global security report Archivi

Il report evidenzia la ricomparsa del malware PBot, l’impiego di algoritmi di generazione dei domini e il rapporto tra infrastruttura command and control di MIRAI e obiettivi di attacco. Sono inoltre contenuti dati salienti sulle statistiche relative agli attacchi DDoS e alle applicazioni web

Per scaricare il Rapporto sullo stato di Internet Q2 2017 / Security: http://akamai.me/2i9vrdz

Per scaricare i singoli grafici e diagrammi con le relative didascalie: http://akamai.me/2w6mI1v

Secondo quanto emerge dal Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies, Inc. (NASDAQ: AKAM) sono nuovamente in crescita gli attacchi DDoS (Distributed Denial of Service) e alle applicazioni web. Un importante contributo a questa nuova ondata di attacchi è dato dalla ricomparsa del malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel corso di questo trimestre.

Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni fa per generare l’attacco DDoS più ampio osservato da Akamai nel secondo trimestre. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Un altro elemento preso dal passato, rilevato dall’analisi svolta dal team Threat Research di Akamai, è l’impiego di algoritmi di generazione di domini (Domain Generation Algorithms) nell’infrastruttura dei malware Command and Control (C2). Utilizzato per la prima volta assieme al worm Conficker nel 2008, il DGA rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali. Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche DNS 15 volte superiore rispetto a quelle non infette. Ciò può essere spiegato come conseguenza del fatto che il malware presente nelle reti infette accede a domini generati casualmente. Poiché la maggior parte dei domini generati non era registrata, tentare di accedere a tutti avrebbe generato troppo rumore. Analizzare le differenze di comportamento tra le reti infette rispetto a quelle non infette è un ottimo modo per identificare l’attività del malware.

[amazon_link asins=’B016LPIKS6,B06WRQTFW9,B01LEI5GWI,B071SJF4TB’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’fedaf60f-9185-11e7-9a8d-2d667555e83e’]

Quando lo scorso settembre è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell’azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. I ricercatori di Akamai hanno utilizzato la visibilità sulla botnet Mirai che solo Akamai può vantare per studiare i diversi aspetti della botnet. In particolare nel secondo trimestre tale analisi si è concentrata sull’infrastruttura C2 di Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.

“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace”, spiega Martin McKeay, Senior Security Advocate di Akamai. “Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi SQLi e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.

Alcuni dati:

Altri dati di rilievo presenti nel rapporto sono:

● Il numero di attacchi DDoS del secondo trimestre è cresciuto del 28% su base trimestrale dopo avere registrato un calo per tre trimestri consecutivi.

● Gli autori degli attacchi DDoS si stanno dimostrando più ostinati che mai, attaccando i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno.

● Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five.

● Questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi DDoS. Il numero di indirizzi IP coinvolti in attacchi DDoS volumetrici è crollato del 98% passando da 595.000 a 11.000.

● L’incidenza degli attacchi alle applicazioni web è aumentata del 5% su base trimestrale e del 28% su base annuale.

● Gli attacchi SQLi sono stati utilizzati in più della metà (51%) degli attacchi alle applicazioni web questo trimestre, rispetto al 44% del trimestre scorso, generando quasi 185 milioni di avvisi solo nel secondo trimestre.

Metodologia

Il Rapporto sullo stato di Internet Q2 2017 / Security di Akamai combina i dati sugli attacchi raccolti dall’intera infrastruttura globale di Akamai ed è frutto delle ricerche svolte dai vari team dell’azienda. Il rapporto si avvale dei dati raccolti dalla Akamai Intelligent Platform e fornisce un’analisi dell’attuale panorama delle minacce e della sicurezza sul cloud, nonché informazioni sulle tendenze degli attacchi. Il Rapporto sullo stato di Internet / Security è frutto della collaborazione di vari professionisti della sicurezza di Akamai, tra cui il team SIRT (Security Intelligence Response Team), l’unità Threat Research, i team Information Security e Custom Analytics.

