Le terze parti possono essere un grosso rischio per la sicurezza delle aziende

Anche se molte aziende stanno investendo in sicurezza informatica indipendentemente dal ROI (il 63% nel 2017 rispetto al 56% del 2016), un nuovo studio di Kaspersky Lab e B2B International ha rilevato che il costo medio di un incidente di sicurezza informatica è in crescita. Secondo il report “IT security: cost-centre or strategic investment?[1]”, le falle alla sicurezza informatica più costose per le aziende di qualsiasi dimensione derivano da errori di terze parti, il che significa che le aziende non dovrebbero soltanto investire nella propria sicurezza, ma anche prestare attenzione a quella dei loro partner.

[amazon_link asins=’0071713409,1555877842,0071818464,8820366908,8850332009′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’63862a04-c946-11e7-b7c2-b3fc4e6cd6f2′]

Lo studio di quest’anno rivela una crescita promettente dell’importanza che le aziende danno alla sicurezza IT. Le aziende stanno, infatti, iniziando a vedere la sicurezza come un investimento strategico e la quota del budget IT che viene speso per la sicurezza informatica è in crescita, raggiungendo quasi un quarto (il 23%) del budget IT nelle grandi aziende. Questa tendenza è in realtà comune alle aziende di tutte le dimensioni, incluse quelle molto piccole dove le risorse economiche sono più ridotte. Tuttavia anche se la sicurezza sembra beneficiare di una grande parte del budget IT, il problema è che quest’ultimo si sta riducendo. Per esempio, il budget medio di sicurezza IT nelle grandi aziende in termini assoluti è calato da 25,5 milioni di dollari dell’anno scorso a 13,7 milioni di dollari nel 2017.

Questa è una grande preoccupazione per le aziende, visto che – a differenza dei budget in sicurezza IT – i costi per la ripresa dalle violazioni alla sicurezza sono in aumento. Quest’anno, le PMI hanno speso una media di (87,8 mila dollari per incidenti sulla sicurezza (rispetto agli 86,5 mila dollari del 2016), mentre le grandi aziende hanno affrontato un aumento ancora più grande di 992 mila dollari nel 2017, rispetto agli 861 mila dollari del 2016.

Riguardo all’Italia, lo studio ha evidenziato che nel nostro Paese per le PMI l’impatto totale medio di una violazione di dati è ammontata a 75.600 euro e per le grandi aziende dieci volte tanto, cioè 856.800 euro. Inoltre, le aziende enterprise hanno speso in media 69.720 euro per migliorare il software e l’infrastruttura a seguito di un problema alla sicurezza.

Tuttavia, aumentare i budget per la sicurezza IT è solo una parte della soluzione, visto che le perdite più gravi derivano da incidenti che riguardano terze parti e i loro errori informatici. Le PMI hanno dovuto pagare fino a 140 mila dollari per incidenti che hanno colpito infrastrutture ospitate da terze parti, mentre le grandi aziende hanno perso quasi due milioni di dollari (1,8 milioni di dollari) a causa di falle che hanno colpito fornitori con cui condividevano dati e 1,6 milioni di dollari a causa di un livello insufficiente di protezione degli laaS-provider.

Non appena un’azienda permette l’accesso ai suoi dati o infrastrutture a un’altra azienda, le debolezze di una delle due società intaccano entrambe. Questa questione sta diventando sempre più importante dal momento in cui i governi di tutto il mondo fremono per introdurre nuove legislazioni che richiedono che le organizzazioni forniscano informazioni su come condividono e proteggono i dati personali.

“Gli incidenti alla sicurezza informatica che riguardano terze parti sono dannosi per le aziende di tutte le grandezze e il loro impatto finanziario è ancora più grave. Questo perché le minacce si evolvono velocemente mentre le aziende e la legislazione cambiano lentamente. Quando norme come il GDPR diventeranno giuridicamente applicabili e prima che le aziende riescano ad aggiornare le loro policy, le società si ritroveranno a dover pagare anche le spese per la loro inadempienza”, afferma Alessio Aceti, Head of Enterprise Business Division di Kaspersky Lab.

Per aiutare le aziende nelle loro strategie di sicurezza IT, Kaspersky Lab presenta il Kaspersky IT Security Calculator, che si basa sul panorama delle minacce del mercato e contiene specifiche raccomandazioni di protezione. Questo strumento per le aziende è una guida aggiornata sui costi per la sicurezza IT in base ai budget medi spesi (suddivisi per area geografica, industria e dimensione dell’azienda), misure di sicurezza, principali vettori di minacce, perdite economiche e consigli su come evitare una compromissione. Si può trovare a questo link il Kaspersky IT Security Calculator e l’intero report “IT security: cost-centre or strategic investment?”.

Kaspersky Lab offre soluzioni che soddisfano le richieste delle piccole e medie imprese e delle grandi aziende in termini di endpoint protection, DDoS protection, cloud security, difesa da minacce avanzate e servizi di sicurezza informatica. Per ulteriori informazioni sulla nostra offerta di soluzioni enterprise di prossima generazione e sui nostri prodotti per le piccole e medie imprese, visitate il sito.

[1] Indagine globale condotta a partire dal 2011. L’ondata più recente dei dati sono stati raccolti da marzo ad aprile 2017, con un totale di 5274 interviste condotte in 30 Paesi, inclusa l’Italia.

18 Ottobre 201718 Ottobre 2017

AVIRA: ricerca sulle minacce online più pericolose del 2017

Quando si mettono all’opera, i borseggiatori non passeggiano a caso nel parco. Agiscono con una strategia: hanno affinato le tecniche, selezionato i luoghi e individuato le potenziali vittime. Diversi borseggiatori hanno inoltre obiettivi differenti: alcuni sono interessati solo ai contanti, mentre altri cercano di sottrarre le carte di credito. E’ un modus operandi molto simile a quello del malware.

