Gli aggiornamenti nel panorama della minaccia non sembrano evidenziare attenuazione. L’incidenza dei malware a dicembre è cresciuta ed è confermata su base annuale dalla relazione della polizia postale
Il bollettino dei danni ad entità pubbliche e private ad opera di minacce informatiche non si ferma, arricchito quasi ogni giorno con nuovi protagonisti dalle variegate capacità malevole e dai nomi fantasiosi: SpriteCoin, taxOolo, Skygofree, LightsOut, Okiru, solo per citarne alcuni dei più recenti e appartenenti a categorie diverse.
I più temuti: ransomware, malware, trojan
SpriteCoin è un malware di tipo ransomware che si finge criptovaluta ma in realtà rende inaccessibili tutti i file contenuti nel computer infetto e pretende il pagamento di un riscatto. (info dal sito del CERT nazionale n.d.r.). TaxOlolo è un malware che si finge cartella esattoriale ed ha immagini e richiami all’F24 solo per ingannare l’utente e consentire di scaricare un eseguibile capace di attendere comandi da remoto e intanto fornire le credenziali del pc infettato agli attaccanti.
Skygofree (affatto collegato a Sky n.d.r.) è appartenente alla famiglia dei trojan ed è capace di colpire gli smartphone Android con diverse azioni: attivare il microfono ed effettuare registrazioni audio, o video, catturare immagini, rintracciare l’ubicazione del dispositivo, operare anche se il telefono è in stand-by o addirittura collegare il dispositivo ad una wifi controllata dai cybercriminali anche se il proprietario ha disattivato le connessioni wi-fi.
LightsOut è invece un adware, ovvero malware capace di generare guadagni pubblicitari illegali a spese delle sue ignare vittime e di nascondere la propria icona in diverse app per ostacolare gli sforzi di rimuoverla eludendo il controllo dell’utente vittima. Infine Okiru evoluzione della botnet Mirai è capacità di infettare sistemi basati su CPU ARC usati nei dispositivi IoT.
Oltre ai software maligni i ricercatori diffondono anche notizie sulle vulnerabilità anche per informare sulla disponibilità di soluzioni software da installare per la risoluzione (le cosiddette patch n.d.r.). A questo proposito come non ricordare quelle che affliggono i processori ribattezzate Meltdown e Spectre a cui tutt’ora mancano soluzioni pienamente efficaci, rimaste ancora in fase di test. Aggiornati e resi disponibili invece le patch per il gruppo di vulnerabilità denominate ParseDroid che affliggevano gli strumenti di sviluppo Java/Android (IDE Android, Google Android Studio, IntelliJ IDEA di JetBrains ed Eclipse) e i principali strumenti di reverse engineering per applicazioni Android, (APKTool, Cuckoo-Droid).
Aggiornamento minacce sul mese di dicembre
Lo scenario della minaccia è anche sistematicamente studiato dai centri di ricerca di alcuni dei maggiori vendor di prodotti e servizi di Cybersicurezza che divulgano e stilano classifiche sulla diffusione dei malware caratterizzandone anche il comportamento. L’ultimo aggiornamento diffuso da Check Point mediante il Global Threat Impact Index evidenzia un peggioramento della posizione italiana, oggi 75ma, nella classifica dei paesi più colpiti dalle minacce informatiche.
La Top 10 malware
Si registra anche un’impennata nella diffusione di malware per il mining di criptovalute che ha colpito il 55% delle organizzazioni su base mondiale nel mese di dicembre, con dieci diverse varianti nella Top 10 dei malware dello stesso mese e due varianti nelle prime tre posizioni. Al primo posto Coinhive, uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Ritorna al secondo posto Rig ek un exploit kit scoperto per la prima volta nel 2014 che diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit. Al terzo posto Cryptoloot un malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Entro i primi dieci da segnalare anche Globeimposter, un ransomware che si presenta come una variante del ransomware Globe ed gli altri malware già evidenziati fra i piu’ pericolosi: Roughted (Malvertising), Fireball (hijacker di browser), Ramnit (trojan bancario), Virut (botnet), Conficker (worm), Rocks (cripto-miner).
In ambito mobile, in testa alla classifica per incidenza si trova Triada, malware per Android che attacca con una backdoor capace di concedere privilegi amministrativi ad altri malware scaricati, e li aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing ovvero in grado di impiegare in varie maniere la falsificazione dell’identità. Segue Lokibot, trojan bancario che colpisce i sistemi Android e ruba informazioni ma che può anche trasformarsi in un ransomware bloccando il telefono rimuovendo i privilegi dell’amministratore. Infine Lotoor è un hack tool che sfrutta le vulnerabilità del sistema operativo Android per ottenere privilegi di root sui dispositivi mobile compromessi.
Il bilancio annuale della polizia postale
Sul fronte della minaccia informatica è significativo il resoconto fornito dal Centro Nazionale Anticrimine per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.), nell’ambito del più ampio bilancio annuale delle attività perseguite.
Rispetto al 2016, è stato quasi quintuplicato il numero degli alert diramati alle infrastrutture critiche nazionali, circa 28522. I numeri forniti dalla Sala Operativa del Centro riguardano l’intero 2017 ed evidenziano 1006 attacchi informatici nei confronti di servizi internet relativi a siti istituzionali e infrastrutture critiche informatizzate di interesse nazionale e 80 richieste di cooperazione nell’ambito del circuito “High Tech Crime Emergency”. Le indagini avviate nel 2017 sono state 68 fra cui spicca l’operazione “EyePyramid” conclusa con i due noti arresti.
Leggi anche: ‘Eye Pyramid’ The Italian Job: una storia di malware, spionaggio e massoneria
Nell’ambito del financial cybercrime, l’attività delle organizzazioni criminali ha evidenziato scopi di intromissione nei rapporti commerciali tra aziende dirottando le somme verso conti correnti nella disponibilità dei malviventi mediante attacchi noti come BEC Fraud (Business E-mail Compromise Fraud) o CEO Fraud (Chief Exeutive Officer Fraud).
Tuttavia grazie a specifiche convenzioni con la maggior parte del mondo bancario mediante l’ABI, sono state bloccate alla fonte 20.839.576 € rispetto alla movimentazione di 22.052.527 € e sono state recuperati 862.000€ della parte residuale relativa ai bonifici già disposti.