Il mercato sotterraneo della criminalità informatica alimenta gli attacchi ai POS (point-of –sale) dalla codifica alla monetizzazione. Il malware con firma digitale nel 2013 è triplicato grazie alle reti di distribuzione di contenuti (CDN)
McAfee Labs ha reso disponibile il Report McAfee Labs sulle minacce: quarto trimestre 2013, che ha evidenziando il ruolo essenziale “web oscuro” dell’industria del malware nel favorire gli attacchi ai POS (point-of-sale) di alto profilo e nelle violazioni di dati accadute nell’autunno del 2013. Il report, inoltre, mette in luce la crescente facilità di acquisto on-line di malware indirizzato ai POS, oltre alla vendita dei numeri di carte di credito rubate e altri dati personali on-line. Nel corso del 2013, McAfee Labs ha visto anche triplicare il numero di campioni di malware con firma digitale, spinto soprattutto da un grande utilizzo di reti di distribuzione di contenuti automatizzate (CDN), in cui si nascondono codici dannosi all’interno di firme digitali di installatori altrimenti legittimi. McAfee Labs ritiene che questo trend in crescita potrebbe rappresentare una minaccia significativa per l’autorità di certificazione di lunga tradizione (CA), solitamente utilizzata per l’autenticazione del software “sicuro”.
Una disamina dettagliata delle violazioni di dati di alto profilo di carte di credito verificatesi durante il quarto trimestre dello scorso anno ha portato alla luce che il malware POS utilizzato negli attacchi era dal punto di vista della tecnica relativamente poco sofisticato, probabilmente acquistato “a scaffale” dalla community Cybercrime-as-a -Service, e specificatamente personalizzato per questo tipo di attacchi. Continuando a esplorare i mercati sotterranei cosiddetti “dark web”, McAfee Labs ha identificato il tentativo di vendita di numeri di carte di credito rubate e informazioni personali la cui compromissione era già nota precedentemente. I ricercatori hanno scoperto vendite di alcuni dei 40 milioni di numeri di carte di credito rubate suddivisi in lotti da 1 milione o 4 milioni alla volta.
“Il quarto trimestre del 2013 sarà ricordato come il periodo in cui la criminalità informatica è diventata ‘reale’ per un numero di persone più elevato che mai “, ha affermato Vincent Weafer, vice president senior di McAfee Labs. “Si tratta di furti informatici che si sono verificati in un momento in cui molte persone erano impegnate nello shopping natalizio e avrebbero dovuto sentirsi sicure e fiduciose nei loro acquisti. L’impatto di questi attacchi si farà sentire sia nelle case, sia nelle sale riunioni dei vertici aziendali. Per i professionisti della sicurezza, la genesi di una vendita “a scaffale” di alcuni campioni di malware, l’apertura verso un pubblico sempre più ampio, e la facilità di monetizzare digitalmente i dati dei clienti rubati sono sintomi del raggiungimento della maturità del Cybercrime-as-a-Service, sia del cosiddetto ‘dark web’.”
Entro la fine del 2013, McAfee Labs ha visto triplicare la presenza di malware firmato digitalmente all’interno del proprio database, arrivando a più di 8 milioni di file sospetti. Nel solo quarto trimestre, McAfee Labs ha trovato più di 2,3 milioni di nuove applicazioni firmate dannose, pari a un aumento del 52% rispetto al trimestre precedente. La pratica di firma del codice del software è una convalida dell’identità dello sviluppatore che ha prodotto il codice e assicura che tale codice non sia stato manomesso dopo il rilascio del suo certificato digitale. Sebbene il numero totale di campioni di malware firmati includa certificati rubati, acquistati o abusati, la maggior parte dell’aumento è dovuto alle CDN dubbie. Si tratta di siti web e in cui le aziende consentono agli sviluppatori di caricare i propri programmi, o di una URL che rende disponibile un’applicazione esterna tramite cui viene aggiunta la firma al programma.
Il team di McAfee Labs avverte che il crescente numero di file dannosi firmati potrebbe creare confusione tra gli utenti e gli amministratori, e anche mettere in discussione la continua vitalità del modello di CA per la firma del codice.
“L’espansione delle CA e delle CDN ha abbassato drasticamente i costi di sviluppo e rilascio di software per gli sviluppatori, e parallelamente si sono alleggerite le norme per qualificare l’identità di chi lo pubblica”, ha aggiunto Weafer. “Dovremo imparare a fidarci di più della reputazione di chi ha firmato il file, e meno della semplice presenza di un certificato.”
Ulteriori risultati relativi al quarto trimestre 2013:
Malware mobile. Nel 2013 McAfee Labs ha raccolto 2,47 milioni di nuovi esemplari di malware mobile, di cui 744.000 nel solo quarto trimestre. La raccolta di esemplari unici di malware mobile di McAfee è cresciuta di un eccezionale 197% rispetto alla fine del 2012.
Ransomware. Il volume di nuovi campioni di ransomware è aumentato di 1 milione di nuovi esemplari nel 2013, raddoppiando su base trimestrale rispetto all’anno precedente.
URL sospette. Nel 2013McAfee Labs ha registrato un aumento del 70% nel numero di URL sospette.
Proliferazione del malware. In media nel 2013, McAfee Labs ha rilevato 200 nuovi esemplari di malware ogni minuto, ovvero più di tre nuove minacce ogni secondo.
Attacchi al Master boot record. McAfee Labs ha trovato 2,2 milioni di nuovi attacchi indirizzati al MBR nel 2013.
