Report: le aziende riscontrano un evento malware ogni tre minuti

Le organizzazioni affrontano eventi legati al malware che aggirano le tradizionali tecnologie di difesa sulle loro reti ogni tre minuti, secondo un nuovo rapporto pubblicato mercoledì dal fornitore di sicurezza FireEye.

" Questa attività può includere la ricezione di un'e-mail dannosa, un utente che fa clic su un collegamento su un sito Web infetto o una macchina infetta che effettua una richiamata a un server di comando e controllo ", ha detto la società nel suo rapporto.

La conclusione è basata sui dati raccolti durante la seconda metà del 2012 da diverse migliaia di appliance di sicurezza FireEye installate su reti aziendali in tutto il mondo, ha detto la società. Queste appliance sono normalmente implementate dietro firewall di rete, sistemi di prevenzione delle intrusioni e altri prodotti di sicurezza gateway, consentendo loro di vedere attività dannose che superano con successo quelle difese primarie, ha detto FireEye.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Gli autori di malware si stanno sempre più concentrando sullo sviluppo di metodi per eludere il rilevamento, hanno detto i ricercatori di FireEye nel rapporto. Un esempio è il malware che giace dormiente fino a quando non rileva l'interazione umana con il sistema di destinazione attraverso la presenza di clic del mouse.

Questo metodo viene utilizzato per bypassare i sistemi di analisi automatici, noti come sandbox, che vengono utilizzati dai prodotti di sicurezza per l'esecuzione sicura e analizzare il comportamento dei file sospetti. Dal momento che sono automatizzati, questi sistemi non attivano i comandi del mouse, hanno detto i ricercatori di FireEye.

Un'altra tendenza in crescita è quella dei file malware firmati con certificati digitali rubati o contraffatti. Molte tecnologie di sicurezza si fidano dei file firmati digitalmente e non li scannerizzano, hanno detto i ricercatori di FireEye.

I creatori di malware avanzato, le cosiddette Advanced Persistent Threat (APT), distribuiscono sempre più i loro payload malevoli come librerie di collegamenti dinamici (DLL)) che può essere sideloaded tramite programmi legittimi. Si tratta di un tentativo di aggirare i tradizionali meccanismi di difesa che si concentrano sul rilevamento e sull'analisi dei file.exe.

Gli APT sono per lo più distribuiti tramite e-mail di spear-phishing che contengono allegati dannosi o includono collegamenti a siti Web di sfruttamento. Gli attacchi dannosi e gli exploit basati sul Web vengono utilizzati regolarmente come metodi di infezione, ma alcuni eventi possono causare picchi di utilizzo.

Ad esempio, se viene rilevato un nuovo exploit per Adobe Reader, le organizzazioni vedranno un picco e-mail che trasportano allegati PDF dannosi. Allo stesso modo, se viene scoperto un exploit basato su browser, ci sarà un picco nelle e-mail che trasportano link dannosi, ha detto FireEye.

I dati analizzati da FireEye, che coprono 89 milioni di eventi dannosi, hanno mostrato che le aziende tecnologiche sono le più frequentemente attaccate organizzazioni. "A causa di un'elevata concentrazione di proprietà intellettuale, le aziende tecnologiche sono colpite da un'enorme raffica di campagne di malware, quasi il doppio rispetto al successivo più vicino verticale", ha affermato la società. I settori delle telecomunicazioni, della logistica e dei trasporti, della produzione e dei servizi finanziari completano i cinque principali verticali più mirati.