Secondo i dati raccolti nel Global Threat Impact Index di Check Point Software risulta evidente un’impennata nella diffusione di malware per il mining di criptovalute.
L’Italia, che è salita di una posizione nella classifica dei paesi più colpiti dalle minacce informatiche piazzandoli al 75esimo posto, ha subìto in primo luogo il dominio di Coinhive, uno script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero; di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute; e di Globeimposter, un ransomware che si presenta come una variante del ransomware Globe.
A livello globale, il Global Threat Impact Index ha rilevato che il mining di criptovalute ha colpito il 55% delle organizzazioni a livello globale nel mese di dicembre, con dieci diverse varianti nella Top 100 dei malware del mese e ben due varianti tra le prime tre posizioni.
Check Point ha inoltre scoperto che i miner di criptovalute sono stati intenzionalmente immessi all’interno alcuni principali siti Web, per lo più legati a servizi di streaming multimediale e di condivisione di file, senza avvisare gli utenti. Sebbene alcuni di questi siti siano legali e legittimi, possono essere hackerati per richiedere più potenza e generare maggiori entrate ai malintenzionati, utilizzando fino al 65% della potenza della CPU degli utenti finali.
Maya Horowitz, Threat Intelligence Group Manager di Check Point
Dal momento che gli utenti sono sempre più diffidenti verso i pop-up e i banner pubblicitari e utilizzano software per bloccarli, molti siti web fanno ricorso ai miner di criptovalute come fonte alternativa di entrate, spesso senza che gli utenti le cui macchine vengono sfruttate per il mining ne siano consapevoli e abbiano dato l’autorizzazione. Di conseguenza, anche i cybercriminali utilizzano i miner di criptovalute per drenare ancora più risorse dagli utenti per il proprio guadagno, ed è probabile che vedremo questa tendenza continuare a crescere nei prossimi mesi.
Nel mese di dicembre, il miner di criptovalute Coinhive ha rimpiazzato RoughTed quale minaccia più diffusa, mentre l’exploit kit Rig ek è rimasto saldo a secondo posto. Un’altra new entry nella Top 10, il miner di criptovalute Cryptoloot, si è invece posizionato al terzo posto.
I tre malware più diffusi a dicembre 2017 sono stati:
1. ↑ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
2. ↔ Rig ek – exploit kit scoperto per la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
3. ↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute – aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
Triada, una backdoor modulare per Android, continua a essere il più diffuso malware usato per attaccare i dispositivi mobile delle aziende. Seguito da Lokibot e Lotoor.
I tre malware per dispositivi mobili più diffusi a dicembre 2017:
1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
2. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore
3. Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.