Cybersecurity

Le tendenze del cyber crimine nel 2013

25 Febbraio 2014

Come ogni anno è arrivato il momento di gettare uno sguardo all'indietro per fare il punto sulle tattiche, le tecniche e le procedure “pirata” che hanno caratterizzato il 2013 dal punto di vista del cyber crimine in modo da prepararsi ai possibili scenari che ci attendono per il 2014 in termini di campagne di attacchi e tentativi di frode orchestrati opportunisticamente da malintenzionati digitali sparsi in tutto il mondo.
Nel corso del 2013 abbiamo continuato a osservare e profilare le tattiche, le tecniche e le procedure che hanno contribuito al successo, alla redditività e alla crescita dell'ecosistema cybercriminale a livello internazionale: per esempio la diffusissima proliferazione delle varie campagne, la professionalità e l'implementazione di concetti economici, di business e di marketing basilari, il miglioramento della QA (Quality Assurance), l'integrazione verticale nel tentativo di catturare market share in più settori specifici e il ritorno di concetti conosciuti e comprovati nel campo del cybercrimine come la standardizzazione e il fai-da-te.


Volete saperne di più? Continuate a leggere
 
Questa panoramica risponderà alle seguenti domande:
 
  • Quali sono state le campagne di malware, attacchi client-side o di social engineering più prolifiche intercettate sul nostro radar, quali tattiche hanno sfruttato e cosa le ha portate al successo?
  • Quali sono state le aziende i cui nomi sono stati i più abusati come copertura nel corso del 2013?
  • Qual è stato il concetto più efficiente attraverso il quale i cybercriminali hanno monetizzato le proprie campagne?
  • Per quale motivo nel 2013 sono stati resuscitati i concetti cybercriminali tipici della vecchia guardia? Il loro ritorno ha avuto successo?
  • È stato più facile diventare un cybercriminale nel 2013 rispetto a quanto lo fosse nel 2012?
  • Quali sono stati gli esempi più lampanti di "innovazioni" fraudolente/pericolose introdotte dai cybercriminali nel 2013?

Vediamo le tendenze che hanno definito il cybercrimine nel 2013 analizzandole in maniera approfondita prima di procedere con le nostre osservazioni
  1. Ascesa e caduta di Paunch e del suo kit Blackhole. Il kit malware Blackhole ha rappresentato il principale fattore di crescita di una enorme percentuale di campagne di exploit client-side nel corso del 2013 fino a quando Paunch, l'autore del kit, è stato arrestato insieme alla sua gang; dopodiché si è registrato un evidente declino delle attività Web illecite precedentemente attribuite al grado di complessità del kit e agli aggiornamenti sistematici forniti ai relativi clienti. Non solo il kit Blackhole è stato responsabile della fetta maggiore di attività Web illecite, ma  "l'integrazione di mercati verticali" effettuata da Paunch sul proprio servizio "a valore aggiunto" di cifratura di script/iframe ha ampliato ulteriormente la sua market share durante l'anno. Naturalmente abbiamo sottoposto ad attento monitoraggio una discreta percentuale di queste campagne in-the-wild profilando e proteggendo con successo i nostri clienti dalle seguenti campagne che hanno riguardato importanti brand di fiducia – due campagne relative a Verizon Wireless, la campagna sui report BBB (Better Business Bureau) relativi alle banche, false conferme di acquisti su Ebay, AICPA, U.S Airways, due casi di campagne relative a Intuit, LinkedIn, PayPal, FedEx, Amazon, Facebook, IRS, due casi di campagne di falsi bonifici bancari, Data Processing Service, la CNN e la BBC: tutte le aziende citate sono state usate per mettere a punto campagne che hanno diffuso malware ed exploit client-side sfruttando il kit Blackhole. Nonostante l'esistenza di altre proposte di malware concorrenti che hanno continuato a ricevere aggiornamenti e supporto nel 2013, la grande market share del kit Blackhole ha attirato la necessaria attenzione delle forze dell'ordine ponendo termine a un processo di sfruttamento economico improntato all'efficienza di malware client-side che ha colpito milioni di utenti nel corso dell'anno. A causa della richiesta facilmente prevedibile di soluzioni concorrenti di qualità sufficientemente sofisticate, riteniamo che sia solo questione di tempo prima che le proposte attualmente presenti sul mercato raggiungano il grado di sviluppo del kit Blackhole o che un nuovo competitor conquisti la leadership del segmento in termini di market share durante il 2014.
