Dark background with blue code overlay
Blog

Rapporto sullo stato di Internet - Security: Esame dell'anno

Akamai blue wave

Written by

Akamai

December 08, 2021

Introduzione

Il 2021 è stato un anno che sa dell'incredibile. Anche se il pianeta continua a riaprirsi in vari modi, si avverte ancora l'impatto del passaggio avvenuto nel 2020 ad un mondo quasi completamente virtuale. Molte delle grandi aziende stanno passando ad un modello ibrido, in cui si prevede sia la possibilità di lavorare da casa che in sede. Alcune aziende offrono ai loro dipendenti l'opportunità di lavorare in smart working a tempo indeterminato. Indubbiamente, il nostro modo di lavorare, fare banking, giocare e rilassarci è stato influenzato dal COVID-19. Nel 2020, lo slogan di aziende, utenti e criminali è stato comune: innovarsi. 

Lo stesso rapporto Esame dell'anno si è trasformato da una pubblicazione in formato PDF in questa versione sul nuovo blog di Akamai. Questo rapporto annuale si propone di esaminare e rammentare le nostre pubblicazioni dell'anno scorso rispetto a questa nuova versione ora pubblicata direttamente sul blog per una maggiore comodità.

Quindi senza indugi, ecco a voi il nostro nuovo rapporto Esame dell'anno per il 2021!

Ottobre 2020

La ricerca Offuscamento in JavaScript di Or Katz ha dominato quasi tutto il mese di ottobre dell'anno scorso. Il primo blog di Katz, Provate a prendermi, ha presentato questa tecnica. Anche se la tecnica non è considerata altamente sofisticata o elusiva, è difficile stabilire se una pagina web è dannosa senza eseguire il rendering della pagina e valutare i relativi contenuti. Katz ha discusso ulteriormente di questo argomento in Il racconto del doppio scam nascosto in JavaScript, in cui ha descritto la modalità di utilizzo della tecnica in molti tipi di truffe come il phishing e gli attacchi Magecart. Inoltre, ha seguito un esempio di doppio offuscamento e crittografia osservato di recente in un tentativo di phishing. In Le tecniche di phishing nascosto in JavaScript aumentano vertiginosamente, Katz ha completato l'esposizione dei risultati della sua ricerca mostrando l'incremento registrato nell'utilizzo di questa tecnica. "Abbiamo osservato un costante incremento di oltre il 70% nell'utilizzo delle tecniche di offuscamento sui siti web di phishing in un periodo di 10 mesi, tra novembre 2019 e agosto 2020".

Novembre 2020

Larry Cashdollar ha rilevato un malware in cui un criminale aveva aggiunto uno store online su un'installazione WordPress esistente e ha riportato i risultati della sua ricerca in Malware su WordPress crea negozi SEO. Il malware ha sovrascritto il file index.php e ha aggiunto una funzione in grado di controllare il parametro della query di una certa stringa. Se questa stringa viene individuata, si accede ad un altro sito. "L'autore dell'attacco non ci ha messo molto a indovinare le mie credenziali, che poi ha utilizzato per caricare un plug-in infettato da malware".

Abbiamo notato che le intestazioni della richiesta non sono in ordine e che la stringa User-Agent sta tentando di presentarsi come un bot di Google (tratto dal post del blog Malware su WordPress crea negozi SEO) Abbiamo notato che le intestazioni della richiesta non sono in ordine e che la stringa User-Agent sta tentando di presentarsi come un bot di Google (tratto dal post del blog Malware su WordPress crea negozi SEO)

Dicembre 2020

Arrivare a dicembre 2020 è stato come tirare un sospiro di sollievo. Non sapevamo cosa ci avrebbe portato il 2021, ma con il primo vaccino contro il COVID-19 autorizzato l'11 dicembre ci sembrava di essere al culmine di una grande svolta. Il periodo natalizio è stato contrassegnato da riunioni di famiglia e feste virtuali. Il 2020 è stato difficile anche dal punto di vista della sicurezza informatica perché quasi tutti i lavoratori sono passati in smart working e i confini aziendali non sono mai stati così indistinti, con un conseguente aumento delle complessità associate. Katz ha ricapitolato il modo con cui le tendenze del phishing hanno influito su un anno senza precedenti. 

