Check Point ha presentato il Global Threat Index di febbraio dove per il 15° mese consecutivo si conferma Coinhive il malware più pericoloso in Italia e nel mondo. Il team di threat intelligence di Check Point, Check Point Research, ha anche rivelato numerose campagne ransomware con protagonista GandCrab che hanno colpito, tra gli altri, Giappone, Germania, Canada e Australia. Gli attacchi si sono verificati negli ultimi due mesi e Check Point ha notato come una nuova versione del ransomware sia apparsa in una delle ultime campagne.
La nuova versione, GandCrab V5.2, presenta la maggior parte delle funzioni della precedente versione, ma con un cambiamento nel metodo di crittografia che rende inefficace lo strumento di decrittografia. In Italia, GandCrab ha colpito quasi il doppio delle organizzazioni rispetto al resto del mondo: l’impatto è stato pari a 4,38% rispetto al “solo” 2,40% mondiale.
I malware più diffusi
Nel mese preso in esame da Check Point le varianti di malware più diffuse sono state i cryptominer. Coinhive rimane il principale malware, colpendo il 10% delle organizzazioni di tutto il mondo: si tratta comunque di un trend al ribasso considerando l’impatto globale del 18% che Coinhive aveva registrato a ottobre 2018 e del 12% che lo stesso malware aveva registrato a gennaio 2019. Calo causato dall’aumento dei costi del mining unito alla diminuzione del valore di Monero. Cryptoloot è salito invece al secondo posto, sostituendo XMRig, seguito poi da Emotet, trojan avanzato, autopropagato e modulare, che ha sostituito Jsecoin al terzo posto nella classifica mondiale mensile.
↔ Coinhive, script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
↑ Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
↑ Emotet, trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
Maya Horowitz, Threat Intelligence and Research Director di Check Point
Come abbiamo visto a gennaio, gli attori delle minacce continuano a sfruttare nuovi modi per distribuire il malware, creando nuove e più pericolose varianti di forme già esistenti. La nuova versione di GandCrab dimostra ancora una volta che, sebbene esistano famiglie di malware apparentemente statiche che rimangono in cima alla lista dei malware per diversi mesi, in realtà si stanno evolvendo per ingannare i sistemi di rilevamento. Per combattere efficacemente questo fenomeno, i nostri ricercatori li rintracciano continuamente sulla base del DNA della loro famiglia di malware, quindi è essenziale che le organizzazioni mantengano le loro soluzioni di sicurezza completamente aggiornate.
Per quanto riguarda invece la classifica dei malware mobile:
1. Lotoor, tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
2. Hiddad, malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. Funzione principale è visualizzare annunci, è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, ottenendo dati sensibili dell’utente.
3. Triada, malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Può anche fare lo spoofing di URL caricati nel browser.
Le tre vulnerabilità più diffuse
Tra le vulnerabilità informatiche più sfruttate e individuate dai ricercatori di Check Point ci sono CVE-2017-7269, ancora al primo posto con il 45% di impatto globale. Seguono OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto globale del 40%, il Web servers PHPMyAdmin Misconfiguration Code Injection Injection exploit, con il 34%.
↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269), inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346), in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. La vulnerabilità è usata per rivelare il contenuto della memoria di un client o server collegato.
↑ Web servers PHPMyAdmin Misconfiguration Code Injection, la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.