La minaccia viene anche da Telegram. Il report di Check Point

Gli aggiornamenti su minacce e vulnerabilità non conoscono interruzione, per l’esigenza di mantenere tutti aggiornati costantemente sulla a dir poco “creativa e continua” capacità degli attaccanti di trovare sempre nuovi modi e tecniche per sfruttare i bugs del codice software, con il fine ultimo di fare soldi, praticare cyberspionaggio, o azioni dimostrative.

Il report di Check Point

A volte invece, non devono inventare nulla, limitandosi a sfruttare le vulnerabilità che permangono sui sistemi a causa del mancato patching management. Patching, che dovrebbe essere una procedura standard e che invece si rivela la principale causa debolezza della difesa, tanto che la classifica dei malware più diffusi ad Aprile tratta dal Global Threat Index di Check Point (CP) ha evidenziato come i malware incriminati e capaci minare criptovalute, siano proprio quelli che sfruttano le vulnerabilità note sui server non aggiornati. Il trend, cominciato ad inizio 2018, vede i criminali informatici concentrarsi sulle vulnerabilità dei server privi di aggiornamenti, ovvero Microsoft Windows Server 2003 (CVE-2017-7269) e Oracle Web Logic (CVE-2017-10271) con lo scopo di estrarre illecitamente le criptovalute.

Secondo l’ultimo aggiornamento di marzo a livello mondiale, il 46% delle organizzazioni è stato colpito dalla vulnerabilità di Microsoft Windows Server 2003, mentre la vulnerabilità di Oracle Web Logic, ha interessato il 40% delle organizzazioni. Al terzo posto si posiziona, invece, la SQL injection con un impatto del 16%. La preoccupazione degli addetti ai lavori sottolineata anche da Maya Horowitz, Threat Intelligence Group Manager di Check Point, risiede nella consapevolezza della disponibilità delle patch da almeno 6 mesi e nella obbligatorietà per le aziende di adottare procedure puntuali di installazione e verifica per chiudere falle di sicurezza.

Classifica delle minacce

Ancora una volta, il quarto mese consecutivo, i malware di criptomining sono in testa per incidenza nella classifica top ten dei malware rappresentando un successo per i cyber criminali: oltre a rallentare PC e server con il mining malevolo di criptomonete, questo tipo di malware può diffondersi lateralmente, una volta all’interno della rete, minacciando anche la sicurezza degli utenti. La variante Coinhive, script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero, mantiene il primo posto come malware più diffuso con un impatto globale del 16%. Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il cryptomining, segue a poca distanza registrando un impatto del 14%, mentre il malware malvertising Roughted, un tipo di malvertising utilizzato per diffondere siti web dannosi e payload, compare al terzo posto, con un impatto sulle organizzazioni mondiali pari all’11%. Sul territorio italiano la situazione varia poco, con una inversione di classifica: Cryptoloot (17%), seguito da Coinhive, e Roughted.

Leggi anche: C’è una falla di sicurezza nelle webcam: migliaia di dispositivi a rischio in Italia

Anche marzo era stato caratterizzato da una impennata di attacchi causati dal malware per il mining di criptovalute noto come variante di XMRig. Apparso nel maggio 2017, XMRig è entrato nell’ottava posizione della top ten dei malware più diffusi a marzo 2018, dopo un aumento del 70% del suo impatto su base mondiale. Lavorando sul device endpoint anziché nel browser stesso, XMRig è in grado di estrarre la criptovaluta Monero senza nemmeno dover attivare una sessione del browser del computer colpito. Nella classifica di marzo oltre ai malware già citati per aprile, era presente anche Rig EK capace di diffonde exploit per Flash, Java, Silverlight e Internet Explorer.

