Check Point ha pubblicato il report H2 2017 Global Threat Intelligence Trends, rivelando come i criminali informatici si stiano rivolgendo sempre più ai cryptominer per creare nuovi flussi illegali di guadagni, mentre ransomware e adware “malvertising” continuano ad avere un forte impatto sulle aziende di tutto il mondo.

Durante il periodo luglio/dicembre 2017, un’azienda su cinque è stata colpita da un malware per il mining di criptovalute, strumenti che consentono ai criminali informatici di utilizzare la potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute, utilizzando fino al 65% della potenza della CPU dell’utente finale.

Oltre a questa “frenesia cryptominer” i ricercatori di Check Point hanno notato una diminuzione degli exploit kit. Fino a un anno fa gli exploit kit erano il principale vettore di attacco. Nel corso del 2017, tuttavia, il loro utilizzo è diminuito in modo significativo man mano che le piattaforme sfruttate sono diventate più sicure. La rapida risposta da parte dei vendor e dei principali sviluppatori di browser alle nuove vulnerabilità, insieme al rilascio di aggiornamenti automatici alle versioni più recenti, hanno anche significativamente ridotto la vita dei nuovi exploit.

Durante il 2017 il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha attratto esperti attori delle minacce che hanno portato con sé una pratica avanzata che includeva vari exploit di vulnerabilità nei documenti, in particolare in Microsoft Office.

Si è poi assistito a numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. Ciò include i dispositivi mobile che agiscono come proxy, attivati dal malware MilkyDoor e utilizzati per raccogliere dati interni dalla rete aziendale. Un altro tipo di malware mobile è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.

malware

“Altri trend persistono, come i ransomware, che risalgono al 2016 e che sono ancora uno dei principali vettori di attacco, utilizzati sia per attacchi globali sia per attacchi mirati contro organizzazioni specifiche. Il 25% degli attacchi che abbiamo visto in questo periodo sfruttano le vulnerabilità scoperte oltre un decennio fa e meno del 20% usa quelle degli ultimi due anni. Quindi è chiaro che c’è ancora molto che le organizzazioni devono fare per proteggersi completamente dagli attacchi” ha dichiarato Maya Horowitz, Threat Intelligence Group Manager di Check Point.

I malware più diffusi nella seconda metà del 2017 sono stati RoughTed (15,3%), malvertising utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, Coinhive (8,3%), un malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina web, e Locky (7,9%), ransomware che si diffonde soprattutto attraverso email di spam contenenti un downloader camuffato con un file Word o un file Zip allegato.

I ransomware più diffusi nella seconda metà del 2017 sono stati invece Locky (30%), Globeimposter (26%), utilizzato per diffondere campagne spam, malvertising ed exploit kit, e WannaCry (15%), ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.

Uno sguardo infine ai malware mobile. Il primo posto in classifica è occupato da Hiddad (55%), malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.

Triada (8%) è invece un malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing in grado di impiegare in varie maniere la falsificazione dell’identità. Infine Lotoor (8%), un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.