Gennaio 2021

Tutti abbiamo appeso i calendari del 2021 sperando in una nuova rinascita. Tuttavia, anche se era iniziata la somministrazione dei vaccini per il personale necessario a garantire i servizi essenziali, la maggior parte di noi ha iniziato l'anno lavorando ancora a casa. Steve Ragan ha notato come i criminali avevano trovato un nuovo modo per sferrare gli attacchi contro gli utenti dei videogiochi più popolari. Ragan ha sottolineato come i gamer non hanno dovuto solo affrontare eventi a livello della rete, come gli attacchi DDoS e il credential stuffing, ma anche attacchi di tipo personale. "Recentemente, sono venuto a conoscenza di un giocatore di Minecraft che era stato preso di mira da un truffatore, il quale gli chiedeva di pagare un riscatto tramite il servizio di chat Discord. La richiesta era semplice: doveva pagare circa 20 dollari tramite la valuta utilizzata nel gioco (gemme SkyBlock), altrimenti avrebbe subito un attacco DDoS. Preso dal panico, non volendo dirlo ai genitori e parlare di questa minaccia, la vittima ha pagato il riscatto. A riprova del fatto che i criminali raramente mantengono la parola data, il truffatore ha comunque sferrato un attacco DDoS, bloccando la rete della vittima fino al giorno successivo".

Cashdollar ha, inoltre, analizzato più in dettaglio la botnet KhasmirBlack che sta diventando sempre più sofisticata. "L'exploit KashmirBlack CVE-2018-9206 esamina un elenco di 85 percorsi univoci, che l'autore della botnet ha probabilmente raccolto tramite Google Dork o sfruttando altre vulnerabilità, e controlla questi percorsi caricando i file su di essi tramite una richiesta POST. Lo script, quindi, verifica l'esistenza o meno del file di payload sssp.php caricato nella directory di caricamento file".

Febbraio 2021

Assaf Vilmovski voleva realizzare ciò che molti di noi hanno fatto nel 2020: estendere il Wi-Fi domestico a tutta la casa per potersi collegare a Internet da ogni stanza. Tuttavia, non potendolo fare, ha usato un router supplementare per fare un po' di ricerche. Tramite il D-Link DAP-1360, Vilmovski ha rilevato una vulnerabilità nella versione hardware A1 e nella versione firmware 2.5.5 all'interno della funzionalità di ping dell'interfaccia web. 

Anche a febbraio, quando è stata avviata un'altra somministrazione di vaccini contro il COVID-19, i criminali non hanno perso un colpo e hanno preso di mira i più vulnerabili tra di noi utilizzando l'esca dei vaccini contro il COVID-19 nelle loro campagne di phishing. Ragan ha descritto la storia correlata alle truffe del COVID-19, inclusa una vasta campagna di vaccinazioni di cui venivano avvisati i pazienti da parte del servizio sanitario inglese (NHS) .

Katz ha analizzato una nuova campagna di phishing che ha colpito alcune banche del Regno Unito, bypassando l'autenticazione 2FA. L'autore dell'attacco, Kr3pto, è uno sviluppatore di kit di phishing che crea e vende kit esclusivi sferrati contro istituti finanziari e altri brand. "Akamai ha individuato più di 7.600 domini che sono stati implementati con il kit di Kr3pto, attaccando 8 diversi brand finanziari, e hanno usato un hosting web commerciale per scalare le varie campagne di phishing nel tentativo di eludere il rilevamento".

Evyatar Saias e Chad Seaman hanno collaborato sulla ricerca focalizzata su un malware proveniente da una nota campagna di botnet di crypto-mining, che ha iniziato a sfruttare le transazioni della blockchain Bitcoin per nascondere il suo indirizzo IP C2 di backup. Si tratta di un modo semplice, ma efficace per difendersi dai tentativi di attacco. "Gli operatori di una lunga campagna di botnet di crypto-mining hanno iniziato a nascondere in modo creativo il loro indirizzo IP C2 di backup sulla blockchain Bitcoin".