  2. Il continuo sviluppo del segmento di mercato TDoS (Telephony Denial of Service). Il 2013 è stato un anno importante nello sviluppo di un segmento di mercato estremamente popolare in Russia e nell'Europa orientale, quello delle soluzioni TDoS (Telephony Denial of Service). Grazie a una letale combinazione di servizi gestiti e tool TDoS fai-da-te, competitor senza scrupoli e normali cybercriminali hanno continuato a lanciare attacchi TDoS contro operatori concorrenti o potenziali vittime nel tentativo di impedir loro di accorgersi delle rapine virtuali in corso facendo saltare, con perfetto tempismo, il meccanismo di verifica delle transazioni sospette via telefono o SMS. Il mercato si è ulteriormente sviluppato grazie "all'integrazione verticale" applicata dai produttori di soluzioni DDoS (Distributed Denial of Service) che hanno iniziato a offrire ai propri potenziali clienti anche funzionalità TDoS. Con la facilità di ottenere account SIP compromessi da provider legittimi, l'assenza di processi di autocontrollo delle policy e la prevalenza di tool TDoS fai-da-te diretti contro servizi leciti come Skype, ICQ o le funzioni mail2sms dei carrier, i cybercriminali restano nella posizione perfetta per poter continuare a lanciare questo genere di attacchi anche nel 2014.
  3. La proliferazione di PUA (Potentially Unwanted Application, applicazioni potenzialmente indesiderate) infiltratesi con successo nei più importanti network pubblicitari. Le PUA (Potentially Unwanted Application) continuano a costituire un segmento di mercato sempreverde sospinto principalmente da campagne di social engineering visuale che tentano di convincere gli utenti a installare sulle proprie macchine applicazioni destinate a violarne la privacy. Nel corso del 2013 abbiamo tenuto sotto controllo una discreta percentuale delle campagne PUA più prolifiche le cui tattiche di acquisizione del traffico si sono avvalse dello sfruttamento illecito dei maggiori network pubblicitari allo scopo di visualizzare banner accattivanti. Alcuni esempi di famiglie di PUA che abbiamo seguito proteggendo i nostri clienti dai relativi effetti sono state per esempio la PUA 'Searchqu Toolbar/Search Suite’ di iLivid , la PUA SafeMonitorApp, la PUA KingTranslate, la PUA 'Oops Video Player’, due casi di campagne PUA InstallCore, due casi di PUA Somoto.BetterInstaller, la PUA InstallBrain, la PUA Bundlore, la PUA Mipony/FunMoods Toolbar, la PUA EzDownloaderpro, la PUA SpyAlertApp e la PUA BubbleDock/Downware/DownloadWare.
  4. I servizi gestiti del cybercrimine hanno continuato a professionalizzare e implementare concetti di business di base allo scopo di attirare nuovi clienti. Nel corso del 2013 abbiamo continuato a osservare un aumento delle proposte gestite di tipo cybercrime-as-a-service con il vendor responsabile impegnato a "innovare" rivolgendosi a nicchie di mercato e sviluppando di conseguenza nuovi segmenti che continueremo a monitorare nel 2014 a causa della naturale concorrenza che scaturirà dall'esistenza di questi nuovi servizi. Oltre ai diffusissimi servizi gestiti per l'ecosistema cybercriminale come la cifratura di script e iframe, la cifratura di malware-as-a-service fai-da-te via Web o i recenti servizi di hosting e setup di botnet destinati ai cybercriminali meno esperti, abbiamo registrato "innovazioni" anche nel senso del lancio di prodotti/servizi self-service gestiti mai rilasciati (pubblicamente) in precedenza come, per esempio, servizi ransomware gestiti, servizi fai-da-te per l'hacking automatico di siti Web, shell compromesse vendute come servizio, redirector-as-a-service e proposte OPSEC (Operational Security) relative a schede SIM non attribuibili la cui distruzione, una volta usate per attività illegali o fraudolente, può essere richiesta sotto forma di servizio.
