Il panorama delle minacce si è arricchito di tante nuove famiglie di malware a testimonianza della creatività dei cybercriminali. I dettagli e le dinamiche di attacco
Nell’ultimo aggiornamento emesso dal Global Threat Impact Index di maggio di Check Point Software Technologies, l’Italia scende di quindici posizioni nella classifica dei paesi più attaccati al mondo piazzandosi al 50esimo posto, ma questo non deve trarre in inganno: il panorama delle minacce si è arricchito di tante nuove famiglie di malware a testimonianza della creatività dei cybercriminali. Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione: Fireball ha colpito un’organizzazione su cinque, mentre RoughTed, secondo classificato anche nel mondo, è responsabile del 16 per cento dei casi di infezione alle aziende. Infine, il terzo classificato WannaCry ha infettato l’8 per cento delle aziende. Si è notato inoltre che altre varianti di Fireball e WannaCry si sono diffuse rapidamente durante il mese di osservazione.
La classifica delle minacce
La classifica dei top3 li vede rispettivamente al primo, secondo e terzo posto:
1. Fireball – malware in crescita rispetto al mese precedente è un browser hijacker che si trasforma in un malware downloader completo. Dato che è in grado di eseguire un qualsiasi codice sui computer vittime, riesce a compiere un’ampia serie di azioni come rubare credenziali e rilasciare altri malware.
2. RoughTed – malware anche lui in crescita rispetto al mese precedente è un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come adware, exploit-kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e digital fingerprint, così da assicurarsi di sferrare l’attacco più potente.
3. WannaCry – come i precedenti è un malware in crescita ed è noto per essere un ransomware diffuso con un micidiale attacco nel mese di maggio utilizzando un exploit chiamato EternalBlue del protocollo SMB del sistema operativo Windows, così propagarsi all’interno e tra le reti.
Oltre ai malware citati sopra, e in compagnia dei noti Slammer (4), Conficker (6), Rig Ek (9) e Cryptowall (10), la classifica presenta altri nuovi malware: Hackedefender (5), Kelihos(7), e il ransomware Jaff che si piazza all’ottava posizione della top10 Check Point e che si è dimostrato particolarmente efficace per i cybercriminali.
La situazione Mobile
Sul fronte delle minacce Mobile, Hummingbad ritorna al primo posto della classifica, marcato stretto da Hiddad e Triada:
1. Hummingbad – malware Android che installa un rootkit persistente sui dispositivi, installa applicazioni fraudolente e, con poche modifiche, può consentire altre attività malevole, come l’installazione di keylogger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
2. Hiddad – malware Android che ri-confeziona app lecite e poi le mette in distribuzione su marketplace. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli attaccanti di ottenere dati sensibili degli utenti.
3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi ad altri malware scaricati, dato che riesce ad integrarsi nei processi di sistema.
Il commento di Check Point
Maya Horowitz, Threat Intelligence group manager di Check Point, ha lanciato un invito rivolto ai responsabili tecnici delle imprese. «Le aziende – ha detto – devono ricordarsi che
l’impatto economico di un attacco hacker va al di là dell’incidente iniziale
Il ripristino dei servizi chiave e il recupero dei danni d’immagine può essere un processo lungo e costoso. In ogni settore le imprese hanno bisogno di un approccio multilivello per la propria cybersecurity soprattutto per la copertura dell’ampia gamma di tipi di attacchi in continua evoluzione e delle varianti dei malware zero-day».
La ThreatCloud Map
I dati del Threat index sono tratti dalla ThreatCloud Map e dall’intelligence del ThreatCloud di Check Point, la rete che analizza le attività dei cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi attraverso un dispiegamento di sensori su base mondiale. ThreatCloud contiene oltre 250 milioni di indirizzi, più di 11 milioni di firme di malware e un numero superiore a 5,5 milioni siti web infetti, aggiungendo ogni giorno nuovi dati per ogni categoria.