Check Point presenta un nuovo report sulla diffusione dei malware nel marzo 2017, che vede l’Italia tra i paesi più colpiti e la ripresa globale degli exploit.
Secondo Check Point, nel marzo 2017 l’Italia diventa il secondo paese più colpito da attacchi malware in Europa. Le principali minacce attualmente in atto in Italia sono Conficker, warm che punta ai sistemi operativi Windows; Nivdort, una famiglia di trojan che colpisce la piattaforma Windows e Cryptoload, un trojan-downloader usato per diffondere ransomware sui device infettati.
A livello globale, Check Point ha rilevato una massiccia impennata nell’uso degli exploit, minacce cyber progettate per scoprire vulnerabilità sui dispositivi e far scaricare codice malevolo. Dopo una fase di declino dovuta alla scomparsa delle principali varianti Angler e Nuclear, l’uso degli exploit ha avuto una nuova, significativa ripresa, con l’ascesa di Rig EK e Terror. Rig e Terror hanno diffuso una vasta gamma di minacce, inclusi ransomware, banking Trojan, spambot e BitCoin miner. Grazie anche al contributo degli exploit, i ransomware sono state una delle minacce più diffuse e redditizie per i cybercriminali in tutto il 2016.
Ecco le tre famiglie malware più diffuse a livello globale nel marzo 2017, secondo Check Point:
- HackerDefender: rootkit user-mode per Windows, che può essere utilizzata per nascondere file, procedure e chiavi di registro, inoltre esegue backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere. Questo significa che è impossibile trovare la backdoor nascosta usando mezzi tradizionali.
- Rig EK: exploit scoperto nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript ed esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
- Conficker: worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
Ecco invece i tre malware per dispositivi mobili più pericolosi di marzo 2017:
- Hiddad: malware Android che riconfeziona app legali e poi le consegna ad un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
- Hummingbad: malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger e il furto di credenziali; può scavalcare la crittografia utilizzata dalle aziende.
- Ztorg: trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
La ThreatCloud Map si avvale dell’intelligence ThreatCloud di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi.
Nathan Shuchami, VP of Emerging Products, Check Point
Il drammatico ritorno degli exploit a marzo mostra come le minacce più vecchie non scompaiono mai definitivamente – vengono semplicemente messe in stato dormiente per poi essere diffuse nuovamente. È sempre più facile per gli hacker malintenzionati rivisitare e modificare famiglie di malware e minacce esistenti anziché svilupparne di nuove di zecca, e gli exploit sono un tipo di minaccia particolarmente flessibile e adattabile. Per difendersi dalla minaccia rappresentata da Rig, Terror e altri exploit, le organizzazioni devono dotare le proprie reti, gli endpoint e i dispositivi mobili di sistemi di sicurezza avanzata quali SandBlast Zero-Day Protection e Mobile Threat Prevention.