  5. Un evidente incremento nei network di affiliazione legati al cybercrimine per il malware destinato ai sistemi operativi mobili. Nel 2013 abbiamo osservato uno sviluppo logico nell'ecosistema cybercriminale, in particolare la disponibilità generale di network di affiliazione per il malware mobile come strumento con il quale i cybercriminali hanno creato uno scenario di vantaggi per sé e per i partecipanti ai network a scapito, ovviamente, delle potenziali vittime. Prendendo in considerazione efficienza, complessità e meccanismi di condivisione dei guadagni, ci aspettiamo di continuare a registrare un incremento in questo genere di network di affiliazione che monetizzano dispositivi mobili infettati da malware come quello che abbiamo profilato nei mesi scorsi.
  6. Il ritorno delle "borse traffico" per cybercriminali, ora esclusivamente specializzate nel generare "traffico mobile" per la conversione di malware. La borsa nera del traffico di rete è sempre stata una componente inseparabile nell'armamentario dell'acquisizione di traffico del cybercriminale moderno. Tuttavia, grazie al fatto che negli ultimi due anni questi stessi cybercriminali hanno iniziato a specializzarsi in tattiche di acquisizione del traffico come malvertising, RFI (Remote File Inclusion)/SQL injection, blackhat SEO (Search Engine Optimization), compromissione diretta di siti Web ad alto traffico e campagne spam promosse da social engineering, vi è stato un modesto declino nelle borse traffico più sofisticate come quelle che eravamo abituati a osservare negli anni precedenti. Non è occorso molto tempo prima che il concetto ritornasse a emergere, ma con un'interessante variazione. Nel 2013 non abbiamo assistito solo a un aumento della disponibilità pubblica di queste borse/marketplace di traffico, ma anche all'offerta diretta di 'traffico mobile' da poter successivamente convertire in dispositivi mobili infetti inviando a questi ultimi contenuti pericolosi/fraudolenti approntati su misura solo per gli utenti mobili.
  7. Gli spammer mobili hanno continuato a sviluppare nuovi tool per cybercriminali segnalando la buona salute di questo segmento di mercato. Con l'aumento del traffico di SMS, i destinatari dei messaggi indesiderati si chiedono naturalmente: come fanno gli spammer a conoscere il mio numero di cellulare? Nel 2013 abbiamo continuato a monitorare attivamente questo segmento di mercato trovando prove oggettive della diffusione di tool fai-da-te per la raccolta di numeri telefonici, tool fai-da-te per la verifica a basso costo dell'effettiva operatività di tali numeri, e persino servizi gestiti capaci di fornire agli spammer numeri mobili geolocalizzati per aumentare le potenzialità di successo delle loro campagne grazie ad azioni di marketing mirato che possono essere applicate a tali numeri. Grazie alla disponibilità generale/commerciale di questi tool, gli spammer mobili possono continuare a trovarsi nella situazione perfetta per lanciare campagne di SMS/MMS orientate al social engineering.
  8. I cybercriminali hanno innovato nel segmento di mercato relativo ai documenti falsi (carte d'identità, passaporti, bollette, certificati e diplomi). La domanda e l'offerta di documenti falsi come carte d'identità, passaporti, bollette, certificati e diplomi sono cresciute nel corso dell'anno con i cybercriminali impegnati in questo segmento di mercato cybercriminale sempreverde che hanno in qualche modo ‘innovato’ all'insegna dell'efficienza. Nello specifico ci riferiamo a un servizio di scansione di documenti falsi che possiede un database di fototessere di persone reali che rende totalmente casuale la scansione da un punto di vista tecnico nel tentativo di evitare il rilevamento di un intero set di documenti falsi generati automaticamente a richiesta nel momento del loro utilizzo. Questo concetto ha segnato una nuova pietra miliare in questo segmento di mercato grazie all'utilizzo di una tattica orientata all'efficienza complementata da elementi di QA (Quality Assurance). Da semplice UVP (Unique Value Proposition) nel 2013, questo concetto otterrà inevitabilmente una ampia diffusione presso vari servizi concorrenti minando ulteriormente il processo di autenticazione remota che si basa sulle scansioni di documenti come mezzo principale per verificare l'identità di un utente o di un cliente.
