Per Stormshield, nonostante lo scorso anno non si siano registrati attacchi eclatanti dal punto di vista mediatico, i malware continuano a mietere vittime.
Il 2018 ha visto la comparsi di attacchi sempre più articolati e complessi, nonché delle metodologie di intrusione ed esfiltrazione “low and slow”.
Tra le minacce più pericolose Slingshot che, sfruttando i moduli GollumApp e Cahnadr, prende il controllo integrale della macchina infetta e svolge molteplici funzioni: recupera qualunque tipo di dato, cattura immagini dello schermo, traccia qualsiasi input dato tramite tastiera. Difficile da rilevare, si adatta persino alle soluzioni di sicurezza installate sul sistema con strategie di “anti-debugging”. Questo malware non colpisce solo siti web, ma annovera tra i propri obiettivi anche computer collegati ai router MikroTik.
Fatta eccezione per Slighshot, la crescita esponenziale del malware è dovuta alla proliferazione di strumenti per minare criptovalute in modo abusivo (cryptojacking) sfruttando le risorse della CPU di macchine infette, come Coinhive e Crytoloot. Secondo il report di Skybox, questo genere di minacce ha rappresentato il 31% degli attacchi nei primi sei mesi del 2018, rispetto al 7% negli ultimi sei mesi del 2017. Una tecnica apprezzata dai cybercriminali meno esperti, poiché meno rischiosa e più remunerativa. I malware progettati a tale scopo prendono illecitamente il controllo degli onerosi processi di calcolo matematico sviluppati sia per generare criptovalute sia per verificare, autenticare e convalidare le transazioni effettuate con queste valute.
Altra minaccia in piena crescita è la frode ai danni degli utenti dei social network. Secondo Proofpoint ad esempio l’uso di tecniche di ingegneria sociale e di manipolazione delle informazioni allo scopo di trarre in inganno gli internauti sarebbe cresciuto del 485% nel terzo trimestre del 2018 rispetto allo stesso periodo dell’anno precedente.
Un’ultima rilevante particolarità da segnalare per il 2018 è rappresentata dalla crescita di botnet multifunzione, sufficientemente versatili per poter eseguire qualsiasi compito. Queste reti di computer infetti sono controllate da cybercriminali e utilizzate per diffondere malware e facilitare attacchi spam o i denial-of-service (DDoS). Il volume di RAT (remote access trojans) come Njrat, DarComet e Nanocore risulta raddoppiato nel 2018.
Tutti questi “nuovi” attacchi non devono farci perdere di vista il caro vecchio ransomware, più pericoloso che mai. SamSam, una famiglia di ransomware attiva dal 2015, è ritenuta responsabile di una serie di attacchi di alto profilo, come quello perpetrato alla città di Atlanta in marzo. In questo ambito, i cybercriminali non mancano certo di inventiva, come dimostrato dai ransomware Gandcrap e DataKeeper con i loro aggiornamenti quotidiani.