NewsSicurezza

Gli attacchi contro i servizi finanziari online crescono, in particolare in Italia

Gli attacchi contro i servizi finanziari online crescono, in particolare in Italia 1

Dopo le incursioni nel mondo dell’e-commerce, il trojan malware bancario Ramnit torna a colpire
il settore finanziario in Europa.
Il 40% degli attacchi avviene in Italia, mentre ci si prepara alla dichiarazione dei redditi

Il trojan bancario Ramnit è tornato sul suo originario terreno di caccia, dopo le incursioni di successo nel mondo dell’e-commerce; questo è quanto merge dalla nuova ricerca promossa dagli F5 Labs e dal Security Operations Center (SOC) di F5, che ha preso in esame le configurazioni attive di questa minaccia bancaria nei mesi di febbraio e marzo 2019.

Tutti i segnali indicano come gli autori di Ramnit siano tornati a colpire i servizi finanziari online, in preparazione del periodo che coincide con la dichiarazione dei redditi, in particolare in Italia.

A dicembre 2018, il malware Ramnit era stato il protagonista delle festività natalizie amaricane, mostrando la sua capacità di spostare il focus dell’attacco dal mondo finance ai siti di e-commerce statunitensi1.

Nell’ultima analisi, invece, risulta che gli autori di Ramnit siano tornati a concentrarsi su siti dei servizi finanziari e i siti di tecnologia finanziaria, in particolare in Italia (40% di tutti gli attacchi), con una distanza significativa dagli altri Paesi europei: il 9% degli attacchi era rivolto al Regno Unito e l’8% a Francia2.

Complessivamente, il 70% di tutti gli obiettivi degli attacchi di Ramnit è stato localizzato in Europa, il 27% negli Stati Uniti e il 3% nel resto del mondo3.

È interessante notare che i siti di social networking hanno rappresentato solo una porzione minore degli obiettivi di questi attacchi, anche se nello stesso periodo le più importanti piattaforme di social networking del mondo, come Twitter, Facebook, Tumblr e YouTube subivano attacchi consistenti.

Approfondendo l’analisi, gli F5 Labs hanno scoperto che le configurazioni di Ramnit a marzo tendevano a riadattarsi in modo costante, comprendendo tattiche di scaling web injection4. Si tratta di una novità interessante che comporta la capacità di perseguire gli obiettivi senza alcun collegamento con una azienda o un sito web specifico4. Ricorrono, invece, numerose parole in francese, italiano o inglese aggiunte al mix6 nella speranza di catturare in modo casuale i siti web. Insieme a parole utilizzate come semplici obiettivi, ad esempio il termine “bonifico”, Ramnit includeva anche il nome di un’opera italiana, Il Trovatore, e alcuni nomi di dominio errati.

“Ramnit è un Trojan bancario persistente, emerso per la prima volta nel 2010 con forma meno sofisticata di un worm autoreplicante. Oggi, le sue tattiche e obiettivi si sono evoluti rendendolo in grado di colpire altri settori e fare potenzialmente molti più danni. Ha una grande capacità di adattarsi, come abbiamo notato nel recente passaggio al settore finanziario, e i suoi autori sono in grado di espandere in modo significativo la superficie di attacco””, spiega Roy Moshailov, head of security and malware research di F5 Networks.

“È fondamentale per le banche e le aziende del mondo finance implementino soluzioni per la protezione dalle frodi Web per garantire la sicurezza dei propri clienti e contribuire a ridurre l’onere di eventuali costi legati alle frodi, in particolare per le banche che vengono prese di mira in modo costante. Anche altri settori devono essere consapevoli delle tecniche sempre più intelligenti sfruttate da chi attacca, in modo da poter prendere precauzioni analoghe. La cosa più importante, infatti, è non mostrarsi mai compiacenti. Dato che i malware Trojan in genere vengono installati tramite phishing o pubblicità dannose, è quindi fondamentale che le organizzazioni offrano formazione ai proprio dipendenti e clienti in modo da renderli maggiormente consapevoli sulla sicurezza.”

###

F5 Networks

F5 (NASDAQ: FFIV) supporta le grandi aziende, i service provider, le aziende pubbliche e i brand consumer dando loro la possibilità di rilasciare qualsiasi applicazione dove vogliono, in totale sicurezza. F5 offre servizi applicativi per il cloud e la security che consentono alle organizzazioni di adottare l’infrastruttura applicativa che meglio risponde alle loro esigenze senza dover compromettere velocità e controllo. Per maggiori informazioni, visita il sito www.f5.com.

1 https://www.f5.com/labs/articles/threat-intelligence/ramnit-goes-on-a-holiday-shopping-spree-targeting-retailers-and-banks

2 Configurazioni di Ramnit in Europa, marzo 2019

Gli attacchi contro i servizi finanziari online crescono, in particolare in Italia 2

3 Obiettivi delle configurazioni Ramnit nel mondo, marzo 2019

Gli attacchi contro i servizi finanziari online crescono, in particolare in Italia 3

4 Screengrab di un recente attacco di Ramnit che mostra una tecnica di web injection che manipola l’HTML

Gli attacchi contro i servizi finanziari online crescono, in particolare in Italia 4

5 Siti target:

Target NameTarget Domain CountryIndustry
http://*
Binghttps://www.bing.com/fd/ls/lsp.aspxUSASearch Engine
WebPThttps://app.webpt.com/ping.php*USAHealthcare/Electronic Medical Records
New Relic Browserhttps://*bam.nr-data.net*USAWeb Services
Google, LLChttps://googleads.g.doubleclick.net/pagead/adsUSAOnline Advertising
Cure MDhttps://cloud8.curemd.com*USAHealthcare/Electronic Medical Records
Microsofthttps://word-view.officeapps.live.com*USAProductvity
TrackJShttps://capture.trackjs.com*USAWeb Services
AirBnBhttps://www.airbnb.com*USATravel
SoundCloudhttps://*soundcloud.com*USAMusic
Tyler Technologieshttps://*tylertech.com*USAComputer Software
Microsofthttps://outlook.live.com/owa/service.svc*USAEmail/Communications
Expediahttps://oms.expedia.com*USATravel
Yahoohttps://mg.mail.yahoo.com*USAEmail/Communications
Google, LLChttps://mail.google.com/mail/*USAEmail/Communications
Clicktalehttps://*clicktale.net*USADigital Analytics
Yahoohttps://geo.query.yahoo.com*USAMaps
Yahoohttps://finance.yahoo.com*USANews
Go daddyhttps://email12.godaddy.com*USAEmail/Communications
tSheetshttps://ilweb15.tsheets.com/ajaxUSAProductvity
Amazonhttps://music-xray-service.amazon.com/USAMusic
SpotXhttps://*spotxchange.com*USAOnline Advertising
Dropboxhttps://*dropbox.com*USAWeb Services
Amazonhttps://fls-na.amazon.com/1/bit-reporter/1/OEUSAWeb Services
Microsofthttps://t.urs.microsoft.com/urstelemetry.asmx*USAWeb Services
Google, LLChttps://photos.google.com*USAVideo/Image Hosting
Google, LLChttps://mail.google.com/cloudsearch*USAEmail/Communications
Google, LLChttps://hangouts.google.com/webchat/*USAEmail/Communications
Facebookhttps://*facebook*USASocial networking
Youtube , LLChttps://*youtube*USAVideo/Image Hosting
Twitterhttps://*twitter*USASocial networking
Instagramhttps://*instagram*USASocial networking
Flickrhttps://*flickr.com*USAVideo/Image Hosting
Linkedinhttps://*linkedin.com*USASocial networking
Convivahttps://*conviva.com*USADigital Analytics
Google, LLChttps://www.google-analytics.com*USADigital Analytics
Google, LLChttps://safebrowsing.google.com/*USAWeb Services
Google, LLChttps://translate.google.com/*USAEmail/Communications
Google, LLChttps://*clients1.google.com*USAWeb Services
Google, LLChttps://*clients2.google.com*USAWeb Services
Google, LLChttps://*clients4.google.com*USAWeb Services
Google, LLChttps://*clients5.google.com*USAWeb Services
Google, LLChttps://*clients6.google.com*USAWeb Services
Google, LLChttps://ogs.google.com/u/0/_/notifications/countUSAWeb Services
Google, LLChttps://*googleapis.com*USAWeb Services
Google, LLChttps://*talkgadget.google.com*USAEmail/Communications
Google, LLChttps://0.client-channel.google.com*USAWeb Services
Google, LLChttps://plus.google.com/u/*USASocial networking
Google, LLChttps://play.google.com/*USAComputer Software
Google, LLChttps://drive.google.com/*USAProductvity
Google, LLChttps://docs.google.com/*USAProductvity
Google, LLChttps://notifications.google.com/u*USAProductvity
Google, LLChttps://*client-channel.google.com*USAWeb Services
Google, LLChttps://apis.google.com*USAWeb Services
Google, LLChttps://calendar.google.com*USAProductvity
Etsyhttps://*etsy.com*USAE-Commerce
Issuhttps://*issuu.com*USANews
Amazonhttps://music.amazon.com*USAMusic
Yahoohttps://comet.yahoo.com/cometUSAOnline Advertising
Yahoohttps://pr.comet.yahoo.com/cometUSAOnline Advertising
Applehttps://p54-bookmarks.icloud.com*USAWeb Storage
Grendel CRMhttps://www.grendelonline.com*USAFinancial Technology
Yelphttps://www.yelp.com*USATravel
LiveVolhttps://secure.livevol.com*USAFinancial Technology
Google, LLChttps://www.google-analytics.com/collectUSADigital Analytics
Amazonhttps://fls-na.amazon.com/1/batch/1/OE/USAWeb Services
Toys”R”Ushttps://edq.toysrus.com/*USAE-Commerce
tSheetshttps://azweb16.tsheets.com/ajax*USAProductvity
Google, LLChttps://beacons.gvt2.com/domainreliability/upload*USAWeb Services
Pandora Radiohttps://www.pandora.com*USAMusic
Google, LLChttps://www.google.com*USASearch Engine
Microsofthttps://urs.microsoft.com/urs.asmx*USAWeb Services
Yahoohttps://udc.yahoo.com/v2/public*USAWeb Services
Full Storyhttps://r.fullstory.com/rec/*USADigital Analytics
Mozillahttps://incoming.telemetry.mozilla.org*USAWeb services
Microsofthttps://msub03.manage.microsoft.com/ AdminAPIWebService/adminapi.svc/silverlightXmlUSAWeb Services
Full Slatehttps://app.fullslate.com/admin/journal/commit?pollUSAProductvity
Optimizelyhttps://logx.optimizely.com/log/eventUSADigital Analytics
Expediahttps://www.expedia.com/api/datacapture/trackUSATravel
https://s.acexedge.com*
Scanmarkethttps://*scanmarket.com*USAComputer Software
Intuit Inc.https://*intuit.com*USAFinancial Technology
https://*crdui.com*
Yahoohttps://www.yahoo.com*USANews

