L’attacco globale tramite ransomware WannaCry richiama l’attenzione del mondo verso i meccanismi di sicurezza dei dati e accende i riflettori verso le minacce online. In questo contesto, gli esperti di Check Pointricordano che nel secondo semestre 2016 il numero di ransomware è raddoppiato (report H2 2016 Global Threat Intelligence Trends). Tra tutti gli attacchi malware denunciati nel mondo, la percentuale dei ransomware è passata dal 5,5% al 10,5%, il tutto tra luglio e dicembre.
Il report evidenzia le tecniche principali che i cybercriminali stanno utilizzando per attaccare le aziende, e offre uno spaccato dettagliato sul panorama delle minacce informatiche divise secondo le principali tipologie di malware – ransomware – minacce bancarie e dispositivi mobili.
I ricercatori di Check Point hanno rilevato alcuni trend chiave in questo periodo: • Il monopolio sul mercato ransomware – nel 2016 sono state osservate migliaia di nuove varianti di ransomware, e, negli ultimi mesi, lo scenario dei ransomware è cambiato, diventando sempre più centralizzato, con poche importanti varianti che dominano il mercato e colpiscono organizzazioni di tutte le dimensioni. • Attacchi DDoS con dispositivi IoT – nell’agosto 2016, è stata scoperta la botnet Mirai – la prima nel suo genere – la botnet Internet-of-Things (IoT), che attacca dispositivi Internet-enabled digitali vulnerabili, come ad esempio videoregistratori (DVR) e telecamere di sorveglianza (CCTV). Infatti, li tramuta in bot, e sfrutta poi il dispositivo corrotto per scagliare molteplici attacchi di tipo Distributed Denial of Service (DDoS). Adesso è chiaro che i dispositivi IoT vulnerabili sono presenti in quasi tutte le abitazioni, e gli attacchi DDoS di massa basati su questi dispositivi continueranno. • Nuove estensioni di file usate per campagne di spam – il principale vettore di infezione usato per le campagne di spam malevole durante il secondo semestre del 2016 è stato il downloader basato sul motore Windows Script (WScript). I downloader in Javascript (JS) e VBscript (VBS) hanno dominato l’ecosistema dello spam, insieme alle varianti simili, ma meno diffuse, come JSE, WSF, e VBE.
I principali malware del secondo semestre 2016: 1. Conficker (14.5%) – Worm che consente operazioni da remoto e download di ulteriori malware. La macchina infetta viene controllata da una botnet, che contatta il server Command & Control, pronto a ricevere istruzioni. 2. Sality (6.1%) – Virus che consente operazioni da remoto e download di ulteriori minacce sui sistemi infetti. Il suo obiettivo principale è infiltrarsi in un sistema e offrire mezzi per il controllo da remoto, e installare così nuovi malware. 3. Cutwail (4.6%) – Botnet utilizzata soprattutto per inviare email di spam, e per perpetrare attacchi DDOS. Una volta installata, si connette direttamente al server command and control, e riceve istruzioni riguardo le email da inviare. Dopo l’esecuzione, la bot invia allo spammer statistiche precise riguardo le attività. 4. JBossjmx (4.5%) – Worm che prende di mira i sistemi con una variante vulnerabile di JBoss Application Server. Il malware crea una pagina JSP malevola su sistemi vulnerabili, che poi esegue comandi arbitrari. Inoltre, crea un’altra backdoor che accetta comandi da un server IRC remoto. 5. Locky (4.3%) – Ransomware che ha iniziato a circolare a febbraio 2016, si diffonde soprattutto attraverso email di spam che contengono un downloader mascherato da un file allegato in formato Word o Zip, che, in seguito, scarica e installa il malware, che a sua volta crittografa i file dell’utente.
I principali ransomware del secondo semestre 2016: La percentuale di attacchi ransomware, rispetto a tutti gli attacchi riconosciuti a livello mondiale, nel secondo semestre del 2016 è quasi raddoppiata, passando da 5,5% a 10,5%. Le varianti più diffuse sono state:
1. Locky 41% – Terzo tra i ransomware più diffusi nel primo semestre, nella seconda parte dell’anno ha aumentato la diffusione a macchia d’olio. 2. Cryptowall 27% – Ransomware che ha iniziato a circolare come il sosia di Cryptolocker, riuscendo persino a superarlo. Dopo aver superato Cryptolocker, Cryptowall si è affermato come uno dei ransomware dominanti finora. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché le comunicazioni C&C si svolgono sulla rete anonima Tor. Viene distribuito soprattutto attraverso exploit kit, adv malevoli e campagne di phishing. 3. Cerber 23% – Il servizio ransomware-as-a-service più articolato al mondo. Cerber funziona in modalità franchising, infatti gli sviluppatori reclutano gli affiliati, che diffondono malware in cambio di un dividendo dei profitti.
I principali malware mobili del secondo semestre 2016: 1. Hummingbad 60% – Malware Android scoperto per la prima volta dal team di ricercatori di Check Point, che installa nel dispositivo un rootkit persistente, applicazioni fraudolente e, con poche modifiche, potrebbe consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, oltre a scavalcare i metodi di crittografia delle email usati dalle aziende. 2. Triada 9% – Backdoor modulare per Android che offre permessi maggiori rispetto all’utente, per scaricare malware, e contribuisce a farli infiltrare tra le procedure di sistema. Triada, inoltre, è in grado di imitare le URL caricate su un browser. 3. Ztorg 7% – Trojan che sfrutta permessi root per scaricare e installare applicazioni su dispositivi mobili all’oscuro dell’utente.
