Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il report H2 2017 Global Threat Intelligence Trends, rivelando come i criminali informatici si stiano rivolgendo sempre più ai cryptominer per creare nuovi flussi illegali di guadagni, mentre ransomware e adware “malvertising” continuano ad avere un forte impatto sulle aziende di tutto il mondo.
Durante il periodo luglio/dicembre 2017, un’azienda su cinque è stata colpita da un malware per il mining di criptovalute, strumenti che consentono ai criminali informatici di utilizzare la potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute, utilizzando fino al 65% della potenza della CPU dell’utente finale.
Il report H2 2017 Threat Global Intelligence Trends, che si basa sui dati provenienti dall’intelligence ThreatCloud di Check Point relativi al periodo luglio/dicembre 2017, offre una panoramica dettagliata sulle minacce informatiche nelle principali categorie di malware (ransomware, banking e mobile) ed evidenzia le tattiche chiave utilizzate dagli hacker per colpire le aziende.
I trend chiave dei malware da luglio a dicembre 2017:
I ricercatori di Check Point hanno rilevato alcuni trend chiave relativi ai malware, tra cui:
- Frenesia cryptominer – mentre i miner di criptovalute sono di solito utilizzati dagli utenti per minare le proprie criptovalute, la crescita dell’interesse da parte dell’opinione pubblica nei confronti delle valute virtuali ha rallentato il processo di estrazione, che dipende direttamente dal numero dei possessori delle valute. Questo rallentamento ha aumentato la potenza computazionale necessaria per minare le criptovalute e, di conseguenza, i criminali informatici hanno pensato a nuovi modi per sfruttare le risorse di calcolo di un pubblico ignaro di tutto.
- Diminuzione degli exploit kit – fino a un anno fa, gli exploit kit erano il principale vettore di attacco. Nel corso del 2017, tuttavia, l’utilizzo degli Exploit Kit è diminuito in modo significativo man mano che le piattaforme sfruttate sono diventate più sicure. La rapida risposta da parte dei vendor e dei principali sviluppatori di browser alle nuove vulnerabilità, insieme al rilascio di aggiornamenti automatici alle versioni più recenti, hanno anche significativamente ridotto la vita dei nuovi exploit.
- Aumento delle operazioni di truffa e di casi di Malspam (malware distribuiti tramite email) – durante il 2017, il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha attratto esperti attori delle minacce che hanno portato con sé una pratica avanzata che includeva vari exploit di vulnerabilità nei documenti, in particolare in Microsoft Office.
- I malware mobile raggiungono il livello aziendale – nell’ultimo anno abbiamo assistito a numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. Ciò include i dispositivi mobile che agiscono come proxy, attivati dal malware MilkyDoor e utilizzati per raccogliere dati interni dalla rete aziendale. Un altro tipo di malware mobile, è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.
Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “La seconda metà del 2017 ha visto i criptominer prendere d’assalto il mondo fino a diventare uno dei vettori di attacco preferito per generare introiti illegali. Anche se questo non è un tipo di malware completamente nuovo, la crescente popolarità e il valore della criptovaluta ha portato a un significativo aumento nella distribuzione dei malware per il mining di criptovalute. Inoltre, altri trend persistono, come i ransomware, che risalgono al 2016 e che sono ancora uno dei principali vettori di attacco, utilizzato sia per attacchi globali sia per attacchi mirati contro organizzazioni specifiche. Il 25% degli attacchi che abbiamo visto in questo periodo sfruttano le vulnerabilità scoperte oltre un decennio fa e meno del 20% usa quelle degli ultimi due anni. Quindi è chiaro che c’è ancora molto che le organizzazioni devono fare per proteggersi completamente dagli attacchi”.
I malware più diffusi nella seconda metà del 2017:
- RoughTed (15,3%) – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
- Coinhive (8,3%) – un malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina Web, senza l’approvazione dell’utente. Coinhive installa un JavaScript, che utilizza alti livelli della CPU degli utenti finali, incidendo gravemente sulle prestazioni della macchina. Coinhive è emerso nel settembre 2017 e ha già infettato il 12% delle aziende a livello globale.
- Locky (7,9%) – ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
I ransomware più diffusi nella seconda metà del 2017:
- Locky (30%) – ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
- Globeimposter (26%) – viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.
- WannaCry (15%) – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.
I malware mobile più diffusi nella seconda metà del 2017:
- Hiddad (55%) – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
- Triada (8%) – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
- Lotoor (8%) – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.
I malware bancari più diffusi nella seconda metà del 2017:
- Ramnit (34%) – un trojan bancario che ruba credenziali bancarie, le password FTP, i cookie della sessione e i dati personali.
- Zeus (22%) – un trojan che colpisce le piattaforme Windows e spesso le utilizza per rubare informazioni bancarie tramite attacchi man-in-the-browser di tipo keystroke logging e acquisizione dei moduli.
- Tinba (16%) – un trojan bancario che ruba le credenziali della vittima tramite web-injects, attivato quando l’utente tenta di accedere al proprio sito web bancario.
I dati di questo report, si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce, relativa al periodo luglio-dicembre 2017. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.