Come molti poliziotti potranno dirvi, alcune mosse strategiche possono ridurre le possibilità di rimanere vittime dei borseggiatori, ma dovete conoscere il nemico, i rischi e la sua strategia: proprio come con i malware.

Avira traccia e blocca costantemente un ampio spettro di borseggiatori online

In un periodo di otto mesi, da gennaio ad agosto, abbiamo individuato quattro principali tipologie di borseggiatori online. Ognuna di esse presenta tecniche, strategie di diffusione e costi peculiari per le vittime. Diamo una rapida occhiata ad ognuna di loro.

Trojan : I trojan (788.761.300 rilevamenti) sono programmi dannosi che si nascondono sotto le spoglie di programmi eseguiti di routine o perfino utili, ma in realtà eseguono funzionalità nascoste. Alcuni aprono delle backdoor nel dispositivo infettato. I trojan più conosciuti di questi tempi sono i ransomware, che crittografano i file delle loro vittime e richiedono un riscatto per renderli di nuovo accessibili.

[amazon_link asins=’8817093874,8850233906,8814139091,0691168318,B01GLFJQ0W’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’23bd77db-b412-11e7-b092-7926702960d0′]

· Origine – I trojan si diffondono in molti modi, inclusi gli allegati alle email e i siti web infetti.

· Come difendersi – Avere un antivirus installato e prestare attenzione agli avvisi. Non cliccare sulle email sospette e nemmeno sui messaggi insoliti ricevuti dagli amici. Eseguire un backup dei file del computer su un drive esterno e/o su cloud.

Exploit kit: Gli exploit kit (222.860.100 rilevamenti) sono come una lista della spesa per i cyber-criminali. Effettuano ricerche nei computer delle potenziali vittime alla ricerca di software obsoleti o vulnerabilità non corrette.

· Origine – Gli exploit kit si possono trovare nelle email sospette e si diffondono tramite siti web infetti.

· Come difendersi – Avere un programma di aggiornamento software che mantenga aggiornati sia il dispositivo che le applicazioni. Assicurarsi di avere in funzione un antivirus efficiente.

PUA: PUA (173.091.500 rilevamenti) è l’acronimo di Potentially Unwanted Apps, ovvero applicazioni potenzialmente indesiderate. Sebbene di solito non rappresentino un pericolo diretto, esse possono riorganizzare il browser, alterare le ricerche online e introdurre altre applicazioni indesiderate per disturbare la vita online degli utenti.

· Origine – Siti di download. Nella maggior parte dei casi le PUA colpiscono gli utenti sotto forma di elementi aggiuntivi non pianificati, che vengono installati dopo aver scaricato un’applicazione online. Questi elementi infatti si confondono astutamente nei processi di download e installazione.

· Come difendersi – Prestare attenzione al processo di download e deselezionare le caselle dei programmi o delle applicazioni aggiuntive, eccetto quelle che si desiderano veramente. Non utilizzare il dispositivo con il ruolo di amministratore.

Phishing: I siti di phishing (131.319.600 rilevamenti) sono progettati per sembrare vere e proprie pagine di attività commerciali, quali banche e negozi online, ma non lo sono. Questi siti raccolgono invece informazioni private sulle vittime, inclusi i loro indirizzi email e i dati delle carte utilizzate per il pagamento. Alcuni siti di phishing diffondono anche malware.

· Origine – Qualsiasi sito web.

· Come difendersi – Avere un antivirus che identifica i siti falsi e impedisce di accedervi, come Avira Antivirus: la protezione pluripremiata per la tua vita digitale.

10 Ottobre 201710 Ottobre 2017

Data Dollar: una moneta che si basa sul valore dei dati personali diventa un nuovo metodo di pagamento

Kaspersky Lab, ha creato un pop-up shop in cui i dati personali o meglio, i Data Dollar, sono l’unica moneta utilizzabile. L’obiettivo è dimostrare che i dati hanno un valore economico che può essere utilizzato per gli acquisti nei negozi del futuro.

Il Data Dollar Store è stato creato e allestito da Kaspersky Lab in Old Street a Londra, nel cuore della capitale della tecnologia. I clienti si sono messi in coda molto presto per aggiudicarsi le stampe esclusive del noto street artist Ben Eine, ma sono rimasti molto sorpresi di fronte al modo con cui avrebbero dovuto pagare le opere d’arte, veniva in effetti chiesto a loro di rinunciare alle proprie fotografie personali o ai video e utilizzarli come metodo di pagamento per gli acquisti. Dopo la sorpresa iniziale hanno però acconsentito favorendo l’aumento della valuta Data Dollar. Il Data Dollar Store, è stato ideato per far crescere negli utenti la consapevolezza del valore effettivo dei dati personali e attirare altri player di mercato ad unirsi a questa attività utilizzando il simbolo del Data Dollar. Per l’occasione è stato realizzato un video.

Tenuto conto che la quantità di dati personali continua a crescere in modo esponenziale, possiamo dire che le persone, in modo del tutto inconsapevole, portano con sè ogni giorno una vera e propria miniera d'oro fatta di 
monete preziose che non subiscono l’influenza dei tassi di cambio o della posizione geografica. 
Secondo Kaspersky Lab, la mancanza di consapevolezza rispetto al valore effettivo dei propri dati personali è 
un ostacolo enorme che impedisce alle persone di compredere quanto sia necessario proteggere i propri dati.
La speranza è che attraverso i Data Dollar questa consapevolezza possa aumentare e rendere quindi più sicura
 l'esperienza online di tutti.

“Per noi il Data Dollar è principalmente un mezzo per sensibilizzare gli utenti sul valore dei dati”, afferma Morten Lehn, General Manager Italy di Kaspersky Lab. “Quindi, se un sito web offre dei servizi gratuitamente, ma chiede in cambio i dati personali dei clienti per monetizzare il proprio servizio, dovrebbe utilizzare il simbolo del Data Dollar per dimostrare che si sta verificando una forma di scambio”, continua Lehn.

