Il rapporto di Check Point Research sulle minacce alla sicurezza informatica, relativo alla seconda metà del 2017, si articola in quattro principali trend: l’aumento dei miner di criptovalute, la dimunizione degli exploit kits, un aumento delle attività di scam e Malspam, e la diffusione dei malware per dispositivi mobili in ambito aziendale.
Il primo trend è legato alla crescente popolarità delle criptovalute, per minare le quali è necessaria una potenza di calcolo sempre più elevata. I criminali informatici si servono di quella delle CPU o della GPU di ignare vittime per sottrarre risorse da impiegare per l’attività di mining. Per avere un parametro di riferimento, si stima che i cybercriminali siano in grado di sfruttare sino al 60 per cento della potenza della CPU dell’utente finale, e che un’azienda su cinque sia stata colpita da un malware per il mining di cryptovalute.
La seconda metà del 2017 ha visto i criptominer prendere d’assalto il mondo fino a diventare uno dei vettori di attacco preferito per generare introiti illegali. Anche se questo non è un tipo di malware completamente nuovo, la crescente popolarità e il valore della criptovaluta ha portato a un significativo aumento nella distribuzione dei malware per il mining di criptovalute. Maya Horowitz, Threat Intelligence Group Manager di Check Point.
Note più positive vengono dalla constazione che nel corso dello scorso anno il principale vettore dell’attacco informatico, ovvero l’exploit kit, è stato utilizzato sempre meno. La ragione, spiegano i ricercatori sta nel potenziamento della sicurezza delle piattaforme colpite: aziende e sviluppatori dei browser hanno unito le forze per chiudere le falle e consentire che gli utenti finali fossero protetti tramite le opportune patch.
Sull’altro fronte si registra un aumento dei casi di truffa e Malspam – i malware distribuiti tramite posta elettronica – che hanno fatto spostare l’equilibrio tra i vettori che viaggiano su HTTP su STMP a favore di questi ultimi: si è passati dal 55 per cento della prima metà del 2017 al 62 per cento della seconda metà del 2017. Gli hacker hanno sfruttato vulnerabilità nei documenti, a partire da quelli di Microsoft Office.
Chiudono il quadro gli attacchi rivolti al target aziendale e provenienti da dispositivi mobile. A titolo di esempio, il malware MilkyDoor attiva i dispositivi bersaglio per agire come proxy e raccogliere dati aziendali; Switcher, sull’altro fronte, prende di mira nodi dell’infrastruttura di rete – ad esempio un router – per intercettare e inoltrare il traffico verso un server controllato dai criminali.
Ai quattro trend principali si sommano poi le conferme di fenomeni, come i ransomware, che continuano a mettere in pericolo la sicurezza degli utenti.
- RoughTed (15,3 per cento): malvertising usato per diffondere siti dannosi e truffe, adware, exploit kit e ransomware. Può colpire ogni piattaforma e ogni sistema operativo; è particolarmente insidioso considerato che riesce a superare i controlli della pubblicità e delle impronte digitali
- Coinhive (8,3 per cento): malware per minare la cryptovaluta Monero quando l’utente visita una pagina web, e senza il suo consenso esplicito. Avvistato a settembre 2017, ha colpito il 12 per cento delle aziende a livello mondiale
- Locky (7,9 per cento): ransomware che si diffonde principalmente tramite email di spam, contenenti un downloader dissimulato con un file Word o .zip che, dopo essere stato scaricato, inizia a crittografarte tutti i dati dell’utente (chiedendo l’immancabile riscatto).
- Locky (30 per cento) – ved sopra — Non sorprende che il terzo malware più diffuso sia anche il ransomware che ha attaccato il maggior numero di vittime nella seconda metà dello scorso anno.
- Globeimposter (26 per cento), usato per diffondere campagne spam, malvertising ed exploit kit. Crittografa tutti i file ai quali aggiunge l’estensione .crypt
- WannaCry (15 per cento) Dopo il boom registrato nel mese di maggio 2017, WannCry è ancora al terzo posto della classifica dei ransomware più diffusi. Sfrutta un exploit di Windows SMB, ovvero EternaBlue, che gli consente di diffondersi nelle reti.
- Hiddad (55 per cento): malware Android, effettua il repackaging delle app legali, e si diffonde con lo scopo di mostrare avvisi pubblicitari e catturare informazioni personali dell’utente
- Triada (8 per cento): malware modulare per Android: porta a segno l’attacco tramite una backdoor che assegna privilegi di root ai malware scaricati. E’ stato identificato come URL di tipo spoofing (utilizza in vari modi la falsificazione dell’identità)
- Lotoor (8 per cento): Hack tool che sfrutta le vulnerabilità di Android per ottenere i privilegi di root
- Ramnit (34 per cento): E’ un trojan bancario che ruba credenziali bancarie, password FTP, cookie della sessione e altri dati personali
- Zeus (22 per cento): Trojan che colpisce i sistemi Windows utilizzandoli per carpire informazioni bancarie con attacchi man-in-the-browser (keystroke logging e acquisizione moduli)
- Tinba (16 per cento): Trojan bancario che ruba le credenziali mediante web-injects quando l’utente accedere al sito della propria banca
Il rapporto completo può essere scaricato tramite il link in FONTE.
