Check Point Software Technologies: scoperta a maggio BlueKeep, la nuova falla che minaccia più di 1 milione di dispositivi Microsoft

redazione

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di maggio 2019. Il team di ricerca ha scoperto una falla, chiamata “BlueKeep” Microsoft RDP (CVE-2019-0708) per i sistemi Windows 7 e Windows Server 2008 e avverte le organizzazioni di controllare questi sistemi vulnerabili per evitare che l’anomalia venga sfruttata per causare attacchi ransomware e criptomining.

 

La falla BlueKeep colpisce quasi 1 milione di dispositivi Internet, e ancora di più all’interno delle reti delle organizzazioni. La vulnerabilità è critica perché non richiede alcuna interazione da parte dell’utente per essere sfruttata. L’RDP è già un vettore di attacco diffuso e consolidato che è stato utilizzato per installare ransomware come SamSam e Dharma. Check Point Research sta attualmente assistendo a numerosi tentativi di scanning della falla, provenienti da diversi Paesi nel mondo, che potrebbero essere la fase iniziale di identificazione per un attacco. Oltre alle relative patch di Microsoft, in relazione a questo attacco, Check Point fornisce la protezione della rete e degli endpoint.

 

“La più grande minaccia che abbiamo visto nell’ultimo mese è BlueKeep. Anche se non si sono ancora visti attacchi che lo sfruttano, sono state sviluppate diverse prove di fattibilità di exploit pubbliche. Siamo d’accordo con Microsoft e altri osservatori della cyber-security che BlueKeep potrebbe essere utilizzata per lanciare cyber-attacchi simili alle campagne massicce WannaCry e NotPetya, del 2017”, ha dichiarato Maya Horowitz, Threat Intelligence e Research Director di Check Point. “Un singolo computer con questa anomalia può essere utilizzato per fornire un payload dannoso che infetta un’intera rete. Quindi tutti i computer colpiti con un accesso a Internet possono infettare altri dispositivi vulnerabili in tutto il mondo, consentendo all’attacco di diffondersi in modo esponenziale, a un ritmo inarrestabile. È fondamentale dunque che le organizzazioni proteggano sé stesse – e gli altri – correggendo la falla ora, prima che sia troppo tardi.”

 

Altre notizie significative nel mese di maggio, riguardano gli sviluppatori del programma di affiliazione di GandCrab Ransomware-as-a-Service che l’ultimo giorno del mese scorso hanno annunciato la cessazione delle operazioni e hanno chiesto ai loro affiliati di interrompere la distribuzione del ransomware entro 20 giorni. L’operazione è attiva dal gennaio 2018, e in soli due mesi ha infettato oltre 50.000 vittime. I guadagni totali per i suoi sviluppatori e affiliati sono dichiarati in miliardi di dollari. GandCrab, che figura regolarmente nella Top10 del report, è stato frequentemente aggiornato con nuove funzionalità per eludere gli strumenti di rilevamento.

 

In Italia, Check Point Research riporta una particolarità che vede Ursnif, trojan che invia le informazioni a un server remoto arrivando al sistema Windows della vittima attraverso il kit di exploit di Angler, come malware più diffuso del Paese con il 12,59% di impatto, in controtendenza al solo 0,4% di impatto globale.

 

I tre malware più diffusi a maggio 2019 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

I tre più importanti cryptominer – Cryptoloot, XMRig e JSEcoin – continuano ad essere in cima al report, ciascuno con un impatto globale del 4%.

  1. Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  2. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3. ↔ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.

 

I tre malware per dispositivi mobili più diffusi a maggio 2019:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese Lotoor è il malware mobile più diffuso, dal 2 aprile scorso. Triada scende dal 1° al 3° posto, mentre Hiddad risale dal 3° al 2° posto.

  1. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
  2. ↑ Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  3. ↓ Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.

 

Le tre vulnerabilità più diffuse nel mese di maggio sono state:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Nel mese di maggio abbiamo assistito ad un ritorno delle tecniche di attacco tradizionali (probabilmente causato dalla diminuzione della redditività di Cryptominer), con le tecniche di SQL Injections in testa alla lista con un impatto globale del 49%. Web Server Exposed Git Repository Information Disclosure e OpenSSL TLS TLS DTLS Heartbeat Information Disclosure si sono piazzati al secondo e terzo posto, colpendo rispettivamente il 44% e il 41% delle organizzazioni in tutto il mondo.

 

  1. ↑ SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
  2. ↑ Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

 

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.