT, per esempio, sta diventando sempre più profonda, con sempre più dispositivi che spuntano continuamente e poi vengono cooptati in botnet. E l’attività su SMB indica che ci sono ancora troppe macchine là fuori che rimangono senza patch.
Gli honeypot di F-Secure, server decoy impostati per attirare gli attaccanti e raccogliere informazioni, hanno infatti misurato un aumento del numero di attacchi pari a 12 volte rispetto allo stesso periodo di un anno fa. L’aumento è stato guidato dal traffico indirizzato ai protocolli Telnet e UPnP, che vengono utilizzati dai dispositivi IoT, nonché al protocollo SMB, che viene utilizzato dalla famiglia di exploit Eternal per propagare ransomware e trojan bancari. Il traffico Telnet ha rappresentato la quota maggiore di traffico del periodo, con oltre 760 milioni di attacchi registrati, ovvero circa il 26 percento del traffico.
L’UPnP è stato il successivo più frequente, con 611 milioni di attacchi. SSH, che è anche usato per colpire i dispositivi IoT, ha avuto 456 milioni di attacchi. Probabili fonti di questo traffico sono i dispositivi IoT infettati da malware come Mirai, che era anche la famiglia di malware più comune rilevata dagli honeypot. Mirai infetta router, telecamere di sicurezza e altri dispositivi IoT che utilizzano credenziali predefinite di fabbrica. Il traffico verso la porta SMB 445 ha visto 556 milioni di attacchi.
L’alto livello di traffico SMB indica che la famiglia di exploit Eternal, la prima delle quali è stata utilizzata nella devastante “epidemia” del ransomware WannaCry del 2017, è ancora viva e vegeta, e cerca di devastare milioni di macchine ancora prive di patch.
Oltre ai risultati appena illustrati, il report di F-Secure indica anche:
•I Paesi nei quali gli spazi IP hanno ospitato il maggior numero di fonti di attacco sono stati Cina, Stati Uniti, Russia e Germania.
•I Paesi dove è stato diretto il maggior numero di attacchi sono stati Stati Uniti, Austria, Ucraina, Regno Unito, Paesi Bassi e Italia.
•Il metodo di consegna più comune per il ransomware durante il periodo esaminato è stato tramite il protocollo remote desktop (RDP) nel 31% dei casi.
•La maggior parte del traffico Telnet proveniva da Stati Uniti, Germania, Regno Unito e Paesi Bassi.
• La maggior parte del traffico SMB proveniva dalla Cina.
