La criminalità informatica colpisce obiettivi inattesi
by user
Comments
Transcript
La criminalità informatica colpisce obiettivi inattesi
TrendLabsSM - Verifica di sicurezza del 1° trimestre 2014 La criminalità informatica colpisce obiettivi inattesi Attacchi legati a bitcoin e sistemi PoS preoccupano gli utenti TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Sommario 1 |Criminalità informatica e relativo mercato sommerso 10 |Panorama delle minacce mobili 15 |Campagne di attacchi mirati e attacchi informatici 21 | Vita digitale e Internet di tutto 25 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Introduzione Alla fine del 2013, ci siamo resi conto che i furti digitali hanno messo in ombra le rapine in banca1. Sebbene ciò sia vero nell’ambito di consistenti incidenti di violazione dei dati e della criminalità informatica dilagante, il primo trimestre del 2014 ha dimostrato che le operazioni dannose eseguite dai criminali informatici odierni interessano quelle entità che in precedenza non erano state prese di mira dagli attacchi informatici. Ne sono un esempio la rapina digitale da 480 milioni di dollari ai danni della borsa di Bitcoin, MtGox, e i recenti attacchi contro la grande distribuzione attraverso i terminali PoS2, 3. Questi crimini di alto profilo hanno preso di mira fonti di informazione inattese, anche se gli aggressori perseguivano lo stesso obiettivo, il denaro, utilizzavano le stesse tecniche seppur con una pianificazione più strategica, e agivano per avidità. utenti, i criminali informatici hanno per seguito obiettivi insoliti, quali i terminali PoS nelle catene di distribuzione4. In questa epoca di transazioni elettro niche, un’enorme violazione dei dati non può che essere considerata un “crimine”, indipendentemente dal fatto che venga eseguita da singoli aggressori o da bande sofisticate di criminali informatici. Piuttosto che prendere di mira i singoli Le tattiche adottate dai criminali informatici in questo trimestre hanno insegnato che a prescindere da quanto sia avanzata la strategia di difesa, gli attori delle pratiche dannose perseguono sempre un obiettivo, seppure insolito, per ottenere un profitto immediato. I principali episodi di questo trimestre sono caratterizzati da piani ben orchestrati e grandi somme di denaro sottratte da criminali informatici intraprendenti. Le minacce informatiche di banking online, ad esempio, hanno mostrato comportamenti nuovi anche se le tattiche di base utilizzate dai criminali informatici per diffonderle sono rimaste le stesse. Bitcoin e i relativi attacchi hanno acquistato importanza come strumento finanziario e minaccia. Il panorama delle minacce mobili non ha subito drastici cambiamenti in questo trimestre, anche se è stato battezzato “più maturo” con l’aumento dei bug per Android™. Le violazioni dei dati dei rivenditori registrate negli ultimi mesi hanno sottolineato l’esigenza di strategie di difesa personalizzate. NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui computer degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le cifre citate in questo rapporto provengono dai dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart Protection Network™, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti in sede e i servizi in hosting. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 CRIMINALITÀ INFORMATICA E RELATIVO MERCATO SOMMERSO Bitcoin è una valuta “matura” e attira sempre più criminali informatici Nel tempo, la natura della tecnologia e della rete Bitcoin è sensibilmente mutata. Di conseguenza, anche le minacce ad esse associate si sono evolute. In passato, gli aggressori compromettevano i sistemi e li utilizzavano per minare la preziosa valuta digitale; oggi, le borse e i portafogli Bitcoin vengono presi di mira dai furti. Ad esempio, BitCrypt, un nuovo elemento nell’ambiente del ransomware, nel mese di marzo si è impadronito di diversi portafogli di crittovaluta, inclusi i portafogli Bitcoin5. Inoltre, è emerso che numerose borse Bitcoin, tra cui MtGox, Flexcoin, la new Silk Road e Poloniex, hanno risentito degli effetti delle rapine subite6, 7, 8, 9. Tuttavia, questo non significa che il Bitcoin mining non è più redditizio. Se eseguito correttamente, il Bitcoin mining (processo che gestisce le transazioni Bitcoin e ne crea di nuove) si rivela un investimento redditizio, in quanto il prezzo medio settimanale di Bitcoin può arrivare a 945 dollari nella borsa più grande10. Valore dei Bitcoin in circolazione 10 mld. USD 10 mld. 8,6 mld. 7,6 mld. USD 5 mld. 0 GEN FEB MAR Fonte: https://blockchain.info Con circa 12 milioni di Bitcoin esistenti all’inizio dell’anno, il valore totale dei Bitcoin è salito a 10 miliardi di dollari. Tuttavia, a causa del colpo a MtGox lo scorso febbraio, il suo valore è andato fluttuando tra 6 e 8 miliardi di dollari questo trimestre, con il valore più basso a marzo. Malgrado la svalutazione e la fluttuazione dei tassi di cambio, gli utenti Bitcoin che hanno acquistato la crittovaluta nel primo trimestre del 2013 hanno tuttavia guadagnato più di una decuplicazione del loro investimento oggi. 1 | Criminalità informatica e relativo mercato sommerso TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Bitcoin mining e minacce informatiche specializzate nel furto dei portafogli Bitcoin NOME RILEVAMENTO ROUTINE DATA DELLA PRIMA COMPARSA BKDR_BTMINE Esegue il Bitcoin mining scaricando i miner. Settembre 2011 KELIHOS Ricerca e sottrae i file wallet.dat. Aprile 2013 SHIZ Monitora i processi connessi a Bitcoin a scopo di furto. Novembre 2013 COINMINE (DevilRobber) Copia tutti i contenuti di wallet.dat e li invia ai server FTP (File Transfer Protocol). Dicembre 2013 FAREIT/TEPFER (Pony) Ricerca e sottrae i file wallet.dat, .wallet e electrum.dat. NOTA: FAREIT è un noto downloader di CRIBIT/ BitCrypt, che sottrae i portafogli Bitcoin e i portafogli di crittovaluta. Marzo 2014 KAGECOIN Esegue il Bitcoin mining sui dispositivi Android. Marzo 2014 Questo trimestre, come abbiamo visto, si sono viste molte minacce informatiche dedite al furto di portafogli Bitcoin, oltre ai miner. Dopo alcuni anni di funzionamento come valuta, Bitcoin si è rivelato anche un ottimo strumento per restare coinvolti in transazioni illecite. Nell’ultima parte del 2013, i creatori della famose minacce 2 | Criminalità informatica e relativo mercato sommerso informatiche CryptoLocker hanno spostato le loro tattiche di monetizzazione su Bitcoin come modalità di pagamento per file o sistemi trattenuti in ostaggio11. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 informatici, quali BlackOS, dal mercato clandestino12. L’uso di Bitcoin, dopo tutto, è un sistema molto conveniente per l’acquisto anonimo in quanto è una valuta che può circolare online senza essere legata a nessun conto corrente bancario. Nonostante l’intenzione degli sviluppatori di introdurre Bitcoin come strumento di pagamento online innovativo, il suo utilizzo si è rivelato efficiente anche per il riciclaggio di denaro e per l’acquisto di prodotti illegali, inclusi strumenti criminali Linea temporale degli attacchi Bitcoin noti, 1° trimestre 2014 Vircurex Bitstamp Poloniex New Silk Road GEN FEB Flexcoin MAR Fonti: Bitstamp, Vircurex, Poloniex, Flexcoin e New Silk Road Questo trimestre, diverse borse di Bitcoin hanno ammesso di avere subito attacchi e violazioni che hanno causato la perdita di Bitcoin in alcuni casi o, in altri peggiori, il fallimento e la chiusura delle borse interessate. 3 | Criminalità informatica e relativo mercato sommerso TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Le minacce informatiche di banking online hanno riportato comportamenti nuovi ma tattiche di base familiari Le minacce informatiche di banking online hanno mostrato una vasta gamma di comportamenti degni di nota nel corso di questo trimestre. Ad esempio, a gennaio sono stati individuati campioni ZeuS/ ZBOT che hanno preso di mira i sistemi a 64 bit. Le loro routine impediscono l’esecuzione di vari strumenti di analisi anti-malware e dispongono di un componente Tor che nascondeva le comunicazioni con i server command- and-control (C&C)13. Nello stesso mese, una variante di BANLOAD utilizzava un approccio di infezione diverso, ricercando i plug-in di sicurezza prima di eseguire le routine dannose14. Le minacce informatiche del pannello di controllo e l’esclusivo downloader “a tempo” ZeuS/ ZBOT hanno ulteriormente dimostrato che, quanto a tecnica, non c’erano due minacce informatiche di banking online identiche15, 16. Confronto del volume delle minacce informatiche di banking online, 1° trimestre 2013 e 1° trimestre 2014 Volume delle minacce informatiche di banking online, gennaio–marzo 2014 50.000 25.000 60.000 44.671 32.489 39.301 116.461 112.982 120.000 0 0 1° trim. 2013 1° trim. 2014 GEN FEB MAR Il numero di rilevamenti di minacce informatiche per il banking online ha raggiunto questo trimestre circa 116.000 unità e ha mostrato un incremento lento ma costante rispetto ai 113.000 rilevamenti del primo trimestre 2013. 