Report McAfee Labs: l’evoluzione delle minacce hardware e software negli ultimi cinque anni

Intel® Security ha pubblicato i risultati del Report sulle minacce McAfee Labs: agosto 2015, che include una disamina relativa al malware indirizzato alle unità di elaborazione grafica (GPU), un'indagine delle principali tecniche di esfiltrazione utilizzate dai cybercriminali e un’analisi retrospettiva dell'evoluzione del panorama delle minacce negli ultimi cinque anni, a partire dall’annuncio dell'acquisizione di McAfee da parte di Intel Corporation.

McAfee Labs ricorda il quinto anniversario dell’unione Intel-McAfee mettendo a confronto ciò che i ricercatori pensavano che sarebbe accaduto a partire dal 2010, con quello che è realmente accaduto nel mondo delle minacce alla sicurezza hardware e software. I principali ricercatori e analisti hanno rivisto le previsioni sulle funzionalità di sicurezza direttamente nel silicio, sulle sfide emergenti degli attacchi sempre più difficili da rilevare, e le aspettative nel 2010 di nuovi tipi di dispositivi rispetto a quella che poi si è dimostrata essere la realtà del mercato.

Dall'analisi del panorama delle minacce degli ultimi cinque anni emergono alcune riflessioni: Intel Security prevedeva minacce rivolte a componenti hardware e firmware e pericolosi per l'integrità del runtime. Il malware sempre più sfuggente e gli attacchi di lunga durata non hanno sorpreso del tutto l’azienda, ma alcune delle tattiche e delle tecniche specifiche cinque anni fa erano inimmaginabili. Anche se il volume dei dispositivi mobili è aumentato anche più velocemente di quanto ci si potesse aspettare, la crescita di gravi attacchi su larga scala su tali dispositivi è avvenuta molto più lentamente di quanto l’azienda pensasse. Si sta assistendo solo all'inizio di attacchi e violazioni contro i dispositivi IoT. L’adozione del cloud ha cambiato la natura di alcuni attacchi, dal momento in cui i dispositivi non sono attaccati per la piccola quantità di dati che memorizzano, ma perché rappresentano un elemento del percorso verso il luogo in cui risiedono i dati importanti. Il cybercrime è diventato una vera e propria industria con fornitori, mercati, provider di servizi, finanziamenti, sistemi di negoziazione e connotato da una sempre più varia proliferazione di modelli di business. Le aziende e gli utenti finali continuano a non prestare sufficiente attenzione ad aggiornamenti, patch, protezione mediante password, avvisi di sicurezza, configurazioni di default, e altri modi semplici ma fondamentali per garantire la sicurezza informatica e fisica dei propri dispositivi. La scoperta e la capacità di sfruttare le principali vulnerabilità di Internet ha dimostrato come alcune tecnologie di base sono poco finanziate e carenti di personale. Vi è una crescente e positiva collaborazione tra il settore della sicurezza, il mondo accademico, quello legislativo e giudiziario e i governi con l’obiettivo di abbattere le operazioni della criminalità informatica.

In particolare siamo rimasti colpiti da tre fattori - l’ampliamento delle superfici d'attacco, l'industrializzazione dell’hacking e la complessità e frammentazione del mercato della sicurezza informatica - che più di ogni altro hanno accelerato l'evoluzione delle minacce e le dimensioni e la frequenza degli attacchi. - ha dichiarato Vincent Weafer, senior vice president dei McAfee Labs di Intel Security - Per stare al passo con una tale furia, la comunità della sicurezza informatica deve continuare a migliorare la condivisione dell'intelligence delle minacce, reclutare un maggior numero di professionisti della sicurezza, accelerare l'innovazione della tecnologia di sicurezza e continuare a impegnarsi in modo che i governi possano svolgere il loro ruolo di protezione dei cittadini nel cyberspazio.

Il report di agosto, inoltre, esamina in modo dettaglio tre proofs-of-concept (PoC) di malware in grado di sfruttare le GPU per sferrare attacchi. Mentre quasi tutto il malware fino ad oggi è stato progettato per essere eseguito sulla memoria di sistema principale nell'unità di elaborazione centrale (CPU), questi PoC sono in grado di sfruttare l'efficienza di questi particolari componenti hardware progettati per accelerare la creazione delle immagini da visualizzare sul display. Lo scenario che si apre suggerisce che gli hacker tenteranno di sfruttare le GPU per la loro potenza di elaborazione, e che le utilizzano per eludere le difese dei malware tradizionali facendo eseguire codici e memorizzando dati laddove le difese tradizionali normalmente non effettuano la ricerca di codice dannoso.

Analizzando tali PoC, Intel Security ritiene che l’allontanamento di porzioni di codice dannoso al di fuori della memoria della CPU e dell'host riduca la superficie di rilevamento per le difese host-based. Tuttavia, i ricercatori sostengono che, come minimo, alcuni elementi alla base delle attività pericolose rimangono rintracciabili nella memoria o nella CPU, consentendo ai prodotti per la sicurezza endpoint di rilevare e porre rimedio alle minacce.

McAfee Labs, inoltre, descrive alcune tecniche utilizzate dai criminali informatici per far trapelare una vasta gamma di informazioni su singoli individui da reti aziendali: nomi, date di nascita, indirizzi, numeri di telefono, numeri di previdenza sociale, numeri di carte di credito e di debito, informazioni sanitarie, credenziali di accesso e anche preferenze sessuali. Oltre alle tattiche e alle tecniche utilizzate dagli attaccanti, questa analisi prende in esame i tipi di aggressori, le motivazioni e i possibili obiettivi, suggerendo infine le policy che le imprese dovrebbero adottare per rilevare meglio l’esfiltrazione dei dati.

Il report di agosto 2015 ha individuato una serie di ulteriori sviluppi nel corso del secondo trimestre 2015: Il ransomware continua a crescere molto rapidamente - con il totale di nuovi campioni di ransomware in aumento del 58% nel 2° trimestre. Il numero complessivo di campioni di ransomware è cresciuto del 127% dal 2° trimestre 2014 al 2° trimestre 2015. McAfee Labs attribuisce tale sviluppo alla rapidità con cui si sono affermate alcune nuove famiglie di questo malware, come CTB-Locker, CryptoWall e altre. - Il numero totale di campioni di malware mobile è cresciuto del 17% nel 2° trimestre. Ma i tassi di infezione da malware mobile sono diminuiti di circa l'1% per regione in questo trimestre, con l'eccezione del Nord America, in cui è sceso di quasi il 4%, e l'Africa, che è rimasta invariata. - Il trend di diminuzione del volume di spam generato da botnet è continuato durante il secondo trimestre, in seguito all’inattività della botnet Kelihos. Slenfbot è ancora al primo post, seguito da vicino da Gamut, con Cutwail a chiudere la “Top 3”. Durante il secondo trimestre sono stati effettuati più di 6,7 milioni di tentativi l’ora di indirizzare utenti di soluzioni McAfee verso URL pericolosi tramite email, ricerche effettuate con il browser, ecc. Ogni ora, nel secondo trimestre, le reti dei clienti di McAfee sono state esposte a oltre 19,2 milioni di file infetti. Nel secondo trimestre, ogni ora, 7 milioni di programmi potenzialmente indesiderati (PUP) hanno tentato di installarsi o di avviarsi su reti protette da soluzioni McAfee.

Info, report agosto 2015: www.mcafee.com/us/mcafee - www.intelsecurity.comlabs.aspx - www.mcafee.com/common/js/asset_redirect.html?eid=15Q3NAPROSM6377&url=http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-aug-2015.pdf