Marzo 2021

A marzo, abbiamo pubblicato la nostra prima ricerca SOTI, in cui abbiamo ripercorso il 2020 per esaminare alcuni dei cambiamenti tecnologici che si sono verificati. Anziché parlare semplicemente delle tendenze globali nel loro insieme, abbiamo incluso anche un'analisi degli attacchi subiti dai nostri sistemi per fornire esempi concreti. A questo punto, abbiamo visto come Akamai ha utilizzato le sue soluzioni per difendersi e proteggersi in quest'anno tumultuoso.

Uno dei principali livelli di difesa utilizzati da Akamai è Enterprise Threat Protector, che si serve delle ricerche e dei dati di Akamai, integrati con dati di terze parti, al fine di identificare i domini dannosi e bloccarli a livello di DNS e HTTP. Contrasta diversi elementi chiave utilizzati dai criminali, tra cui attacchi di esfiltrazione, C2 (Command and Control) e phishing.

Cashdollar ha individuato, inoltre, un'altra minaccia di crypto-mining codificata in Golang il 4 marzo. "Il software di crypto-mining continuerà ad evolversi e a trarre vantaggio dalle vulnerabilità più recenti. Le vulnerabilità software come gli attacchi Command Injection e l'esecuzione remota del codice continueranno ad essere considerate dai cybercriminali un mezzo per monetizzare i cicli di CPU".

Seaman ha esaminato una recente serie di attacchi sferrati contro i clienti Akamai, che ha sfruttato un protocollo di rete noto come protocollo 33 o DCCP (Datagram Congestion Control Protocol). Il DCCP è un protocollo di rete "inaffidabile" più affidabile. "Negli attacchi sferrati contro i clienti Akamai che ho esaminato, il 100% del traffico era costituito da pacchetti DCCP-Request, ossia, in pratica, attacchi flood SYN simili al protocollo DCCP".

Aprile 2021 

Di solito negli Stati Uniti, aprile è il mese di riscossione delle tasse, pertanto, si può prevedere che i criminali vadano ad attaccare le loro vittime mentre cercano di compilare la dichiarazione dei redditi prima della data di scadenza. Ragan ha esaminato le tendenze delle attività criminali in questo periodo dell'anno. "Lo stress e l'urgenza che caratterizzano questo periodo dell'anno rendono la vittima altamente vulnerabile a vari tipi di attacchi. Oltre al phishing, il mese di riscossione delle tasse è anche il periodo dell'anno in cui i criminali si focalizzano su altri tipi di attacchi, inclusi gli attacchi LFI (Local File Inclusion), SQLi (SQL Injection) e di credential stuffing.”

Ad un livello puramente umano, aprile 2021 è stato un mese importante perché per la prima volta tutti gli adulti statunitensi hanno avuto diritto a fare il vaccino contro il COVID-19.

Maggio 2021

Akamai vanta una lunga storia di collaborazione con Verizon per la stesura del rapporto delle indagini sulle violazioni dei dati (DBIR) e quest'anno non ha fatto eccezione. Martin McKeay analizza gli argomenti trattati dal rapporto di quest'anno e alcuni dei risultati più importanti, tra cui l'impatto del COVID-19 sul traffico e sulle tendenze degli attacchi. "Ho trovato molta ispirazione nel lavoro condotto dal team di Verizon, soprattutto le partnership instaurate nel corso degli anni. Il nostro successivo rapporto sullo stato di Internet - Security, Il phishing nel settore finanziario, riflette il nostro impegno volto a instaurare nuove partnership con altre organizzazioni per migliorare al massimo la ricerca". 

Anche il nostro primo rapporto completo sullo stato di Internet - Security, Il phishing nel settore finanziario,è stato pubblicato a maggio. Questo rapporto, incentrato sul settore dei servizi finanziari, ha presentato le ricerche e i dati provenienti dalla società di intelligence sulle minacce WMC Global. Il numero di attacchi basati sul web e alle applicazioni è rimasto elevato nel 2020 né sembra destinato a rallentare in tempi brevi. Akamai ha registrato 6.287.291.470 attacchi web a livello globale, di cui 736.071.428 sferrati solo contro il settore dei servizi finanziari. Questo rapporto ha anche analizzato il fenomeno del phishing-as-a-service, fornendo un esempio del kit di phishing Ex-Robotos.

soti-may.jpg

Cashdollar ha continuato la sua ricerca rilevando un malware di crypto-mining romeno. "Anche se il malware di crypto-mining non è nuovo, è stato interessante trovare un pacchetto che si discosta dai pacchetti tar preparati in modo errato, da me utilizzati per l'individuazione. Questa minaccia di crypto-mining installa XMRig e Perl DDoS IRC Bot v1.0 e nasconde la sua attività di crypto-mining con un rootkit simile all'altra minaccia di crypto-mining segnalata".

