Akamai, una piattaforma di cloud delivery di alto livello, ha pubblicato il Rapporto sullo stato di Internet, dove emerge quanto la condivisione delle informazioni sia fondamentale nella difesa contro le minacce informatiche. Il rapporto di Akamai mostra l’efficacia della sicurezza basata sul DNS, che viene potenziata dai dati provenienti da altri livelli di sicurezza. Più precisamente, la collaborazione tra i team SIRT (Security Intelligence and Response Team) e Nominum di Akamai ha permesso di individuare i domini C&C (Command and Control) di Mirai, un particolare malware progettato per gli attacchi DDos. L’obiettivo era quello di comprendere se, utilizzando i dati DNS e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini C&C per rendere più completo il rilevamento della botnet Mirai in futuro. I due team sono riusciti ad ampliare il dataset C&C rilevando una connessione tra le botnet Mirai e i distributori del ransomware Petya; l’analisi ha inoltre suggerito un’evoluzione delle botnet IoT da un utilizzo quasi esclusivo per attacchi DDoS ad attività più sofisticate, come distribuzione di ransomware e crypto-mining.
Tuttavia, l’aumento esponenziale di criptovalute ha portato ad un notevole incremento nel numero di malware di crypto-mining e di dispositivi infetti. Akamai ha osservato due diversi modelli di business per il crypto-mining:
- Il primo utilizza la potenza di elaborazione dei computer infetti per generare token di criptovalute
- Il secondo usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer
Su quest’ultimo modello di business Akamai ha condotto le sue analisi; dopo aver infatti esaminato i domini di cryptominer, l’azienda è riuscita a stimare i costi relativi alla potenza di elaborazione e ai guadagni economici. In quest’ottica, il crypto-mining potrebbe diventare una valida alternativa per sponsorizzare i siti web.
D’altronde la cibersecurity non è un settore statico: gli hacker sfruttano tecniche già usate in passato per riutilizzarle nell’attuale panorama digitale. Akamai ha voluto studiare questi dati con l’obiettivo di individuare campagne di malware e alcuni noti exploit che rivelano significativi cambiamenti nelle loro procedure operative.
In particolare, è emerso che :
- il protocollo WPAD (Web Proxy Auto-Discovery) è stato utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017. Il protocollo WPAD è progettato per essere utilizzato su reti protette e lascia i computer vulnerabili ad attacchi significativi una volta esposti a Internet.
- Gli autori di malware stanno attaccando le credenziali di accesso dei social media, oltre ai dati finanziari.
- La botnet Lopai è un esempio di come gli autori di botnet stiano creando strumenti più flessibili. Questo malware per dispositivi mobili si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.
«La comprensione da parte degli esperti di sicurezza dei singoli attacchi sferrati contro i diversi sistemi non è sufficiente nel complicato scenario delle minacce dei giorni nostri», commenta Yuriy Yuzifovich, Director of Data Science, Threat Intelligence di Akamai. «La comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Riteniamo che le query DNS fornite dal nostro servizio siano componenti strategiche che ci consentono di offrire ai team addetti alla sicurezza i dati necessari per avere una visione complessiva del panorama delle minacce».