[amazon_link asins=’8811682479,074947985X,8838662916,B06XWN7VCQ,B01J0RYDPQ’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’06828932-ad7b-11e7-9229-d34717296eb0′]

Kaspersky Lab ha dimostrato che fare acquisti in un pop-up store temporaneo di Londra utilizzando i dati come
valuta può funzionare. Il negozio che è stato aperto per due giorni ha attirato diversi clienti che volevano 
aggiudicarsi ad ogni costo le stampe esclusive e le opere d'arte di Ben Eine, il noto street artist. 
I clienti erano convinti che avrebbero fatto una normalissima esperienza di shopping e che quindi dopo aver 
osservato i prodotti e scelto quelli da acquistare sarebbero andati alla cassa  per pagarli con del denaro. 
Quello che è accaduto invece è che al momento del pagamento ai clienti è stato chiesto di pagare in Data 
Dollars, la nuova valuta creata da Kaspersky Lab e che consiste nei dati personali dei clienti contenuti 
all’interno del loro smartphone: immagini, video o testi.

Morten Lehn ha aggiunto: “È facile dimenticarsi della quantità enorme di dati che condividiamo quotidianamente. La sensazione di perdita che si prova quando i dati personali vengono sottratti contro la nostra volontà, diventa molto più realistica quando qualcuno prende il nostro smartphone e davanti ai nostri occhi, scorre tutti i nostri dati decidendo quali prendere. L’effetto di questa esperienza di acquisto, che abbiamo potuto esplorare grazie al Data Dollar Store, è stata per noi molto interessante. Secondo un sondaggio globale, anche se il 29% delle persone in tutto il mondo è stato vittima di un attacco informatico, il 39% non protegge i propri dispositivi dagli attacchi.

Le persone dovrebbero dare ai propri dati lo stesso valore che danno al denaro. Visto che i dati personali hanno valore e possono essere utilizzati come mezzo di scambio o per fare acquisti è importante proteggerli facendo di tutto per evitare che vengano rubati o persi”.

27 Settembre 201727 Settembre 2017

Kaspersky Lab – come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

Economici ma pericolosi: come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

I ricercatori di Kaspersky Lab hanno rilevato una nuova e importante tendenza per quel che riguarda il modus operandi dei gruppi criminali più sofisticati. Questi gruppi criminali utilizzano sempre meno tecniche di attacco sofisticate e costose come le vulnerabilità zero day, per avvalersi piuttosto di campagne di ingegneria sociale estremamente mirate che vengono combinate con tecniche malevole conosciute ed efficaci. Così facendo, sono in grado di sfruttare campagne dannose difficili da individuare utilizzando le ordinarie soluzioni di sicurezza aziendali.

Questo cambiamento di strategia dei gruppi criminali dimostra che, in generale, le infrastrutture IT delle organizzazioni moderne hanno delle vulnerabilità che consentono ai criminali di utilizzare strumenti di attacco relativamente poco costosi per raggiungere i loro obiettivi. Microcin è una campagna dannosa recentemente rilevata dagli specialisti di Kaspersky Lab, che rappresenta quello che viene definito un attacco economico ma pericoloso.

Tutto ha avuto inizio quando la Kaspersky Anti Targeted Attack Platform (KATA) ha rilevato un file RTF sospetto. Il file includeva un exploit (malware che sfrutta le vulnerabilità di sicurezza dei software più utilizzati per installare componenti dannosi aggiuntivi) di una vulnerabilità nota e già risolta di Microsoft Office. Non è raro che i criminali informatici utilizzino exploit di vulnerabilità note per infettare le vittime con malware distribuiti in maniera massiccia, ma come dimostra una ricerca più approfondita, questo particolare file RTF non appartiene ad un’altra grande ondata di infezioni, ma ad una più sofisticata campagna mirata.

[amazon_link asins=’1593272901,B071GHHDS2,1118825098,B0170LWL08′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’ca5303ef-a362-11e7-be31-69b21152f77e’]

Il documento di spear-phishing sospetto è stato distribuito attraverso alcuni siti rivolti ad un gruppo specifico di persone: forum in cui venivano discusse questioni legate all’ottenimento di alloggi sovvenzionati. Si tratta di un’esenzione disponibile principalmente per i dipendenti delle organizzazioni governative e militari di Russia e di altri Paesi limitrofi.

Quando viene attivato l’exploit, un malware con una struttura modulare viene installato sul computer preso di mira. L’installazione del modulo viene eseguita tramite un’iniezione dannosa all’interno di iexplorer.exe; e l’esecuzione automatica di questo modulo viene completata tramite il dll-hijacking. Entrambe sono tecniche note che vengono utilizzate ampiamente.

Infine, quando il modulo principale è stato installato, alcuni moduli aggiuntivi vengono scaricati dal server di comando e controllo. Almeno uno di essi utilizza la steganografia – la pratica di nascondere informazioni all’interno di file apparentemente non dannosi, come ad esempio le immagini e questa rappresenta un’altra tecnica pericolosa per trasferire dati rubati.

Una volta che l’intera piattaforma maligna è stata implementata, il malware cerca i file con estensioni .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt e .rtf., che vengono quindi inseriti in un archivio protetto da password e trasferito ai criminali. I criminali, durante l’attacco, oltre ad utilizzare infezioni note e tecniche di movimento laterale utilizzano in modo attivo backdoor note che sono già state rilevate in attacchi precedenti e impiegano strumenti legittimi creati per effettuare test di penetrazione e che generalmente non sono riconosciuti come malevoli dalle soluzioni di sicurezza.