[gview file=”http://www.antoniosavarese.it/wp-content/uploads/2017/09/q2-2017-state-of-the-internet-security-infographic.pdf”]

Informazioni su Akamai

Grazie alla propria piattaforma cloud di delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell’offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l’accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24×7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce, provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter.

“La Mobile Security è la nostra sfida più grande, con una stima di 450 milioni di smartphone consegnati nel corso degli ultimi 12 mesi, si stima che ci saranno più accessi via Internet rispetto a quelli da PC”

Tutti sanno che il cybercrime è ospitato su dei server in giro nel mondo, ma dove? Un nuovo interattivo strumento web-based mira a fornire una maggiore comprensione in questo dominio alla ricerca di soluzioni ad un problema globale. Quanto la criminalità informatica è servita dai fornitori di hosting registrati di un singolo paese?

Una questione interessante, che può ora cominciare ad avere delle prime risposte grazie ad una collaborazione tra HostExploit (gruppo Cyberdefcon Ltd.), il gruppo russo Group-IB e CSIS in Danimarca. La mappa del Global Security visualizza gli hot spot globali per le attività cybercriminali in base alla posizione geografica.

La mappa di sicurezza globale è in una fase di rapido sviluppo e all’inizio di un ciclo a lungo termine di ricerca. Il lavoro è attualmente in corso e ci saranno ulteriori miglioramenti allo strumento, che permetterà agli utenti di scendere senza soluzione di continuità dal livello mondo, alla regione, al paese, agli scambi su internet, per AS (Autonoous System) e gli ISP, e, infine, IP, domini e URL.

Ne abbiamo parlato con Jart Armin, Direttore di HostExploit.

Crediamo che questo sia uno strumento unico per la sua combinazione di dettagli e l’alto livello di visualizzazione e che, inoltre, si rivolge a un ampio spaccato di utenti. Nel calcolo dei livelli di ‘cattiveria’ a livello nazionale, la precisione nell’identificare i paesi che svolgono questa specifica attività è naturalmente fondamentale. Uno dei motivi per cui fino ad ora vi è stata una mancanza di studi sulla distribuzione geografica della criminalità informatica è che è difficile determinare con precisione dove tutto è fisicamente ospitato su Internet, per non parlare di dove tutto è. Questo non dovrebbe essere un deterrente per la ricerca. Piuttosto, dovrebbe incoraggiare ulteriori ricerche; i dati, quando rilasciati pubblicamente, metteranno pressione sulle autorità competenti di internet al fine di consentire in futuro una migliore modalità di quantificazione. Se non si cerca di quantificare non cambierà mai nulla. Va notato anche che la mappa della sicurezza globale, le sue risorse ei relativi dati non sono intese come una dichiarazione che ogni governo o paese è attivamente coinvolto in (o è un sostenitore di) attività criminali informatiche.

Qual è lo stato di salute di sicurezza informatica nel mondo?

Nel complesso abbiamo un cattivo stato di salute, il mercato della criminalità informatica cresce rapidamente, nel 2012 si stimano utili per circa 15 miliardi di dollari rispetto agli 11 miliardi del 2011, e ciò fornisce una base quantitativa della minaccia. A seconda delle modalità di determinazione dei costi, per ogni $ 1 del mercato del cybercrime, questo causa una spesa comparativa da circa $ 50 a $ 100. Aggiunto a questo, il drammatico aumento nell’uso di Internet a livello mondiale sottopone ad un grande stress le infrastrutture fisiche esistenti, ed i DNS.

Qual è la metodologia utilizzata per il rapporto?

Il rapporto utilizza come strumento l’HE Index che rappresenta i livelli di concentrazione rilevati di attività dannose. Si va da 0 a 1000, dove 0 è zero attività dannose e 1.000 è il livello massimo relativo di attività illecita. Una proprietà importante del HE Index è quella della concentrazione: in breve, la dimensione del paese viene preso in considerazione, in modo che paesi più grandi non usciranno in cima semplicemente perchè ospitano più contenuti.

Quali sono gli stati in cui vi è maggior pericolo e perché?

