La modellazione delle minacce è una tecnica che aiuta a proteggere sistemi, applicazioni, reti e servizi in modo efficace grazie a un’attività di analisi tesa a identificare le potenziali minacce, le metodologie per ridurre i rischi e l’individuazione degli obiettivi di sicurezza da raggiungere.
Bitdefender mette in evidenza l’importanza della modellazione delle minacce informatiche: il monitoraggio consente ai professionisti della sicurezza informatica di valutare continuamente il panorama delle minacce e di far emergere rapidamente le novità di maggior rilievo.
Domini, indirizzi IP pubblici, vettori di attacco, precedenti compromissioni e informazioni sullo stack tecnologico sono aspetti sui quali concentrare l’attenzione.
In questo senso gli strumenti MDR (Managed Detection and Response) offrono servizi di rilevazione e risposta gestiti in grado di risolvere le esigenze di organizzazioni di ogni dimensione a cui mancano risorse e competenze interne sulla sicurezza. I dati raccolti da Bitdefender Managed Detection and Response hanno permesso di acquisire uno spaccato piuttosto preciso circa le minacce informatiche più diffuse allo scorso mese di settembre.
Parlando di ransomware, nonostante siano trascorsi oltre 5 anni dalla sua scoperta, secondo Bitdefender WannaCry rimane ancora oggi il più diffuso con il 48% dei rilevamenti totali.
In totale Bitdefender ha identificato 196 diverse famiglie di ransomware ma, come abbiamo spesso evidenziato, un’infezione di questo tipo è solo l’ultima fase di un attacco informatico nato molto prima. Un attacco ransomware è diretta conseguenza di evidenti errori di sicurezza, sviste nella configurazione della rete e nella sua segmentazione, nell’assegnazione dei permessi, nella separazione delle risorse, nella gestione dei sistemi (applicazione delle patch di sicurezza mai effettuata), nel mancato utilizzo degli strumenti di protezione più adatti, nella scarsa informazione e formazione del personale.
Dietro a WannaCry, comunque, si posizionano tutta una serie di ransomware tra cui alcuni di stampo molto più moderno come BlackCat, esempio di Ransomware-as-a-Service.
L’Italia è il 6° Paese più colpito dagli attacchi ransomware insieme a Francia e Regno Unito (7% del totale).
Le minacce più diffuse sulla piattaforma Android
Installare un antivirus Android non è affatto inutile: il numero delle minacce è cresciuto a dismisura e talvolta vengono rilevate app pubblicate sullo stesso Google Play Store che assumono comportamenti pericolosi. E Google Play Protect offre ancora una protezione imperfetta.
Tant’è vero che con l’appellativo Downloader.DN (32% delle minacce totali) Bitdefender ha classificato le app scaricate dal Google Play Store che integrano adware particolarmente aggressivi e che, in alcuni casi, tentano il download di componenti dannosi.
Le successive tre minacce più diffuse sono, sempre secondo Bitdefender, SMSSend.AYE, Agent.AQQ e Banker.ACI rispettivamente pari al 20%, 14% e 12% di tutti i componenti rilevati sui dispositivi degli utenti.
SMSSend.AYE è un malware che tenta di registrarsi come applicazione SMS predefinita al primo avvio richiedendo il consenso dell’utente. In caso di esito positivo, raccoglie i messaggi in entrata e in uscita dell’utente e li inoltra a un server Command & Control (C&C).
Agent.AQQ è un trojan che nasconde il pericoloso payload all’interno di un’app all’apparenza legittima usando tecniche di evasione (così da non essere rilevato dagli strumenti per la sicurezza).
Banker.ACI è una minaccia che viene inserita in app Android che sembrano benigne: una volta in esecuzione individua le applicazioni bancarie installate sul dispositivo e tenta di scaricare un trojan da server remoti sotto il controllo dei criminali informatici.
Crescono anche le campagne phishing che sfruttano attacchi omografici: usando codifiche non latine, gli aggressori registrano e utilizzano nomi a dominio che ricordano graficamente quelli di aziende famose. Ne abbiamo parlato descrivendo la codifica Punycode.
Bitdefender rivela che i servizi di exchange delle criptovalute, Facebook e il motore di ricerca DuckDuckGo sono tra le realtà maggiormente bersagliate dagli attacchi omografici.