Malware zero day alla ribalta

Secondo il Global Threat Impact Index di maggio, di Check Point® Software Technologies, l’Italia scende di quindici posizioni nella classifica dei paesi più attaccati al mondo piazzandosi al 50esimo posto. Ma non è il caso di abbassare la guardia: due delle tre famiglie di malware che hanno infettato a livello mondiale le reti erano zero-day, cioè non erano mai state identificate prima.

1. Fireball ha colpito un’organizzazione su cinque, attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali.
2. RoughTed secondo classificato anche nel mondo, è responsabile del 16% dei casi di infezione alle aziende è una campagna di malvertising su larga scala,
3. WannaCry il terzo classificato ha infettato l’8% delle aziende, sfrutta un exploit di Windows SMB chiamato EternalBlue capace di diffondersi all’interno delle reti e tra le reti. WannaCry è diventato famoso a maggio per avere bloccato un larghissimo numero di reti e dispositivi in tutto il mondo.

=> Difesa da WannaCry, linee guida Agid per le imprese

La lista completa delle 10 famiglie di malware più attive di maggio è disponibile sul blog di Check Point. Il Petya ransomware che ha recentemente imperversato a livello mondiale è invece nella top 10 di Giugno.

Per quanto riguarda il Mobile i tre malware più terribili di maggio sono stati:

1. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità

I dati sono tratti dalla ThreatCloud Map che si avvale dell’intelligence ThreatCloud^TM di Check Point, la rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce.

Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, ma  ogni giorno individua milioni di varianti di malware che costituiscono nuove istanze del DB.