4 | Criminalità informatica e relativo mercato sommerso TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Paesi maggiormente colpiti dalle minacce informatiche di banking online PAESE QUOTA Stati Uniti 23% Giappone 10% India 9% Brasile 7% Turchia 4% Francia 3% Malesia 3% Messico 3% Vietnam 3% Australia 3% Altri 32% Gli Stati Uniti sono stati al solito il paese maggiormente colpito dagli attacchi legati alle minacce informatiche per il banking online. L’India è lentamente salita nella top 3 grazie al picco nel numero di banche online nel paese, che si potrebbe attribuire a un settore bancario ampiamente migliorato17. Il volume delle transazioni in mobile banking è cresciuto insieme al numero dei trasferimenti di denaro online, un mezzo secondario tra i primi in classifica per eseguire rimesse interne18, 19. Paesi maggiormente colpiti dalle minacce informatiche di banking online, gennaio-marzo 2014 Stati Uniti 7.801 8.314 11.122 12.000 4.267 2.900 4.287 Giappone 3.242 3.114 3.737 6.000 0 GEN FEB MAR Stati Uniti, Giappone e India hanno mantenuto le proprie posizioni in classifica per tutto il trimestre in merito al rilevamento delle minacce informatiche per il banking online. 5 | Criminalità informatica e relativo mercato sommerso India TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Il ransomware ha continuato ad adottare un approccio locale L’aumento di CryptoLocker a ottobre 2013 è un esempio lampante di come i criminali informatici hanno perfezionato le proprie tattiche e potenziato gli strumenti esistenti anziché crearne di nuovi. Sulla base del controllo passato di CryptoLocker, le minacce informatiche hanno continuato a rappresentare un grande ostacolo per i ricercatori della sicurezza in questo trimestre. Grazie a sofisticate tattiche di social engineering, tecnologia di crittografia e timer per il conto alla rovescia, risultava più semplice spaventare le vittime e spingerle a pagare. Durante questo trimestre, il ransomware già diffuso ha registrato ulteriori progressi da quando i criminali informatici hanno scoperto la loro “attrattiva” a livello mondiale. Spaventare le persone e indurle a sottomettersi si è rivelato effi cace indipendentemente dal luogo in cui risiedono le vittime. Esempio em blematico: a febbraio, una variante ransomware simile a CryptoLocker ha colpito utenti in Ungheria e Turchia20. Era già accaduto con Police Trojan che prese di mira nello specifico gli utenti di Italia, Spagna, Francia e Regno Unito21. La tendenza attuale mostra il ripetersi della storia. Oltre a prendere di mira paesi specifici, il ransomware è stato diffuso con altri comportamenti dannosi, incluso il furto Bitcoin, con l’ingresso di BitCrypt. Questo ransomware che sottrae crittovaluta ha ricavato fondi da vari portafogli di crittovaluta, inclusi i portafogli Bitcoin. Il volume di ransomware è stato parti colarmente elevato nel terzo trimestre 6 | Criminalità informatica e relativo mercato sommerso del 2013 a causa di un aumento dei rile vamenti di CryptoLocker. Nel corso di questo trimestre, gli Stati Uniti sono finiti in testa all’elenco dei paesi più colpiti, con circa il 30% del totale, seguiti da Giappone e India. Anche il feedback ricevuto da Trend Micro Smart Protection Network ha mostrato che il 40% delle vittime di BitCrypt (rilevato come CRIBIT) risiedeva negli Stati Uniti. Paesi maggiormente colpiti dal ransomware Stati Uniti Giappone India Turchia Australia Germania Francia Regno Unito Canada Italia Altri 28% 22% 9% 8% 5% 4% 2% 2% 2% 2% 16% I paesi più colpiti dal ransomware nel 2013 non sono radicalmente cambiati quest’anno, benché sia stato osservato un leggero calo di volume. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Il lato oscuro di Tor è stato svelato L’obiettivo principale di Tor, in quanto rete mondiale di server, è quello di pro muovere la ricerca e lo sviluppo della privacy online. Tuttavia, l’anonimato offerto da Tor si è trasformato in una piattaforma allettante per i piani dannosi dei criminali informatici, grazie alla sua semplicità di accesso e utilizzo. Il Deep Web, che in passato veniva spesso associato a Tor, è stato sfruttato dai criminali informatici per la sua capacità di bypassare i crawler dei motori di ricerca, consentendo loro di rimanere anonimi22. Tor è stato particolarmente sfruttato a marzo, quando CRIGENT ha utilizzato Windows® PowerShell® per diffondersi mediante script prima del download di due noti strumenti anonimi online, uno dei quali coinvolgeva la rete Tor23. Anche la variante di ZeuS/ZBOT a 64 bit citata in precedenza ha sfruttato Tor per nascondere le comunicazioni con i server C&C. Il fatto che il client Tor sia semplice da installare ha permesso ai criminali informatici di eseguire operazioni complesse senza dover implementare ulteriori file di configurazione. I servizi nascosti offerti da Tor potrebbero anche spingere i criminali informatici a sfruttare ulteriormente questa rete nei prossimi mesi. Gli exploit zero-day e la fine del supporto per Windows XP hanno messo in luce i rischi legati ai bug privi di patch In questo trimestre i vari exploit zeroday sono stati individuati in una serie di vulnerabilità di browser, plug-in di browser e altri software. Microsoft™ Office® 2010 si è rivelato un obiettivo idoneo, come dimostrato dal bollettino sulla sicurezza del fornitore relativo al mese di marzo, che includeva una patch per una vulnerabilità zero-day in Microsoft Word®24. In precedenza nel mese di febbraio, è stato sfruttato un altro degli obiettivi preferiti, Adobe® Flash®, per diffondere 7 | Criminalità informatica e relativo mercato sommerso PlugX, uno strumento di accesso remoto noto per i suoi meccanismi furtivi25. Microsoft Security Advisory 2934088, rilasciato nello stesso mese, ha avvisato gli utenti delle versioni 9 e 10 dell’utilizzo di un exploit zero-day di Internet Explorer® negli attacchi mirati26. Si è trattato di un problema particolarmente grave per Microsoft, in quanto ha interessato la maggior parte delle versioni di Windows, ad eccezione di Windows 8.1 e Windows XP, dotati rispettivamente della versione 11 e 8 di Internet Explorer. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Gli exploit zero-day, come quelli utilizzati negli attacchi a Internet Explorer 9 e 10, sono stati significativi perché erano in grado di eludere le tecniche di preven zione, quali Address Space Layout Randomization (ASLR) e Data Execution Prevention (DEP). La capacità di eludere queste tecniche di prevenzione sono risultate efficaci negli attacchi recenti. Pertanto, abbiamo ragione di credere che in futuro i criminali informatici cercheranno di rendere i loro exploit sempre più indipendenti dalla piattaforma. Cronologia degli exploit zero-day, 1° trimestre 2014 Internet Explorer 9/10 Adobe Flash Microsoft Word 20 13 16 19 20 24 22 11 20 GEN SCOPERTI FEB RICONOSCIUTI 25 8 24 MAR APR REGOLA DEL PATCHING VIRTUALE DI TREND MICRO DEEP SECURITY CON PATCH Siamo stati in grado di garantire protezione agli utenti di Trend Micro Deep Security e OfficeScan™ con il plug-in Intrusion Defense Firewall (IDF) per due dei tre principali exploit zero-day rilevati in questo trimestre anche prima che i fornitori pubblicassero le patch. Sebbene gli exploit zero-day rilevati in questo trimestre non abbiano interessato Windows XP, i suoi utenti non sono stati risparmiati27. In effetti, la fine del supporto per Windows XP dall’8 aprile 2014 ha reso i sistemi ancora più soggetti agli attacchi28. Il fatto che le versioni di Internet Explorer successive alla versione 8 non siano compatibili con la piattaforma non è d’aiuto, in quanto gli utenti di Windows XP verranno abbandonati con le versioni precedenti 8 | Criminalità informatica e relativo mercato sommerso e vulnerabili del browser. Ovviamente, possono utilizzare browser alternativi per evitare le minacce che colpiscono Internet Explorer, anche se non è detto che questo semplice passaggio sia sicuro al 100% contro gli attacchi mirati ad altri browser eventualmente vulnerabili. Il software di protezione sarà ancora in grado di proteggere la piattaforma obsoleta, ma le vulnerabilità scoperte di recente non verranno più risolte e saranno per sempre esposte agli exploit degli aggressori29. