Check Point: raddoppiato il numero di ransomware nel secondo semestre 2016 e gli attacchi DDoS con dispositivi IoT sono tra i trends principali
Il report H2 2016 Global Threat Intelligence Trends di Check Point Software Technologies (NASDAQ: CHKP) svela che gli attacchi ransomware nel secondo semestre dell’anno scorso sono raddoppiati. Tra tutti gli attacchi malware denunciati nel mondo, la percentuale dei ransomware è passata dal 5,5% al 10,5%, il tutto tra luglio e dicembre.
Il report Global Threat Intelligence Trends del secondo semestre 2016 evidenzia le tecniche principali che i cybercriminali stanno utilizzando per attaccare le aziende, e offre uno spaccato dettagliato sul panorama delle minacce informatiche divise secondo le principali tipologie di malware – ransomware – minacce bancarie e dispositivi mobili. Si basa sui dati della ThreatCloud Map che si avvale dell’intelligence ThreatCloudTM di Check Point, relativi al periodo luglio – dicembre 2016.
I trends principali
I ricercatori di Check Point hanno rilevato alcuni trends chiave in questo periodo:
• Il monopolio sul mercato ransomware – nel 2016 sono state osservate migliaia di nuove varianti di ransomware, e, negli ultimi mesi, lo scenario dei ransomware è cambiato, diventando sempre più centralizzato, con poche importanti varianti che dominano il mercato e colpiscono organizzazioni di tutte le dimensioni.
• Attacchi DDoS con dispositivi IoT – nell’agosto 2016, è stata scoperta la botnet Mirai – la prima nel suo genere – la botnet Internet-of-Things (IoT), che attacca dispositivi Internet-enabled digitali vulnerabili, come ad esempio videoregistratori (DVR) e telecamere di sorveglianza (CCTV). Infatti, li tramuta in bot, e sfrutta poi il dispositivo corrotto per scagliare molteplici attacchi di tipo Distributed Denial of Service (DDoS). Adesso è chiaro che i dispositivi IoT vulnerabili sono presenti in quasi tutte le abitazioni, e gli attacchi DDoS di massa basati su questi dispositivi continueranno.
• Nuove estensioni di file usate per campagne di spam – il principale vettore di infezione usato per le campagne di spam malevole durante il secondo semestre del 2016 è stato il downloader basato sul motore Windows Script (WScript). I downloader in Javascript (JS) e VBscript (VBS) hanno dominato l’ecosistema dello spam, insieme alle varianti simili, ma meno diffuse, come JSE, WSF, e VBE.
I principali malware del secondo semestre 2016:
1. Conficker (14.5%) – Worm che consente operazioni da remoto e download di ulteriori malware. La macchina infetta viene controllata da una botnet, che contatta il server Command & Control, pronto a ricevere istruzioni.
2. Sality (6.1%) – Virus che consente operazioni da remoto e download di ulteriori minacce sui sistemi infetti. Il suo obiettivo principale è infiltrarsi in un sistema e offrire mezzi per il controllo da remoto, e installare così nuovi malware.
3. Cutwail (4.6%) – Botnet utilizzata soprattutto per inviare email di spam, e per perpetrare attacchi DDOS. Una volta installata, si connette direttamente al server command and control, e riceve istruzioni riguardo le email da inviare. Dopo l’esecuzione, la bot invia allo spammer statistiche precise riguardo le attività.
4. JBossjmx (4.5%) – Worm che prende di mira i sistemi con una variante vulnerabile di JBoss Application Server. Il malware crea una pagina JSP malevola su sistemi vulnerabili, che poi esegue comandi arbitrari. Inoltre, crea un’altra backdoor che accetta comandi da un server IRC remoto.
5. Locky (4.3%) – Ransomware che ha iniziato a circolare a febbraio 2016, si diffonde soprattutto attraverso email di spam che contengono un downloader mascherato da un file allegato in formato Word o Zip, che, in seguito, scarica e installa il malware, che a sua volta crittografa i file dell’utente.
I principali ransomware del secondo semestre 2016:
La percentuale di attacchi ransomware, rispetto a tutti gli attacchi riconosciuti a livello mondiale, nel secondo semestre del 2016 è quasi raddoppiata, passando da 5,5% a 10,5%. Le varianti più diffuse sono state:
1. Locky 41% – Terzo tra i ransomware più diffusi nel primo semestre, nella seconda parte dell’anno ha aumentato la diffusione a macchia d’olio.
2. Cryptowall 27% – Ransomware che ha iniziato a circolare come il sosia di Cryptolocker, riuscendo persino a superarlo. Dopo aver superato Cryptolocker, Cryptowall si è affermato come uno dei ransomware dominanti finora. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché le comunicazioni C&C si svolgono sulla rete anonima Tor. Viene distribuito soprattutto attraverso exploit kit, adv malevoli e campagne di phishing.
3. Cerber 23% – Il servizio ransomware-as-a-service più articolato al mondo. Cerber funziona in modalità franchising, infatti gli sviluppatori reclutano gli affiliati, che diffondono malware in cambio di un dividendo dei profitti.
I principali malware mobili del secondo semestre 2016:
1. Hummingbad 60% – Malware Android scoperto per la prima volta dal team di ricercatori di Check Point, che installa nel dispositivo un rootkit persistente, applicazioni fraudolente e, con poche modifiche, potrebbe consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, oltre a scavalcare i metodi di crittografia delle email usati dalle aziende.
2. Triada 9% – Backdoor modulare per Android che offre permessi maggiori rispetto all’utente, per scaricare malware, e contribuisce a farli infiltrare tra le procedure di sistema. Triada, inoltre, è in grado di imitare le URL caricate su un browser.
3. Ztorg 7% – Trojan che sfrutta permessi root per scaricare e installare applicazioni su dispositivi mobili all’oscuro dell’utente.
I principali malware bancari:
1. Zeus 33% – Trojan che colpisce le piattaforme Windows, spesso usato per rubare credenziali bancarie con attacchi man-in-the-browser, keylogger e esfiltrando dati dai documenti.
2. Tinba 21% – Trojan bancario che ruba le credenziali alla vittima con web-injection, che si attiva quando l’utente cerca di accedere al sito della propria banca.
3. Ramnit 16% – Trojan bancario che ruba credenziali, password FTP, cookie di sessione e dati personali.
Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “Questo report dimostra che l’ecosistema informatico odierno è caratterizzato da attacchi ransomware sempre più frequenti. Il motivo di questa diffusione è che funzionano, assicurando introiti importanti agli hacker. Per far fronte a questa minaccia, le organizzazioni arrancano: molte, infatti, non sono dotate delle giuste misure, e potrebbero essere manchevoli anche riguardo la formazione dei dipendenti su come riconoscere i segnali di un potenziale attacco ransomware che si cela in una mail in entrata.”
“Inoltre, i dati dimostrano che un gruppo ristretto di varianti è responsabile della maggior parte degli attacchi, e migliaia di altre varianti restano invece quasi sconosciute”, prosegue Horowitz. “La maggior parte delle minacce informatiche è globale e trasversale alle diverse regioni, eppure la regione APAC balza all’occhio, perché racchiude tra le varianti più diffuse in loco, 5 tipologie che non appaiono altrove”.
Le statistiche di questo report si basano sui dati estratti dalla ThreatCloud World Cyber Threat Map. La ThreatCloud di Check Point è la più estesa rete di collaboratori che combattono contro i cybercriminali, fornendo i più aggiornati dati riguardo le minacce e l’andamento degli attacchi, grazie a una rete mondiale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
la Redazione