Pubblicata da Yoroi la prima edizione del proprio Cybersecurity Annual Report. Nel 2017 il vettore di attacco più utilizzato si è rivelato essere il ransomware. Oltre 10mila gli account italiani coinvolti in un data breach

Si possono fare tutti gli investimenti possibili in termini di infrastruttura di sicurezza – perimetrale ed end-point – ma alla fine, presidiata la fortezza, serve un coordiamento di Intelligence che possa monitorare la gestione del flusso di informazioni provenienti dalle diverse componenti abilitanti il sistema di difesa. E’ la logica dalla quale è nata Yoroi –  società italiana fondata da Marco Ramilli – la cui soluzione può essere in qualche modo essere ascritta nel novero delle soluzioni IoT enabled.

“Il punto di debolezza dei sistemi antimalware è la scarsa capacità di mettere a fattore comune i dati residenti nei vari silos di sicurezza, dice Ramilli. Il malware odierno è sempre più sofisticato ed è caratterizzato da accentuata dinamicità e polimorfismo, difficilmente gestibile con strumenti di sicurezza tradizionali. Avere una visione d’insieme, olistica, e avere una potente metodologia analitica è l’unico modo per implementare un’efficace strategia di mitigazione del rischio”.

“Ci definiamo un Managed Security Service Provider che eroga servizi gestiti dal proprio Defence Center dove un team di specialisti effettua un’analisi costante delle minacce per mettere in campo contromisure tempestive e identificare nuove potenziali modalità di attacco”. “L’analisi dei dati è tutto. Il servizio che offriamo ai clienti si basa su una metodologia innovativa che permette di analizzare i dati provenienti da firewall, antivirus o da qualsiasi oggetto IP connected di sistema informativo o industriale”, aggiunge Ramilli. “Intelligenza artificiale o machine learning sono componenti che si inseriscono in questo processo per supportare il lavoro e le competenze degli analisti,.”

Per aiutare i responsabili aziendali e gli addetti ai lavori a comprendere l’origine dei principali attacchi e attuare le azioni difensive più indicate, Yoroi ha pubblicato in questi giorni la prima edizione del proprio Cybersecurity Annual Report, utile per indirizzare l’attenzione verso le più probabili minacce che possono colpire le diverse tipologie di aziende.

“Negli ultimi anni abbiamo osservato un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto,” dice Ramilli. “I criminali informatici sono capaci di creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni”.

Il documento è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato nella finestra temporale tra il 1 gennaio 2017 e il 31 dicembre 2017. Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst al fine di eliminare falsi positivi e/o problemi di classificazione. Non sono inclusi dati provenienti da fonti “terze”.

Data Leak  – Gli analisti di Yoroi hanno analizzato le principali fughe di informazioni, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel “darknet”. Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% dei casi (289.799) ha riguardato domini unici riconducibili a organizzazioni italiane. Inoltre, il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).

Malware – La sezione dedicata al malware indica i volumi di propagazione delle minacce per percorso, come ad esempio: e-mail, web, social media, etc. e riconduce la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus. Inoltre, i ricercatori di Yoroi hanno studiato le percentuali di infezione per percorso di propagazione mettendole in relazione alla tipologia del business delle vittime.

Le principali minacce e i vettori di attacco

Ransomware si conferma il malware che ha colpito maggiormente nel corso del 2017. Per lo più il percorso di propagazione avviene su email (89%) o per download diretto (11%). Fa capo al ceppo Rasomware il 50% del malware individuato e bloccato dal Cyber Security Defence Center di Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali (Sistemi AntiVirus, Sistemi Proxy, NextGeneration Firewall, Intrusion Detection and Prevention Systems, SandBoxes, etc.), seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro malware (1%). I principali vettori degli attacchi malware individuati dagli analisti di Yoroi sono riconducibili a office (61%), script (23%), executable (14%), archive (1%), pdf (1%). La tipologia di vettori di attacco basati su “script” (file con estensione .scr, .js, .jar, vbs) risulta essere di complessa individuazione da parte dei normali motori basati su signature e anche dalle più recenti soluzioni di SandBoxing in quanto spesso implementano sistemi di evasione.

I settori più colpiti

Il settore bancario si conferma tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware “Banker”. I settori “Tessile e Abbigliamento”, “Bevande”, “Attrezzatture macchinari” e “Trasporti” sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura “criminale” a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, incrociando i dati con quelli riguardanti la tipologia dei vettori delle minacce si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).