La condivisione delle informazioni è fondamentale nella lotta contro le minacce informatiche

Kaspersky scopre la backdoor PipeMagic che attacca le aziende attraverso una falsa applicazione ChatGPT

Rapporto sullo stato di Internet di Akamai: un’analisi approfondita dei cyber data, incluse le query DNS, porta ad una protezione più solida contro gli attacchi da malware, botnet e DDoS

Akamai Technologies, la piattaforma di cloud delivery più estesa e affidabile al mondo, ha pubblicato il Rapporto sullo stato di Internet/Security Carrier Insights (primavera 2018), in cui si evidenzia come la condivisione delle informazioni rappresenti un fattore importante nella difesa contro le minacce informatiche. Il rapporto analizza i dati provenienti da 14 mila miliardi di query DNS raccolte da Akamai tra settembre 2017 e febbraio 2018 dalle reti dei provider dei servizi di comunicazione (CSP) in tutto il mondo.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Per oltre 19 anni, Nominum, acquisita da Akamai nel 2017, ha sfruttato i dati dettagliati delle query DNS per migliorare la protezione complessiva contro sofisticati attacchi informatici, come gli attacchi ransomware, trojan, botnet e DDoS (Distributed Denial of Service). Il rapporto di Akamai, stilato in base alle informazioni degli operatori, si fonda sull’esperienza di Nominum e sottolinea l’efficacia della sicurezza basata sul DNS, che viene potenziata dai dati provenienti da altri livelli di sicurezza. Questo approccio stratificato alla sicurezza consiste nell’utilizzo congiunto di varie soluzioni per la sicurezza al fine di proteggere in modo completo i dati di un’organizzazione.

“La comprensione da parte degli esperti di sicurezza dei singoli attacchi sferrati contro i diversi sistemi non è sufficiente nel complicato scenario delle minacce dei giorni nostri”, ha affermato Yuriy Yuzifovich, Director of Data Science, Threat Intelligence, Akamai. “La comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Riteniamo che le query DNS fornite dal nostro servizio siano componenti strategiche che ci consentono di offrire ai team addetti alla sicurezza i dati necessari per avere una visione complessiva del panorama delle minacce.”

Leggi anche:  Rubrik e Pure Storage offrono una resilienza informatica completa

Come contrastare la botnet Mirai: la collaborazione in azione

La collaborazione tra i team all’interno di Akamai ha svolto un ruolo di cruciale importanza nell’individuazione dei domini C&C (Command and Control) di Mirai nell’intento di rendere più completo il rilevamento della botnet Mirai per il futuro. L’Akamai Security Intelligence and Response Team (SIRT) ha seguito la botnet Mirai fin dai suoi esordi, utilizzando vari sistemi per attirarla in modo da poter rilevare le comunicazioni Mirai e identificare i relativi server C&C.

A fine gennaio 2018, i team SIRT e Nominum di Akamai hanno condiviso un elenco di oltre 500 domini C&C di Mirai sospetti. L’obiettivo di questa operazione era comprendere se, utilizzando i dati DNS e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini C&C per rendere più completo il rilevamento della botnet Mirai in futuro. Tramite vari livelli di analisi, i due team di Akamai sono riusciti ad ampliare il dataset C&C di Mirai rilevando una connessione tra le botnet Mirai e i distributori del ransomware Petya.

Questa analisi congiunta ha suggerito un’evoluzione delle botnet IoT, passate da un utilizzo quasi esclusivo per sferrare attacchi DDoS ad attività più sofisticate, come la distribuzione di ransomware e il crypto-mining. Le botnet IoT sono difficili da rilevare perché per molti utenti generano solo minimi indicatori di compromissione, nonostante questo la ricerca congiunta effettuata da parte di questi team ha permesso di individuare e bloccare dozzine di nuovi domini C&C in modo da controllare l’attività della botnet.

Criptominer Javascript: un modello di business nascosto

L’aumento esponenziale dell’adozione da parte dei consumatori di criptovalute ha portato ad un incremento evidente e netto nel numero di malware di crypto-mining e nel numero di dispositivi infetti.

Leggi anche:  Le telecomunicazioni sono i primi bersagli dei cyberattacchi nel 2024

Akamai ha osservato due distinti modelli di business per il crypto-mining su larga scala. Il primo modello usa la potenza di elaborazione dei computer infetti per generare token di criptovalute. Il secondo modello usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer. Akamai ha condotto una dettagliata analisi su questo secondo modello di business poiché pone una nuova sfida in termini di sicurezza agli utenti e ai proprietari di siti web. Dopo aver analizzato i domini di cryptominer, Akamai è riuscita a stimare i costi relativi alla potenza di elaborazione e ai guadagni economici derivanti da questa attività. Un’interessante implicazione di questa ricerca dimostra come il crypto-mining potrebbe diventare una valida alternativa ai ricavi pubblicitari per sponsorizzare i siti web.

Minacce in continua evoluzione: i nuovi obiettivi di exploit e malware

La sicurezza informatica non è un settore statico: i ricercatori hanno osservato che gli hacker sfruttano tecniche già usate in passato per riutilizzarle nell’attuale panorama digitale. Akamai ha raccolto questi dati per più di sei mesi, rilevando alcuni noti exploit e campagne di malware che mostrano significativi cambiamenti nelle loro procedure operative e in particolare:

  • È emerso che il protocollo WPAD (Web Proxy Auto-Discovery) è stato utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017. Il protocollo WPAD è progettato per essere utilizzato su reti protette (ad es., le LAN) e lascia i computer vulnerabili ad attacchi significativi una volta esposti a Internet.
  • Gli autori di malware stanno attaccando le credenziali di accesso dei social media, oltre ai dati finanziari. Terdot, una branca della botnet Zeus, crea un proxy locale e consente agli autori degli attacchi di eseguire attività di cyberspionaggio e di divulgare “fake news” sul browser della vittima.
  • La botnet Lopai è un esempio di come gli autori di botnet stiano creando strumenti più flessibili. Questo malware per dispositivi mobili si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.
Leggi anche:  Seguire le briciole di pollicino per massimizzare la resilienza cyber