Microsoft: il 2017 della sicurezza tra botnet, ransomware e phishing

La nuova edizione del Security Intelligence Report di Microsoft analizza le principali minacce del 2017, con un’attenzione particolare a botnet, ransomware e phishing.

ransomware

Microsoft ha rilasciato la 23° edizione del Security Intelligence Report (SIR). Il report offre insight sullo scenario delle minacce cyber per aiutare persone e aziende a comprendere meglio i trend in ambito vulnerabilità, exploit, malware e attacchi basati su web. Il report, che si basa sull’analisi di Microsoft dei sistemi locali e dei servizi cloud, si concentra sulle tendenze delle minacce da febbraio 2017 a gennaio 2018.

Le fonti anonime utilizzate per la ricerca provengono da sistemi on-premise e commerciali e servizi cloud che Microsoft gestisce su scala globale come Windows, Bing, Office 365 e Azure. Un’enorme mole di informazioni considerando che attraverso questi servizi Microsoft scansiona ogni mese 400 miliardi di e-mail per phishing e malware, elabora 450 miliardi di autenticazioni, esegue oltre 18 miliardi di scansioni di pagine web e analizza oltre 1,2 miliardi di dispositivi alla ricerca di minacce.

Ecco i tre punti più importanti e significativi emersi dal report.

Le botnet continuano ad avere un impatto su milioni di computer a livello globale

Nel novembre del 2017, nell’ambito di una partnership globale pubblico/privata, Microsoft ha interrotto l’infrastruttura di comando e controllo di una delle più grandi operazioni di malware nel mondo: la botnet Gamarue. Microsoft ha analizzato oltre 44.000 campioni di malware che coprivano l’infrastruttura tentacolare della botnet, scoprendo che Gamarue distribuiva oltre 80 diverse famiglie di malware. Le prime tre classi di malware distribuite dalla botnet Gamarue erano ransomware, trojan e backdoor. L’interruzione ha comportato un calo del 30% dei dispositivi infetti in soli tre mesi.

Metodi come il phishing sono comunemente usati dai criminali informatici

Poiché i produttori di software incorporano misure di sicurezza sempre più rigorose nei loro prodotti, è sempre più costoso per gli hacker penetrare con successo in questi software. Al contrario, è più facile e meno costoso indurre un utente a fare clic su un collegamento dannoso o ad aprire un’e-mail di phishing. Nel 2017 Microsoft ha visto una notevole espansione di metodi come il phishing per indurre gli utenti a consegnare credenziali e altre informazioni sensibili.

spear phishing

In effetti il phishing è stato il principale vettore per le minacce basate su Office 365 durante la seconda metà del 2017. Altre minacce che hanno visto un’impennata lo scorso anno sono state quelle portate dalle app cloud poco sicure. Il report rivela infatti che il 79% delle app di storage SaaS e l’86% delle app di collaborazione SaaS non cifrano i dati in transito.

Il ransomware rimane una forza da non sottovalutare

Il denaro è in ultima analisi ciò che guida i criminali informatici ed estorcere criptovaluta e altri pagamenti, minacciando potenziali vittime con la perdita dei loro dati, rimane quindi una strategia allettante. Nel corso del 2017 tre “pandemie” di ransomware globali (WannaCrypt, Petya/NotPetya e BadRabbit) hanno interessato le reti aziendali e hanno avuto un impatto notevole su ospedali, trasporti e sistemi di traffico.

Gli attacchi ransomware osservati lo scorso anno sono stati molto distruttivi e si sono mossi a un ritmo incredibilmente rapido. A causa delle tecniche di propagazione automatizzata, hanno infettato i computer più velocemente di quanto qualsiasi umano potesse rispondere e hanno lasciato la maggior parte delle vittime senza accesso ai loro file.

Una chiave di lettura nel report è che queste minacce sono correlate. Ad esempio, il ransomware era uno dei più importanti tipi di malware distribuiti dalla botnet Gamarue. Un altro esempio è che i criminali informatici stanno tentando di sfruttare le funzionalità legittime di una piattaforma per allegare in una e-mail di phishing un file infetto (ad esempio un documento di Microsoft Office) contenente il ransomware.

Cosa si può fare in azienda? Microsoft consiglia di seguire le pratiche standard come tenere aggiornati software e soluzioni di sicurezza. La proliferazione di metodi di attacco a basso costo come il social engineering è infine un avvertimento sull’importanza della formazione da dare ai dipendenti per tenerli informati sulle ultime tecniche di phishing.