 

56 Parole e targe NON-dominio

!*-sys.com*!*ocsp.**control*
!*ads.*!*office**corp*
!*analytic*!*outlook**Customer*
!*api.*!*stream**Dashboard*
!*bam.nr-data.net*!*track**identity*
!*chat*!*trouter.io**importo*
!*cloud*!*update**login*
!*download*!*upload**Main*
!*events*!*video**manager*
!*game*!http://**panel*
!*gigaup13b.allegati.tim.it**access**payment*
!*gstatic.**account**register*
!*hub**admin**secure*
!*iltrovatore.it**Authenticate**sepa*
!*iolam.it**authentipec**sign*
!*lampoilbro**bank**trade*
!*messenger**basic**virement*
!*metric**bonifico*

56 Parole e targe NON-dominio

!*-sys.com*!*ocsp.**control*
!*ads.*!*office**corp*
!*analytic*!*outlook**Customer*
!*api.*!*stream**Dashboard*
!*bam.nr-data.net*!*track**identity*
!*chat*!*trouter.io**importo*
!*cloud*!*update**login*
!*download*!*upload**Main*
!*events*!*video**manager*
!*game*!http://**panel*
!*gigaup13b.allegati.tim.it**access**payment*
!*gstatic.**account**register*
!*hub**admin**secure*
!*iltrovatore.it**Authenticate**sepa*
!*iolam.it**authentipec**sign*
!*lampoilbro**bank**trade*
!*messenger**basic**virement*
!*metric**bonifico*

 

Leave a Response

Translate »

Su questo sito utilizziamo strumenti nostri o di terze parti che memorizzano piccoli file (cookie) sul tuo dispositivo. I cookie sono normalmente usati per permettere al sito di funzionare correttamente (cookie tecnici), per generare statistiche di uso/navigazione (cookie statistici) e per pubblicizzare opportunamente i nostri servizi/prodotti (cookie di profilazione). Possiamo usare direttamente i cookie tecnici, ma hai il diritto di scegliere se abilitare o meno i cookie statistici e di profilazioneAbilitando questi cookie, ci aiuti ad offrirti una esperienza migliore con noi. 

 

>> Cookie Policy <<