In generale, i paesi che subiscono i più alti livelli di attività dannose si possono dividere in due categorie. In primo luogo sono paesi con un mercato altamente competitivo nel settore del web hosting. Un mercato così sviluppato implica i prezzi più bassi possibile. Esempi includono i Paesi Bassi (# 6) e gli Stati Uniti (# 11). In secondo luogo sono paesi con un basso livello di regolamentazione. Spesso si tratta di piccoli paesi, dove il web hosting non è comune, con conseguente abbassamento del livello di regolamentazione in corso di esecuzione. Gli esempi includono il British Virgin Islands (# 4) e la Repubblica della Moldavia (# 9).

Potrebbe fornire alcuni numeri e alcuni esempi?

La mappa della sicurezza globale è il risultato di un’ampia ricerca sui sistemi autonomi (ASN) – server, ISP e reti con routing IP. Al momento del rapporto, la Lituania si classifica al # 1 con i più alti livelli di attività malevoli in tutto il mondo mentre la Finlandia al n ° 219 ha i server e le reti più pulite. Una volta acquisite queste informazioni il passo successivo è quello di considerare metodi di attenuazione o piani realistici che possano contribuire a ridurre i livelli di attività dannose. Quindi, ciò che fa la differenza tra il paese identificato come il “peggiore”, # 1 in Lituania, e il “migliore”, # 219 Finlandia!

Quali sono i tipi di rischi emergenti?

La sicurezza mobile è ancora la più grande area in cui c’è un ‘rischio emergente’, tuttavia i furti di dati generali (violazione dei dati) sono ancora in aumento ed in molti paesi importanti non c’è ancora una legislazione efficace. Il fenomeno dello ‘spear phishing’ attraverso le reti sociali diventa sempre più sofisticato. Questi sono ora associati con i malware polimorfici, che sono finalizzati non solo a un paese, ma nei confronti degli utenti bancari specifici, sulla base di dati demografici e gruppi sociali.

Con la diffusione della sicurezza informatica mobile cambia?

La Mobile Security è la nostra sfida più grande, con una stima di 450 milioni di smartphone consegnati nel corso degli ultimi 12 mesi, si stima che ci saranno più accessi via Internet dagli rispetto ai PC. I dispositivi di sicurezza sono ancora deboli, Android è l’obiettivo principale. Molti attacchi nel settore mobile e l’emergere delle prime botnet dedicate a questo settore (Pocket botnet) sono stati riscontrati in Cina ed in Asia, a causa di alti livelli di utilizzo dei dispositivi mobili in questi paesi. Più di un milione di Pocket Botnet emerse in Cina, hanno causato il primo avviso alla popolazionefatto attraverso la televisione cinese.

Ci sono rischi maggiori per le imprese o individuali?

Entrambi: le società e gli individui sono a rischio.

Antonio Savarese

Si ringrazia per la collaborazione Raoul Chiesa, Principal @ Cyberdefcon Ltd.

—-

Jart Armin è un investigatore, un analista ed un esperto di cybercrime and computer security.

Armin arriva per la prima volta all’attenzione del pubblico nel 2007 quando attraverso un blog intitolato RBNExploit, ha fornito i rapporti e l’analisi delle operazioni sotto copertura della banda criminale RBN. Con i suoi blog e l’alleanza con altri partner, Armin ha sensibilizzato l’opinione pubblica sulle attività della RBN che sono stati successivamente riportati in articoli di giornale. È stato attraverso il blog RBN che Armin ha fornito le prime segnalazioni di attacchi informatici, utilizzati in combinazione con l’invasione della Georgia da parte delle truppe russe, tre giorni prima dell’attacco nel mese di agosto 2008. Sostenitore di un approccio open source alla lotta contro la criminalità informatica, Armin ha fondato HostExploit, un sito web educativo volto a denunciare le organizzazioni criminali informatiche, parte del gruppo Cyberdefcon Ltd., con base nel Regno Unito.

Tag: global security report

Akamai pubblica il Rapporto sulla Sicurezza Q2 2017

Global Security Report