  9. Campagne legate a Facebook , come la diffusissima campagna "Scopri chi ha visto il tuo profilo", hanno esposto milioni di utenti ad applicazioni pericolose, estensioni per browser che violano la privacy, adware/malware per Android e Windows. La popolarità di un marchio è sempre stata proporzionale a un discreto grado di attività online fraudolente associate a quel brand. Nel 2013 i cybercriminali hanno colpito gli utenti Facebook in modo sistematico ed efficiente con numerose campagne destinate a diffondere un cocktail di malware interpiattaforma capace di violare la privacy. Sono state lanciate molte campagne, tutte naturalmente profilate e bloccate. Per esempio la campagna ‘Facebook Profile Spy’, la campagna ‘Rihanna & Chris Brown S3X Video’, la campagna ”Friend Confirmation Request’ pubblicizzata via spam, seguita da un'altra campagna promossa via spam “Hai suggerimenti, richieste di amicizia e sei stato taggato’, oltre alle enormi campagne 'Chi ha visitato il tuo profilo Facebook' che hanno disseminato contenuti fraudolenti e pericolosi presso un milione di utenti Facebook.
  10. Account e host violati venduti al mercato nero secondo un modello 'as-a-service' hanno continuato a proliferare. La continua offerta di PC violati "as-a-service" e account violati "as-a-service" che avevamo osservato nel 2013 causa la inevitabile commoditizzazione di queste proposte disponibili al mercato nero . Attribuiamo questa tendenza alla disponibilità generale di tool per la creazione di malware e botnet, strumenti di tipo fai-da-te, pubblici o anche proposti commercialmente che mettono in grado di agire anche i cybercriminali alle prime armi che in un secondo momento cercano modalità redditizie per monetizzare i dati ottenuti illecitamente o l'accesso a host violati o compromessi. Naturalmente, questa continua commoditizzazione è destinata ad abbassare i prezzi di queste proposte, e solo un piccolo numero di fornitori potrà richiedere prezzi elevati, fatto in gran parte dovuto alla comprensione o consapevolezza della situazione da parte dei clienti in termini di modello di trasparenza del mercato nero.
  11. I videogiocatori sono stati colpiti da diversi tool e servizi cybercriminali che hanno venduto l'accesso diretto alle informazioni degli account ottenute mediante data mining o forza bruta. Nel corso del 2013 i videogiocatori sono stati colpiti dai cybercriminali non solo attraverso tool per spamming o attacchi fai-da-te basati sulla forza bruta, ma anche da accessi a dati di account violati sulle più diffuse piattaforme di gioco. Questo segmento di nicchia ha ottenuto l'attenzione dei cybercriminali che hanno sfruttato concetti basilari di marketing come la segmentazione per iniziare a monetizzarli avvalendosi di tecniche e procedure collaudate come data harvesting per piattaforme/siti Web particolari, attacchi basati sulla forza bruta, o semplice data mining sulla 'popolazione infetta' di una rete botnet per estrarne i dati degli account.
  12. Campagne spam 'di routine’ con allegati pericolosi associate a brand famosi sfruttati sistematicamente a rotazione sono diventate una realtà di tutti i giorni. Nel 2013 abbiamo intercettato decine di milioni di messaggi email pericolosi il cui utilizzo di sperimentate tecniche di social engineering in combinazione con la sistematica rotazione di brand famosi sfruttati come esca ha garantito ai cybercriminali i 'tassi di infezione' necessari per mantenere operative le loro reti botnet. Quali sono stati i brand sfruttati per queste campagne? FedEx, due casi di campagne che hanno usato Bank of America, ADP, American Airlines, DHL, FedWire, due campagne riguardanti Citibank, Vodafone, il Dipartimento della Motorizzazione di New York City, tre casi di campagne relative a Vodafone U.K, Westminster Hotel, iGO4, due casi di campagne sull'iPhone, O2, due casi di campagne relative a T-Mobile, Xerox, due casi di campagne riguardanti WhatsApp, HSBC, T-Mobile U.K, e numerose campagne malware generiche pubblicizzate mediante spam:una campagna Changelog, una campagna Helicopter Order, un invio spam Magic Malwaware, Export License Payment, Unsuccessful Fax Transmission, Export License Invoice, una campagna FW:File, Important Company Reports, una campagna Annual Form STD-261, e un caso di campagna October’s Billing BAC.
