Cerca

Inganno su vasta scala: come il malware abusa della fiducia

Riflessioni ed analisi del report di Virus Total sui trend degli attacchi Malware da parte del nostro CEO Eylam Tamary




Noi in TAG guardiamo la realtà dei fatti e questi ultimi dicono che in Italia, ma non solo, vi è stata una crescita esponenziale degli attacchi andati a buon fine. Solo per citarne alcuni come quello della Regione Lazio, RFI, Agenzia delle Entrate e molti altri. Inoltre vi sono stati attacchi che hanno causato danni ingenti di reputazione come ad esempi quelli di tipo DDOS di KillNet su siti istituzionali del nostro paese. Tutti questi accadimenti ci spingono a porci una domanda che spesso facciamo ai nostri clienti: forse c’è qualcosa che non va? Forse bisogna cambiare l’approccio? Forse bisogna iniziare a pensare fuori dagli schemi (Think out of the box)? Forse bisogna uscire da certe confort zone fino ad oggi utilizzate come scegliere solo prodotti dai quadranti di Gartner o smettere di scegliere vendor che indicano di essere conformi alle compliance MitreAttack? Forse è arrivato il momento dove le aziende devono mettere più attenzione ed investimenti sulla Cyber Defence, dando una priorità più alta e con una spesa di budget superiore?

Un report di Virus Total pubblicato durante il mese di giugno conferma, per l’ennesima volta, quello che da tanto tempo in TAG raccontiamo nei nostri incontri.


Qui di seguito alcuni punti importanti di questo report:

  1. Malware firmati con certificati digitali rubati sono molto più frequenti

  2. Una tendenza in crescita dei malware è quella di imitare visivamente applicazioni legittime prendendo di mira quelle di uso popolare

  3. Un’altra tendenza dei malware è quella di camuffarsi da eseguibili di installazione di software legittimi oppure all’interno di archivi compressi. E’ una tendenza in crescita dell’ultimo periodo.

  4. Domini di uso comune vengono utilizzati per distribuire malware. Fra questi siti che generalmente ospitano servizi od applicazioni di uso comune

Quando pensiamo a queste tecniche nel loro insieme, si potrebbe concludere che ci sono sia fattori opportunistici, di cui i cyber criminali possono abusare (come certificati rubati) a breve e medio termine, sia procedure automatizzate di routine (molto probabilmente) in cui i cyber criminali mirano a replicare visivamente le applicazioni in diversi modi. Sebbene questi attacchi siano meno sofisticati, l'effetto complessivo di queste tecniche porta ad un impatto combinato maggiore rispetto ad attacchi più complessi ma meno voluminosi. Ecco perché sembra che ci sia la possibilità per alcuni candidati per monitorare a livello globale il modo in cui gli aggressori di malware abusano queste tecniche, il che può anche aiutare a rilevare automaticamente campioni sospetti prima che colpiscano la vittima.

La mia esperienza mi porta a pensare che anche Virus Total, nell’ultimo paragrafo del suo report, stia andando in una direzione sbagliata. Secondo me una organizzazione deve cercare soluzioni realmente pro-attive nella difesa. Oggi la maggior parte delle soluzioni bloccano un attacco quando sono in grado di rilevarlo ma è già troppo tardi. Operano come un team S.W.A.T. che interviene quando i banditi sono già scappati con la refurtiva.