Proofpoint Q1 2019 Threat Report: Emotet è il protagonista dei primi tre mesi dell’anno

May 30, 2019
Woman Uses Laptop Protected by Digital Security Risk Solution

Secondo il report, il 61% dei payload pericolosi è stato creato dall’autore di Emotet

Milano —7 maggio 2019 – Proofpoint, Inc., leader nelle soluzioni di security e compliance di nuova generazione, ha pubblicato i dati relativi alle minacce del primo trimestre dell’anno, all’interno del “Q1 2019 Threat Report”. L’analisi ha rilevato che il 61% dei payload pericolosi sono stati creati dallo stesso autore della botnet Emotet. Proofpoint ha monitorato la crescente prevalenza di Emotet, che ha modificato anche la propria classificazione, passando da Trojan bancario a botnet, continuando a manovrare stealer di credenziali, downloader standalone e RAT nel panorama globale delle minacce.

La popolarità di Emotet si riflette anche nella costante crescita di attacchi che sfruttano URL e allegati pericolosi. Proofpoint ha osservato che il rapporto tra URL e allegati è stato di circa 5 a 1 nel Q1 2019, con un aumento del 180% rispetto a Q1 2018. La maggior parte di questo traffico, sia generale che in termini di URL pericolosi nei messaggi, è stata generata dalla botnet Emotet.

“I cambiamenti significativi di classificazione e prevalenza di Emotet mettono in evidenza come i cyber criminali stiano adattando nuovi strumenti e tecniche negli attacchi, per ottenere un guadagno più alto,” spiega Sherrod DeGrippo, senior director of Threat Research and Detection di Proofpoint. “Per difendersi dalle minacce in rapida evoluzione, è fondamentale che le aziende definiscano una strategia di sicurezza people-centric, che salvaguardi ed educhi gli utenti più a rischio, fornendo protezione dagli attacchi di ingegneria sociale, lanciati via email, social media e web.”

Ogni giorno, Proofpoint analizza oltre cinque miliardi di messaggi email, centinaia di milioni di post sui social media e più di 250 milioni di esemplari di malware, al fine di proteggere le aziende dalle minacce avanzate, analizzando da un unico punto di vista le tattiche, gli strumenti e i bersagli degli attacchi cyber.

Qui di seguito alcuni dei risultati emersi dal report:

Email

  • I Trojan bancari hanno raggiunto solo il 21% di tutti i payload pericolosi del primo trimestre. Gli esemplari principali sono stati IcedID, The Trick, Qbot e Ursnif.
  • Escludendo le campagne su piccola scala di GandCrab, i ransomware possono essere considerati grandi assenti nei primi tre mesi dell’anno, con l’82% dei codici rappresentato da Emotet o esemplari bancari.
  • La parola “Payment” è la più utilizzata negli oggetti delle email di frode, con un incremento del 6% rispetto al Q4 2018.
  • Nel Q1 2019 i settori più colpiti dalle frodi via email sono stati: ingegneristico, automotive ed education.
  • Le aziende colpite hanno subìto una media di 47 attacchi, un numero inferiore rispetto ai record raggiunti nel Q4 2018, ma potrebbe essere un segnale della selezione più raffinata degli obiettivi e dei trend stagionali.

Attacchi basati su web

  • Gli esemplari di Coinhive comparsi a fine gennaio hanno superato di 4,9 volte la media settimanale del trimestre. Non sorprende che il numero delle rilevazioni sia crollato dopo la chiusura di Coinhive a marzo. Questa assenza è stata colmata da attività illecite di mining, in quanto gli autori continuano a operare in questo mercato, nonostante la sua volatilità.
  • Attacchi di ingegneria sociale avviati tramite siti compromessi e pubblicità pericolosa sono stati inferiori del 50% rispetto ai livelli del Q4 2018, riflettendo la stagionalità dei trend. Tuttavia, l’attività è stata 16 volte più elevata rispetto allo stesso trimestre dell’anno precedente.

Frodi del dominio

  • Il triplo dei domini fraudolenti aveva un certificato SSL di legittimità nel Q1 2019, ingannando gli utenti con un senso di protezione fittizio.
  • In Q1, il numero di domini identificati come potenzialmente fraudolenti legati a un indirizzo IP è stato superiore del 26% rispetto a tutti i domini sul web, mentre quelli che generano risposte HTTP sono stati superiori del 43%.

Le registrazioni di domini fittizi nel solo mese di marzo hanno raggiunto una quantità pari alla somma di quelle dei due mesi precedenti.

Come incrementare l’impegno dedicato alla cybersecurity  

Le aziende possono proteggersi in modo ancora più efficace, applicando i seguenti consigli:  

  • Accettare il fatto che gli utenti cliccheranno. L’ingegneria sociale è sempre più utilizzata per diffondere attacchi email e i criminali continuano a sviluppare nuovi metodi per approfittare del fattore umano. È bene affidarsi a una soluzione che identifichi e ponga in quarantena sia le minacce email in entrata rivolte ai dipendenti che quelle in uscita dirette ai clienti prima che raggiungano la casella di posta. 
  • Proteggere la reputazione aziendale e i clienti. Prevenire gli attacchi rivolti verso i clienti tramite social media, email e mobile, in particolare da account pericolosi che approfittano del vostro brand aziendale. È importante dotarsi di una soluzione di sicurezza per i social che analizzi tutti i social network e segnali attività fraudolente.
  • Costruire una solida difesa dalle frodi via email. Gli attacchi di frodi online, molto mirati e condotti su volumi ridotti, spesso non includono un payload e sono quindi più difficili da rilevare. Per prevenirli, è necessaria una soluzione che includa capacità di classificazione dinamica per definire policy di quarantena e blocco.  
  • Affidarsi alla threat intelligence di un’azienda specializzata. Attacchi ridotti e targettizzati richiedono una threat intelligence sofisticata. È opportuno affidarsi a una soluzione che combini tecniche statiche e dinamiche per rilevare nuovi strumenti, tattiche e obiettivi di un nuovo attacco ed elaborare le informazioni.
  • Formare gli utenti per rilevare e segnalare i messaggi pericolosi: 

Corsi regolari e simulazioni di attacchi possono fermare molte azioni pericolose e aiutare a identificare gli utenti particolarmente vulnerabili. Le migliori simulazioni imitano le tecniche di attacco in tempo reale, ed è raccomandabile dotarsi di una soluzione aggiornata ai trend e alla threat intelligence più recenti.

Il report completo è disponibile https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q119-quarterly-threat-report-0528.pdf.

 

About Proofpoint, Inc.

Proofpoint (NASDAQ: PFPT) è un’azienda leader nella cybersecurity, che protegge dai rischi il patrimonio più importante di un’azienda: le persone. Con una suite integrata di soluzioni basate su cloud, Proofpoint aiuta le aziende di tutto il mondo a bloccare le minacce mirate, a salvaguardare i propri dati e proteggere gli utenti dagli attacchi IT. Aziende di ogni dimensione, tra cui più della metà delle Fortune 1000, si affidano a Proofpoint per mitigare i rischi di sicurezza veicolati via email, cloud, social media e web. Nessuno protegge le persone, i dati che generano e i canali digitali che utilizzano in modo più efficace di Proofpoint.

È possibile seguire Proofpoint su: Twitter | LinkedIn | Facebook | YouTube | Google+