  13. I reclutatori di 'money mule' hanno continuato a innovare. Con la separazione dei rischi che ha rappresentato una parte inseparabile dell'ecosistema cybercriminale anche nel 2013, nel corso dell'anno abbiamo osservato un'interessante "innovazione", un concetto orientato all'efficienza (dal punto di vista dei cybercriminali) relativamente al trattamento di trasferimenti di denaro via Western Union, seguito da un'altra interessante campagna per il reclutamento di money mule con margini di guadagno elevati che ha continuato per lungo tempo a bersagliare gli imprenditori. Questi casi ci fanno ritenere che la pratica di separazione dei rischi mediante l'impiego di ingenui "muli" per il riciclaggio del denaro continuerà a maturare in termini di nuovi servizi a valore aggiunto da parte dei principali gruppi di reclutamento di money mule, pur continuando ad avvalersi di infrastrutture di hosting internazionali legittime per le pagine di ricerca collaboratori e interfacce di gestione.
  14. I server SMTP dedicati allo spam sono tornati sulla scena. Un'altra tendenza che ha caratterizzato il 2013 è stato il ritorno dei server SMTP per cybercriminali offerti secondo il modello "as-a-service", un sorprendente rientro sulle scene di una vecchia ma comprovata tattica applicata dai cybercriminali desiderosi di stabilire 'punti di contatto' con le potenziali vittime attraverso messaggi email. Non solo abbiamo assistito alla corsa a una nicchia di mercato riemergente, ma da parte di alcuni anche a una integrazione verticale o aggiunta di servizi correlati a valore aggiunto nel tentativo di posizionarsi come uno "one stop e-shop" o conquistare una market share più grande nell'intero segmento di mercato.
  15. I tool fai-da-te per la registrazione automatica di nuovi account hanno continuato ad attirare l'attenzione di operatori interessati a questo segmento di nicchia. La generazione automatica di account fasulli ha continuato a rappresentare un crescente segmento di mercato con numerosi tool rilasciati nel corso dell'anno per colpire specifici servizi Web come per esempio Youtube, Tumblr, Instagram, e importanti provider gratuiti di posta elettronica internazionali e russi. Il continuo sviluppo di questo segmento di mercato ha naturalmente portato al previsto aumento di proposte di 'potenziamento della presenza sui social media' facendo soprattutto leva su una combinazione di account legittimi, account violati e account registrati automaticamente.
  16. Campagne di social engineering ispirate a eventi di cronaca si sono materializzate in seguito all'attentato della Maratona di Boston e all'esplosione di una fabbrica di fertilizzanti in Texas, oltre a una campagna relativa all'UNHCR. I cybercriminali non si sono mai tirati indietro di fronte all'opportunità di sferrare attacchi di social engineering basati su avvenimenti di cronaca nel tentativo di aumentare le percentuali di click-through delle loro campagne illecite. In diverse occasioni nel corso del 2013 abbiamo potuto profilare campagne di questo genere che hanno tempestivamente sfruttato eventi importanti o particolari situazioni geopolitiche. Nello specifico parliamo dell'attentato alla Maratona di Boston, dell'esplosione di una fabbrica di fertilizzanti in Texas, e di una campagna UNHCR ispirata alla situazione siriana.
  17. Le attività di blackhat SEO (Search Engine Optimization) hanno continuato a ottenere il necessario grado di "innovazione" per restare redditizie. Nel 2013 le attività blackhat SEO (Search Engine Optimization) hanno continuato a rappresentare un segmento di mercato in maturazione all'interno dell'ecosistema con sempre più prodotti e servizi rilasciati da specialisti vicini ai cybercriminali. Sfruttando un segmento di mercato sempreverde, in particolare quello delle shell violate/compromesse vendute secondo il modello "as-a-service", le attività blackhat SEO hanno continuato a rappresentare una delle principali tattiche di acquisizione del traffico nell'arsenale del cybercriminale medio alla ricerca di metodi efficienti per abusare dei maggiori motori di ricerca del Web. Dalla disponibilità commerciale di servizi blackhat SEO gestiti, dal rilascio di piattaforme per la gestione fai-da-te delle doorway, di tool Windows per la gestione di shell violate/compromesse e di tool per l'interazione con shell violate/compromesse, fino a release orientate alla QA (Quality Assurance) aventi lo scopo di eliminare Web shell concorrenti eventualmente presenti sul medesimo host, questo segmento di mercato continuerà a essere fiorente anche nel 2014.