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Quote di mercato dei sistemi operativi, marzo 2014 Windows 7 49% Windows XP 28% Windows 8 6% Windows 8.1 5% Mac OS X 10.9 4% Altri 8% Fonte: Netmarketshare.com A marzo 2014, Windows XP rimane uno dei principali protagonisti sul mercato dei sistemi operativi per desktop con una quota quasi del 30%. NOTA: le cifre di Netmarketshare.com tendono a variare, per questo le cifre sopra riportate mostrano il caso peggiore per Windows XP. Approfondimenti degli esperti I criminali informatici hanno continuato a individuare nuove strade per commettere crimini digitali ed eludere le contromisure applicate contro le loro creazioni. Le minacce informatiche per banking online hanno continuato a prosperare con l’emergere e/o la modifica di nuove famiglie di minacce, ciascuna con obiettivi diversi e varie tecniche anti-rilevamento. I metodi di distribuzione delle minacce informatiche del banking online sono anche stati continuamente perfezionati per infettare soltanto i sistemi in specifici paesi o aree. Tali metodi sono anche dotati di strumenti per fare in modo che i sistemi che infettano siano gli obiettivi preferenziali. Alcuni possono anche rilevare gli indirizzi IP e i layout di tastiera dei sistemi per fare in modo che questi si trovino in specifici paesi o aree di destinazione. Da quando le attività delle forze dell’ordine contro il furto online sono state lentamente potenziate, i criminali informatici stanno iniziando ad aggiungere altri livelli per garantire l’anonimato, proteggere le proprie identità ed evitare di essere arrestati. L’uso di Tor come canale C&C ha consentito loro di godere di un maggiore anonimato e ha dato loro un maggiore grado di resilienza aggiuntiva a fronte del rilevamento e dell’offensiva del software di protezione. L’interesse dei criminali informatici per i Bitcoin, nel frattempo, ruota intorno al fatto che questa valuta è enormemente più promettente, viene diffusamente adottata e si presenta come un obiettivo di punta per mining o furto. Infine, CryptoLocker ha generato controversie a causa della sua capacità di crittografare file archiviati, con conseguente perdita effettiva non solo dei documenti ma anche del denaro che le vittime consegnano ai “rapitori di file”. Martin Rösler Direttore Senior, Ricerca sulle minacce 9 | Criminalità informatica e relativo mercato sommerso TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 PANORAMA DELLE MINACCE MOBILI Il riconfezionamento delle app, l’economia sotterranea in crescita e la disponibilità di toolkit hanno spinto le minacce informatiche mobili e le applicazioni ad alto rischio a quota 2 milioni Crescendo ad un ritmo ancora più veloce rispetto allo scorso anno, il numero di minacce informatiche mobili e di appli cazioni ad alto rischio ha raggiunto i 2 milioni in questo trimestre. Uno dei motivi dell’aumento del volume po trebbe essere la crescente domanda di strumenti e servizi dannosi che possono essere utilizzati per creare e distribuire minacce informatiche mobili sul mercato sommerso30. Uno di questi strumenti, DENDROID (strumento di amministrazione remota), consente di inserire cavalli di Troia nelle applicazioni mobili legittime per $ 30031, 32. La proliferazione di applicazioni ricon fezionate (manomesse intenzionalmente per superare le funzioni di protezione dei dispositivi Android e dotate solitamente di funzionalità per il furto di dati e lo sfruttamento dei servizi premium) ha contribuito all’enorme incremento delle minacce informatiche mobili e delle applicazioni ad alto rischio. Ottimi esempi di questo tipo di applicazioni dannose sono le versioni con cavallo di Troia dell’applicazione un tempo famosa, Flappy Bird (rilevata come variante di FAKEINST), che si sono diffuse in tutti gli app store di terzi in questo trimestre33. Questo potrebbe anche essere il motivo per cui le varianti di OPFAKE/ FAKEINST (il nostro rilevamento di applicazioni riconfezionate) erano in cima all’elenco delle minacce informatiche mobili di questo trimestre. Volume complessivo di minacce Android Minacce informatiche mobili 72% App ad alto rischio 28% 10 | Panorama delle minacce mobili 2,1 mln. 1,8 mln. 1,5 mln. 1,5 mln. 3 mln. 0 GEN FEB MAR TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Volume mensile delle minacce informatiche mobili e delle applicazioni ad alto rischio TOTALE 647.000 210.000 150.000 164.000 273.000 300.000 0 GEN FEB MAR Le minacce informatiche mobili rilevate per la prima volta e le app ad alto rischio rilevate in questo trimestre hanno rappresentato quasi un terzo del numero totale di minacce Android. NOTA: le app ad alto rischio o potenzialmente indesiderate sono quelle che possono compromettere l’esperienza dell’utente poiché visualizzano pubblicità indesiderate, creano collegamenti indesiderati o raccolgono informazioni sui dispositivi senza che gli utenti lo sappiano o lo consentano. Gli esempi includono l’adware aggressivo. L’adware ha superato i premium service abuser in termini di volume I premium service abuser, la minaccia Android più diffusa nel 2013, non è più in testa all’elenco delle minacce Android in questo trimestre34. L’adware ha superato i premium service abuser in termini di volume probabilmente a causa del recente annuncio da parte dei principali fornitori di ridurre le tariffe di fatturazione dei servizi di testo premium dopo aver preso 11 | Panorama delle minacce mobili atto che potrebbero finire nelle mani dei criminali informatici35. Di conseguenza, dal momento che i premium service abuser rappresentano strumenti di attacco meno “redditizi”, i criminali informatici si sono concentrati sulla diffusione dell’adware anziché vitti mizzare altri utenti. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Principali famiglie di minacce informatiche per Android OPFAKE 9% SMSREG 9% GINMASTER 8% MSEG 7% FAKEINST 6% MTK 6% SMSPAY 5% STEALER 4% PREMIUMTEXT 3% FAKEUPDATE 2% 41% Altri Le prime famiglie di minacce informatiche della fine 2013 hanno continuato a imperversare in questo trimestre. NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l’adware esegue il push aggressivo delle pubblicità ed è persino in grado di raccogliere informazioni personali senza il consenso della vittima. Distribuzione dei principali tipi di minacce Android 9% 19% 25% 0 2% 35% 47% 50% $ Adware Premium service abuser Ladro di dati/informazioni Downloader di minacce Chi fa spese non autorizzate L’adware ha sbaragliato i premium service abuser in termini di distribuzione delle minacce mobili. Gli altri tipi di minacce hanno fatto registrare valori leggermente in calo rispetto allo scorso anno. NOTA: i dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware; queste coprono l’88% di tutte le minacce rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo gennaio-marzo di quest’anno. Una famiglia di minacce potrebbe avere comportamenti tipici di più tipi di minacce. 12 | Panorama delle minacce mobili TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Il numero crescente di bug ha rivelato un panorama delle minacce mobili più maturo Il picco nel numero di vulnerabilità rilevate nella piattaforma Android è un altro indice della maturazione del panorama delle minacce mobili odierne. Tutto ciò illustra ulteriori rischi per i milioni di utenti dei dispositivi Android. A marzo, abbiamo analizzato un bug di Android che ha colpito le versioni 4.0 e successive e che potrebbe essere utilizzato per intrappolare i dispositivi in un ciclo infinito di riavvii, rendendoli inutilizzabili36. Nello stesso mese, abbiamo rilevato una vulnerabilità che ha messo almeno 10.000 applicazioni a rischio di perdere i dati degli utenti bypassando determinate autorizzazioni personalizzate dei dispositivi37. Anche iOS ha avuto la sua parte di vulnerabilità in questo trimestre, evi denziata dal problema di sicurezza di SSL “goto fail” nella versione 7 nel mese di febbraio38. Apple ha immediatamente rilasciato l’aggiornamento della protezione iOS 7.0.6 per correggere la falla che poteva inavvertitamente comportare l’intercettazione e la manipolazione delle sessioni se un dispositivo vulnerabile era connesso a una rete condivisa. Le minacce sono passate dai computer ai dispositivi mobili con risultati diversi Le minacce che eseguono il Bitcoin mining hanno mostrato nuove capacità e routine in questo trimestre39. Hanno iniziato a prendere di mira i dispositivi mobili con l’incremento di una famiglia di minacce informatiche rilevate come ANDROIDOS_KAGECOIN.HBT, che ha installato i miner di crittovaluta sui dispositivi infetti. Tali minacce hanno permesso ai criminali informatici di utilizzare le risorse informatiche dei dispositivi mobili infetti per minare Bitcoin, Litecoin e Dogecoin. L’infezione ha comportato una riduzione della durata della batteria che, in ultima analisi, avrebbe potuto ridurre la durata media del dispositivo40. 13 | Panorama delle minacce mobili Altri esempi di tali minacce erano TORBOT e DENDROID. ANDROI DOS_TORBOT.A è stata la prima variante delle minacce informatiche mobili ad utilizzare Tor per accedere a server remoti in modo da consentire agli utenti di mantenere un certo grado di anonimato41. Dopo essersi collegata, questa minaccia era in grado di fare telefonate, intercettare e inviare SMS a numeri specifici. Nel frattempo, ANDROIDOS_DENDROID.HBT, venduto sul mercato sotterraneo come crimeware, ha mostrato routine simili alle minacce informatiche tipiche, tra cui la capacità di intercettare i messaggi di testo, registrare chiamate e scattare foto senza il consenso dell’utente del dispositivo. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Approfondimenti degli esperti Sono passati 10 anni da quando il primo esempio di minaccia informatica mobile PoC (proof-of-concept), ovvero SYMBOS_CABIR, è comparsa all’orizzonte42. Tuttavia, con la crescita esponenziale del volume dei dispositivi mobili in anni recenti, non sorprende vedere che il numero di minacce informatiche mobili cresca a una velocità superiore a quella delle minacce per computer. Oggi, i metodi tecnici per vittimizzare gli utenti di computer come l’uso di Tor e il mining delle crittovalute vengono utilizzati anche per affliggere gli utenti di smartphone e tablet. Sono sempre di più i criminali informatici che cambiano obiettivo e sfruttano la popolarità e l’uso diffuso dei dispositivi mobili, che tra l’altro non godono dello stesso livello di protezione dei computer. Vedremo emergere senza dubbio altre vulnerabilità nelle piattaforme mobili, specie Android, in ragione del suo amplissimo bacino di utenza. Ma ciò non significa necessariamente che gli utenti debbano soffrire. L’uso di software di protezione mobile affidabile e l’adesione alle best practice possono aiutare. Anche se è difficile garantire che tutte le app disponibili per il download siano libere da minacce informatiche, scaricare soltanto da app store ufficiali può ridurre drammaticamente le possibilità che il vostro dispositivo venga infettato. Esaminare con attenzione l’elenco delle autorizzazioni che un’app richiede quando viene installata è fondamentale. Se chiede di accedere a servizi o a informazioni che non sono realmente necessari per espletare la sua funzione prevista, è meglio non installarla43. Se un’app si rivela vulnerabile, meglio non installarla fino a quando il relativo bug non è stato risolto. Kenny Ye Ricercatore delle minacce mobili 14 | Panorama delle minacce mobili TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 CAMPAGNE DI ATTACCHI MIRATI E ATTACCHI INFORMATICI Le violazioni dei sistemi PoS hanno sottolineato l’importanza delle strategie di difesa personalizzate Abbiamo visto in che modo le violazioni nel settore della grande distribuzione e dell’industria alberghiera hanno interessato gli utenti negli Stati Uniti in questo trimestre. Milioni di clienti sono stati messi a rischio immediato quando le loro informazioni personali sono state vendute per frode con carte di credito, come nel caso di tali violazioni44, 45. hanno consentito di ridurre i costi e di incrementare la produttività. I sistemi PoS potrebbero avere effetti positivi sia nel settore della grande distribuzione che nell’industria alberghiera visti i benefici che apportano. Pertanto, è opportuno che i proprietari dei sistemi PoS pren dano in considerazione la sicurezza soprattutto perché i criminali informatici continueranno a trovare modi per com promettere i dispositivi nel tentativo in costante evoluzione di ottenere denaro. Tuttavia, gli incidenti non sono limitati agli Stati Uniti, infatti anche i dati delle carte di pagamento degli utenti della Corea del Sud sono stati sottratti tramite i terminali PoS in questo trimestre46. Come fanno gli aggressori a penetrare nei dispositivi PoS? In una relazione sulle violazioni dei sistemi PoS è emerso che questi sistemi presentano numerosi punti deboli che potrebbero consentire agli aggressori di impadronirsi dei dati47. Sono stati tracciati gli scenari in cui potrebbero verificarsi con maggiore probabilità violazioni su larga scala, incluso l’hacking dei dispositivi PoS, l’hacking delle comunicazioni di rete e l’aggressione di server specifici. Durante i primi tre mesi di quest’anno, è emerso che obiettivi insoliti, quali i ter minali PoS, e strumenti spesso sottovalu tati per quel che riguarda la sicurezza sono stati presi di mira dagli attacchi. Utilizzati nella grande distribuzione e nell’industria alberghiera per accettare pagamenti e offrire informazioni operative in materia di contabilità, monitoraggio delle vendite e gestione delle scorte, i sistemi PoS Punti deboli dei dispositivi PoS SISTEMA PoS SWITCH Hacking delle comunicazioni di rete ROUTER Hacking dei dispositivi PoS ERNE NT T SERVER DI DATABASE PER BACK-OFFICE I CARTA DI CREDITO ROUTER SWITCH RETE DI FILIALE SISTEMA PoS SERVER DI DATABASE PER BACK-OFFICE SERVER DI DATABASE PER BACK-OFFICE SWITCH ROUTER Aggressione di server specifici SEDE CENTRALE 15 | Campagne di attacchi mirati e attacchi informatici AZIENDA B CARTA DI CREDITO TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Quando prendono di mira server specifici, gli aggressori potrebbero essere alla ricerca di un meccanismo di aggiornamento che consenta loro di implementare le minacce informatiche nei dispositivi PoS collegati al fine di sottrarre informazioni sui clienti. Negli ultimi mesi, sono state individuate numerose famiglie di minacce informatiche per PoS in grado di sottrarre e inviare i dati delle carte di credito agli aggressori. Ad esempio, ALINA o Trackr effettuavano la scansione della memoria dei sistemi per verificare l’eventuale corrispondenza dei contenuti a espressioni regolari che indicano la presenza di dati di carte di credito di cui impadronirsi. Altre minacce informatiche distruttive per PoS includono FYSNA, nota per utilizzare la rete Tor, e vSkimmer o HESETOX che caricavano i dati sottratti sui server C&C. Minacce informatiche per PoS NOME RILEVAMENTO ROUTINE DATA DELLA PRIMA COMPARSA ALINA (Trackr) Effettua la scansione della memoria dei sistemi per verificare l’eventuale corrispondenza dei contenuti a espressioni regolari che indicano la presenza di dati di carte di credito di cui impadronirsi. Maggio 2010 DEXTR Condivide la cartella contenente i dati sottratti mediante la rete KaZaA. Febbraio 2011 HESETOX (vSkimmer) Carica i dati sottratti sui server C&C. Gennaio 2012 POCARDL Si impadronisce di informazioni quali il nome della directory dell’utente e/o i dati della carta di debito. Ottobre 2012 FYSNA Utilizza la rete Tor. Dicembre 2013 DECBAL Si impadronisce dei dati e li invia tramite HTTP POST a un sito remoto. Gennaio 2014 È dal 2010 che rileviamo minacce informatiche per PoS. Da allora, le routine utilizzate hanno continuato a migliorare per potersi impadronire in modo più efficace e anonimo delle informazioni finanziarie. 16 | Campagne di attacchi mirati e attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 I rischi, citati sopra, associati all’uso dei dispositivi PoS sottolineano il motivo per cui le aziende, soprattutto quelle che accettano i pagamenti con carta di credito, dovrebbero prendere in considerazione l’implementazione di una strategia di difesa personalizzata adatta alla propria rete e alla modalità adottata per la generazione, l’utilizzo e l’elaborazione delle informazioni sulle carte di credito. Non è neanche stato d’aiuto il fatto che nel primo trimestre del 2014 abbiamo avuto sette volte le minacce informatiche per PoS avute in tutto il 2013. Cronologia delle violazioni di alto profilo GEN 14 3 mln. Carte di credito DIC 13 110 mln. Conti di carte di credito e debito FEB 14 MAR 14 14 Hotel di fascia alta GEN 14 25.000 Record 350.000 Informazioni sui pagamenti dei clienti 10 DIC 2013 20 NEGOZIO USA 30 10 GEN 2014 NEGOZIO DI BENI DI LUSSO USA 20 30 10 FEB NEGOZIO DI ARTIGIANATO D’ARTE USA 20 28 10 MAR INDUSTRIA ALBERGHIERA USA 20 30 NEGOZIO USA Fonti: CNET, Neiman Marcus, Michaels, Sally Beauty e Reuters In questo trimestre, diverse aziende hanno confessato di avere subito violazioni tramite i sistemi PoS che hanno comportato il furto di informazioni personali di almeno, in un caso, 110 milioni di utenti. 17 | Campagne di attacchi mirati e attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Il successo dei reflection attack nonostante l’adozione di soluzioni note A gennaio, gli aggressori hanno sfruttato i punti deboli del Network Time Protocol (NTP), un sistema utilizzato per sincronizzare gli orologi dei computer, e sferrare attacchi DDoS (distributed denial-of-service)48. Poiché i server NTP sono notoriamente suscettibili al flooding e vengono utilizzati per le interazioni pubbliche, i più vulnerabili hanno ceduto agli attacchi, in quanto accettano spesso tutte le connessioni. Questo incidente ha dato il via ad attacchi DDoS costanti e diffusi a un livello senza precedenti. Da allora, i reflection attack sono diventati la “norma” dal momento che prendono di mira tutti i settori. Ma non tutto era ancora perduto, dal momento che gli amministratori IT potevano riconfigurare i servizi in esecuzione o aggiornare i loro server come prevenzione49. La campagna Siesta e la proliferazione costante di attacchi mirati Gli attacchi mirati hanno continuato ad affliggere le imprese di tutto il mondo, come dimostra la campagna Siesta, rilevata a marzo. Giustamente denominata “Siesta”, questa campagna ha accettato uno dei due comandi crittografati, “Sospendi” e “Scarica: <download URL>” e ha preso di mira numerose istituzioni in un’ampia gamma di settori50. Le e-mail venivano inviate dagli indirizzi 18 | Campagne di attacchi mirati e attacchi informatici di posta elettronica falsificati del personale di determinate aziende. Gli obiettivi della campagna Siesta includono una vasta gamma di settori, tra cui beni e servizi di consumo, energia, finanza, sanità, media e telecomunicazioni, pubblica amministrazione, sicurezza e difesa, trasporti e traffico. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Volume di attacchi mirati per paese/area geografica Taiwan 61% Giappone 26% Israele 2,6% Asia Pacifico 2,6% Spagna 2,6% Venezuela 2,6% Stati Uniti 2,6% Taiwan e Giappone hanno registrato il numero più alto di attacchi mirati questo trimestre. NOTA: questo grafico mostra i dati rilevati sugli attacchi mirati monitorati nel primo trimestre del 2014. Volume di attacchi mirati per settore $ SETTORE FINANZIARIO 2,3% SETTORE INDUSTRIALE 7% TELECOMUNICAZIONI 5% PUBBLICA AMMINISTRAZIONE IT 5% 76% ASSISTENZA SANITARIA ENERGIA 2,3% 2,3% Anche questo trimestre le istituzioni pubbliche sono state gli obiettivi preferiti. NOTA: questo grafico mostra i dati rilevati sugli attacchi mirati monitorati nel primo trimestre del 2014. 19 | Campagne di attacchi mirati e attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Approfondimenti degli esperti Il 2014 è iniziato con una telemetria analoga a quella vista per gran parte del 2013. La traiettoria è rimasta abbastanza costante quando abbiamo approfondito l’analisi del panorama delle minacce nel primo trimestre 2014. Gli attacchi di minacce informatiche DDoS e PoS hanno dominato i titoli sulla stampa. Le aziende hanno continuato a lottare con attacchi di natura mirata, destinati direttamente ai settori energetico, finanziario, sanitario e della vendita al dettaglio o delle infrastrutture critiche. Il risultato è stato una semplicissima equazione: gli obiettivi di alto valore che promettevano una consistente resa sono stati compromessi con il minore sforzo possibile. Certo, gli obiettivi ad alto valore disponevano di difese migliori di altri per cui era necessario compiere sforzi ben sponsorizzati e orchestrati. Tuttavia, questo non ha impedito agli aggressori di prendere di mira anche le organizzazioni che non disponevano di processi solidi. Ciò ha significato spesso che queste non disponevano di sistemi di rilevamento e notifica delle violazioni capaci di segnalare i comportamenti di aggressione e le comunicazioni sospette una volta superate le difese perimetrali tradizionali. Anche le informazioni contestuali sulle minacce si sono spesso rivelate carenti. La maggior parte delle persone nella comunità della tecnologia delle informazioni e della comunicazione deve adottare l’ottica secondo la quale siamo già stati compromessi. La risposta e il ripristino delle violazioni consentiranno alle aziende di continuare a gestire le loro attività aziendali e di non subire le tragiche conseguenze degli incidenti che si verificano, fino all’interruzione dell’attività. Abbiamo anche assistito ad attacchi mirati rivolti direttamente alle aziende che si affidavano alla funzionalità specifica del sistema PoS e pacchetti di minacce informatiche creati per eludere le tradizionali tecnologie anti-malware. Sono state osservate anche combinazioni di e-mail di spear-phishing per la distribuzione di payload dannosi per costringere gli utenti a cliccare su collegamenti dannosi a siti nefasti che nascondono minacce informatiche. Questo approccio è continuato a essere la punta di lancia e l’origine della maggior parte degli attacchi mirati. Oggi, le organizzazioni stanno imparando che affidarsi al solo software antivirus non basta più. Occorre una maggiore trasparenza su tutte le reti per analizzare gli interi cicli di vita degli attacchi. Gli attacchi DDoS hanno continuato ad affliggere le aziende di ogni dimensione. Le interruzioni dell’attività si stanno ampliando e molte aziende stanno facendo progredire la propria posizione per contrastarle; abbiamo tuttavia continuato a vedere attacchi DDoS come armi di base in molti attacchi informatici. In questo trimestre è stato registrato un incremento degli attacchi DDoS che prendono di mira le vulnerabilità NTP per disattivare i server privi di patch. I server sia tradizionali che virtuali sono stati colpiti ed è importante tenere conto delle augmenting technologies come patching virtuale o schermatura delle vulnerabilità per contribuire al patching. Si riduce così il tempo necessario per il ripristino predisponendo un efficace controllo di compensazione fino a quando un’organizzazione può eseguire pienamente il ciclo di vita di gestione delle patch. Ciò risulta particolarmente efficace per la maggior parte delle vulnerabilità note e ha aiutato sensibilmente le aziende a ridurre i rischi e a fare di più con meno. Il personale aziendale apprezzerà infinitamente il risultato, che ridurrà in modo significativo il vostro profilo di rischio senza schiacciare la produttività. È ancora evidente che molte organizzazioni continuano a lottare per tenersi al passo con i processi di gestione delle patch e per implementare le best practice tradizionali. Nel corso degli ultimi anni, le dimensioni del personale si sono ridotte, come pure quelle dei budget per IT e sicurezza. Questa combinazione ha messo in grandi difficoltà le aziende che hanno faticato a tenere il passo. Con gli attacchi dannosi visti questo trimestre, i casi reali hanno dimostrato che i controlli di sicurezza esistenti devono evolversi e chi si occupa di protezione deve ripensare alle strategie di sicurezza IT per affrontare gli attacchi mirati. La natura personalizzata degli attacchi mirati ha modificato il panorama delle minacce. Non esistono pallottole d’argento. In compenso, occorre una strategia di difesa personalizzata che migliori rilevamento, analisi, adattabilità e risposta per ridurre i rischi e l’impatto degli attacchi mirati. JD Sherry Vicepresidente, Tecnologia e soluzioni 20 | Campagne di attacchi mirati e attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 VITA DIGITALE E INTERNET DI TUTTO Persino le applicazioni “effimere” erano vulnerabili L’anno scorso le applicazioni “effimere” (app di nuova generazione che si rivolgono agli utenti che desiderano condividere contenuti in modo anonimo, inviare messaggi in modo informale e condividere file multimediali) hanno preso d’assalto l’ecosistema delle app nell’ambito dell’impegno costante a tutelare la privacy degli utenti. Tuttavia, ironia della sorte, in questo trimestre una di queste app, Snapchat, ha fatto il contrario. Gli aggressori hanno sfruttato l’interfaccia di programmazione dell’applicazione (API) comportando la fuga di informazioni relative a oltre 4,6 milioni di utenti dal proprio database51. Il team di Snapchat ha rilasciato un aggiornamento per garantire maggiore sicurezza agli utenti e impedire i tentativi futuri di sfruttamento dell’API dell’applicazione52. Se da un lato l’aggiornamento ha rassicurato gli utenti coinvolti, dall’altro lo sfruttamento dell’API di Snapchat era comunque allarmante, in quanto ha fatto aumentare ulteriormente i dubbi sull’affidabilità delle applicazioni, anche di quelle che garantivano privacy e anonimato. Ricerca dell’aereo disperso MH370 e altre tecniche di social engineering utilizzate per attirare le vittime Non è insolito imbattersi in collegamenti dannosi su Twitter e altri social network53. Durante questo trimestre, sono state rilevate numerose minacce che prendono di mira gli utenti dei social network, dalle truffe per ottenere follower gratuitamente agli attacchi di phishing, anche se la ricerca dell’aereo disperso MH370 ha 21 | Vita digitale e Internet di tutto primeggiato. I criminali informatici han no approfittato del clamore mediatico per attirare gli utenti a guardare video falsi su Facebook, dimostrando ancora una volta che cavalcare l’onda delle cronache di tragedie e catastrofi naturali è una strategia efficace54. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Sito dannoso con “video” incorporato relativo all’aereo disperso MH370 RESTRICTED VIDEO To start the video, please share it below 0:00 / 6:43 Esempi di messaggi diretti di truffe per ottenere “follower gratuitamente” su Twitter Direct messages New message REDONE412 @redone412 Hi, need more followers? I recommend this site => www.GETNEWFOLLOWERS.us ((please copy-paste for your safety)) I get new followers. Take care! Jan 28 > MONSTER32 @monster42 Hello. Thanks for following! If need more followers, this site is good => www.superfollowers.com ((please copy-paste for your safety)) Jan 28 > Signup as a Premium Member Login as a Regular Tweeter Now only $4.95 [5 Days] Always FREE New followers every minute 60+ new followers per ride Ad free and instant activation Promotional status updates Buy this Package Sign in with Twitter Top / All / People you follow REDONE412 @redone412 17m GET MORE FOLLOWERS Lorem ipsum Dolor Lorem ipsum Dolor Thomasians Daft Punk USTET #G2BPartingTime #30FactsAboutMe Cedric Lee Expand Reply Retweet Favorite More Retweet Favorite More Retweet Favorite More REDONE412 @redone412 18m GET MORE FOLLOWERS Lorem ipsum Dolor Batista Ziggler Triple H Daniel Bryan Brock Lesnar #BnB #RAW Expand Reply REDONE412 @redone412 22m GET MORE FOLLOWERS Lorem ipsum Dolor #HONDADBLJABAR #MentionMashaKereeen Ya Allah Tuhan Buka Expand Reply Questo trimestre, le truffe per ottenere follower gratuitamente su Twitter hanno davvero toccato il fondo quando i criminali informatici si sono ridotti a doverle diffondere direttamente anche tramite messaggi diretti. Anche i collegamenti ai siti di phishing incorporati nei tweet l’hanno fatta da padroni. 