“Se analizziamo l’attacco suddividendolo in singole parti può addirittura dare l’impressione di essere poco pericoloso. Quasi ogni componente, infatti, è stato ben documentato ed è facile da individuare. Tuttavia, vengono combinati tra loro in modo tale che l’attacco diventi difficile da rilevare. Inoltre, questa campagna dannosa non è unica nel suo genere. Sembra che anche alcuni criminali di cyber spionaggio abbiano spostato l’attenzione dalla creazione di strumenti dannosi difficili da individuare, alla pianificazione e realizzazione di operazioni sofisticate che non comportano l’utilizzo di malware complessi ma che sono ugualmente pericolosi“, ha dichiarato Alexey Shulmin, analista di malware di Kaspersky Lab.

Per proteggere l’infrastruttura IT da attacchi come Microcin, gli esperti di Kaspersky Lab consigliano alle organizzazioni di utilizzare strumenti di sicurezza che consentano di individuare operazioni dannose piuttosto che software dannosi.

Soluzioni così complesse, come Kaspersky Anti-Targeted Attack Platform, comprendono non solo le tecnologie di protezione degli endpoint, ma anche tecnologie che consentono di monitorare e correlare i singoli eventi rilevati all’interno delle diverse parti della rete aziendale, identificando così i modelli maligni presenti negli attacchi mirati sofisticati.

I prodotti Kaspersky Lab rilevano e bloccano con successo Microcin e le altre campagne simili.

I dettagli della campagna di Microcin si trovano sul blog Securelist, che include anche ulteriori informazioni tecniche sull’attacco

21 Settembre 201721 Settembre 2017

Le app antivirus ti proteggono o ti infettano? La recente scoperta di Check Point

Il team di ricerca di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, ha messo a punto un’altra scoperta davvero interessante.

L’azienda ha, infatti, scoperto un’applicazione anti-virus mobile creata dal gruppo DU, sviluppatore di applicazioni Android, che raccoglieva i dati utente senza il consenso dei proprietari dei dispositivi. L’applicazione, chiamata DU Antivirus Security, era disponibile su Google Play, l’app store ufficiale di Google, ed è stata scaricata tra le 10 e le 50 milioni di volte.

Secondo Check Point, quando l’applicazione veniva eseguita per la prima volta, raccoglieva informazioni dal dispositivo, come identificatori univoci, elenchi di contatti, registri delle chiamate e potenzialmente la posizione del dispositivo. Queste informazioni venivano quindi crittografate e inviate a un server remoto. Le informazioni sui clienti venivano poi utilizzate in seguito da un’altra applicazione del gruppo DU, Caller ID & Call Block – DU Caller, che forniva agli utenti informazioni sulle chiamate in arrivo.

[amazon_link asins=’B016LPIKS6,B01N7OJY5A,B01LEICKTK,B00QE3UUVG,B007YCQMPY’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’61e7f730-9e9f-11e7-b992-ab04f7068adb’]

Mentre gli utenti ponevano fiducia in DU Antivirus Security per proteggere le informazioni private, l’app Caller ID & Call Block – DU Caller faceva l’esatto contrario. Raccoglieva le informazioni personali dei propri utenti senza autorizzazione e utilizzava tali informazioni private per scopi commerciali. I dati relativi alle chiamate personali, a chi stava parlando e per quanto tempo sono stati poi registrati e utilizzati successivamente.

Check Point ha segnalato a Google l’utilizzo illegale delle informazioni private degli utenti lo scorso 21 agosto 2017 e l’applicazione è stata rimossa da Google Play il 24 agosto 2017. Una nuova versione dell’app che non include il codice dannoso è stata caricata poi il 28 agosto 2017.

Oltre a DU Antivirus Security, il team di ricerca di Check Point ha rilevato lo stesso codice in altre 30 app, 12 delle quali presenti su Google Play, che lo store ha successivamente rimosso. Queste applicazioni hanno probabilmente implementato il codice come una libreria esterna e hanno trasmesso i dati rubati allo stesso server remoto utilizzato da DU Caller. Nel complesso, il codice illecito ha interessato tra i 24 e gli 89 milioni di utenti che hanno installato queste applicazioni, secondo quanto riferito da Google Play.

Check Point raccomanda agli utenti che hanno installato DU Antivirus Security o qualsiasi altra applicazione di verificare che abbiano aggiornato l’app alla versione più recente che non include il codice. Poiché le applicazioni anti-virus godono del privilegio di richiedere autorizzazioni eccezionalmente estese, sono la copertura perfetta per i truffatori che intendono abusare di queste autorizzazioni. In alcuni casi, le applicazioni anti-virus mobili vengono utilizzate anche come esca per la distribuzione di malware.

Gli utenti devono essere consapevoli sull’esistenza di questi antivirus sospettosi e utilizzare soluzioni mobile threat prevention provenienti da vendor autorevoli in grado di proteggere i dispositivi mobili e i dati in essi memorizzati.

Maggiori informazioni tecniche sulla scoperta sono disponibili sul blog di Check Point al seguente link: https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/

4 Settembre 20174 Settembre 2017

Akamai pubblica il Rapporto sulla Sicurezza Q2 2017

Il report evidenzia la ricomparsa del malware PBot, l’impiego di algoritmi di generazione dei domini e il rapporto tra infrastruttura command and control di MIRAI e obiettivi di attacco. Sono inoltre contenuti dati salienti sulle statistiche relative agli attacchi DDoS e alle applicazioni web

Per scaricare il Rapporto sullo stato di Internet Q2 2017 / Security: http://akamai.me/2i9vrdz

Per scaricare i singoli grafici e diagrammi con le relative didascalie: http://akamai.me/2w6mI1v

Secondo quanto emerge dal Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies, Inc. (NASDAQ: AKAM) sono nuovamente in crescita gli attacchi DDoS (Distributed Denial of Service) e alle applicazioni web. Un importante contributo a questa nuova ondata di attacchi è dato dalla ricomparsa del malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel corso di questo trimestre.

Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni fa per generare l’attacco DDoS più ampio osservato da Akamai nel secondo trimestre. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Un altro elemento preso dal passato, rilevato dall’analisi svolta dal team Threat Research di Akamai, è l’impiego di algoritmi di generazione di domini (Domain Generation Algorithms) nell’infrastruttura dei malware Command and Control (C2). Utilizzato per la prima volta assieme al worm Conficker nel 2008, il DGA rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali. Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche DNS 15 volte superiore rispetto a quelle non infette. Ciò può essere spiegato come conseguenza del fatto che il malware presente nelle reti infette accede a domini generati casualmente. Poiché la maggior parte dei domini generati non era registrata, tentare di accedere a tutti avrebbe generato troppo rumore. Analizzare le differenze di comportamento tra le reti infette rispetto a quelle non infette è un ottimo modo per identificare l’attività del malware.

[amazon_link asins=’B016LPIKS6,B06WRQTFW9,B01LEI5GWI,B071SJF4TB’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’fedaf60f-9185-11e7-9a8d-2d667555e83e’]

Quando lo scorso settembre è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell’azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. I ricercatori di Akamai hanno utilizzato la visibilità sulla botnet Mirai che solo Akamai può vantare per studiare i diversi aspetti della botnet. In particolare nel secondo trimestre tale analisi si è concentrata sull’infrastruttura C2 di Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.

“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace”, spiega Martin McKeay, Senior Security Advocate di Akamai. “Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi SQLi e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.

Alcuni dati:

Altri dati di rilievo presenti nel rapporto sono:

● Il numero di attacchi DDoS del secondo trimestre è cresciuto del 28% su base trimestrale dopo avere registrato un calo per tre trimestri consecutivi.

● Gli autori degli attacchi DDoS si stanno dimostrando più ostinati che mai, attaccando i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno.

● Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five.

● Questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi DDoS. Il numero di indirizzi IP coinvolti in attacchi DDoS volumetrici è crollato del 98% passando da 595.000 a 11.000.

● L’incidenza degli attacchi alle applicazioni web è aumentata del 5% su base trimestrale e del 28% su base annuale.

● Gli attacchi SQLi sono stati utilizzati in più della metà (51%) degli attacchi alle applicazioni web questo trimestre, rispetto al 44% del trimestre scorso, generando quasi 185 milioni di avvisi solo nel secondo trimestre.

Metodologia

Il Rapporto sullo stato di Internet Q2 2017 / Security di Akamai combina i dati sugli attacchi raccolti dall’intera infrastruttura globale di Akamai ed è frutto delle ricerche svolte dai vari team dell’azienda. Il rapporto si avvale dei dati raccolti dalla Akamai Intelligent Platform e fornisce un’analisi dell’attuale panorama delle minacce e della sicurezza sul cloud, nonché informazioni sulle tendenze degli attacchi. Il Rapporto sullo stato di Internet / Security è frutto della collaborazione di vari professionisti della sicurezza di Akamai, tra cui il team SIRT (Security Intelligence Response Team), l’unità Threat Research, i team Information Security e Custom Analytics.

[gview file=”http://www.antoniosavarese.it/wp-content/uploads/2017/09/q2-2017-state-of-the-internet-security-infographic.pdf”]

Informazioni su Akamai

Grazie alla propria piattaforma cloud di delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell’offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l’accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24×7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce, provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter.

4 Aprile 20174 Aprile 2017

Attacchi bancari fileless – ecco come avvengono

Gli esperti di Kaspersky Lab ricostruiscono un caso di ATMitch e scoprono un modo misterioso di guadagnare con gli ATM

Un giorno gli impiegati di una banca scoprirono un ATM vuoto: i soldi erano scompari e non c’era traccia di danni fisici al dispositivo né di malware. Studiando questo caso, gli esperti di Kaspersky Lab sono stati in grado non solo di scoprire i tool usati dai cyber criminali per la rapina ma anche di riprodurre l’attacco, scoprendo una vulnerabilità di sicurezza nella banca.

A febbraio 2017 Kaspersky Lab ha pubblicato i risultati di un’indagine su misteriosi attacchi fileless ad alcune banche: i criminali usavano un malware residente in memoria per infettare le reti bancarie. Ma perché lo stavano facendo? Il caso ATMitch ha aiutato gli esperti ad ottenere il quadro d’insieme.

L’indagine è iniziata dopo che gli specialisti forensi della banca hanno scoperto e condiviso con Kaspersky Lab due file contenenti log di malware trovati nell’hard drive dell’ATM (kl.txt e logfile.txt). Questi sono gli unici due file lasciati dopo l’attacco: non è stato possibile trovare i file eseguibili nocivi poiché dopo la rapina i cyber criminali hanno cancellato il malware. Tuttavia, anche queste scarse informazioni hanno permesso a Kaspersky Lab di condurre con successo un’indagine.

Preleva e cancella

Grazie ai file di log, gli esperti di Kaspersky Lab sono stati in grado di identificare pezzi di informazione in formato testo che li hanno aiutati a creare delle YARA rule per gli archivi pubblici di malware e a trovare un sample. Le YARA rule – essenzialmente delle stringhe di ricerca – aiutano gli analisti a scoprire, raggruppare e categorizzare campioni di malware connessi e creare collegamenti sulla base di pattern comportamentali sospetti su sistemi o reti che presentano somiglianze.

Dopo una giornata di attesa, gli esperti hanno trovato il desiderato campione di malware: “tv.dll” o “ATMitch”, come è stato successivamente rinominato. È stato scoperto due volte: una volta in Kazakistan e una in Russia.

Questo malware viene installato ed eseguito da remoto su un ATM dall’interno della banca attraverso lo strumento di amministrazione remota di questi dispositivi. Dopo l’installazione e la connessione all’ATM, il malware ATMitch comunica con il Bancomat come se si trattasse di un software legittimo. Questo permette ai criminali di eseguire una serie di comandi, come raccogliere informazioni sul numero di banconote nei cassetti dell’ATM. Inoltre, permette ai criminali di erogare denaro in ogni momento, semplicemente premendo un tasto.