Minaccia MalHide

Fra i numerosi sample della minaccia che spesso costituiscono una variante di malware già esistenti, capita anche di trovare elementi “innovativi”. Ne è un esempio MalHide, Malware così chiamato da Marco Ramilli, ricercatore e CTO di Yoroi che ha analizzato il sample descrivendono il comportamento e le caratteristiche che costituiscono un piccolo cambio di paradigma. Marco infatti dichiara in proposito “l’attaccante avendo infettato una vittima avrebbe potuto compiere numerose azioni malevole come per esempio: furto di informazioni da rivendere, impersonificazione, movimento laterale, distruzione de sistema ospitante, etc. etc. Invece ha scelto di mettere in gioco un complesso sistema di email relay per inviare email dai pc vittima. Le email che invia (Marco è riuscito a prelevarle mediante la comunicazione con il Command and Control server n.d.r. ) sono di tipologia BeC (Business Email Compromise tipiche dell’attacco del CEO Fraud n.d.r.). L’attaccante utilizza, dunque, un impianto di Malware per anonimizzare l’invio delle email fraudolente. Per la mia esperienza nel campo questa attivita è indicativa di come il mercato degli attacchi si stia muovendoo ad indicare che c’è molta piu marginalità compriere frodi piuttosto che compiere altre azioni malevole, oppure che il livello di sicurezza dei dati si stia, finalmente, alzando”. l’analizi completa e gli IoC correlati sono stati resi pubblici nel Blog di Marco Ramilli.

Minaccia Telegram

Oltre al continuo scoring delle minacce, i ricercatori Check Point hanno evidenziato come anche la nota chat di Telegram possa rappresentare una minaccia concreta, essendo diventato un luogo digitale dove si sono spostati i criminali per commettere attività illecite e sfuggire alle autorità che li tenevano sotto controlli nei forum ormai noti del dark web. Telegram è diventata appetibile perché caratterizzata da un livello di sicurezza più elevato, riservatezza e minore accessibilità da parte di “non autorizzati” grazie alla presenza chat pubbliche e private i cosiddetti “canali”, crittografate end-to-end. I canali clandestini scoperti possono avere nomi di riferimento come ad esempio “Dark Jobs”, “Dark Work” e “Black Markets” contrassegnati con un codice colore in riferimento al tipo di attività illecita: “nero” se il lavoro offerto è pericoloso dal punto di vista legale, oppure “grigio” o “bianco” quando la pericolosità diminuisce. I canali sono usati anche per la vendita di strumenti di hacking e di documenti rubati, con la possibilità di falsificarli. Da Telegram, i criminali informatici possono sfruttare quei messaggi di ricerca personale di aziende o banche per ottenere informazioni private e dati sensibili così da condurre un attacco ai danni della medesima organizzazione.

Kit phishing fai da te

A completare il quadro già abbastanza impegnativo, si può aggiungere anche l’ulteriore scoperta relativa ad un sofisticato kit di phishing, per il fai-da-te, utilizzabile da attaccanti che sebbene non dispongano di un alto know-how tecnico, possono comunque gestire le proprie campagne di phishing per raccogliere le informazioni personali e finanziarie dei consumatori ignari. Le funzionalita’ del kit permettono di impostare l’attacco, gestire il back end e le attività di coding mentre impostano link di reindirizzamento a pagine false e malevole.

Impreparazione ad attacchi di quinta generazione 

Anche considerando la mole di avvisi, report e warning sulla complessità, trasformazione e incidenza della minaccia, resta però sorprendente e apparentemente incredibile il livello di impreparazione di delle entità pubbliche e private a distanza di un anno dall’attacco WannaCry che, ricordiamo, provocò una infezione su 150 paesi, con più di 200 mila macchine e danni economici per oltre 4 miliardi di dollari. I ricercatori di CP infatti, hanno stimato che solo il 3% delle aziende dichiara di essere pronto ad affrontare un attacco di quinta generazione (cosiddetti mega attack, multivettore, tesi a colpire qualsiasi potenziale vittima n.d.r.), con il rimanente 97% di organizzazioni che resta indietro di 10 anni rispetto alle minacce attuali rimanendo vulnerabile ad un attacco tipo WannaCry perché continua a mancare una strategia di difesa che copra all’unisono tutte le componenti dell’infrastruttura (cloud, mobile, endpoint, componenti locali e remote hardware e software).

Approfondimenti

La lista completa delle dieci famiglie di malware più attive nel mese di aprile è disponibile sul blog dell’azienda israeliana, mentre per gli approfondimenti sull’uso improprio di Telegram si può consultare l’informativa specifica. I dettagli sul kit di phishing sono infine consultabili nella pagina dedicata alla ricerca.

Per approfondimenti sulla minaccia MalHide potete consultare l’analisi completa sul Blog di Marco Ramilli.