Secondo il Global Threat Index di Check Point Software Technologies di novembre, l’incidenza di attacchi ransomware attraverso Locky e Cryptowall è aumentata del 10%. L’Italia ha accusato profondamente il peso di queste minacce. Infatti, nonostante a livello mondiale l’Italia sia scesa lievemente rispetto al mese precedente nella classifica dei paesi più colpiti, rimane comunque il terzo paese più colpito in Europa. E il dato più sconcertante è proprio che tra le prime tre minacce più diffuse ci siano addirittura due ransomware, Locky e Cryptowall, rispettivamente in seconda e terza posizione.
Secondo le stime di Check Point, sia la quantità di varianti attive di malware che quella degli attacchi si sono mantenute elevate, considerando che il numero di attacchi contro le reti aziendali è sostanzialmente costante. Sulla scia della tendenza già rilevata in ottobre, il ransomware Locky ha continuato la sua diffusione capillare, conquistando un ulteriore 10% di attacchi – un comportamento già intrapreso dal quinto malware più diffuso nel mondo, Cryptowall.
Questi eventi dimostrano che la minaccia contro le reti aziendali è in continua crescita, ed è rappresentata soprattutto dai ransomware. Altro dato che emerge è che molte organizzazioni pagano il riscatto, per essere certe di recuperare i file, rendendo così questo attacco un vettore interessante e lucrativo per i cybercriminali. Per l’ottavo mese consecutivo, inoltre, HummingBad è il malware più utilizzato per attaccare i dispositivi mobili.
Ancora una volta, è Conficker il malware più diffuso a livello mondiale, con il 15% di attacchi riconosciuti al suo attivo. In seconda posizione Locky, che ha iniziato la sua carriera soltanto lo scorso febbraio, ma ha effettuato il 6% di tutti gli attacchi riconosciuti, e poi Sality, responsabile del 5% di questi attacchi. In generale, le 10 varianti di malware più diffuse hanno causato il 45% di tutti gli attacchi riconosciuti.
- ↔ Conficker – Worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
- ↔ Locky – Ransomware che ha iniziato a circolare nel febbraio 2016 e si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente. Locky è stata la variante malware più diffusa nella maggior parte dei paesi (34 paesi rispetto a Conficker, il più diffuso in 28 paesi).
- ↑ Sality – Virus che consente operazioni da remoto e il download di ulteriori malware sui sistemi infetti. L’obiettivo principale è restare latente in un sistema, e trovare il modo di attivare controlli da remoto e installare così nuovi malware.
Lo scorso novembre, il trojan bancario Ramnit ha registrato l’aumento più drastico di attacchi, entrando per la prima volta nella top 10 di Check Point, precisamente in sesta posizione. Dallo scorso ottobre, ha più che raddoppiato il tasso di infezione, colpendo soprattutto in Turchia, Brasile, India, Indonesia e Stati Uniti. Ramnit ruba credenziali bancarie, password FTP, cookie di sessione temporanei e dati personali.
Le varianti di malware per dispositivi mobili sono sempre un pericolo tangibile per le aziende. Le tre più comuni sono state:
- ↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente, e innesca altre attività malevole, come l’installazione di key logger, e il furto di credenziali, e scavalca i sistemi di crittografia delle email utilizzati dalle aziende.
- ↔ Triada – backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.
- ↑ Ztorg– Trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
Nathan Shuchami, Head of Threat Prevention di Check Point, spiega: “Gli attacchi ransomware aumentano per un motivo molto semplice – cioè perché funzionano e generano introiti elevati per gli hacker. Le organizzazioni fanno l’impossibile per far fronte alle minacce di queste insidiose forme d’attacco. Molto spesso, non vengono applicate le difese appropriate, e viene trascurata la formazione dei dipendenti, che quindi non sono aggiornati su come riconoscere i segnali di un potenziale attacco ransomware nascosto in una mail in arrivo. Questi aspetti, naturalmente, non fanno che aumentare l’interesse dei criminali”.