Solitamente i criminali iniziano raccogliendo informazioni sulla somma di denaro all’interno di una macchina, per poi inviare il comando di erogare un certo numero di banconote da qualsiasi cassetto. Ai criminali non resta, quindi, che ritirare le banconote e andarsene. Una simile rapina richiede solo pochi secondi.

Una volta svaligiato l’ATM, il malware elimina le proprie tracce.

Di chi si tratta?

Non è ancora noto chi si celi dietro questi attacchi. L’utilizzo di codice open source nell’exploit, di comuni utility Windows e domini sconosciuti nella prima fase di attacco rende praticamente impossibile determinare quale gruppo ne sia responsabile. Tuttavia, “tv.dll”, usato nella fase di attacco che coinvolge gli ATM, contiene risorse in lingua russa e i gruppi conosciuti che potrebbero rispondere a questo profilo sono GCMAN e Carbanak.

“Questi criminali potrebbero essere ancora attivi, ma non temete! Combattere questo tipo di attacchi richiede competenze specifiche agli specialisti di sicurezza che proteggono le organizzazioni. La violazione ed esfiltrazione dei dati da una rete può avere successo solo con tool comuni e legittimi e, dopo l’attacco, i criminali potrebbero cancellare tutti i dati che porterebbero al rilevamento, non lasciando alcuna traccia. Per affrontare questi problemi, le indagini forensi nella memoria sono sempre più fondamentali per l’analisi dei malware e delle loro funzionalità. Come provato da questo caso, una pronta risposta diretta agli incidenti può aiutare a risolvere anche i casi più difficili”, ha commentato Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

Le soluzioni Kaspersky Lab rilevano con successo le attività criminali che sfruttano le tattiche, tecniche e procedure precedentemente descritte. Ulteriori informazioni su questa storia e le Yara rule per le analisi forensi degli attacchi fileless possono essere trovate nel blog post su Securelist.com. I dettagli sulle tecniche, compresi gli indicatori di compromissione, sono inoltre a disposizione dei clienti dei Kaspersky Intelligence Services.

26 Maggio 2016

Danti & Co: i gruppi di cyber spionaggio colpiscono le aziende di tutto il mondo

Il Global Research and Analysis Team di Kaspersky Lab ha osservato negli ultimi mesi un’ondata di attacchi di cyber spionaggio condotti da diversi gruppi nella regione Asia-Pacifico (APAC) e in Estremo Oriente accomunati da una caratteristica: per infettare le loro vittime con il malware, i criminali usano un exploit per la vulnerabilità CVE-2015-2545. Questa debolezza del software Microsoft Office è stata risolta alla fine del 2015, ma sembra essere ancora utilizzata da questi gruppi criminali. Era noto che i gruppi Platinum, APT16, EvilPost eSPIVY usassero questo exploit, ma ora si è aggiunto un nuovo gruppo, finora sconosciuto, chiamato Danti.

Un exploit è un tool nocivo ampiamente utilizzato dai gruppi di cyber spionaggio e dai criminali informatici per infettare silenziosamente le macchine prese di mira con i malware. Diversi anni fa, l’uso delle cosiddette vulnerabilità zero-day (che vengono usate in the wild prima che il vendor del software colpito rilasci la patch) era la caratteristica distintiva dei gruppi criminali più sofisticati, ma le cose sono cambiate: oggi, i gruppi di cyber spionaggio sono più portati ad utilizzare exploit di vulnerabilità note, semplicemente perché sono più economici e sembrano comportare un tasso soddisfacente d’infezione.

L’errore CVE-2015-2545 permette ai criminali di eseguire codici arbitrari usando un file immagine EPS appositamente progettato. L’exploit per questa vulnerabilità è molto pericoloso perché usa la tecnica PostScript che riesce a eludere i metodi di protezione Address Space Layout Randomization (ASLR) e Data Execution Prevention (DEP) integrati in Windows. Danti è l’ultimo gruppo a essere stato scoperto a utilizzare questa vulnerabilità.

Danti colpisce principalmente gli enti diplomatici. Potrebbe avere già accesso completo ai network interni nelle organizzazioni del governo indiano. Secondo Kaspersky Security Network, alcuni Trojan Danti sono stati inoltre rilevati in Kazakistan, Kirghizistan, Uzbekistan, Birmania, Nepal e Filippine. La sua attività è stata rilevata per la prima volta all’inizio di febbraio ed è proseguita da marzo al giorno d’oggi.

L’exploit viene distribuito attraverso email di spear-phishing. Per attirare l’attenzione delle potenziali vittime, il gruppo criminale che si cela dietro a Danti ha creato email a nome di numerosi alti ufficiali del governo indiano. Una volta sfruttata la vulnerabilità, la backdoor Danti viene installata, fornendo ai criminali accesso alla macchina infetta in modo da rubare i dati sensibili.

L’origine di Danti è sconosciuta, ma i ricercatori di Kaspersky Lab hanno ragione di sospettare che sia in qualche modo connesso ai gruppi Nettraveler e DragonOK. Si crede che dietro a questi gruppi si celino hacker di lingua cinese.

Inoltre, i ricercatori di Kaspersky Lab hanno scoperto attacchi CVE-2015-2545 di origine sconosciuta condotti contro organizzazioni in Taiwan e Tailandia. A questi attacchi è stato attribuito il nome interno SVCMONDR, come il nome del Trojan scaricato dopo lo sfruttamento della vulnerabilità. Il Trojan è diverso da quello usato dal gruppo Danti, ma condivide alcune caratteristiche con Danti, otlre che con APT16, un noto gruppo di cyber spionaggio si presume essere di origine cinese.