Giugno 2021

Giugno ha segnato la metà del 2021, quando abbiamo pubblicato la nostra successiva ricerca SOTI, Gaming e pandemia. I videogiochi sono stati un'ancora di salvezza per molte persone in tutto il mondo, incluso il nostro team, specialmente durante il periodo del lockdown. Mentre i videogiochi sono stati caratterizzati da una diminuzione degli attacchi DDoS, il settore del gaming ha registrato una crescita del traffico degli attacchi maggiore rispetto a qualsiasi altro settore nel 2020. 

soti-june.jpg

Il 2020 è stato un anno anomalo, non possiamo ignorarlo. Mentre eravamo tutti costretti a casa, cercando di adattarci alla "nuova normalità" e di bilanciare lavoro, scuola e vita quotidiana durante la pandemia, molti di noi hanno usato i videogame come valvola di sfogo e mezzo di relazione interpersonale. Ma anche i criminali hanno fatto lo stesso. Sia chiaro: sebbene le loro intenzioni siano maligne, sono pur sempre persone. Hanno giocato e comunicato tra loro e, in alcuni casi, questo legame sociale ha comportato il coordinamento delle rispettive attività a vari livelli.

In questo periodo, Akamai ha iniziato a lavorare al suo nuovo sito web e ad implementare il suo blog. Congratulazioni a Julia Tetrud e al suo team per aver lavorato incessantemente nell'intento di aiutare a migrare e integrare manualmente il precedente blog SIRT nel nuovo blog di Akamai.

Luglio 2021

Ryan Barnett ha esaminato un attacco ransomware alla supply chain che ha preso di mira Kaseya. Il 2 luglio, Kaseya ha scoperto un attacco sferrato contro i clienti del suo prodotto VSAe ha chiesto urgentemente a tutti i clienti on-premise di disattivare Kaseya VSA. Gli autori dell'attacco, affiliati del gruppo ransomware REvil, hanno sfruttato le vulnerabilità dell'autenticazione e dell'esecuzione di comandi arbitrari (CVE-2021-30116) per distribuire componenti di crittografia ransomware ai sistemi presi di mira. Per aiutare gli addetti ai sistemi di difesa, Kaseya ha rilasciato una serie di IOC correlati agli attacchi ransomware.

Agosto 2021

La ricerca sui malware prevede molte sfide, tra cui i codici offuscati e i file binari danneggiati in modo intenzionale. Per affrontare questo tipo di sfide, il team SIRT di Akamai ha scritto un piccolo strumento in C per correggere automaticamente i file binari danneggiati in modo intenzionale. Il team prevede, inoltre, di rendere il progetto open-source per consentire ad altri ricercatori di poterlo utilizzare, migliorando ed espandendo le funzionalità dello strumento in base alle specifiche esigenze. Il team SIRT di Akamai ha descritto in dettaglio il progetto e cosa prevede in Problemi con i pacchetti UPX.

Le intestazioni UPX magic e p_info modificate tratte dal post del blog Problemi con i pacchetti UPX Le intestazioni UPX magic e p_info modificate tratte dal post del blog Problemi con i pacchetti UPX

Settembre 2021

Man mano che le stagioni sono iniziate a cambiare, Saias ha esaminato una nuova evoluzione del Kinsing mirata ai sistemi Windows. Questa botnet ha catturato l'interesse del team SIRT di Akamai poiché si è mostrata altamente attiva in varie aree geografiche, incluse Americhe, Europa e Asia. La botnet ha operato con lo stesso indirizzo IP di distribuzione (194.38.20.199) senza richiedere di cambiarlo dopo sei mesi. La campagna, in precedenza, aveva mirato solo ai computer Linux.

