L’annuale Check Point Expo (CPX) ha fatto il punto sugli ultimi trend in tema di minacce informatiche e metodi di difesa. Ad aprile, l’Italia è salita di 7 posizioni (35esima) nella classifica dei paesi più colpiti al mondo dai malware. In Europa è seconda dopo la Romania.
Le principali minacce in atto in Italia sono
- Conficker, warm che punta ai sistemi operativi Windows.
- HackerDefender, rootkit user-mode per Windows, che modifica parecchi sistemi Windows e API native e li rende introvabili dai sistemi di sicurezza.
- Rig EK, exploit rilevato la prima volta nel 2014 che si diffonde con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
A livello globale, è stata rilevata una costante crescita nell’uso di exploit da parte dei cybercriminali, con Rig EK che è diventato addirittura la più diffusa forma di attacco secondo il Global Threat Impact Index di aprile (il sistema di CP per la tenuta sotto controllo della minaccia).
Gli Exploit Kit, che sono progettati per scoprire e sfruttare vulnerabilità sui dispositivi al fine di far scaricare ed eseguire codice malevolo, hanno avuto un declino in tutto il mondo fino a marzo 2017, quando si è registrata un’impennata degli attacchi che utilizzano gli Exploit Kit, Rig e Terror.
Durante il mese di aprile, i ricercatori hanno anche rivelato un’improvvisa ripresa nell’utilizzo del worm Slammer, che è balzato nella top three delle famiglie di malware più diffuse, dopo un lungo periodo di quiete. Il worm Slammer è stato per la prima volta rilevato nel 2003 e si era diffuso molto rapidamente. Fu sviluppato per colpire il sistema Microsoft SQL 2000 e si propagò così velocemente che fu in grado di causare un attacco DoS su alcuni obiettivi colpiti. Questa è la seconda volta in pochi mesi che il worm entra nella top ten del Global Impact Index, evidenziando come anche i malware più vecchi possono ritornare con successo.
Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione.
A livello mondiale, le tre famiglie di malware più diffuse ad aprile sono state Rig EK e HackerDefender, con rispettivamente il 5% e il 4,5% delle organizzazioni colpite da ciascuno, seguito dal worm Slammer che ha attaccato il 4% delle aziende:
- Rig EK – exploit rilevato la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
- HackerDefender – Rootkit user-mode per Windows, che può essere utilizzata per nascondere file, procedure e chiavi di registro, inoltre esegue backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere. Questo significa che è impossibile trovare la backdoor nascosta usando mezzi tradizionali.
- Slammer – Worm resistente nato per attaccare il sistema Microsoft SQL 2000. Caratterizzato da una rapida diffusione, il worm può causare una negazione del servizio (attacco DoS) dei sistemi presi di mira.
Aggiornamento WannaCry
I ricercatori hanno investigato nel dettaglio la campagna ransomware, a partire da quando è stata segnalata per la prima volta e sono riusciti a tracciare 34.300 tentativi di attacco in 97 Paesi.
La media degli attacchi oggi è pari a un tentativo in ogni tre secondi, in calo rispetto al dato registrato qualche giorno fa quando la media era pari a un tentativo al secondo. La nazione in cui è stato registrato il maggior numero di attacchi è l’India, seguita da USA e Russia.
Maya Horowitz, Threat Intelligence Group Manager ha dichiarato:
“Sebbene stiamo registrando un calo nel numero degli attacchi, WannaCry si diffonde velocemente e nel mirino finiscono le organizzazioni di tutto il mondo. WannaCry è un campanello d’allarme che mostra quanto dannosi i ransomware possano essere, e quanto velocemente possano causare interruzioni a servizi essenziali.”
Il team di Threat Intelligence and Research di CP ha recentemente annunciato che è stato registrato un nuovo dominio kill-switch, che viene usato come campione fresco di WannaCry.
La WannaCry Ransomware Infection Map mostra in tempo reale le principali statistiche relative alla minaccia e i dati specifici per ciascun Paese. La registrazione del dominio ha attivato il kill-switch, salvaguardando così migliaia di potenziali vittime dai danni del ransomware.
I ricercatori hanno anche scoperto che anche chi sceglie di pagare il riscatto, dopo essere stato infettato da WannaCry, non ha la sicurezza di recuperare i propri file. Un sistema di pagamento e decrittografia problematico unito a una falsa demo dell’operazione di decrittografia, mette in discussione anche la capacità degli stessi sviluppatori di WannaCry di poter fornire le decrittografie dei file promessi. Finora i tre account di bitcoin associati alla campagna WannaCry hanno accumulato circa 77.000 dollari. Ciononostante, non è stato riportato nemmeno un caso in cui la vittima abbia ricevuto indietro i propri file.
I dati di tutte le minacce sono collezionati a partire dalla ThreatCloudTM di Check Point che fornisce dati sulla base dell’andamento attacchi, usando diverse fonti: i feedback della rete mondiale di sensori, un database di più di 250 milioni di indirizzi, analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti.