Check Point: attacchi malware raddoppiati nei primi sei mesi del 2018
Check Point Software ha rivelato che negli ultimi sei mesi i cybercriminali hanno colpito le organizzazioni utilizzando malware di cryptomining per ottenere guadagni illegali; allo stesso tempo, le infrastrutture cloud sembrano essere un obiettivo in crescita per la community hacker. Questo è ciò che emerge dal Cyber Attack Trends: 2018 Mid-Year Report dell’azienda israeliana basato sui dati tratti dalla ThreatCloud intelligence di Check Point.
Tra gennaio e giugno 2018 il numero di organizzazioni coinvolte dagli attacchi malware è raddoppiato rispetto al 20,5% nella seconda metà del 2017, arrivando a quota 42%. I malware di cryptomining consentono ai criminali informatici di dirottare la potenza della CPU o della GPU della vittima (utilizzandone fino al 65% della capacità computazionale) per estrarre la criptovaluta. Le prime tre varianti di malware più diffuse nel primo semestre del 2018 erano tutte cryptominer.
Check Point ha inoltre rilevato un numero crescente di attacchi rivolti alle infrastrutture cloud. Con le organizzazioni che trasferiscono sempre più dati e informazioni in ambienti di questo tipo, i criminali cercano di sfruttare la vasta potenza computazionale del cloud puntando a moltiplicare i loro profitti in modo illegale.
“Il primo semestre di quest’anno ha visto i criminali riprendere il trend osservato alla fine del 2017 e sfruttare al massimo i malware di cryptomining per massimizzare i guadagni” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Abbiamo inoltre assistito ad attacchi sempre più sofisticati contro le infrastrutture cloud e gli ambienti multipiattaforma. Questi attacchi di quinta generazione, che vengono sferrati su larga scala da più vettori e che si diffondono molto rapidamente, stanno diventando sempre più frequenti e le organizzazioni devono adottare una strategia di sicurezza informatica multilivello che impedisca a questi attacchi di impadronirsi delle proprie reti e dei propri dati.”
L’aumento del numero di dispositivi consumer connessi e la crescente quota di mercato dei sistemi operativi “non-Windows” hanno portato a un aumento dei malware multipiattaforma. Inoltre, sempre nella prima metà dell’anno, si sono verificati diversi episodi in cui il malware mobile non è stato scaricato da un URL malevolo, ma è arrivato già installato all’interno del dispositivo. Sono poi aumentate le app presenti negli store che in realtà erano malware sotto mentite spoglie, tra cui banking trojan, adware e sofisticati remote access trojan (RAT).
I malware più diffusi nella prima metà del 2018 sono stati:
- Coinhive (30%) – Malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina web. Coinhive è emerso solo a settembre 2017, ma ha colpito il 12% delle organizzazioni mondiali.
- Cryptoloot (23%) – un malware JavaScript progettato per estrarre la criptovaluta Monero, quando un utente visita una pagina Web, senza la sua approvazione.
- JSEcoin (17%) – un malware web-based progettato per estrarre la criptovaluta Monero, quando un utente visita una pagina Web, senza la sua approvazione.
I ransomware più diffusi nella prima metà del 2018:
- Locky (40%) – Ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
- WannaCry (35%) – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.
- Globeimposter (8%) – viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.
I malware mobile più diffusi nella prima metà del 2018:
- Triada (51%) – Malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
- Lokibot (19%) – Trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
- Hiddad (10%) – Malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
I malware bancari più diffusi nella prima metà del 2018:
- Ramnit (29%) – Un trojan bancario che ruba credenziali bancarie, le password FTP, i cookie della sessione e i dati personali.
- Dorkbot (22%) – Un trojan bancario che ruba le credenziali della vittima tramite web-injects, che si attiva quando l’utente tenta di accedere al proprio sito web bancario.
- Zeus (14%) – Un trojan che colpisce le piattaforme Windows e spesso le utilizza per rubare informazioni bancarie tramite attacchi man-in-the-browser di tipo keystroke logging e acquisizione dei moduli.