Manager

Web infetto veicolo preferito per attacchi cybercrime

I tecnici dei Security Labs di Websense hanno rilasciato il Threat Report 2014, che documenta il recente cambiamento nelle tendenze degli attacchi complessi, l'evoluzione subita dall'ecosistema delle minacce e le nuove motivazioni che determinano gli attacchi informatici.

Dato preoccupante è che l'85% dei link malevoli utilizzati negli attacchi Web o email si trova su siti Web legittimi che sono stati compromessi. Unitamente al fatto che questi malware si annidano sui pc evitando di "fare rumore", si comprende quanto difficile sia per l'utilizzatore accorgersi di avere scaricato del codice maligno o anche solo sospettare di averlo fatto.

Charles Renert, vice president of security research di Websense, afferma: "I criminali informatici modificano costantemente la pianificazione e l'esecuzione degli attacchi per stare al passo con le principali misure di sicurezza".

Siti noti possono essere stati compromessi

Il fatto è che "mentre gli hacker più determinati continuano a registrare successi negli attacchi strategici, usando exploit zero-day e minacce avanzate, c'è stato un boom di attività malevole su vasta scala", spiega sempre Renert.

Il rapporto spiega nel dettaglio la crescita a livello mondiale dell'economia criminale dell'infrastruttura-as-a-service, grazie agli exploit kit, e descrive le catene di reindirizzazione ai siti Web compromessi. Attraverso un'analisi della metodologia degli ultimi attacchi, i ricercatori di Websense analizzano le sette fasi degli attacchi avanzati. Inoltre, i risultati comprendono la modifica e il riutilizzo dei codici sorgente di malware già esistenti.

Tra gli altri risultati del rapporto:

  • il 3,3% di tutto lo spam contiene link e altri contenuti malevoli;
  • le tecnologie Websense proteggono i clienti contro più di 1 miliardo di eventi esca;
  • il numero medio di siti Web di reindirizzazione usato per ogni attacco nel 2013 era pari a 4;
  • il numero massimo di reindirizzazioni usato in un attacco interamente documentato era pari a 20;
  • i casi malevoli di reindirizzazione bloccati da Websense è stato pari a 1,8 miliardi;
  • i siti classificati come Affari ed Economia, Information Technology, Shopping e Viaggi rappresentano la top 10 delle categorie compromesse di reindirizzazione;
  • gli exploit kit Magnitude e Neutrino segnano il maggiore aumento di adozione dopo l'arresto del creatore di Blackhole;
  • sono stati rilevati e bloccati 64 milioni di casi di dropper file grazie alla sicurezza in tempo reale e a Triton ThreatScope di Websense;
  • il 30% dei file malevoli eseguibili conteneva la crittografia personalizzata di comunicazione command and control e di data exfiltration;
  • oltre a 1,1 miliardi di casi call home sono stati evitati dai gateway Websense.

Il report dimostra anche come l'infrastruttura di una campagna di attacco sia costantemente sviluppata, migliorata e riutilizzata attraverso l'intero ciclo di vita di una minaccia.

Per evitare la rilevazione quando si riutilizzano componenti in attacchi successivi, i criminali stanno sfruttando sempre più spesso un approccio che implica la modifica e la modularità degli strumenti di attacco già esistenti. Spesso questo significa scegliere di sfruttare l'efficacia specifica di una particolare porzione di malware al fine di colpire nuovi settori.

Un altro esempio di questo approccio è il malware Zeus, originariamente progettato come minaccia finanziaria e come Trojan keyloggin. I ricercatori di Websense hanno osservato che è stato utilizzato sempre di più dal momento che è stato riproposto per altri mercati verticali, come i servizi e il manufacturing.

Il rapporto è stato condotto utilizzando Websense ThreatSeeker Intelligence Cloud, che agisce congiuntamente ad oltre 900 milioni di endpoint. Questa rete identifica e risponde ai cambiamenti nel panorama mondiale delle minacce con una media di 2,3 modifiche di stato per secondo. Grazie alla collaborazione di Websense ACE (Advanced Classification Engine), ThreatSeeker analizza il contenuto di 3-5 miliardi di richieste al giorno.

Il rapporto è disponibile previa registrazione sul sito di WebSense.