22 | Vita digitale e Internet di tutto TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Esche di social engineering maggiormente utilizzate FLAPPY WHATSAPP GRATIS BIRD FOLLOWER SU INSTAGRAM RICERCA DI MH370 GRAND THEFT AUTO V I criminali informatici hanno continuato a sfruttare gli argomenti, gli eventi, i film, i gadget e le catastrofi naturali di cui si parla di più per attirare il maggior numero di vittime possibile nelle loro trappole appositamente progettate. Durante questo trimestre, un’altra efficace esca di social engineering era legata alle presunte release di software tanto attese. Ad esempio, i criminali informatici hanno approfittato della popolarità di Grand Theft Auto V per diffondere messaggi di posta elettronica che proponevano la versione beta per PC del gioco55. Nonostante si trattasse di una truffa estremamente semplicistica, come dimostrato dallo scarso livello grammaticale del messaggio e-mail e dall’aspetto non ufficiale, la trepidazione per la release di una versione per PC è stata sufficiente a far cadere i giocatori entusiasti nella trappola. Anche gli utenti di WhatsApp sono stati indotti a credere che esistesse una versione per PC dell’app56. Tuttavia, come nel caso della truffa per la versione beta di Grand Theft Auto V, la versione per PC di WhatsApp non esisteva e le vittime si sono ritrovate con i propri sistemi infettati da minacce informatiche di banking. Ulteriori difetti rilevati nei nuovi dispositivi IoE Numerosi dispositivi del mercato IoE (Internet of Everything, Internet di tutto) sono stati sottoposti a verifiche non appena i ricercatori della sicurezza hanno rilevato falle del sistema. Ad esempio, la berlina Model S di Tesla Motors dalla solida tecnologia si è accaparrata la giusta dose di attenzione da parte dei media per aver proposto un nuovo standard che assicura prestazioni 23 | Vita digitale e Internet di tutto eccezionali e per aver integrato una connettività mobile completa, caratteristica che potrebbe rendere l’auto vulnerabile all’hacking57. Le smart TV dotate di connessione a Internet, quali Philips Smart TV, sono state analizzate dai ricercatori che hanno scoperto che il fornitore ha impostato come hardcoded la password predefinita per Miracast nel firmware di alcuni dei modelli del 201358. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Di conseguenza, chiunque avrebbe potuto accedere da remoto al televisore entro un determinato raggio. La tendenza IoE dovrebbe costantemente insegnare agli utenti che tutto ciò che può accedere a Internet può essere violato. Oltre alle automobili e ai televisori, anche le lampadine smart si sono rivelate suscettibili all’hacking dopo che un ricercatore della sicurezza ha iniettato uno script dannoso che ha emesso un comando di interruzione di corrente attraverso il relativo router59. Anche le videocamere di sicurezza sono state violate, non solo per disturbare gli utenti, ma per trarne un profitto. Persino i DVR potrebbero essere violati per registrare i video delle videocamere di sicurezza, come è stato dimostrato da un istruttore del SANS Technology Institute all’inizio di quest’anno60. Approfondimenti degli esperti Benché gli attacchi a dispositivi “smart” o “connessi” non siano ancora la norma, riteniamo che i criminali informatici stiano già sondando le possibilità di abuso offerte dal nuovo universo dei dispositivi connessi e spesso non protetti. Quando una app killer emerge, gli aggressori saranno armati e pronti per sfruttarla, proprio come avevano fatto con la piattaforma Android. Abbiamo già visto attacchi reali su DVR collegati alle videocamere di controllo della sicurezza. Gli aggressori hanno tentato di utilizzarli per il mining dei Bitcoin e l’evento non si è affidato a dispositivi infettati a caso, giacché le minacce informatiche in questione erano state appositamente codificate per essere eseguite su processori ARM anche se questi erano alimentati a bassa potenza e non erano realmente in grado di eseguire il compito richiesto alla crittografia per servizio pesante. Abbiamo anche assistito a diversi attacchi mirati a compromettere i router domestici, poiché offrivano un punto di osservazione particolarmente ben posizionato per gli attacchi MiTM (man-in-the-middle) contro smartphone e tablet e negavano l’esigenza di infettare dispositivi individuali tramite il posizionamento diretto delle minacce nel flusso di dati. Sono anche stati osservati di recente attacchi PoC contro le soluzioni intelligenti di illuminazione domestica, i sistemi di gestione delle auto elettriche e le smart TV. Sfortunatamente, la maggior parte di essi fa affidamento sulla scarsa progettazione o sulle prassi di sicurezza inadeguate dei produttori anziché sulle vulnerabilità a livello di codice del sistema operativo o delle interfacce soggiacenti. È scoraggiante sapere che per immettere rapidamente sul mercato i prodotti, la sicurezza viene spesso ancora vista dai fornitori nello spazio IoE emergente come un ripensamento. Dovremmo tutti avere ben presente ciò che Bill Gates ha detto nella sua famosa e-mail “Trustworthy Computing” diretta a Microsoft e alle sue affiliate 12 anni fa: “D’ora in avanti, dobbiamo sviluppare tecnologie e criteri che consentano alle aziende di gestire più efficacemente reti sempre più grandi di PC, server e altri dispositivi intelligenti sapendo che i loro sistemi aziendali di importanza critica sono al sicuro. I sistemi dovranno essere autogestiti e intrinsecamente resilienti. Dobbiamo prepararci subito al tipo di software che consentirà di raggiungere questo risultato.” Tutto questo non è mai stato vero e pertinente come oggi. Rik Ferguson Vicepresidente, Ricerca in materia di sicurezza 24 | Vita digitale e Internet di tutto TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Appendice Numero di indirizzi IP che inviano spam bloccati da Trend Micro Smart Protection Network 2,5 mld. 5 mld. 4,2 mld. 3,7 mld. 5 mld. 0 GEN FEB MAR Dalla fine dello scorso anno, non è cambiato di molto il numero di indirizzi IP che inviano spam bloccati da Trend Micro Smart Protection Network. Numero di siti dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso 150 mln. 284 mln. 258 mln. 284 mln. 300 mln. 0 GEN FEB MAR Dalla fine dello scorso anno, non è cambiato di molto il numero di siti dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso. Tuttavia, a febbraio il numero è leggermente diminuito. 25 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Numero di file dannosi bloccati da Trend Micro Smart Protection Network GEN FEB 827 mln. 733 mln. 500 mln. 785 mln. 1 mld. 0 MAR Il numero di file dannosi bloccati da Trend Micro Smart Protection Network è leggermente aumentato rispetto al trimestre precedente. Numero totale di minacce bloccate da Trend Micro Smart Protection Network 6,13 mld. 5,19 mld. 4 mld. 4,79 mld. 8 mld. 0 GEN FEB MAR A gennaio Trend Micro Smart Protection Network ha bloccato 2 miliardi di minacce in meno rispetto a dicembre 2013. Tuttavia, il numero totale di minacce bloccate è costantemente aumentato dal 2013 al 2014. 26 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Trend Micro Smart Protection Network Livello di rilevamento complessivo 1.250 /s 2.287/s 2.145/s 1.787/s 2.500 /s 0 GEN FEB MAR Non sono stati registrati cambiamenti significativi del numero di minacce al secondo bloccate da Trend Micro Smart Protection Network rispetto al trimestre precedente. Le prime 3 minacce informatiche NOME RILEVAMENTO VOLUME ADW_NEXTLIVE 487.000 ADW_OPENCANDY 394.000 ADW_SENSAVE 390.000 In questo trimestre le prime 3 minacce informatiche sono state tutte adware, il cui numero totale è aumentato rispetto all’ultimo trimestre. 27 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Le prime 3 minacce informatiche per segmento SEGMENTO Aziende di grandi dimensioni SMB Consumer NOME RILEVAMENTO WORM_DOWNAD.AD ADW_OPENCANDY ADW_NEXTLIVE WORM_DOWNAD.AD ADW_SENSAVE ADW_MONTIERA ADW_NEXTLIVE ADW_OPENCANDY ADW_SENSAVE VOLUME 69.000 25.000 25.000 28.000 12.000 12.000 266.000 240.000 234.000 Il numero di minacce informatiche che prende di mira le aziende di grandi dimensioni e le piccole e medie imprese (SMB) è diminuito rispetto al trimestre precedente. Al contempo, il numero di minacce informatiche che prende di mira i consumatori è notevolmente aumentato. Conficker/DOWNAD ha continuato a rappresentare una minaccia per le aziende di grandi dimensioni, probabilmente a causa del numero elevato di sistemi su cui è ancora in esecuzione Windows XP, vulnerabile a questa minaccia. Primi 10 domini dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso DOMINIO MOTIVO PER IL BLOCCO DELL’ACCESSO ads . alpha00001 . com Segnalato come server C&C reindirizzava gli utenti a enterfactory . com, un altro sito dannoso ody . cc Legato a script e siti sospetti che fornivano l’hosting a BKDR_HPGN.B-CN optproweb . info Legato a un file dannoso interyield . jmp9 . com Noto per attività di spamming legate all’adware sp-storage . spccint . com Noto per eseguire lo scaricamento di file dannosi adsgangsta . com Legato agli attacchi delle minacce informatiche e con record dannosi fistristy . com Noto per eseguire lo scaricamento di minacce informatiche advconversion . com Noto per le attività di spamming namnamtech . com Noto per eseguire lo scaricamento di minacce informatiche extremlymtorrents . com Legato agli URL di spam e ai siti parked Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi citati sopra rispetto al trimestre precedente. 