Il report di Check Point mostra le tendenze dei malware che hanno colpito reti e dispositivi mobili nella seconda metà dello scorso anno

cyber attack

Secondo il report H2 2016 Global Threat Intelligence Trends di Check Point Software Technologies, gli attacchi ransomware nel secondo semestre dell’anno scorso sono raddoppiati. Tra tutti gli attacchi malware denunciati nel mondo, la percentuale dei ransomware è passata dal 5,5% al 10,5%, il tutto tra luglio e dicembre.

Il report evidenzia le tecniche principali che i cybercriminali stanno utilizzando per attaccare le aziende e offre uno spaccato dettagliato sul panorama delle minacce informatiche divise secondo le principali tipologie di malware – ransomware – minacce bancarie e dispositivi mobili. Si basa sui dati della ThreatCloud Map che si avvale dell’intelligence ThreatCloud di Check Point, relativi al periodo luglio – dicembre 2016.

I principali malware del secondo semestre 2016:

  1. Conficker (14.5%) – Worm che consente operazioni da remoto e download di ulteriori malware. La macchina infetta viene controllata da una botnet, che contatta il server Command & Control, pronto a ricevere istruzioni.
  2. Sality (6.1%) – Virus che consente operazioni da remoto e download di ulteriori minacce sui sistemi infetti. Il suo obiettivo principale è infiltrarsi in un sistema e offrire mezzi per il controllo da remoto, e installare così nuovi malware.
  3. Cutwail (4.6%) – Botnet utilizzata soprattutto per inviare email di spam e per perpetrare attacchi DDOS. Una volta installata, si connette direttamente al server command and control, e riceve istruzioni riguardo le email da inviare. Dopo l’esecuzione, la bot invia allo spammer statistiche precise riguardo le attività.
  4. JBossjmx (4.5%) – Worm che prende di mira i sistemi con una variante vulnerabile di JBoss Application Server. Il malware crea una pagina JSP malevola su sistemi vulnerabili, che poi esegue comandi arbitrari. Inoltre, crea un’altra backdoor che accetta comandi da un server IRC remoto.
  5. Locky (4.3%) – Ransomware che ha iniziato a circolare a febbraio 2016, si diffonde soprattutto attraverso email di spam che contengono un downloader mascherato da un file allegato in formato Word o Zip, che, in seguito, scarica e installa il malware, che a sua volta crittografa i file dell’utente.

I principali ransomware del secondo semestre 2016:

La percentuale di attacchi ransomware, rispetto a tutti gli attacchi riconosciuti a livello mondiale, nel secondo semestre del 2016 è quasi raddoppiata, passando da 5,5% a 10,5%. Le varianti più diffuse sono state: 

  1. Locky 41% – Terzo tra i ransomware più diffusi nel primo semestre, nella seconda parte dell’anno ha aumentato la diffusione a macchia d’olio.
  2. Cryptowall 27% – Ransomware che ha iniziato a circolare come il sosia di Cryptolocker, riuscendo persino a superarlo. Dopo aver superato Cryptolocker, Cryptowall si è affermato come uno dei ransomware dominanti finora. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché le comunicazioni C&C si svolgono sulla rete anonima Tor. Viene distribuito soprattutto attraverso exploit kit, adv malevoli e campagne di phishing.
  3. Cerber 23% – Il servizio ransomware-as-a-service più articolato al mondo.  Cerber funziona in modalità franchising, infatti gli sviluppatori reclutano gli affiliati, che diffondono malware in cambio di un dividendo dei profitti.

I principali malware mobili del secondo semestre 2016:

  1. Hummingbad 60% – Malware Android scoperto per la prima volta dal team di ricercatori di Check Point, che installa nel dispositivo un rootkit persistente, applicazioni fraudolente e, con poche modifiche, potrebbe consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, oltre a scavalcare i metodi di crittografia delle email usati dalle aziende.
  2. Triada 9% – Backdoor modulare per Android che offre permessi maggiori rispetto all’utente, per scaricare malware, e contribuisce a farli infiltrare tra le procedure di sistema. Triada, inoltre, è in grado di imitare le URL caricate su un browser.
  3. Ztorg 7% – Trojan che sfrutta permessi root per scaricare e installare applicazioni su dispositivi mobili all’oscuro dell’utente.

 I principali malware bancari:

  1. Zeus 33% – Trojan che colpisce le piattaforme Windows, spesso usato per rubare credenziali bancarie con attacchi man-in-the-browser, keylogger e esfiltrando dati dai documenti.
  2. Tinba 21% – Trojan bancario che ruba le credenziali alla vittima con web-injection, che si attiva quando l’utente cerca di accedere al sito della propria banca.
  3. Ramnit 16% – Trojan bancario che ruba credenziali, password FTP, cookie di sessione e dati personali.

Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “Questo report dimostra che l’ecosistema informatico odierno è caratterizzato da attacchi ransomware sempre più frequenti. Il motivo di questa diffusione è che funzionano, assicurando introiti importanti agli hacker. Per far fronte a questa minaccia, le organizzazioni arrancano: molte, infatti, non sono dotate delle giuste misure, e potrebbero essere manchevoli anche riguardo la formazione dei dipendenti su come riconoscere i segnali di un potenziale attacco ransomware che si cela in una mail in entrata.”

“Inoltre, i dati dimostrano che un gruppo ristretto di varianti è responsabile della maggior parte degli attacchi, e migliaia di altre varianti restano invece quasi sconosciute”, prosegue Horowitz. “La maggior parte delle minacce informatiche è globale e trasversale alle diverse regioni, eppure la regione APAC balza all’occhio, perché racchiude tra le varianti più diffuse in loco, 5 tipologie che non appaiono altrove”.

 

Articoli correlatiAltro dello stesso autore