Yoroi rende disponibile il Cybersecurity Annual Report

Yoroi rende disponibile il suo Cybersecurity Annual Report

Yoroi presenta la prima edizione del Cybersecurity Annual Report per comprendere meglio i principali attacchi e per difendere in modo efficace la propria azienda. Obiettivo quello è di fornire informazioni e strumenti per comprendere il modo in cui le minacce informatiche si distribuiscono, quali vulnerabilità sfruttano, quali tecniche utilizzano, quanto siano abili i sistemi antivirus nell’individuare attacchi e minacce

Marco Ramilli, fondatore e CTO di Yoroi
Negli ultimi anni abbiamo osservato un’evoluzione nella tipologia e nella complessità degli attacchi che oggi prediligono in maniera preponderante il malware con l’intento di trarre il massimo profitto. I criminali informatici oggi sono capaci creare minacce in grado di eludere le tecnologie antivirus e di bypassare i sistemi di sicurezza tradizionali, o di rimanere silenti nei sistemi delle vittime per lunghi periodi fino al momento di esfiltrare dati o informazioni.

Il report è suddiviso in “osservazioni”, ognuna delle quali prende in esame l’andamento delle minacce rilevato tra il primo gennaio e il 31 dicembre 2017. Ogni osservazione è comprensiva delle verifiche effettuate dai Cyber Security Analyst Yoroi. Non sono inclusi dati provenienti da fonti “terze”.

- Data Leak. Gli analisti hanno esaminato le principali fughe di informazioni, tra cui le credenziali aziendali composte da username e password, che sono state individuate nel dark net. Dalle analisi effettuate è emerso che dei 17.882.460 domini unici coinvolti in una violazione, circa l’1,6% (pari a289.799) ha riguardato domini unici riconducibili a organizzazioni italiane.
Il numero di account italiani (username e password) coinvolti in un data breach, pari a 11.376.170, rappresenta circa il 2% del totale (557.745.863).

- Malware. In questa sezione sono indicati i volumi di propagazione delle minacce per percorso - e-mail, web, social media, etc. - e la distribuzione di malware per tipologia di file e per riconoscimento da parte delle soluzioni antivirus.

- Principali minacce e vettori di attacco. Ransomware è il malware che ha colpito maggiormente nel 2017. Al ceppo Rasomware si riconduce il 50% di malware individuato e bloccato dal Cyber Security Defence Center Yoroi all’interno del perimetro delle reti analizzate e che quindi ha superato le difese tradizionali, seguito da Dropper (25%), Trojan (17%), Banker (5%), Exploiter (1%), Adware (1%) e altro (1%). I principali vettori sono riconducibili a Office (61%), Script (23%), Executable (14%), Archive (1%), pdf (1%).
Il percorso di propagazione avviene su email (89%) o per download diretto (11%).

- I settori più colpiti. Nella sezione dedicata alla correlazione tra malware e settori verticali, in esame sia la tipologia di attacco sia i vettori, sia i metodi di propagazione.

Il settore Banche è tra i più colpiti con il 100% dei Trojan, mentre gli utenti delle banche sono attaccati dal malware Banker. I settori Tessile e Abbigliamento, Bevande, Attrezzatture e macchinari e Trasporti sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti, facendo intuire che si tratti prevalentemente di attacchi di natura a scopo di lucro e non di attacchi mirati a specifiche aziende, come è invece altamente probabile nel caso del settore finanziario, dove, si scopre che i Trojan destinati al mondo banking viaggiano su file eseguibili (nel 100% dei casi) per eludere le policy aziendali che vietano la distribuzione via email di documenti office (0%).

- DNS Blocked Threats. Esame dei principali domini pericolosi (TOP malicious domain) contattati nel corso del 2017, principali categorie di attacco individuate e distribuzione per dominio.
Si tratta di minacce che prevedono che le vittime siano indotte ad aprire un link contenente oggetti malevoli sia attraverso malwertising, sia attraverso social engineering o mail di phishing. Le minacce bloccate a livello di DNS, sono state bloccate a valle dai sistemi di protezione perimetrale e sono le minacce che risultano essere penetrate eludendo i sistemi utilizzati dalla vittima stessa (Simda 30%, Cryptor 27%, Betabot 17% e Tinba (12%).