Nel Global Threat Index di novembre 2018 Check Point evidenzia la new entry della botnet Emotet nella top ten – sia italiana che mondiale – dei malware più diffusi. Emotet è stata la protagonista della campagna hacker che ha colpito il Giorno del Ringraziamento con l’invio di mail spam contenenti malware che si presentavano sotto forma di biglietti di ringraziamento e che avevano come oggetto “Thanksgiving day wishes”, “Thanksgiving wishes” e “the Thanksgiving day congratulation!”.
Il mese di novembre è stato anche il primo anniversario del cryptominer Coinhive, che guida il Global Threat Index dallo scorso dicembre. Negli ultimi 12 mesi, Coinhive da solo ha avuto un impatto sul 24% delle organizzazioni in tutto il mondo, mentre i malware cryptomining hanno avuto un impatto globale del 38%. Stessa situazione per l’Italia con Coinhive stabile al primo posto da dicembre 2017.
I tre malware più diffusi a novembre 2018 sono stati:
↔ Coinhive: script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
↑ Cryptoloot: malware e competitor di Coinhive, utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
↑ Andromeda: bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti. Può essere modificato per creare diversi tipi di botnet.
La classifica dei malware mobile
Triada, cryptominermodulare per Android, mantiene il primo posto, seguito da Hiddad che è tornato a occupare il secondo posto, e da Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è invece sceso al terzo gradino di questa speciale classifica.
I tre malware per dispositivi mobili più diffusi a novembre 2018:
-Triada: malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
-Hiddad: malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. Funzione principale il visualizzare annunci, ma è in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo.
-Lokibot: trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono.
Le vulnerabilità informatiche
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. CVE-2017-7269 ancora al primo posto, con un impatto globale del 48%; secondo posto per OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 44%, seguito da CVE-2016-6309, una vulnerabilità della funzione tls_get_get_message_body di OpenSSL, che ha colpito il 42% delle organizzazioni.
Le tre vulnerabilità più diffuse a novembre:
↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione.
↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat.
↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309): vulnerabilità use-after-free riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema.