La nuova edizione dello studio Internet Security Threat Report (ISTR), Volume XII pubblicata da Symantec mette in evidenza la crescita della professionalità dei cybercriminali – il cui lavoro a volte assume persino una connotazione commerciale – nello sviluppo, nella distribuzione e nell'utilizzo di servizi e codice maligni. Mentre il cybercrimine continua a essere motivato dal lucro, per le loro attività illegali i cybercriminali ricorrono a metodi di attacco, strumenti e strategie di natura sempre più professionale.
Nel periodo esaminato dal report, corrispondente ai primi sei mesi del 2007, Symantec ha rilevato un aumento nel numero di cybercriminali che utilizzano toolkit sofisticati per portare a termine i loro attacchi. Un esempio di questa strategia è fornito da MPack, un toolkit sviluppato in maniera professionale che viene commercializzato nei canali underground. Una volta acquistato, un hacker è in grado di sfruttare i componenti software di MPack per installare codici maligni su migliaia di computer in tutto il mondo e monitorare quindi il successo dell'operazione attraverso una console di controllo e gestione online, protetta da password, che riepiloga tutti i parametri necessari. MPack rappresenta anche un esempio di attacco coordinato, ovvero una combinazione di attività pericolose condotte dai cybercriminali, che la precedente edizione di Symantec ISTR evidenziava tra le tendenze in atto.
Anche i toolkit per phishing, ovvero una serie di script grazie ai quali un cybercriminale può aprire automaticamente siti di phishing somiglianti in tutto e per tutto a quelli legittimi, sono ormai disponibili per condurre attività cybercriminali professionali e commerciali. I tre toolkit più utilizzati in questo settore sono stati responsabili del 42% di tutti gli attacchi di phishing rilevati nel periodo analizzato.
“Nelle ultime edizioni dell'Internet Security Threat Report, Symantec aveva messo in evidenza un importante cambiamento nel comportamento degli hacker, le cui motivazioni erano sempre meno legate alla notorietà e sempre più orientate al guadagno”, ha affermato Marco Riboli, Country Manager e Vice President Enterprise Sales Symantec Corp. “Le minacce che stiamo attualmente monitorando su Internet dimostrano come questa tendenza stia compiendo passi avanti facendo del cybercrimine una vera professione, che adotta le prassi tipiche del business per raggiungere i suoi scopi”.
Aumentano i casi di cybercriminali che sfruttano le vulnerabilità degli ambienti considerati sicuri
Nel corso del primo semestre 2007, Symantec ha rilevato l'esistenza di attacchi indiretti che raggiungono le loro vittime sfruttando per prima cosa le vulnerabilità di ambienti considerati sicuri, come ad esempio alcuni noti siti Web di servizi finanziari, social networking o ricerca del personale. Symantec ha registrato che il 61% di tutte queste vulnerabilità risiedeva in applicazioni Web. Una volta che un sito Web affidabile è compromesso, i cybercriminali possono usarlo come fonte per la distribuzione di codici maligni al fine di colpire i computer degli utenti finali. Questo metodo di attacco consente di attendere passivamente le potenziali vittime anziché ricercarle in modo attivo. I siti di social networking sono particolarmente apprezzati dagli hacker, dal momento che permettono di raggiungere un gran numero di persone, molte delle quali non nutrono dubbi sulla sicurezza e sull'affidabilità di tali siti. Su questi siti si possono inoltre reperire molte informazioni personali utilizzabili successivamente per tentativi di furti di identità, frodi online o accesso ad altri siti Web da cui lanciare ulteriori attacchi.
Aumentano gli attacchi multi-fase
Durante i primi sei mesi del 2007 Symantec ha osservato un incremento del numero di attacchi multi-fase, composti da un attacco iniziale non finalizzato ad avviare immediatamente attività illegali ma utilizzabile per sferrare attacchi successivi. Un esempio di attacco multi-fase è rappresentato da un codice maligno noto come “staged downloader”, che permette agli aggressori di modificare le componenti scaricabili sulla base della minaccia meglio rispondente agli obiettivi del caso. Secondo l'ISTR, 28 dei primi 50 campioni di codice maligno raccolti da Symantec corrispondevano a “staged downloader”. Peacomm Trojan, meglio noto come Storm Worm, è uno staged downloader legato alla nuova famiglia di codici maligni più frequentemente rilevata nel corso del primo semestre. Oltre a servire da toolkit, MPack è un altro esempio di attacco multi-fase, che comprende anche un componente staged downloader.
Ulteriori fatti salienti
Symantec Internet Security Threat Report, Volume XII copre il periodo compreso tra il 1° gennaio e il 30 giugno 2007.
● Le carte di credito sono la commodity più pubblicizzata sui server sommersi, con il 22% di tutte le offerte; i conti bancari seguono a brevissima distanza con il 21%. ● Symantec ha documentato 237 vulnerabilità nei plug-in dei browser Web: si tratta di un notevole aumento rispetto alle 74 della seconda metà del 2006 e alle 34 della prima metà del 2006. ● Il codice maligno programmato per sottrarre le informazioni relative agli account dei giochi online è presente nel 5% dei primi 50 esempi di codice, per potenzialità infettive. I giochi online stanno diventando una delle attività più popolari su Internet, e spesso prevedono la possibilità di acquistare oggetti virtuali con denaro reale – creando così un'opportunità di guadagno illecito per gli hacker. ● Lo spam è rappresentato dal 61% di tutto il traffico e-mail monitorato, con un lieve aumento rispetto al secondo semestre del 2006 quando era classificato come spam il 59% del volume di posta elettronica. ● Il furto o la perdita di computer o altri dispositivi storage rappresentano il 46% di tutti i tentativi di violazione che hanno condotto a episodi di furto di identità. Al proposito, lo studio Symantec IT Risk Management Report ha rilevato che il 58% delle aziende si attende un episodio di grave perdita di dati almeno una volta ogni cinque anni.
Symantec Internet Security Threat Report
Lo studio semestrale Symantec Internet Security Threat Report (ISTR), Volume XII copre il periodo compreso tra il 1' gennaio e il 30 giugno 2007 basandosi su dati raccolti da oltre 40.000 sensori installati in più di 180 Paesi e su un database che include oltre 22.000 vulnerabilità relative a più di 50.000 tecnologie di oltre 8.000 produttori.
Symantec analizza inoltre più di 2 milioni di account civetta che ricevono messaggi e-mail da 20 Paesi al fine di monitorare le attività globali inerenti spam e phishing.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!