28 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Primi 10 URL dannosi per paese di origine PAESE Paesi con il maggior numero di utenti che accedono a collegamenti dannosi QUOTA PAESE QUOTA Stati Uniti 22% Stati Uniti 34% Francia 3% Giappone 17% Paesi Bassi 3% Taiwan 4% Giappone 3% Cina 4% Germania 2% Francia 3% Cina 2% Australia 3% Corea del Sud 2% Germania 3% Regno Unito 2% India 3% Russia 2% Corea del Sud 3% Canada 1% Russia 3% Altri 58% Altri 23% Quasi tutti i paesi degli utenti che hanno cliccato su collegamenti dannosi nello scorso trimestre sono ancora presenti nell’elenco qui sopra. In questo trimestre, gli Stati Uniti hanno registrato il maggior numero di utenti che accedono a collegamenti dannosi. Lingue maggiormente usate per lo spam Inglese 93,98% Tedesco 1,13% Giapponese 1,11% Cinese 0,65% Russo 0,58% Portoghese 0,12% Spagnolo 0,11% Islandese 0,06% Francese 0,06% Turco 0,04% Altri 2,16% In questo trimestre non sono stati registrati cambiamenti significativi delle lingue maggiormente usate per lo spam. 29 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Paesi principali da cui partono gli attacchi spam Spagna 10% Stati Uniti 9% Argentina 6% Italia 6% Germania 5% Colombia 4% Iran 4% India 4% Messico 4% Romania 3% Altri 45% In questo trimestre non sono stati registrati cambiamenti significativi nell’elenco dei principali paesi da cui partono gli attacchi spam. Numero di server C&C botnet rilevati ogni mese 15.000 GEN 16.000 FEB 34.000 MAR 0 20.000 40.000 Il numero di server C&C botnet è aumentato nel primo trimestre rispetto ai trimestri precedenti, soprattutto a causa dell’aumento registrato a marzo. I livelli relativi al resto del trimestre sono invariati rispetto a quelli dei mesi precedenti. 30 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Numero di connessioni botnet rilevate ogni mese 20 mln. GEN 23 mln. FEB 19 mln. MAR 0 15 mln. 30 mln. Il numero di connessioni botnet rilevate ogni mese è diminuito rispetto all’ultimo trimestre. Paesi con il maggior numero di server C&C botnet 10.600 12.100 14.000 Paesi Bassi India 600 Cina 600 1.00 Russia 800 1.400 Germania 1.100 1.700 1.900 7.000 0 Regno Unito Stati Uniti Ucraina Taiwan Australia La Corea del Sud ha perso posizioni nell’elenco dei paesi con il maggior numero di server C&C in questo semestre. 31 | Appendice TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 Bibliografia [1] Trend Micro Incorporated. (2013). “Cashing in on Digital Information: An Onslaught of Online Banking Malware and Ransomware.” Ultimo accesso 14 aprile 2014, http://www.trendmicro.com/ cloud-content/us/pdfs/security-intelligence/reports/rpt-cashing-in-on-digital-information.pdf. [2] Carter Dougherty e Grace Huang. Bloomberg. (1 marzo 2014). “MtGox Seeks Bankruptcy After $480 Million Bitcoin Loss.” Ultimo accesso 15 aprile 2014, http://www.bloomberg.com/news/2014-0228/mt-gox-exchange-files-for-bankruptcy.html. [3] Trend Micro Incorporated. (2014). “Point-of-Sale System Breaches: Threats to the Retail and Hospitality Industries.” Ultimo accesso 16 aprile 2014, http://www.trendmicro.com/cloud-content/ us/pdfs/security-intelligence/white-papers/wp-pos-system-breaches.pdf. [4] Hadley Malcolm. (10 gennaio 2014). USA Today News. “Target: Data Stolen from Up to 70 Million Customers.” Ultimo accesso 15 aprile 2014, http://www.usatoday.com/story/money/ business/2014/01/10/target-customers-data-breach/4404467/. [5] Rhena Inocencio. (24 marzo 2014). TrendLabs Security Intelligence Blog. “Ransomware and Bitcoin Theft Combine in BitCrypt.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/ransomware-and-bitcoin-theft-combine-in-bitcrypt/. [6] Russell Brandom. (26 febbraio 2014). The Verge. “Who Stole $400 Million from MtGox?” Ultimo accesso 15 aprile 2014, http://www.theverge.com/2014/2/26/5450206/who-stole-400-millionfrom-mt-gox. [7] Flexcoin. (3 marzo 2014). “Flexcoin Is Shutting Down.” Ultimo accesso 28 aprile 2014, http://flexcoin.com/. [8] Cyrus Farivar. (14 febbraio 2014). Ars Technica. “New Silk Road Hit with $2.6-Million Heist Due to Known Bitcoin Flaw.” Ultimo accesso 28 aprile 2014, http://arstechnica.com/security/2014/02/ new-silk-road-hit-with-2-6-million-heist-due-to-known-bitcoin-flaw/. [9] Simple Machines. (2014). Bitcoin Forum. “BTC Stolen from Poloniex.” Ultimo accesso 28 aprile 2014, https://bitcointalk.org/index.php?topic=499580. [10] Anthony Volastro. (23 gennaio 2014). CNBC. “CNBC Explains: How to Mine Bitcoins on Your Own.” Ultimo accesso 15 aprile 2014, http://www.cnbc.com/id/101332124. [11] Trend Micro Incorporated. (27 novembre 2013). Trend Micro Simply Security Blog. “CryptoLocker Evolves with New Monetization Schemes.” Ultimo accesso 22 aprile 2014, http://blog.trendmicro. com/cryptolocker-evolves-new-monetization-schemes/. [12] Trend Micro Incorporated. (19 marzo 2014). TrendLabs Security Intelligence Blog. “New BlackOS Software Package Sold in Underground Forums.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackos-software-package-sold-inunderground-forums/. [13] Anthony Joe Melgarejo. (7 gennaio 2014). TrendLabs Security Intelligence Blog. “64-bit ZBOT Leverages Tor, Improves Evasion Techniques.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/64-bit-zbot-leverages-tor-improves-evasion-techniques/. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 [14] Mark Joseph Manahan. (16 gennaio 2014). TrendLabs Security Intelligence Blog. “BANLOAD Limits Targets via Security Plug-In.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/banload-limits-targets-via-security-plugin/. [15] Fernando Mercês. (27 gennaio 2014). TrendLabs Security Intelligence Blog. “A Look into CPL Malware.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/a-lookinto-cpl-malware/. [16] Rika Joi Gregorio. (28 febbraio 2014). TrendLabs Security Intelligence Blog. “ZeuS Downloader Runs in January, Crashes Rest of the Year.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/zeus-downloader-runs-in-january-crashes-rest-of-the-year/. [17] Dr. N. Jamaludddin. (Novembre 2013). “E-Banking: Challenges and Opportunities in India.” Ultimo accesso 24 aprile 2014, http://www.wbiworldconpro.com/uploads/melbourne-conference2013-november/banking/1384600741_607-Jamal.pdf. [18] Somasroy Chakraborty. (12 aprile 2013). Business Standard. “Mobile Banking Transactions Double, Payments Rise Threefold.” Ultimo accesso 24 aprile 2014, http://www.business-standard.com/ article/finance/mobile-banking-transactions-double-payments-rise-threefold-113041100353_1.html. [19] Greater Pacific. (Marzo 2013). Greater Pacific Capital. “The Indian Diaspora: A Unique Untapped Global Asset for India.” Ultimo accesso 24 aprile 2014, http://greaterpacificcapital.com/ march-2013/. [20] Ilja Lebedev. (21 febbraio 2014). TrendLabs Security Intelligence Blog. “Ransomware ‘Goes Local’ in Europe.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/ransomware-goes-local-in-europe/. [21] David Sancho e Feike Hacquebord. (2012). “The ‘Police Trojan’: An In-Depth Analysis.” Ultimo accesso 15 aprile 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/ white-papers/wp_police_trojan.pdf. [22] Vincenzo Ciancaglini. (8 novembre 2013). TrendLabs Security Intelligence Blog. “The Boys Are Back in Town: Deep Web Marketplaces Back Online.” Ultimo accesso 22 aprile 2014, http://blog. trendmicro.com/trendlabs-security-intelligence/the-boys-are-back-in-town-deep-web-marketplacesback-online/. [23] Alvin John Nieto. (27 marzo 2014). TrendLabs Security Intelligence Blog. “Word and Excel Files Infected Using Windows PowerShell.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/word-and-excel-files-infected-using-windows-powershell/. [24] Abigail Pichel. (25 marzo 2014). TrendLabs Security Intelligence Blog. “Microsoft Word Zero-Day Spotted in the Wild.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/microsoft-word-zero-day-spotted-in-the-wild/. [25] Pavithra Hanchagaia. (23 febbraio 2014). TrendLabs Security Intelligence Blog. “New Adobe Flash Player Zero-Day Exploit Leads to PlugX.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/new-adobe-flash-player-zero-day-exploit-leads-to-plugx/. [26] Jonathan Leopando. (14 febbraio 2014). TrendLabs Security Intelligence Blog. “New IE Zero-Day Targets IE9 and IE10.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/new-ie-zero-day-targets-ie9-and-ie10/. [27] Pawan Kinger. (31 marzo 2014). TrendLabs Security Intelligence Blog. “Managing Windows XP’s Risks in a Post-Support World.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/managing-windows-xps-risks-in-a-post-support-world/. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 [28] Trend Micro Incorporated. (Marzo 2013). Threat Encyclopedia. “Managing Your Legacy Operating Systems: What Will Life Be Like After Windows XP?” Ultimo accesso 22 aprile 2014, http://about-threats.trendmicro.com/ent-primers/#managing_your_legacy_systems. [29] David Sancho. (7 aprile 2014). TrendLabs Security Intelligence Blog. “Windows XP Support Ending— Now What?” