Check Point Software Technologies rivela le tendenze per il mese di novembre: l’incidenza di attacchi ransomware attraverso Locky e Cryptowall è aumentata del 10%.
I dati sono stati raccolti attraverso il Global Threat Index dell’azienda, che classifica le varianti di malware più diffuse che si sono accanite contro le reti delle organizzazioni. L’Italia ha accusato profondamente il peso di queste minacce. Infatti, nonostante a livello mondiale l’Italia sia scesa lievemente rispetto al mese precedente nella classifica dei paesi più colpiti, rimane comunque il terzo paese più colpito in Europa. E il dato più sconcertante è proprio che tra le prime tre minacce più diffuse ci siano addirittura due ransomware, Locky e Cryptowall, rispettivamente in seconda e terza posizione.
Secondo le stime di Check Point, sia la quantità di varianti attive di malware che quella degli attacchi si sono mantenute elevate, considerando che il numero di attacchi contro le reti aziendali è sostanzialmente costante. Sulla scia della tendenza già rilevata in ottobre, il ransomware Locky ha continuato la sua diffusione capillare, conquistando un ulteriore 10% di attacchi – un comportamento già intrapreso dal quinto malware più diffuso nel mondo, Cryptowall.
Questi eventi dimostrano che la minaccia contro le reti aziendali è in continua crescita, ed è rappresentata soprattutto dai ransomware. Altro dato che emerge è che molte organizzazioni pagano il riscatto, per essere certe di recuperare i file, rendendo così questo attacco un vettore interessante e lucrativo per i cybercriminali. Per l’ottavo mese consecutivo, inoltre, HummingBad è il malware più utilizzato per attaccare i dispositivi mobili.
Ancora una volta, è Conficker il malware più diffuso a livello mondiale, con il 15% di attacchi riconosciuti al suo attivo. In seconda posizione Locky, che ha iniziato la sua carriera soltanto lo scorso febbraio, ma ha effettuato il 6% di tutti gli attacchi riconosciuti, e poi Sality, responsabile del 5% di questi attacchi. In generale, le 10 varianti di malware più diffuse hanno causato il 45% di tutti gli attacchi riconosciuti.
1. ↔ Conficker – Worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
2. ↔ Locky – Ransomware che ha iniziato a circolare nel febbraio 2016 e si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente. Locky è stata la variante malware più diffusa nella maggior parte dei paesi (34 paesi rispetto a Conficker, il più diffuso in 28 paesi).
3. ↑ Sality – Virus che consente operazioni da remoto e il download di ulteriori malware sui sistemi infetti. L’obiettivo principale è restare latente in un sistema, e trovare il modo di attivare controlli da remoto e installare così nuovi malware.
Le varianti di malware per dispositivi mobili sono sempre un pericolo tangibile per le aziende. Le tre più comuni sono state:
1. ↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente, e innesca altre attività malevole, come l’installazione di key logger, e il furto di credenziali, e scavalca i sistemi di crittografia delle email utilizzati dalle aziende.
2. ↔ Triada – backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.
3. ↑ Ztorg – Trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
Nathan Shuchami, Head of Threat Prevention di Check Point
Gli attacchi ransomware aumentano per un motivo molto semplice – cioè perché funzionano e generano introiti elevati per gli hacker. Le organizzazioni fanno l’impossibile per far fronte alle minacce di queste insidiose forme d’attacco. Molto spesso, non vengono applicate le difese appropriate, e viene trascurata la formazione dei dipendenti, che quindi non sono aggiornati su come riconoscere i segnali di un potenziale attacco ransomware nascosto in una mail in arrivo. Questi aspetti, naturalmente, non fanno che aumentare l’interesse dei criminali.
Le organizzazioni devono affidarsi a risorse di advanced threat prevention sulle proprie reti, sugli endpoint e sui dispositivi mobili, per congelare i malware allo stadio pre-infettivo. Un esempio sono le soluzioni di Check Point SandBlast Zero-Day Protection, Threat Extraction e Mobile Threat Prevention, utili per avere la certezza di una sicurezza consolidata contro le ultime minacce.