I cybercriminali sono stati parecchio occupati. È quel che emerge dai dati derivanti dalla rete globale di honeypots di F-Secure nel corso del secondo semestre del 2018. I server di F-Secure hanno registrato in questo periodo un aumento di quattro volte nel traffico legato a ricognizione e attacchi.
Il traffico degli attacchi osservato è stato prevalente sul protocollo Telnet, tendenza che si può attribuire al crescente numero di dispositivi IoT in uso. Gli altri maggiori traffici osservati sono stati sui protocolli SSH, SMB e SMTP, e la compromissione del web server è stato il principale vettore di attacco dopo Telnet. Hanno dominato gli attacchi provenienti da spazi IP in USA e Russia, seguiti da Italia e Regno Unito.
Negli ultimi anni, F-Secure ha pubblicato un rapporto semestrale sul traffico verso la sua rete globale di honeypot o server esca creati espressamente allo scopo di attirare attacchi e osservare il loro comportamento. Gli honeypot emulano servizi popolari come SMB, SSH e HTTP. Il traffico che questi honeypot vedono è un buon indicatore delle tendenze di alto livello nel panorama generale degli attacchi.
Ad esempio, dopo le epidemie di WannaCry e NotPetya del 2017, si è visto un aumento del traffico sulla porta SMB 445 (F-Secure continua a vedere livelli elevati di traffico SMB).
Chi cerca chi
È sempre interessante dare un’occhiata alla collocazione geografica degli indirizzi IP per capire da quali Paesi provengono gli attacchi e verso quali Paesi sono indirizzati.
Il traffico proveniente dallo spazio IP degli Stati Uniti ha conquistato la quota maggiore questa volta, con la Russia che è al secondo posto ma con un grande distacco. Naturalmente, non c’è modo di sapere se gli attacchi sono effettivamente concepiti in un dato Paese, dal momento che i criminali informatici indirizzano i loro attacchi attraverso i proxy per evitare il rilevamento. Possono utilizzare VPN, TOR e macchine o infrastrutture compromesse in diversi luoghi per sfuggire alle forze dell’ordine.
Inoltre, la presenza di questi Paesi nella lista dei Top Ten non significa che questo è il comportamento assunto da quello Stato. La motivazione alla base della maggior parte di questi attacchi è probabilmente finanziaria e istigata da criminali informatici comuni che stanno effettuando attacchi DDoS e invio di malware, ecc.
Ciò di cui possiamo essere più certi, tuttavia, sono le destinazioni di attacco: questi sotto sono i Paesi che hanno attirato il maggior interesse da parte degli attaccanti:
Quando si parla di cyber criminali, il lettore potrebbe immaginare un avversario incappucciato seduto a una scrivania che conduce ciascuno di questi attacchi, ma non è questo il caso. La quantità di attività umana manuale è pari a circa lo 0,1% di quello che vedono gli honeypot di F-Secure. Il 99,9% del traffico proviene da bot, malware e altri strumenti automatizzati. Certo, sono gli umani che creano questi strumenti e li configurano. Ma l’enorme numero di attacchi – centinaia di milioni – è reso possibile dall’automazione.
Gli attacchi possono provenire da qualsiasi tipo di dispositivo informatico connesso: persino un computer debole, uno smartwatch o uno spazzolino IoT possono essere la fonte del traffico di scansione o di attacco.
Il Regno Unito, anche se in cima alla lista dei principali Paesi di origine degli attacchi, non appare nell’elenco “Top sources to destinations”. Come nel periodo precedente, continuiamo a vedere attacchi dal Regno Unito diretti verso un’ampia gamma di Paesi in quantità, però, modeste per singolo Paese. Il più grande obiettivo del Regno Unito sono stati gli Stati Uniti, con 85.000 attacchi. E come nel periodo precedente, l’obiettivo preferito delle sonde del Regno Unito è stato SMB, con il 99% degli attacchi.
Porte e protocolli
Questa volta, da luglio a dicembre 2018, la stragrande maggioranza del traffico, l’83%, si è avuta sulla porta TCP 23, che viene utilizzata per Telnet. All’inizio del periodo sono state apportate alcune modifiche alla porzione Telnet degli honeypot F-Secure, il che spiega questo aumento poiché i server F-Secure sono ora più in grado di riconoscere gli attacchi Telnet. Ma i numeri alle stelle sottolineano anche il fatto che i dispositivi IoT, che usano troppo spesso le combinazioni di nome utente e password predefinite, sono ancora facili prede.
Una grande quantità di attività via Telnet è legata all’esistenza di thingbots, dispositivi connessi a Internet che sono stati cooptati come parte di una botnet. Nell’ultima metà di dicembre, che per i cyber criminali è un periodo importante per gli attacchi con le persone distratte dalle festività o che si allontanano da casa, si è assistito a un’intensa campagna attraverso Telnet.