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/windows-xp-support-ending-now-what/. [30] Lion Gu. (2014). “The Mobile Cybercriminal Underground Market in China.” Ultimo accesso 17 aprile 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp-the-mobile-cybercriminal-underground-market-in-china.pdf. [31] Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_DENDROID.HBT.” Ultimo accesso 16 aprile 2014, http://about-threats.trendmicro.com/it/malware/ANDROIDOS_ DENDROID.HBT. [32] Abigail Pichel. (26 marzo 2014). TrendLabs Security Intelligence Blog. “Mobile Malware and High-Risk Apps Reach 2M Mark, Go for ‘Firsts.’” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/mobile-malware-and-high-risk-apps-reach-2m-mark-go-for-firsts/. [33] Veo Zhang. (18 febbraio 2014). TrendLabs Security Intelligence Blog. “Flappy Bird and Third-Party App Stores.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ flappy-bird-and-third-party-app-stores/. [34] Trend Micro Incorporated. (11 novembre 2013). TrendLabs Security Intelligence Blog. “3Q Security Roundup: The Invisible Web, 1 Million Mobile Malware Highlight Quarter.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/3q-security-roundupthe-invisible-web-1-million-mobile-malware-highlight-quarter/. [35] Ina Fried. (13 novembre 2014). All Things D. “AT&T, Sprint, T-Mobile, Verizon Dropping Most Premium Text Service Billing in Effort to Combat Fraud.” Ultimo accesso 15 aprile 2014, http://allthingsd.com/20131121/att-sprint-t-mobile-verizon-all-dropping-most-premium-textservice-billing-in-effort-to-combat-fraud/. [36] Veo Zhang. (23 marzo 2014). TrendLabs Security Intelligence Blog. “New Android Bug Causes ‘Bricked’ Devices.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/new-android-bug-causes-bricked-devices/. [37] Weichao Sun. (20 marzo 2014). TrendLabs Security Intelligence Blog. “Android Custom Permissions Leak User Data.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/android-custom-permissions-leak-user-data/. [38] Apple Inc. (2013). Apple. “About the Security Content of iOS 7.0.6.” Ultimo accesso 15 aprile 2014, http://support.apple.com/kb/HT6147. [39] Trend Micro Incorporated. (2013). Threat Encyclopedia. “Cybercriminals Unleash Bitcoin-Mining Malware.” Ultimo accesso 15 aprile 2014, http://about-threats.trendmicro.com/it/webattack/93/ Cybercriminals+Unleash+BitcoinMining+Malware. [40] Veo Zhang. (25 marzo 2014). TrendLabs Security Intelligence Blog. “Mobile Malware Mines Dogecoins and Litecoins for Bitcoin Payout.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/mobile-malware-mines-dogecoins-and-litecoins-for-bitcoin-payout/. [41] Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_TORBOT.A.” Ultimo accesso 16 aprile 2014, http://about-threats.trendmicro.com/it/malware/ANDROIDOS_ TORBOT.A. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 [42] Trend Micro Incorporated. (2014). Threat Encyclopedia. “Mobile Malware: 10 Terrible Years.” Ultimo accesso 23 aprile 2014, http://about-threats.trendmicro.com/us/mobile/monthly-mobilereview/2014-03-mobile-malware-10-terrible-years. [43] Trend Micro Incorporated. (2014). Threat Encyclopedia. “12 Most Abused Android Permissions.” Ultimo accesso 23 aprile 2014, http://about-threats.trendmicro.com/us/library/image-gallery/ 12-most-abused-android-app-permissions. [44] Gregory Wallace. (5 marzo 2014). CNN Money. “Timeline: Retail Cyber Attacks Hit Millions.” Ultimo accesso 15 aprile 2014, http://money.cnn.com/2014/02/11/news/companies/retailbreach-timeline/. [45] David Sancho. (16 febbraio 2014). TrendLabs Security Intelligence Blog. “Hitting the Data Jackpot.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ hitting-the-data-jackpot/. [46] Thomson Reuters. (10 aprile 2014). Reuters. “Hackers Steal South Korean Credit Card Data to Aid Forgeries.” Ultimo accesso 17 aprile 2014, http://www.reuters.com/article/2014/04/11/us-koreacybercrime-idUSBREA3A09820140411. [47] Trend Micro Incorporated. (2014). “Point-of-Sale System Breaches: Threats to the Retail and Hospitality Industries.” Ultimo accesso 17 aprile 2014, http://www.trendmicro.com/cloud-content/ us/pdfs/security-intelligence/white-papers/wp-pos-system-breaches.pdf. [48] Ben April. (21 gennaio 2014). TrendLabs Security Intelligence Blog. “A Free Solution for DDoS Reflection Attacks: A Decade in Waiting.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro. com/trendlabs-security-intelligence/a-free-solution-for-ddos-reflection-attacks-a-decade-inwaiting/. [49] Network Working Group. (2000). “Network Ingress Filtering: Defeating Denial-of-Service Attacks Which Employ IP Source Address Spoofing.” Ultimo accesso 15 aprile 2014, http://tools.ietf.org/ html/bcp38. [50] Maharlito Aquino. (6 marzo 2014). TrendLabs Security Intelligence Blog. “The Siesta Campaign: A New Targeted Attack Campaign.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/. [51] Nicole Perlroth e Jenna Wortham. (2 gennaio 2014). New York Times. “Snapchat Breach Exposes Weak Security.” Ultimo accesso 15 aprile 2014, http://bits.blogs.nytimes.com/2014/01/02/ snapchat-breach-exposes-weak-security/. [52] Team Snapchat. (9 gennaio 2014). Snapchat Blog. “Find Friends Improvements.” Ultimo accesso 15 aprile 2014, http://blog.snapchat.com/post/72768002320/find-friends-improvements. [53] Paul Pajares. (30 gennaio 2014). TrendLabs Security Intelligence Blog. “Does the Twitter Follower Scam Actually Work?” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/does-the-twitter-follower-scam-actually-work/. [54] Rika Joi Gregorio. (17 marzo 2014). TrendLabs Security Intelligence Blog. “Malaysia Airlines Flight 370 News Used to Spread Online Threats.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/ trendlabs-security-intelligence/malaysia-airlines-flight-370-news-used-to-spread-online-threats/. [55] Michael Casayuran. (14 marzo 2014). TrendLabs Security Intelligence Blog. “Grand Theft Auto V PC Beta Test Lures Victims.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabssecurity-intelligence/grand-theft-auto-v-pc-beta-test-lures-victims/. TREND MICRO | TrendLabs - Verifica di sicurezza del 1° trimestre 2014 [56] Michael Casayuran. (25 febbraio 2014). TrendLabs Security Intelligence Blog. “WhatsApp Desktop Client Doesn’t Exist, Used in Spam Attack Anyway.” Ultimo accesso 15 aprile 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/whatsapp-desktop-client-doesnt-existused-in-spam-attack-anyway/. [57] Nitesh Dhanjani. (28 marzo 2014). “Cursory Evaluation of the Tesla Model S: We Can’t Protect Our Cars Like We Protect Our Workstation.” Ultimo accesso 15 aprile 2014, http://www.dhanjani.com/blog/2014/03/curosry-evaluation-of-the-tesla-model-s-we-cant-protectour-cars-like-we-protect-our-workstations.html. [58] Richard Chirgwin. (2 aprile 2014). The Register. “SmartTV, Dumb Vuln: Philips Hardcodes Miracast Passwords.” Ultimo accesso 15 aprile 2014, http://www.theregister.co.uk/2014/04/02/smarttv_ dumb_vuln_philips_hardcodes_miracast_passwords/. [59] Sal Cangeloso. (15 agosto 2013). Extreme Tech. “Philips Hue LED Smart Lights Hacked, Home Blacked Out by Security Researcher.” Ultimo accesso 15 aprile 2014, http://www.extremetech.com/ electronics/163972-philips-hue-led-smart-lights-hacked-whole-homes-blacked-out-by-securityresearcher. [60] Robert McMillan. (1 aprile 2014). Wired. “Hackers Turn Security Camera DVRs into Worst Bitcoin Miners Ever.” Ultimo accesso 15 aprile 2014, http://www.wired.com/2014/04/hikvision/. Realizzato da: Supporto tecnico globale e ricerca e sviluppo di TREND MICRO DECLINAZIONE DI RESPONSABILITÀ TREND MICRO Le informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non essere applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non devono essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da un’adeguata consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere interpretate diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento senza preavviso. La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto. L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione, fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non è vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione. Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate, Trend Micro non rilascia alcuna garanzia o dichiarazione di qualsiasi tipo in relazione all’accuratezza, alla validità corrente o alla completezza delle informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto a proprio rischio. Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali terzi coinvolti nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo di conseguenza, perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali di qualsiasi tipo derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori o omissioni nel contenuto del presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come sono”. Trend Micro Incorporated, leader globale di software e soluzioni di protezione, vuole rendere il mondo sicuro per lo scambio di informazioni digitali. Per ulteriori informazioni, visitare il sito www.trendmicro.com. ©2014 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.