SICUREZZA INFORMATICA

Proofpoint Q4 2017 Threat Report: protagonisti coin miner e ransomware

January 24 2018
Scheda utente
Altri testi utente
RSS utente

Il report offre informazioni sullo scenario delle minacce in costante evoluzione

Milano, 23 gennaio 2018 – Il quarto trimestre del 2017 ha visto alcuni cambiamenti nello scenario delle minacce, da un ritorno degli allegati malevoli dopo il picco degli URL che ha caratterizzato il Q3, all’emergenza di moduli di coin mining nei malware principali quali il Trojan bancario ‘The Trick’. Nonostante ciò, il ransomware resta la prima minaccia in termini di volumi presso i clienti Proofpoint, mentre quelle relative ai canali social media continuano a salire in maniera generalizzata trimestre su trimestre.

I banking Trojan hanno riguadagnato terreno in termini di volume complessivo dei messaggi, principalmente a causa di campagne massive da parte di un unico attore, mentre il rapido aumento del valore delle crypto valute ha generato significativi cambiamenti nel comportamento dei cyber criminali, al di là della crescita dell’attività di coin mining. Inoltre, anche se il traffico di exploit kit è ulteriormente calato, sono comparsi diversi exploit di documenti, arricchendo i toolkit dei malintenzionati.

Le principali indicazioni del Proofpoint Threat Report del trimestre sono:

Email
I malintenzionati sono tornati ad avvalersi di allegati malicious document (maldoc) nel quarto trimestre 2017 dopo gli attacchi basati su URL che hanno contraddistinto Q3. Le email foriere di maldoc sono cresciute del 300%, con la maggior parte del traffico derivante da massive campagne di attacco che hanno sfruttato il protocollo Microsoft Dynamic Data Exchange (DDE). Altri exploit hanno favorito la distribuzione di documenti malevoli poiché i malintenzionati hanno tentato di sfruttarli prima che venissero implementate le patch su larga scala.

Distribuito con allegati di documenti o URL, il ransomware resta il principale payload presente nei messaggi malevoli, responsabile del 57% del volume totale dei messaggi. Rapide e significative variazioni nel valore delle crypto valute hanno influenzato il mercato del ransomware, con le richieste di pagamento di riscatto in Bitcoin calate del 73% trimestre su trimestre. I malintenzionati hanno preferito dollari o valute locali, anche se i pagamenti vengono ancora generalmente effettuati in Bitcoin.

I banking Trojan, in particolare The Trick e Emotet, sono anch’essi apparsi di frequente. The Trick è stato il più diffuso via email, responsabile per l’84% dello spam malevolo che conteneva un Trojan bancario. The Trick, come molti altri malware, era inoltre dotato anche di un modulo di coin mining, generando nuovi metodi di monetizzazione per i suoi operatori.

Molti attacchi hanno continuato a integrare tecniche di spoofing e social engineering tra cui domini lookalike e typosquatted. Per la prima volta abbiamo analizzato dei domini lookalike e trovato che il character-swapping è stata la tecnica più utilizzata per creare domini che si potevano confondere con quelli di brand o organizzazioni legittimi.

Exploit kit e attacchi web-based

Il traffico da exploit kit (EK) è sceso di un altro 31% da Q3, registrando il livello più basso da diversi anni. Tuttavia, le tecniche di social engineering hanno continuato a crescere negli attacchi web-based, mentre l’attività EK si è consolidata su RIG EK.

Social Media

Entrambe le minacce che monitoriamo sui canali social media sono aumentate in Q4. Account di supporto al cliente fraudolenti sui social media utilizzati per attività dette di “angler phishing” sono salite del 30%. Al tempo stesso, i link di phishing sono cresciuti del 70% dal trimestre precedente.

Suggerimenti Proofpoint

Il Q4 Threat Report offre informazioni sullo scenario delle minacce in costante evoluzione. Qui di seguito i nostri suggerimenti per i prossimi mesi:
• Assumere che gli utenti clicchino. Il social engineering costituisce il canale più diffuso per lanciare attacchi email e i criminali continuano a trovare nuovi modi per sfruttare il fattore umano. Scegliete una soluzione a che identifica e mette in quarantena sia le minacce via email in ingresso destinate ai dipendenti, sia quelle outbound che mirano invece ai clienti, prima che raggiungano l’inbox.
• Disporre di una soluzione di email fraud defense robusta. Le frodi via email a basso volume molto mirate spesso non hanno alcun payload e sono quindi difficili da identificare. Investite in una soluzione che abbia capacità di classificazione dinamiche che possono essere utilizzate per mettere a punto policy di quarantena e blocco.
• Proteggere brand reputation e clienti. Combattete gli attacchi destinati ai vostri clienti via social media, email e mobile—soprattutto gli account fraudolenti che sfruttano il vostro brand. Cercate una soluzione di sicurezza completa per i social media che monitori tutti i canali e segnali eventuali attività fraudolente.
• Collaborare con un vendor di threat intelligence. Gli attacchi più mirati richiedono una sofisticata threat intelligence. Sfruttate una soluzione che combina tecniche statiche e dinamiche per identificare nuovi strumenti, tattiche e target di attacco, e per studiare lo scenario in evoluzione, e che poi impari da esse.

Proofpoint

Proofpoint (NASDAQ: PFPT) è un’azienda leader nella security e compliance di nuova generazione, che fornisce soluzioni cloud-based in grado di rendere sicuro il modo in cui le persone attualmente operano. Le soluzioni Proofpoint consentono alle organizzazioni di proteggere i loro utenti dagli attacchi avanzati portati via email, social media e mobile app, di proteggere le informazioni da loro create rispetto ad attacchi sofisticati e rischi di compliance, e di rispondere velocemente in caso di incidenti.
Ulteriori informazioni sono dispobnibili su www.proofpoint.com.

E’ possibile seguire Proofpoint su: Twitter | LinkedIn | Facebook | YouTube | Google+

Contatti stampa
Axicom Italia Srl - 02 7526111
Chiara Possenti – chiara.possenti@axicom.com
Sandro Buti – sandro.buti@axicom.com

Licenza di distribuzione:
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Leggi come procedere