  18. È emerso un segmento di mercato dedicato a tool commerciali su abbonamento per il mining illecito di Bitcoin/Litecoin. Il 2013 è stato un anno importante in termini di valutazione di mercato delle criptovalute P2P come Bitcoin, e della relativa risposta dell'ecosistema cybercriminale. Tenendo sotto controllo lo sviluppo di questo segmento di mercato abbiamo profilato alcuni dei principali tool per il mining nascosto di Bitcoin ricavando il punto di vista del potenziale cybercriminale intenzionato a monetizzare gli host dei quali detiene l'accesso convertendoli in zombie dedicati al mining di Bitcoin. Il mercato è destinato ad ampliarsi con sempre più operatori specializzati e servizi su abbonamento, e prevediamo che questo segmento cybercriminale crescerà ancora di più nel 2014.
  19. Sono proseguiti gli attacchi mirati, come per esempio una campagna rivolta principalmente contro i candidati a posti di lavoro nella NATO. Nel 2013 sono continuati gli attacchi mirati contro numerosi bersagli di alto profilo, nei quali i dipendenti effettivi o potenziali di determinate aziende od organizzazioni sono vittime di messaggi email appositamente predisposti. In particolare ricordiamo una campagna diretta a carpire informazioni sensibili sulla NATO (North Atlantic Treaty Organization) che abbiamo collegato alle attività del kit Blackhole, a significare che i cybercriminali responsabili di questa iniziativa lavoravano su più progetti in parallelo o stavano utilizzando la medesima infrastruttura per entrambe le campagne.
  20. Il segmento DDoS a noleggio ha proseguito la propria maturazione con gli operatori che hanno iniziato una 'integrazione verticale' aggiungendo l'offerta di servizi TDoS. In mezzo ai numerosi servizi “DDoS a noleggio” che abbiamo monitorato nel corso dell'anno, uno in particolare ha effettuato una mossa di integrazione verticale largamente prevista, nello specifico ha aggiunto servizi TDoS al proprio portfolio nel tentativo di posizionarsi come "one stop e-shop" per tutti gli attacchi di tipo Denial of Service. Considerando la discreta offerta di tool fai-da-te per la generazione di malware e botnet che possiedono una funzionalità DDoS standard o modulare, prevediamo che il segmento DDoS a noleggio e TDoS continueranno a proliferare nel 2014.
  21. I cybercriminali hanno innovato mettendo a punto sofisticate piattaforme per l'embedding di massa di iframe server-based. Nel 2013 i cybercriminali hanno dimostrato di voler rivolgere la loro attenzione nei confronti dei server anziché dei siti Web rilasciando due piattaforme dedicate al cybercrimine: un modulo Apache 2 stealth per l'embedding di iframe e una piattaforma per l'embedding di massa di iframe con account FTP/SSH compromessi a escalation di privilegi. Nonostante l'evidente sofisticazione delle piattaforme e le potenzialità di causare danni diffusi in modo efficiente, la disponibilità generale di tool per la violazione di massa di siti Web basati su Google Dorks continuerà a contribuire allo sfruttamento attivo della 'lunga coda' del Web con la conseguenza di un segmento di mercato estremamente favorevole impostato secondo un modello di scelta/preferenza che consentirà ai cybercriminali di scalare rapidamente i loro tentativi di violare quanti più siti Web possibili.
  22. Gli scammer di prodotti farmaceutici hanno continuato a spacciarsi per importanti brand legittimi. Da Facebook a GMail e WhatsApp, nel 2013 gli scammer di prodotti farmaceutici hanno continuato a invitare gli utenti a fare click su link fraudolenti diffusi attraverso messaggi spam che promuovevano (presunti) affari esclusivi quando, in realtà, il cliente mette a rischio la propria salute dal momento che i cybercriminali cercano di vendere farmaci contraffatti. Nonostante le numerose operazioni intraprese durante l'anno dalle autorità di tutto il mondo per bloccare molti siti Web associati a queste truffe, i cybercriminali continuano ad avvalersi per le loro attività fraudolente di un'infrastruttura di hosting estremamente solida grazie ai servizi di particolari hosting provider, alcuni dei quali sono attivi nell'ecosistema cybercriminale da oltre un decennio.
