Cyber Mid Year Report, fra tendenze e nuove minacce. Le contromisure dell’Europa

La cybersecurity tiene alta l’attenzione a causa dei continui aggiornamenti sugli attacchi informatici perpetrati ai danni di aziende, singoli o addirittura di interi settori di mercato (come nel caso dell’ambito bancario). Le minacce sintetizzate negli ultimi Cyber Mid Year Report evidenziano nuovi trend e tecniche sempre più sofisticate sviluppate su malware noti. E non passa un giorno indenne dalle scoperte da parte dei ricercatori di sicurezza sulle ultime varianti di malware o su tecniche di attacco completamente nuove. La Ue però non intende stare alla finestra ed ha annunciato provvedimenti.

Mid Year Reports

Cisco, Check Point, Security on Demand e la National Association of State Chief Information Officers (NASCIO), hanno emesso i rispettivi report di metà anno tracciando una serie di tendenze che potrebbero protrarsi per tutto il 2017. Nel Midyear Cybersecurity Report di Cisco l’attenzione è focalizzata sulla Destruction Of Service (DeOS) e su nuove modalità di Social Engineering entrambe tese a danneggiare le vittime, rispettivamente con impatti di completa paralisi dei servizi o di danno economico. I malware evolvono verso tecniche Fileless, la distribuzione si sposta su servizi Tor e per il futuro il target atteso è previsto nell’ambito dell’IOT.

Il Cyber Attack Trends: Mid-Year Report di Check Pont, evidenzia una serie di tendenze chiave durante il periodo in oggetto: Mutazione degli adware (a partire dal malware Fireball) e in parallelo la diffusione di botnet adware mobile, una nuova ondata di malware bancari open-source sviluppati con tecniche di offuscamento complesse per bypassare le protezioni e rendere difficile il rilevamento, l’impennata dei ransomware con la percentuale di attacchi in tutte e tre le regioni, Americhe, EMEA e APAC quasi raddoppiata nella prima metà del 2017 rispetto alla prima metà del 2016 (da una media del 26% a una media del 48% delle tre principali categorie di attacchi) e infine viene segnalato l’armamento informatico degli Stati costituito da strumenti di hacking, vulnerabilità zero-day, exploit e metodi di attacco per effettuare attacchi sofisticati o leak targetizzati.

Security on Demand (SOD) nel suo Mid year Security Review enfatizza due trend principali: l’uso dei Ransomware e l’uso di malware di tipo sviluppato da state actors ma usati da attori non statuali prevedendo per il resto dell’anno una fusione delle due tendenze. Se le minacce nel 2016 erano incrementate del 40% rispetto agli anni precedenti, il 2017 viene considerato un anno in cui i data breach saranno predominanti e in effetti, ricordiamo gli ultimi recenti big data leakage ad Equifax e all’SVR Tracking, azienda specializzata in “recupero veicoli”, che si è vista sottrarre le password per oltre mezzo milione di dispositivi di monitoraggio delle automobili.

Infine durante la NASCIO Midyear 2017 Conference è stata sottolineata la priorità di difendere gli stati dai cyberattacchi citando come esempio il dato riguardante la Stato della Virginia, che solo nel solo 2016 ha subito 76 milioni di attacchi. Un trend di attacco verso gli apparati statali potrebbe aumentare perchè i comparti informatici di queste strutture detengono informazioni sensibili, che possono essere usate per frodi e truffe. in proposito il presidente NASCIO ha dichiarato che la protezione delle reti pubbliche e la riduzione del rischio per le risorse digitali dei cittadini e del governo è una missione che deve essere condivisa a tutti i livelli di governo per raggiungere una postura più sicura della cyberecurity.

SMS fraudolenti e bashware

In relazione alle ultime segnalazioni dei ricercatori di sicurezza (in questo caso provenienti dal team Check Point) è stata identificata una nuova variante di un malware Android che invia messaggi SMS fraudolenti e addebita agli utenti servizi contraffatti a loro insaputa. Per tale motivo è stato soprannominato ExpensiveWall ed è una nuova variante di un malware scoperto all’inizio di quest’anno su Google Play.

Questa variante però è diversa e più pericolosa rispetto agli altri membri della sua famiglia perché è “packed” ovvero sfrutta una tecnica di offuscamento avanzato utilizzata dagli sviluppatori di malware per crittografare il codice malevolo e quindi e’ capace di eludere le protezioni anti-malware disponibili all’interno di Google Play. Infatti, circa 50app (dato Google Play) sono state coinvolte con un range di download che si aggira fra 1 milione e 4,2 milioni, prima della rimozione dallo store. Si pensi che l’intera famiglia di questo malware è già stata scaricata tra 5,9 milioni e 21,1 milioni di volte.

L’ulteriore recente e preoccupante tecnica Bashware era stata invece divulgata nei giorni scorsi e consente a qualsiasi malware già noto di bypassare antivirus di nuova generazione, strumenti di controllo e anti-ransomware perché sfrutta una nuova funzionalità di Windows 10 chiamata Subsystem for Linux (WSL), completamente integrata in Windows, che permette agli sviluppatori di usare nativamente tool e applicazioni per l’OS open-source, senza necessità di ricorrere alla virtualizzazione. Le applicazioni Linux che girano dentro a Windows costituiscono un ibrido che esegue contemporaneamente sia il sistema Linux sia Windows e non tutti i prodotti di sicurezza hanno integrato i meccanismi di rilevamento corretti. In linea teorica Bashware consentirebbe di infettare circa 400 milioni di computer basati su Windows 10.

I provvedimenti UE

In occasione del discorso sullo Stato dell’Unione del presidente Jean-Claude Juncker ha illustrato alcuni degli elementi più importanti della proposta sulla cybersecurity dal titolo “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU” presentata alla Commissione Ue. Il documento prevede diverse misure: il conferimento di più poteri e responsabilità all’Enisa, perché possa anche effettuare un coordinamento gli stati membri fornendo loro assistenza e conducendo esercitazioni annuali per testare il livello di protezione dei Paesi UE; sviluppo di un Piano comune UE (“Blueprint”) di risposta in caso di attacco su larga scala, creazione di creare un nuovo Fondo UE per i cyberattacchi (simile al Fondo di solidarietà utilizzato per i disastri naturali) che copra i costi di azioni di risposta d’emergenza; creazione di sistema certificativo UE che garantisca la verificata sicurezza informatica, per le infrastrutture, gli oggetti elettronici ed i servizi come email o cloud, con standard validi in tutti gli stati membri; creazione di una rete europea di centri di eccellenza, con un Centro UE di ricerca sulla cybersicurezza per lo sviluppo di expertise e nuove tecnologie. Infine, aumentare le campagne di awareness e di informazione per accrescere la cultura in tema di sicurezza informatica.