La condivisione dei dati e delle informazioni relative all’internet sfera odierna è una pratica essenziale e fondamentale in chiave cybersecurity. La rete continua a dover fare i conti con vecchie minacce informatiche e con quelle nuove.
Si va dal mining pirata di criptovalute ai nuovi metodi di cyber crime, che riguardano attacchi denominati “Man in the middle”, o la sottrazione di credenziali per account social da cui far partire fake news, fino alle botnet di nuova generazione.
Tornando allo scambio di informazioni sulle nuove minacce del web, Yuriy Yuzifovich, Direttore Data Science & Threat Intelligence di Akamai, ha dichiarato: “La comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Riteniamo che le query DNS fornite dal nostro servizio siano componenti strategiche che ci consentono di offrire ai team addetti alla sicurezza i dati necessari per avere una visione complessiva del panorama delle minacce”.
I DNS sono macchine adibite al Domain Name System, cioè alla trasformazione del nome dominio in indirizzo IP. Sfruttando dei bug, è possibile exploitare (prendere possesso) e manipolare a piacimento i DNS.
Ieri è stato pubblicato il Rapporto di Akamai sullo “Stato di Internet/Security Carrier Insights” (primavera 2018), strutturato sull’analisi di cyber data provenienti da 14 mila miliardi di query DNS raccolte tra settembre 2017 e febbraio 2018 dalle reti dei provider dei servizi di comunicazione (CSP) in tutto il mondo.
Al suo interno ci sono i risultati di alcuni lavori di ricerca e monitoraggio di internet, alla caccia di vecchie e nuove minacce informatiche. Ad esempio, è stato condotto uno studio sull’individuazione dei domini C&C (Command and Control) nell’intento di rendere più completo il rilevamento della botnet Mirai per il futuro.
A fine gennaio 2018, si legge in una nota sul Report, i team di ricercatori hanno condiviso un elenco di oltre 500 domini C&C di Mirai sospetti. L’obiettivo di questa operazione era comprendere se, utilizzando i dati DNS e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini C&C per rendere più completo il rilevamento della botnet Mirai in futuro.
Questa analisi congiunta ha suggerito un’evoluzione delle botnet IoT, passate da un utilizzo quasi esclusivo per sferrare attacchi DDoS ad attività più sofisticate, come la distribuzione di ransomware e il crypto-mining.
E proprio i malware di crypto mining sono aumentati notevolmente in questi mesi, incrementando il numero di device infettati.
Sono stati osservati due distinti modelli di business per il crypto-mining su larga scala: un modello che usa la potenza di elaborazione dei computer infetti per generare token di criptovalute; un altro ancora che usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer.
Al di fuori della lotta ai cyber criminali, i ricercatori hanno comunque valutato un utilizzo legale di questa pratica, che potrebbe diventare una valida alternativa ai ricavi pubblicitari per sponsorizzare i siti web.
Per quel che riguarda l’evoluzione futura e i trend principali per l’anno in corso, dal Report è emerso che il protocollo WPAD (Web Proxy Auto-Discovery) è stato utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017.
Il protocollo WPAD è progettato per essere utilizzato su reti protette (ad es., le LAN) e lascia i computer vulnerabili ad attacchi significativi una volta esposti a Internet.
È stato inoltre scoperto che gli autori di malware stanno attaccando le credenziali di accesso dei social media, oltre ai dati finanziari. Terdot, una branca della botnet Zeus, crea un proxy locale e consente agli autori degli attacchi di eseguire attività di cyberspionaggio e di divulgare “fake news” sul browser della vittima.
Ulteriore minaccia per gli utenti di rete è la botnet Lopai, valido caso esempio di come gli autori di botnet stiano creando strumenti più flessibili. Questo malware per dispositivi mobili, infatti, si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.
