Tratto dallo speciale:

Nuove minacce digitali, chi ci difende

di Alessia Valentini

Pubblicato 30 Gennaio 2017
Aggiornato 12 Febbraio 2018 20:37

Solitamente, le minacce digitali non conoscono tregua e seguono una tendenza crescente per frequenza ed estensione dell’attacco, fino ad arrivare a quelle campagne che si distinguono anche in relazione all’entità del danno. In un panorama in continua evoluzione in cui la minaccia viene definita “liquida” dagli stessi organi di intelligence, arrivano in aiuto tutti i bollettini periodici di aggiornamento diffusi dalle aziende di cybersecurity che studiano il comportamento dei malware e spesso divulgano anche software apposito per la rilevazione, rimozione e sanitizzazione del computer infettato. Poco possono, tuttavia, per le ingenuità degli utenti, specialmente in relazione alle password. Le aziende, invece, passano al contrattacco e si dotano di figure apposite, assumendole in pianta stabile nel loro organico.

Previsioni di security 2017

Dati recenti sulle minacce

Gli ultimi dati dal Global Threat Index mensile di Check Point hanno evidenziato una pausa della “belligeranza digitale” per il mese di dicembre tanto che gli attacchi del ransomware Locky hanno avuto una diminuzione drastica dell’81% rispetto alla media di attacchi di Locky settimanali, se paragonati ai mesi di ottobre e novembre, facendo scendere l’Italia al 48esimo posto nella classifica mondiale degli attacchi informatici, con una perdita di 19 posizioni. Naturalmente gli hacker non hanno goduto le feste natalizie come noi “comuni mortali” ma si sono mantenuti “in allenamento” con attacchi più classici e tradizionali quali Conficker, Nemucod e Slammer.

In particolare Conficker è stato responsabile del 10% di tutti gli attacchi conosciuti nel periodo natalizio. Seguono Nemucod, al secondo posto, con il 5% degli attacchi, e Slammer, con il 4% degli attacchi riconosciuti. Conficker è un worm che consente operazioni da remoto e download di altri malware. La macchina infettata viene controllata da una botnet, che comunica con i server Command & Control, pronta a ricevere istruzioni. Nemucod rappresenta un downloader di JavaScript o di VBScript, utilizzato in genere per scaricare varianti di ransomwareo altri payload malevoli. Infine Slammer è worm che si annida nelle memorie, attaccando Microsoft SQL 2000. Si diffonde rapidamente, e può generare denial of service contro le sue vittime.

Gli altri sette malware che insieme ai precedenti sono fra i primi 10 più diffusi, causando il 42% di tutti gli attacchi riconosciuti sono: Nivdort, RookieUA, Cutwail, Cryptowall, Sality, Parite e Virut, tutti descritti come comportamento, e conseguenze nel blog della threat index.

Nuovi Ransomware: problemi e soluzioni

Sul fronte Mobile Android continua ad essere molto più bersagliato di iOS e le minacce che hanno imperversato sono il noto Hummingbad, Triada e Ztorg. Hummingbad stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, e riesce a scavalcare la crittografia utilizzata dalle aziende. Triada è una backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser. Infine Ztorg è un trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.

Recentemente una variante del malware Hummingbad, chiamata HummingWhale, è stata scoperta dai ricercatori, all’interno di più di 20 app di foto utility, scaricate da milioni di utenti, da Google Play. Il team di sicurezza di Google, appena avvisato, ha rimosso le app caricate da identità fake di provenienza cinese. HummingWhale agisce attraverso il server Command&Control, che trasmette adv (advertising n.d.r.) e app false al malware installato, che a sua volta le propone all’utente. Qualora quest’ultimo provi a chiudere l’adv, l’app, installata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un’ID referred falsa, utilizzata dal malware per generare gli introiti in favore dei criminali. I vantaggi della tecnica utilizzata risiedono nella capacità del malware di installare app senza chiedere permessi avanzati, nascondendo l’attività malevola ed insidiando uno store ufficiale come quello di Google, senza sovraccaricare il dispositivo.

I nomi delle app interessate dall’infezione: whale camera, blinking camera, orange camera, ocean camera, hiporn, safe and fast, fast cleaner, deep cleaner, rainbow camera, clever camera, hot cleaner, smartalbums, tiny cleaner, topspeed test 2, flappy cat, elephant album, file explorer, swan camera, smile camera, shell camera, ice camera, art camera, beauty camera, easter rush, happy camera (fonte: blog threat index).

Quasi contemporaneamente alla scoperta sono stati divulgati alcuni strumenti e tutorial che guidano un passo alla volta, l’utenza alla rimozione.

Ingenuità dell’utente medio

Come se non bastasse la recente classifica delle peggiori password utilizzate dagli internauti stilata dalla  società Keeper Security ha evidenziato ancora una volta scelte al limite dell’ovvio che facilitano la violazione da parte di hacker smaliziati che non hanno altro da fare se non indagare sulla vita della vittima designata, sui social oppure in internet per capire semplici riferimenti di date legate ai fatti della vittima del target per poi effettuare pochi tentativi per arrivare alla soluzione.  David Gubiani Security Engineering Manager di Check Point suggerisce la regola di base da cui partire per complicare il lavoro agli hacker: creare password complesse, lunghe, a caratteri alfanumerici, nuove per ogni utenza e cambiarle almeno ogni 3 mesi.

Sistemi e metodi per password sicure

Rimedi

Da oltre un anno, Mr. McCafee fondatore della famosa società di security oggi acquisita da Intel, avrebbe anche risolto il problema delle password alla radice proponendo sul mercato un dispositivo in forma di chiavetta USB crittografata, Everykey, che promette di rendere sicuri gli accessi alle piattaforme più conosciute attraverso un’applicazione mobile dedicata. Si tratta sostanzialmente di un manager di password e login, che dialoga in automatico via Bluetooth con i dispositivi riconosciuti e validati, e promette di renderli inviolabili quando la chiavetta viene allontanata dagli stessi. La chiavetta utilizza la crittografia militare AES a 128-bit, che McAfee garantisce essere la stessa in uso per la protezione dei documenti classificati con un livello di sicurezza superiore. La chiavetta non sarebbe fisicamente hackerabile poiché ogni messaggio invitato ai terminali da sbloccare non è pre-determinato ma cambia periodicamente.

Strumenti tecnologici a parte resta fondamentale per tutti la conoscenza e la consapevolezza dei rischi. Per le aziende è anche cruciale affidarsi ad esperti e professionisti che possono suggerire, operare e analizzare esigenze specifiche. Non è un caso quindi, che molte aziende stiano internalizzando figure di questo tipo perché non si fidano più ad averle solo come consulenti esterni. I manager della cybersecurity più richiesti sono Chief Information Security Officer (CISO) e il Data Protection Officer (DPO) secondo l’Osservatorio Security e Privacy del Politecnico di Milano che ha condotto nell’anno passato una ricerca su circa 127 aziende. Sul DPO si potrebbe pensare al rispetto della cogenza imposta dal regolamento GDPR (Global Data Protection Regulation) ma sul CISO non ci sono dubbi sull’intenzione di proteggere asset informativi e identificare, sviluppare e implementare contromisure di mitigazione dei rischi derivanti dall’adozione pervasiva delle tecnologie digitali.

Immagine Shutterstock