La condivisione delle informazioni può essere un fattore fondamentale per la comprensione degli attacchi e la difesa dalle minacce informatiche. E’ quanto emerge dall’ultimo Rapporto sullo stato di Internet / Security carrier insigths appena pubblicato da Akamai, che analizza le informazioni provenienti da 14 mila miliardi di query Dns raccolte dalla società tra settembre 2017 e febbraio 2018 dalle reti dei provider dei servizi di comunicazione (Csp) in tutto il mondo. Il rapporto sulla cybersecurity, stilato in base alle informazioni degli operatori, sottolinea l’efficacia della sicurezza basata sul Dns (domain name system), che viene potenziata dai dati provenienti da altri livelli di sicurezza. Questo approccio stratificato alla sicurezza consiste nell’utilizzo congiunto di varie soluzioni per la sicurezza al fine di proteggere in modo completo i dati di un’organizzazione.
“La comprensione da parte degli esperti di sicurezza dei singoli attacchi sferrati contro i diversi sistemi non è sufficiente nel complicato scenario delle minacce dei giorni nostri – sottoinea Yuriy Yuzifovich, director of Data Science, Threat Intelligence, Akamai – La comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Riteniamo che le query Dns fornite dal nostro servizio siano componenti strategiche che ci consentono di offrire ai team addetti alla sicurezza i dati necessari per avere una visione complessiva del panorama delle minacce”.
Per oltre 19 anni Nominum, acquisita da Akamai nel 2017, si legge in una nota della società, ha sfruttato i dati dettagliati delle query Dns per migliorare la protezione complessiva contro sofisticati attacchi informatici, come gli attacchi ransomware, trojan, botnet e Ddos (Distributed Denial of Service).
Tra i casi in cui questa strategia si è rivelata particolarmente utile c’è quello della botnet Mirai, per al quale la collaborazione tra i team all’interno di Akamai ha contribuito all’individuazione dei domini C&C (Command and Control) di Mirai: a fine gennaio 2018, i team Sirt e Nominum di Akamai hanno condiviso un elenco di oltre 500 domini C&C di Mirai sospetti, per comprendere se, utilizzando i dati Dns e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini per rendere più completo il rilevamento della botnet, da cui è emersa una connessione tra le botnet Mirai e i distributori del ransomware Petya. “Questa analisi congiunta ha suggerito un’evoluzione delle botnet IoT – spiega Akamai – passate da un utilizzo quasi esclusivo per sferrare attacchi DDoS ad attività più sofisticate, come la distribuzione di ransomware e il crypto-mining”.
Dal report emerge inoltre un’ascesa dei fenomeni legati alle cryptovalute: l’aumento esponenziale dell’adozione da parte dei consumatori delle monete virtuali ha portato a un incremento nel numero di malware di crypto-mining e nel numero di dispositivi infetti. Con due distinti modelli di business su larga scala: il primo modello usa la potenza di elaborazione dei computer infetti per generare token di criptovalute. Il secondo modello usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer.
Quanto infine all’evoluzione continua delle minacce, i ricercatori hanno osservato che gli hacker sfruttano tecniche già usate in passato per riutilizzarle con cambiamenti nelle procedure operative. E’ il caso del protocollo Wpad (Web Proxy Auto-Discovery), utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017. Gli autori di malware, inoltre, stanno attaccando le credenziali di accesso dei social media, oltre ai dati finanziari: “Terdot, una branca della botnet Zeus – spiega Akamai – crea un proxy locale e consente agli autori degli attacchi di eseguire attività di cyberspionaggio e di divulgare fake news sul browser della vittima”. Infine la botnet Lopai è un esempio di come gli autori di botnet stiano creando strumenti più flessibili: questo malware per dispositivi mobili, conclude Akamai, si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.