Nello stesso periodo, Cashdollar ha notato che una serie di malware di crypto-mining con pacchetti UPX scritti in Golang aveva preso di mira i sistemi Linux. La tattica principale dei malware consiste nel diffondersi traendo vantaggio dai sistemi vulnerabili e da deboli credenziali amministrative. Una volta infettati, questi sistemi vengono poi usati per effettuare il mining delle criptovalute. Cashdollar ha denominato l'esempio esaminato "Capoae" in base all'output del codice sul suo terminale. Le campagne di crypto-mining continuano ad evolversi. L'uso di diverse vulnerabilità e tattiche da parte della campagna Capoae evidenzia proprio l'intento di questi operatori di accedere al maggior numero possibile di computer.

Ottobre 2021

Lo sapevate che la prima istanza di un'API (Application Programming Interface) è stata creata da Salesforce.com il 7 febbraio del 2000, secondo quanto riportato nel blog sulle API? Ciò che in origine era un metodo relativamente semplice di comunicazione da un sistema all'altro si è evoluto in uno dei fattori che hanno fatto maggiormente aumentare il traffico in Internet.

Ecco perché abbiamo deciso di analizzare il mondo delle API nel nostro rapporto sullo stato di Internet - Security, API: la superficie di attacco che ci collega tutti. Proprio come a maggio, abbiamo notato e compreso il valore della collaborazione all'interno del settore per rappresentare un quadro più ampio delle tendenze da noi registrate. Oltre alla ricerca da noi condotta, abbiamo collaborato con Veracode, poiché le informazioni fornite dal nostro partner sul settore della sicurezza delle applicazioni hanno contribuito ulteriormente alla nostra ricerca sulle sfide correlate con le API e lo sviluppo.

Come dimostrano i nostri dati, i criminali sono chiaramente all'opera per sviluppare nuove tecniche e metodi di attacco e le funzionalità delle API rappresentano uno dei loro obiettivi principali. Anche se i team si stanno spostando verso una sicurezza integrata nel ciclo di vita dello sviluppo, il processo richiede tempo, pertanto le organizzazioni vengono lasciate in una situazione difficile, che le costringe, in alcuni casi, a lanciare codici vulnerabili noti poiché vitali per le esigenze aziendali.

Conclusione

È sempre incredibile vedere quanti cambiamenti in un solo anno. Un aspetto, tuttavia, è rimasto invariato: lo stato di Internet continuerà sempre ad evolversi, sia il nostro rapporto che lo stesso Internet. Negli ultimi due anni, è emerso come Internet sia una parte vitale della nostra vita quotidiana, che racchiude tutto, dalla scuola al lavoro, dal commercio all'intrattenimento, fino al banking e alle comunicazioni. 

La collaborazione all'interno del settore è la chiave per la creazione di un'immagine completa di ciò che accade in Internet nel suo complesso. Senza una collaborazione tra le varie comunità, non saremmo equipaggiati a sufficienza per comprendere appieno e per affrontare le minacce e i problemi in continua evoluzione a cui continueremo ad assistere. 

In questo post, non tenteremo di fare nessuna previsione per il futuro perché il 2020 e il 2021 ci hanno insegnato che tutto, ma letteralmente tutto, può succedere. Solo il tempo potrà dirlo. Per il momento, vi auguriamo di trascorrere queste festività in tranquillità e salute. Ci vediamo nel 2022!

Si ringraziano:

Responsabili editoriali 

Martin McKeay, Editorial Director 

Amanda Goedde, Senior Technical Writer, Managing Editor 

Steve Ragan, Senior Technical Writer, Editor 

Chelsea Tuttle, Senior Data Scientist

Responsabili del marketing

Georgina Morales Hampe, Project Management

Shivangi Sahu, Program Management

Ricercatori

Ryan Barnett, Principal Security Researcher

Larry Cashdollar, Security Intelligence Response Team, Senior Engineer II

Or Katz, Principal Lead Security Researcher

Evyatar Saias, Security Researcher

Chad Seaman, Security Intelligence Response Team, Senior Lead Engineer II

Collaboratori esterni

Chris Eng, Chief Research Officer, Veracode

Ian Matthews, CEO, WMC Global

Jake Sloane, Senior Threat Hunter, WMC Global

Elizabeth Snead, Senior Product Manager, WMC Global



Akamai blue wave

Written by

Akamai

December 08, 2021