“Ci aspettiamo di vedere ulteriori incidenti con questo exploit e continuiamo a monitorare le nuove ondate di attacchi e le potenziali relazioni con altri attacchi nella regione. Le ondate di attacchi condotti attraverso una singola vulnerabilità suggeriscono due cose: in primo luogo, che i gruppi criminali tendono a non investire molte risorse nello sviluppo di tool sofisticati, come gli exploit zero-day, quando gli exploit 1-day possono funzionare altrettanto bene. In secondo luogo, che il tasso di adozione delle patch nelle aziende e nelle organizzazioni governative prese di mira è molto basso. Abbiamo bisogno che le aziende pongano maggiore attenzione nella gestione delle patch nella loro infrastruttura IT per proteggersi almeno dalle vulnerabilità conosciute”, ha commentato Morten Lehn, General Manager di Kaspersky Lab Italia.

È possibile leggere ulteriori informazioni sugli attacchi mirati che usano CVE-2015-2545 su Securelist.com

30 Novembre 2013

Attenzione a Namecoin, il clone “cattivo” di Bitcoin!

Criptomania: le monete virtuali e i mercati nascosti

Trend Micro continua la sua analisi delle logiche del Deepweb a partire dall’universo delle valute digitali

Milano, 28 novembre 2013 – Nuovo viaggio nel Deepweb e nel mondo dei domini nascosti di Trend Micro Incorporated, leader globale nella sicurezza per il cloud. I ricercatori hanno presentato il nuovo studio Bitcoin Domains, volto a fare il punto sull’evoluzione delle monete virtuali e il forte legame che persiste con il mondo del cybercrime e i marketplace nascosti.

Se da una parte la moneta virtuale più nota a tutti – Bitcoin – nata nel 2009, negli ultimi mesi sta riscuotendo molti successi in tutto il mondo, i dubbi sull’instabilità di queste valute e sui rischi in termini di sicurezza restano aperti. L’utilizzo dei Bitcoin in Cina cresce esponenzialmente e in USA il Congresso discute addirittura la possibilità di renderla una moneta virtuale ufficiale. I bitcoin permettono di acquistare beni e servizi reali in tutto il mondo, assicurando la validità delle transazioni con un complicato sistema di crittografia e trasferendo il denaro virtuale attraverso la tecnologia peer-to-peer.

La crypto-valuta desta però ancora delle preoccupazione, proprio per le sue caratteristiche e distribuzione. Come dichiara la stessa FBI, “Bitcoin rimane tipicamente suscettibile di trasferimenti di soldi illeciti anche attraverso l’impiego di malware e botnet”.

Il boom delle imitazioni, che fanno ormai parlare apertamente di “criptomania”, conferma ancora una volta la portata dei rischi. Le cripto-valute attualmente sono circa 80: dalla più antica, Litecoin, nata appena due anni dopo Bitcoin e che oggi rappresenta per diffusione la seconda valuta virtuale nel mondo, fino ai nuovi “cloni” scoperti quest’anno, come Gridcoin, Fireflycoin, Zeuscoin che si aggiungono ai pre-esistenti Worldcoin, Namecoin, Hobonickels.

In questo variegato universo, Trend Micro sceglie di mettere sotto i riflettori la valuta virtuale Namecoin e i domini .bit, ideati sfruttando la rete peer-to-peer. La particolarità dei domini .bit è che sono poco costosi, privati e completamente non rintracciabili. Oltre ad essere fuori dal controllo dell’ICANN: caratteristiche molto apprezzate negli ambienti cyber criminali.

Il timore per l’eventuale riuscita di Namecoin risiede nel fatto che sfrutta lo stesso meccanismo che ha trasformato Bitcoin in un successo: anche Namecoin è incentrato su un database collettivo decentralizzato che viene promosso attraverso ogni transizione e ogni utente ha completo accesso a tutti i domini che sono stati acquistati o modificati. Gli utenti hanno un portafoglio che contiene Namecoin, creati attraverso un processo di “coniatura” simile a quello di Bitcoin e ogni transazione è registrata in un log denominato “block chain”.

Al 9 Novembre, erano stati coniati 144.830 blocchi di Namecoin ed eseguite 2.537.344 transazioni. Un numero ben lontano dai 26 milioni di transazioni effettuate attraverso Bitcoin, ma che non va sottovalutato. Per le loro caratteristiche di anonimato, non rintracciabilità e basso costo i domini .bit possono infatti essere utilizzati come punto di partenza per nuovi attacchi malware. Server DNS Namecoin sono già stati rintracciati in Francia, Olanda e Germania.

Il Deepweb

Con il termine “deepweb” viene indicata una classe di contenuti su Internet, che per diversi motivi tecnici, non è indicizzata dai motori di ricerca. Tra le diverse strategie in atto per aggirare i crawler dei motori di ricerca, le modalità più conosciute sono i “darknet”, network che mirano a garantire l’accesso anonimo e irrintracciabile di contenuti web e l’anonimato di un sito. In passato il deepweb è stato spesso associato in modo univoco a The Onion Router (TOR) ma Trend Micro ha rintracciano molte altre tipologie di network che garantiscono l’accesso anonimo e irrintracciabile, darknet come I2P e Freenet ma anche domini top level alternativi (TLD), e le così dette “rogue TLD”. Il deepweb, soprattutto le darknet come TOR, rappresentano un canale rilevante per lo scambio di merci, legali o illegali, in maniera anonima. In particolare i marketplace del deepweb vengono utilizzati per scambiare e acquistare una vasta gamma di beni e servizi di diversa natura associati ad attività illegali (dalle carte di credito clonate agli stupefacenti e alle armi fino ad assoldare un hacker o addirittura un killer).