  23. I casino online illegali hanno costituito una discreta proporzione delle campagne spam che hanno cercato di spingere gli utenti a installare PUA (Potentially Unwanted Application) sui loro computer. Durante tutto l'anno abbiamo continuato a intercettare centinaia di migliaia di email che incoraggiavano gli utenti a iscriversi a casino online illegali offrendo sconti o bonus di benvenuto. In realtà gli autori di queste campagne cercavano di far installare agli utenti W32/Casonline, una ben nota famiglia di PUA (Potentially Unwanted Application) che in passato è stata abbondantemente profilata da parte nostra.
  24. Il sistema operativo Android è stato nel mirino dei tool fai-da-te per la generazione di malware mobile che si sono diffusi in-the-wild insieme a tool per la gestione di reti bot Android resi commercialmente disponibili nel 2013. I cybercriminali sono stati molto attivi per rilasciare tool fai-da-te per la generazione di malware mobile, programmi per la sottrazione di informazioni sensibili e tool per la gestione di botnet compatibili con Android aumentando ulteriormente l'attività legata al malware mobile. Con questi tool, punta dell'iceberg in un ecosistema dominato da una borsa nera specializzata nel vendere accesso al solo traffico mobile, e in combinazione con rilasci di malware mobile proprietario e campagne di social engineering su Google Play che sfruttano credenziali di account ricavate tramite attività di data mining, i cybercriminali si trovano nella posizione ideale per continuare a capitalizzare la crescente market share di Android.
  25. I cybercriminali hanno continuato a vendere accesso a host russi ed est-europei infetti da malware. Quello che un tempo era considerato uno scenario praticamente impossibile, ovvero la presenza di cybercriminali russi ed est-europei pronti a vendere accesso a host russi ed est-europei infetti da malware, è diventato oggi una realtà grazie a diversi servizi di cui siamo a conoscenza che propongono esattamente questo. Prevediamo che anche altri cybercriminali tenteranno di raggiungere la medesima liquidità di asset fraudolenti, provando cioè a monetizzare l'accesso a questi host più velocemente possibile e causando un aumento di questi servizi nel corso del 2014.
  26. Il segmento di mercato relativo all'hosting specializzato per cybercriminali ha proseguito la propria crescita per rispondere a una domanda che non conosce flessione. Grazie a un mix tra una infrastruttura di hosting esclusivamente dedicata ad attività cybercriminali in combinazione con un'infrastruttura legittima, il segmento dei servizi di hosting specializzati per il cybercrimine continua a maturare anche in un mondo post-Russian Business Network, con un mercato destinato a crescere e gli operatori pronti ad aggiungere sempre più funzioni "a valore aggiunto" all'interno delle loro offerte.
  27. Le truffe nigeriane sono sempre discretamente attive. Due dei casi più eclatanti di truffe nigeriane che abbiamo intercettato nel 2013 sono stati quelli relativi all'abuso della funzione ‘Email This’ della CNN, una pratica già vista in passato con i casi che hanno riguardato i siti Dilbert.com e NYTimes.com, nonché alla tattica astuta di aprire un pop-up sulla app Calendar degli utenti Android.
  28. I casi di iframe injection di massa non si sono fermati, con i siti Web degli enti pubblici di tutto il mondo che hanno continuato a essere vittima di attacchi progettati all'insegna dell'efficienza. La cara vecchia mentalità del "Chi mai può avere interesse ad attaccare un sito Web di basso profilo come il mio?" è diventata totalmente irrilevante nel 2013, dato che i cybercriminali sfruttano tool fai-da-te o piattaforme sofisticate per attacchi di massa ai siti Web. Nel corso del 2013 abbiamo intercettato una varietà di attacchi client-side contro siti Web, una tendenza che ci aspettiamo di continuare a registrare nel 2014, in particolare contro siti Web di alto profilo o che hanno un elevato page ranking sui motori di ricerca.
 
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.