Secondo il Global Threat Index, pubblicato a luglio da Check Point, sono più che raddoppiati rispetto a maggio gli attacchi a dispositivi Internet of Thing e reti. Questi attachi sono legati alla diffusione dei malware IoT Mirai, IoTroop/Reaper e VPNFilter. A luglio, tre le vulnerabilità IoT tra le 10 vulnerabilità più sfruttate: quinto posto per MVPower DVR router Remote Code Execution; settimo posto per D_Link DSL-2750B router Remote Command Execution e decimo posto per Dasan GPON router Authentication Bypass. Queste vulnerabilità consentono a tutti gli hacker di eseguire codici malevoli e ottenere il controllo remoto dei dispositivi colpiti.
Insieme sono state in grado di colpire il 45% delle organizzazioni di tutto il mondo, rispetto al 35% registrato a giugno e al 21% di maggio. Coinhive è il malware più diffuso, con un impatto globale del 19%, secondo e terzo posto per Cryptoloot e Dorkbot, ciascuno con un impatto globale del 7%.
I tre malware più diffusi a luglio:
La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente. ↔ Coinhive, script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
↔ Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
↔ Dorkbot, IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Trojan bancario con lo scopo di rubare informazioni sensibili e lanciare attacchi denial-of-service.
–Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lokibot e Guerrilla.
Anche in Italia, Conhive si mantiene al primo posto per il settimo mese consecutivo con un impatto di oltre il 14% sulle imprese locali, seguito anche a luglio da Cryptoloot e Conficker. Rimane alta la presenza dei trojan bancari con Dorkbot che si mantiene al settimo posto.
I tre malware per dispositivi mobili più diffusi a luglio:
–Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni e può trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
–Triada, malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Utilizzato anche per compiere attacchi di tipo spoofing.
–Guerilla, ad-clicker per Android che può comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.
I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. Primo posto per CVE-2017-7269 con un impatto globale del 47%, al secondo posto la vulnerabilità CVE-2017-5638 che ha interessato il 42% delle organizzazioni, al terzo posto OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%.
Le tre vulnerabilità più diffuse a luglio:
↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269), inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione.
↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638), vulnerabilità legata all’esecuzione di codice remoto in Apache Struts2 che utilizza il parser Jakarta Multipart.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346), vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL.