Risorse aggiuntive

Ricerca completa Bitcoin Domains

Report Trend Micro Deepweb & cybercrime

14 Giugno 201317 Febbraio 2016

Sicurezza e privacy nella nuvola: l’esempio dei Paesi Scandinavi

In questi giorni si parla molto dello scandalo intercettazioni in USA e dell’attività della National Security Agency (NSA).
Riportiamo un commento di Mikko Hypponen, responsabile dei Laboratori di Ricerca di F-Secure in merito:

“What we have in our hands now is the first concrete proof of U.S.-based high-tech companies participating with the NSA in wholesale surveillance on us, the rest of the world, the non-American, you and me…The long term solution is that Europe should have a dot.com industry just like the United States, which would give us economic benefits but more importantly would make us independent of the wholesale surveillance of the U.S. intelligence agencies“.

Per chi fosse interessato, potete seguire in tempo reale Mikko Hypponen su Twitter: https://twitter.com/mikko

A seguire, comunicato stampa F-Secure sull’attività svolta dall’azienda in ambito cloud security.

Il 63% degli  utenti teme per la sicurezza delle soluzioni cloud presenti sul mercato e ha paura della fine che potrebbero fare i propri dati. Esiste allora una nuvola personale davvero sicura?

Milano – 12 giugno 2013: Per chi ancora si chiede se esistono davvero servizi cloud sicuri e in grado di garantire la privacy,  la risposta la offre il leader in sicurezza F-Secure che da oltre un anno è entrato di forza nel mercato dei servizi per il content cloud. Da 25 anni, l’azienda opera nel campo della sicurezza online con un forte focus sulla privacy e sulla protezione dei dati, temi chiave per chiunque operi in un paese come la Finlandia, patria di F-Secure.

Una ricerca ha mostrato che gli utenti vogliono utilizzare servizi cloud personali e, allo stesso tempo, vogliono sapere se i propri contenuti sono privati, sicuri e sotto il loro controllo. In particolare, il 63% è preoccupato di incorrere in possibili vulnerabilità quando archivia contenuti sui social network e attraverso servizi di cloud storage. Inoltre, sei su dieci di questi utenti teme che i fornitori di servizi cloud possano utilizzare i loro contenuti.*

Il content cloud di F-Secure è stato pensato, costruito e gestito secondo ristrette policy di sicurezza e di privacy con multipli livelli di sicurezza che proteggono i dati criptati degli utenti. A riprova di quanto F-Secure sia davvero in grado di implementare la sicurezza a tutti i livelli, gli stessi dati sono archiviati usando strutture di metadati nascosti. Come una grande città senza mappe e nomi delle strade, la struttura di metadati nascosta non fa trovare niente a una persona non autorizzata.

“La nuvola di F-Secure è costruita per essere conforme agli alti standard di privacy UE e dei Paesi Scandinavi”, ha commentato Janne Jarvinen, Director External R&D Collaboration di F-Secure. “Siamo attivi nei consorzi scandinavi e dell’UE che hanno come obiettivo la gestione corretta della nuvola. Costruiamo sistemi che possono essere affidabili ed è un onore per noi ‘fare la cosa giusta’, cioè permettere agli utenti di avere il controllo sui propri dati”.

L’attenzione di F-Secure sui servizi cloud sicuri si estende alla protezione dai malware nella nuvola: F-Secure fa la scansione di contenuti caricati e copiati grazie alle avanzate tecnologie di protezione che hanno ottenuto il riconoscimento AV-TEST Best Protection** e, in questo modo, previene la diffusione di malware che avviene in particolare dalla condivisione di file e dalla collaborazione attraverso la nuvola.

Un’azienda con solide basi nella privacy

Per un’azienda come F-Secure, basata in Finlandia, la privacy non è solo un termine in voga nel marketing, ma un valore fortemente sentito a livello culturale e supportato da forti leggi sulla privacy in vigore in questo paese. Le leggi dell’UE e Finlandesi proteggono la segretezza della corrispondenza, della telefonia e di altre comunicazioni confidenziali e consentono agli utenti di controllare l’uso dei propri dati personali. Le università finlandesi, in cambio, creano esperti e amministratori IT particolarmente formati e sensibilizzati sui temi della privacy, capaci di mettere poi in pratica quanto studiato quando vanno a lavorare in un’azienda tecnologica finlandese come F-Secure.

“In questo paese trattiamo il tema della privacy in modo molto serio”, ha spiegato Timo Laaksonen, Vice President Content Cloud di F-Secure. “In tutto il mondo, le persone sono preoccupate dei servizi cloud e si chiedono se i propri dati sono usati per fare profilazioni senza il loro permesso. F-Secure è il prodotto di un paese dove la privacy è parte integrante del tessuto culturale. I tuoi contenuti sono tuoi e noi rispettiamo questo. In F-Secure lavoriamo con questo principio di fondo, in ogni cosa che facciamo”.

Un leader internazionale nella sicurezza cloud

F-Secure è riconosciuta a livello internazionale come all’avanguardia e leader nella sicurezza cloud, al punto che il CEO di F-Secure, Christian Fredrikson, è entrato a fare parte del comitato direttivo della European Cloud Partnership (ECP) della Commissione Europea.
F-Secure, con una presenza in oltre 100 paesi in tutto il mondo, archivia contenuti per milioni di persone globalmente, mettendo insieme parecchi petabyte di dati in cinque data center, presenti in tre diversi continenti.

Content Anywhere, la soluzione di content cloud di F-Secure disponibile attraverso gli operatori di telefonia mobile e banda larga, consente agli utenti di archiviare, sincronizzare, accedere e condividere foto, video, documenti e altri file in modo sicuro, ovunque e da qualunque dispositivo.


*L’indagine “F-Secure Global Consumer Survey” si basa su un campione di 6.000 interviste via web agli abbonati alla banda larga di età compresa tra i 20 e i 60 anni in 15 paesi:  Germania, Italia, Francia, Regno Unito, Olanda, Belgio, Svezia, Finlandia, Polonia, USA, Brasile, Cile, Colombia, Australia e Malesia. Lo studio è stato completato da GfK, nell’Aprile 2013.

**F-Secure ha ricevuto il riconoscimento Best Protection 2012, per la protezione da attacchi malware, da AV-TEST. www.av-test.org.