[stato di internet]/sicurezzaRAPPORTO SULLE INFORMAZIONI DEL GESTORE

P R I M A V E R A 2 0 1 8

Analisi riassuntiva

Analisi riassuntiva/Akamai, la piattaforma di cloud delivery più estesa e affidabile al mondo, utilizza la sua Intelligent Platform™ distribuita su scala globale per elaborare migliaia di miliardi di transazioni Internet ogni giorno. In questo modo, raccoglie enormi quantità di dati correlati alla connettività a banda larga, alla sicurezza sul cloud e al media delivery. Il rapporto sullo stato di Internet è stato creato per sfruttare tali dati e supportare aziende e governi nell'adozione di decisioni strategiche migliori. Akamai pubblica i rapporti sullo stato di Internet basati su questi dati, focalizzandosi sulla connettività a banda larga e sulla sicurezza sul cloud.

Stato di Internet/Sicurezza: il rapporto sulle informazioni del gestore, stilato nella primavera 2018, si concentra sui dati DNS dell'infrastruttura globale di Akamai e rappresenta la ricerca di una serie di diversi team in tutto il mondo.

Implicazioni per le aziende/Oggi più che mai, la condivisione dei dati e la collaborazione sono importanti per l'integrità delle singole organizzazioni e di Internet nel complesso. Non si tratta solo dell'esigenza delle aziende di condividere i dati con altre società, ma di collaborare per rendere significativi i dati. Condividere i dati e correlarli internamente è una sfida per molte organizzazioni; condividerli tra imprese complica il problema in modo incommensurabile.

Questo rapporto si concentra su come la condivisione delle informazioni tra le organizzazioni e all'interno di un'organizzazione porta a una maggiore intelligence e a una rete Internet più affidabile. L'autore di questo rapporto, Megan Stifel (CEO, consulente di Silicon Harbor, ex direttore reparto di cyber politica internazionale nel consiglio di sicurezza nazionale), evidenzia quanto siano importanti la condivisione dei dati e la fiducia per proteggere i nostri sistemi.

Imparare a combinare i dati provenienti da fonti diverse ed estrapolare l'intelligence dalla sua correlazione è una delle responsabilità più vitali dei team addetti alla sicurezza. Questo rapporto rappresenta un'evoluzione dei rapporti di Akamai e uno sforzo concentrato per utilizzare i dati e l'intelligence provenienti da tutta l'organizzazione in modo da creare un quadro più approfondito sulle minacce da affrontare. Vorremmo che le organizzazioni esplorassero il loro ambiente per capire meglio i flussi di dati e l'intelligence che probabilmente oggi non vengono utilizzati al massimo.

Fig. X Correlazione Mirai C&C al 23/01/2018 ore 21:00

0,94

0,97

0,950,99

0,990,93

0,92

0,93

0,94

0,94

0,95

0,95

0,96

0,94

0,97

0,97

0,910,93

0,93

0,92

0,93

0,97

0,97

0,98

0,98

0,98

0,98

0,98 0,98

0,94

0,99

1,00

1,00

ccc.snicker.ir.,1

picesboats.club.,1

0X01.nexusiots.org s.net.,1

snicker.ir.,1

rootyi.site.,1

nexusaquariums.ir.,1

nullstress.pw.,1

deathlives.ddns.net.,1

suckmyass1983.ddns.net.,1

bigboatzarereppin.hopto.org.,1

Sintesi editoriale/Il team di ricerca sulla sicurezza di Akamai ha analizzato oltre 14mila miliardi di domande sul DNS negli ultimi sei mesi, al fine di far conoscere ai nostri lettori la ricerca su malware, botnet e altre minacce che ogni giorno attaccano aziende e singoli individui. La famiglia di botnet Loapi evidenzia un'evoluzione dei malware, la cui natura sta diventando più flessibile. Allo stesso tempo, vediamo le forze di mercato azionate da criptovalute che interessano sia le imprese che gli autori di malware in modi simili. La combinazione dei nostri dati DNS con una ricerca più ampia all'interno di Akamai, così come con altre organizzazioni, ci permette di approfondire la botnet Mirai e il modo in cui funziona: uno sforzo continuo per molte organizzazioni.

A volte, queste minacce sembrano statiche, senza cambiare mai né crescere mai. Poi, ci sono momenti in cui le capacità dei nostri avversari sembrano fare passi da gigante, come quando venne creata la botnet Mirai. In realtà, si tratta molto spesso dell'effetto finale di cambiamenti lenti e graduali, che si verificano costantemente in questo scenario. È solo comprendendo le modifiche apparentemente piccole, come il passaggio del Loapi a una struttura modulare, che abbiamo la possibilità di prevedere i cambiamenti di maggiori dimensioni, come la rapida adozione della vulnerabilità memcached per DDoS. L'evoluzione sembra improvvisa solo se non si capisce cosa sta accadendo dietro le quinte quando non si guarda.

14.000.000.000.000QUERY DNS ANALIZZATE IN 6 MESI

Nessuna organizzazione, neppure quelle con una rete di scala planetaria come Akamai, può vedere e comprendere tutto. Solo combinando la nostra intelligence, possiamo vedere le piccole modifiche che portano a balzi in avanti nell'evoluzione.

Monitoraggio delle minacce/Le minacce non devono essere nuove per risultare costose. Durante il recente periodo di analisi, sono stati rilevati due picchi nelle attività dannose. Il primo di questi si è verificato dal 3 ottobre al 1° novembre, guidato dal traffico del dominio di controllo e dal comando della botnet Dorkbot. La botnet viene aggiornata per sfruttare i vantaggi di un nuovo algoritmo di generazione dei domini da parte degli autori di malware.

