Dopo un inizio anno caratterizzato da un calo delle minacce informatiche, Febbraio e Marzo mostrano un assedio crescente e continuo, tanto che nel mese di marzo l’Italia scala un’altra posizione nella classifica Europea e diventa il secondo paese più colpito.
I dati sono forniti dalla Threat Cloud map di Check point, mediante diversi bollettini di aggiornamento.
=> Sicurezza Informatica: i trend nelle PMI
Le principali minacce che interessano il Bel Paese sono tre:
- Conficker, warm che punta ai sistemi operativi Windows;
- Nivdort, famiglia di trojan che colpisce la piattaforma Windows;
- Cryptoload, trojan-downloader che diffonde ransomware su dispositivi infettati.
E’ stata riscontrata un po’ ovunque, inoltre, una massiccia impennata nell’uso di exploit progettati per scoprire e sfruttare vulnerabilità sui dispositivi al fine di far scaricare ed eseguire codice melevolo.
In passato la loro incidenza era diminuita grazie alla scomparsa delle principali varianti Angler e Nuclear. Ma proprio nel mese di Marzo sono stati individuati gli exploit Rig EK e Terror. Entrambe hanno diffuso una vasta gamma di minacce, da ransomware a banking Trojan a spambot a BitCoin miner.
A livello mondiale, le tre famiglie di malware più diffuse sono state HackerDefender e Rig EK, con il 5% delle organizzazioni colpite da ciascuno, seguiti da Conficker e Cryptowall, che hanno colpito ciascuno il 4% delle aziende. Si riportano le principali caratteristiche per ognuno:
- HackerDefender – Rootkit user-mode per Windows, che può essere utilizzata per nascondere file, procedure e chiavi di registro, inoltre esegue backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere. Questo significa che è impossibile trovare la backdoor nascosta usando mezzi tradizionali.
- Rig EK – Exploit rilevato la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
- Kelihos – Botnet utilizzata soprattutto per il furto di bitcoin e per lo spam. Si serve di comunicazioni peer-to-peer, consentendo a singole unità di agire come server Command & Control.
- Conficker – Worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
- Cryptowall – Dopo l’estinzione di Cryptolocker, Cryptowall è diventato uno dei ransomware finora più temibili. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché trasmette le comunicazioni C&C sulla rete anonima Tor. Si diffonde principalmente attraverso exploit kits, malvertising e camapgne di phishing.
Ricordiamo inoltre alcuni altri temibili:
- Terror è stato identificato all’inizio di dicembre 2016 e conteneva otto diversi exploit operativi.
- Cerber, un ransomware offline che è stato identificato per la prima volta nel febbraio 2016.
- Hancitor, noto anche come Chanitor e’ un downloader, salito nella top cinque delle famiglie malware ‘most wanted’ da febbraio che installa payload malevoli come trojan bancari e ransomware sui dispositivi infetti. Solitamente viene diffuso come un documento di Office contenente delle macro all’interno di email di phishing con messaggi “importanti” quali messaggi vocali, fax o fatture.
Per quanto riguarda i malware Mobile, le due principali famiglie restano uguali a quelle di febbraio, mentre Ztorg è tornato nella top three:
- Hiddad – malware Android che riconfeziona app legali e poi le consegna ad un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
- Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
- Ztorg – trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
- Triada – backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.
I consigli per la difesa sono sempre orientati verso soluzioni tecnologiche e quindi appliance capaci di difendere endpoint e dispositivi di rete, ma qualunque sia la soluzione prescelta, si deve verificare la frequenza e la qualità degli aggiornamenti, assicurando soprattutto che il proprio team di security sia aggiornato e formato sul comportamento delle minacce correnti e sulle contromisure da implementare.
______