Dopo la porta 23, la porta 22 (associata a SSH, che tentava anche il login remoto) è stata la seconda porta più presa di mira. La porta 445 ha conquistato il terzo posto con l’attività via SMB, in calo rispetto al periodo precedente: nella prima metà del 2018 F-Secure aveva visto un picco di 127 milioni di attacchi attraverso la porta 445. Prima degli attacchi di WannaCry e NotPetya del 2017, il traffico di attacco via SMB era insignificante, e non rientrava nemmeno nelle prime 20 porte.
SMPT, o traffico di attacco via e-mail, si è attestato al quarto posto, probabilmente rappresentativo del malware e dello spam che F-Secure ha segnalato a dicembre. Il quinto posto è andato al traffico MySQL, molto probabilmente legato ai tentativi di violazione dei dati, essendo MySQL popolare tra gli utenti di sistemi di gestione dei contenuti come WordPress, Drupal e Joomla. Più in basso nella lista, il protocollo CWMP può essere associato al protocollo TR-069 (per il quale esistono exploit noti) che viene utilizzato per la gestione remota dei dispositivi dell’utente finale come modem, gateway, router, telefoni VOiP e set top box.
Server e servizi
Utilizzando lo strumento di F-Secure di mappatura della topologia Web, F-Secure Riddler, sono stati analizzati i server e i servizi che sono le fonti più popolari di attacchi basati sul Web. In cima a questo elenco si segnalano Nginx, Apache e WordPress, che sono spesso compromessi dagli attaccanti e utilizzati per scopi dannosi. Dopo l’IoT, la compromissione dei server web è uno dei principali vettori di attacco rilevati dagli honeypot F-Secure.
Uso di credenziali
I principali nome utente e password che gli attaccanti utilizzano quando tentano di entrare in servizi honeypot non cambiano drasticamente nel secondo semestre 2018 (nella lista ci sono sempre “root” e “admin”), ma un dato interessante del secondo semestre è che al secondo e sesto posto vi sono le password predefinite per una fotocamera IoT Dahua e un DVR H.264 cinese.
L’ambiente aziendale
In che modo le aziende sono influenzate dal panorama delle minacce esterne? Per rispondere a questa domanda, F-Secure ha condotto un sondaggio chiedendo ai decisori e agli influencer dell’IT quanti attacchi informatici opportunistici e mirati hanno rilevato nell’ultimo anno. Due terzi degli intervistati hanno dichiarato che la propria azienda ha rilevato almeno un attacco, il 22% ha dichiarato che la propria azienda non ha rilevato alcun attacco e il 12% non sapeva o si è astenuto dal rispondere.
Le aziende più grandi hanno più probabilità di rilevare più attacchi, con il 20% delle aziende con oltre 5000 dipendenti che affermano di aver rilevato cinque o più attacchi, rispetto a solo il 10% delle aziende con 200-500 dipendenti che rilevano cinque o più attacchi. Le imprese più grandi hanno anche meno probabilità di affermare di non aver mai rilevato un attacco, con il 16% delle aziende con oltre 5000 dipendenti che non hanno rilevato alcun attacco, rispetto al 28% delle aziende con meno di 500 dipendenti che hanno dichiarato di non aver rilevato alcunché.
Le aziende francesi, tedesche e giapponesi sono state quelle che più hanno dichiarato di non aver rilevato alcun attacco, mentre, d’altra parte, i Paesi nordici e gli Stati Uniti sono stati quelli che hanno rilevato più attacchi, da cinque o più. Quasi la metà delle aziende indiane ha segnalato da due a cinque rilevazioni di attacchi, mentre negli altri Paesi circa un terzo delle aziende ha segnalato da due a cinque attacchi.
In generale, poco meno di un terzo delle aziende ha dichiarato di utilizzare una soluzione di rilevamento e risposta.
Conclusioni
Nel seguire il traffico degli honeypot nel corso degli anni, F-Secure ha imparato che più le cose cambiano, più rimangono le stesse. Se l’ultima tattica dei criminali consiste nel compromettere i dispositivi IoT per assemblare la botnet più grande, diffondere worm SMB per propagare ransomware, inviare spam via e-mail o prendere di mira i servizi web, è certo che questi criminali continueranno a cambiare metodo per sfruttare il percorso più facile per ottenere denaro.
La miglior difesa come al solito è includere un programma di sicurezza olistica, che coinvolga persone, processi e tecnologia:
Limita la tua superficie d’attacco. Limita la complessità delle tue reti, software, e hardware. Conosci quali sistemi e servizi stai usando e spegni ciò che non è necessario.
Coinvolgi le tue persone. Forma il tuo staff sui concetti dell’information security e adotta le migliori pratiche. Assicurati di avere processi e procedure che il tuo staff possa seguire.
Usa tecnologie a livelli. La sicurezza funziona a livelli. Usa un approccio che combini tecnologie di previsione, prevenzione, rilevazione e risposta.
Ti piacerebbe leggere una sintesi di questa ricerca di F-Secure?
Scarica l'Infografica
Categorie