Il secondo picco di attività non è stato guidato da una specifica botnet. Invece, l'aumento delle ricerche nei domini è stato causato dallo sfruttamento del protocollo WPAD (Web Proxy Auto-Discovery). Quando è esposto a Internet, il protocollo WPAD consente a un utente malintenzionato di inviare un file di configurazione proxy ai sistemi esposti e di renderli vulnerabili agli attacchi Man-in-the-Middle.

È importante ricordare che non tutte le minacce sono di natura globale. Abbiamo registrato cinque minacce molto localizzate. Molte di queste

Fig. 9 Distribuzione di bot in base al numero di tipi di minacce interrogate

Fig. 10 Percentuale cumulativa di bot in base al numero di tipi di minacce

0% 25% 50% 75% 100%

31% 15% 40% 13%

Fig. 11 Percentuale dei primi 500 bot per minaccia

0%

20%

40%

60%

80%

MALWARE CALL HOME AUTOIT SPYBOT SALITY DOWNLOADER (VARIE)TROJAN ANDROID (VARIE)CONFICKER B PALEVO VIRUT CLUSTER ZERO DAY NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 TIPO 2 TIPI 3 TIPI 4 TIPI 5 TIPI 6 TIPI 7 TIPI 8 TIPI 9 TIPI 10 TIPI 11 TIPI 12 TIPI 13 TIPI 14 TIPI 15 TIPI 16 TIPI

68,4% 68,4% 67,6% 66,2%

46%39,8%

24%19,4%

11,4% 10,2% 7,6%

1 - 4 TIPI 5 - 8 TIPI 9 - 12 TIPI 13 - 16 TIPI

Non sorprende che le criptovalute siano la nuova attrazione per i malware. Con i bitcoin che hanno raggiunto quasi 20.000 dollari l'anno scorso, sia gli autori di malware che i siti legittimi stanno iniziando ad esplorare nuovi modi per riscuotere i bitcoin sui server. Anche se sappiamo che sia sbagliato utilizzare il proprio computer per riscuotere i bitcoin tramite l'installazione di un malware, la moralità di un sito, incluso JavaScript, che tocca i cicli della CPU per l'esecuzione è ancora nebulosa.

La collaborazione in azione/Non spuntano fuori tanto spesso botnet come Mirai. Ma questa botnet è importante perché ha messo in evidenza il meglio dei sistemi di sicurezza. Più organizzazioni hanno comunicato dietro le quinte per raccogliere, capire e diffondere quante più informazioni possibili sulla botnet. Molte di queste organizzazioni continuano a informarsi reciprocamente e a condividere i dati.

La ricerca indicata nel rapporto sullo stato di Internet del 4° trimestre 2017 ci porta a rivolgere uno sguardo più approfondito sull'abuso delle credenziali e sui tipi di strumenti utilizzati in questo settore. Guardare le richieste DNS e le risoluzioni di dominio per le botnet ci offre una visione diversa delle attività di questo tipo di minaccia.

Per scaricare il rapporto completo, visitate il sito akamai.com/stateoftheinternet-security.

bot erano indirizzate a paesi specifici, mantenendo un'infrastruttura specifica per la regione, mentre altre facevano affidamento sui servizi cloud per prosperare.

Tendenze emergenti/L'utilizzo di malware per sottrarre i dati finanziari è antiquato... almeno questo è ciò che sembrano pensare alcuni autori di malware. Il malware Terdot, un discendente della famiglia Zeus, si è ramificato per includere una raccolta di credenziali dei social media come parte della sua campagna. Il malware agisce come un proxy, indirizzando l'utente verso qualsiasi sito voglia l'autore dell'attacco, e, di conseguenza, apre un numero di opzioni interessanti.

La botnet Loapi ha un approccio diverso. Progettato per l'esecuzione su dispositivi mobili, questo malware è stato originariamente utilizzato per alimentare gli attacchi DDoS. Ma i suoi creatori hanno poi deciso che disporre di una sola freccia nell'arco non era abbastanza, pertanto hanno dato origine a una versione modulare. Ciò significa che la botnet può essere facilmente modificata quando si trova una nuova vulnerabilità o è necessaria una nuova funzionalità.

Fig. 9 Distribuzione di bot in base al numero di tipi di minacce interrogate

Fig. 10 Percentuale cumulativa di bot in base al numero di tipi di minacce

0% 25% 50% 75% 100%

31% 15% 40% 13%

Fig. 11 Percentuale dei primi 500 bot per minaccia

0%

20%

40%

60%

80%

MALWARE CALL HOME AUTOIT SPYBOT SALITY DOWNLOADER (VARIE)TROJAN ANDROID (VARIE)CONFICKER B PALEVO VIRUT CLUSTER ZERO DAY NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 TIPO 2 TIPI 3 TIPI 4 TIPI 5 TIPI 6 TIPI 7 TIPI 8 TIPI 9 TIPI 10 TIPI 11 TIPI 12 TIPI 13 TIPI 14 TIPI 15 TIPI 16 TIPI

68,4% 68,4% 67,6% 66,2%

46%39,8%

24%19,4%

11,4% 10,2% 7,6%

1 - 4 TIPI 5 - 8 TIPI 9 - 12 TIPI 13 - 16 TIPI

[stato di internet]/sicurezzaRAPPORTO SULLE INFORMAZIONI DEL GESTORE

P R I M A V E R A 2 0 1 8

Informazioni su Akamai/Grazie alla propria piattaforma di cloud delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell’offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la

piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l’accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24x7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce,

provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo

www.akamai.com/locations. Data di pubblicazione: 4/18.

Contatti/

sotisecurity@akamai.comTwitter: @akamai_soti / @akamai

www.akamai.com/stateoftheinternet-security