Il recente Report McAfee Labs sulle minacce: giugno 2018 analizza andamento e tendenze di nuovi malware, ransomware e altre minacce informatiche nel primo trimestre del 2018. I risultati hanno rivelato, in media, cinque nuovi campioni di minacce al secondo. La crescita del cryptojacking e di altri malware volti a guadagnare tramite il mining di criptovalute e campagne di alto profilo dimostrano inoltre una volontà deliberata di perfezionare tecnicamente gli attacchi più sofisticati del 2017.
“In questo trimestre sono venuti alla luce nuovi casi di complesse campagne di attacco informatico da parte di Stati Nazioni contro utenti e sistemi aziendali a livello globale”, ha dichiarato Raj Samani, chief scientist di McAfee. “I ‘cattivi’ hanno dimostrato un notevole livello di ‘agilità’ tecnica e di innovazione negli strumenti e nelle tattiche utilizzati. I criminali hanno continuato a fare ricorso al mining di criptovalute per monetizzare facilmente la loro attività criminale.”
I criminali informatici hanno iniziato a sfruttare nuove tecniche di attacco, come il criptojacking e altri sistemi di estrazione di valuta virtuale, dirottando i browser delle vittime o infettando i loro sistemi per usarli a loro insaputa per ‘minare’ cryptovlauta legittima, come i Bitcoin. Questa categoria di malware per ‘estrarre’ moneta elettronica è cresciuta del 629% nel primo trimestre del 2018, passando da circa 400.000 campioni noti nel quarto trimestre 2017 a oltre 2,9 milioni nel trimestre successivo. Ciò suggerisce che i criminali informatici stiano cercando di infettare in modo sempre più semplice i sistemi degli utenti e di riscuotere pagamenti senza dover prevedere altri passaggi per monetizzare.
“I criminali informatici continuano e continueranno a prediligere attività criminali che massimizzano il loro profitto”, ha dichiarato Steve Grobman, Chief Technology Officer di McAfee. “Negli ultimi trimestri abbiamo assistito al passaggio dal furto di dati al ransomware, dal momento che si è rivelato più efficiente e remunerativo. Con l’aumento del valore delle criptovalute, l’andamento del mercato spinge i criminali verso il cripto-jacking e il furto di criptovaluta. La criminalità informatica è un’attività economica e sarà sempre l’andamento del mercato a indicare dove gli avversari concentreranno i loro sforzi.”
Campagne di furto di bitcoin
Il gruppo di criminali informatici Lazarus ha lanciato una campagna di phishing molto sofisticata per il furto di Bitcoin-HaoBao – indirizzata alle organizzazioni finanziarie globali e ai detentori di Bitcoin. Quando i destinatari aprono allegati di posta elettronica dannosi, un ‘impianto’ esegue una scansione per verificare l’attività Bitcoin e stabilisce un impianto per la raccolta continua dei dati e il mining di criptovaluta.
Gold Dragon e gli attacchi alla Corea del Sud
Nel mese di gennaio, McAfee Advanced Threat Research ha riferito di un attacco rivolto alle organizzazioni coinvolte nelle Olimpiadi Invernali di Pyeongchang, in Corea del Sud. L’attacco è stato eseguito tramite un allegato Microsoft Word dannoso contenente uno script in grado di installare PowerShell all’insaputa dell’utente. Lo script è stato inserito in un file di immagine ed eseguito da un server remoto. Il cosiddetto Gold Dragon, la minaccia fileless che ne risultava, ha inviato i dati ai server di comando e controllo degli aggressori, ha svolto funzioni di ricognizione e monitorato le soluzioni anti-malware per eluderle.
Hidden Cobra: GhostSecret e Bankshot
L’operazione GhostSecret è stata indirizzata contro i settori della sanità, della finanza, dell’intrattenimento e delle telecomunicazioni. Si ritiene che l’operazione GhostSecret sia associata al gruppo internazionale di criminali informatici noto come Hidden Cobra. La campagna, che utilizza una serie di impianti per appropriarsi dei dati provenienti dai sistemi infetti, si caratterizza anche per la sua capacità di eludere il rilevamento e di non farsi rilevare dagli esperti di indagini forensi. L’ultima variante di GhostSecret, Bankshot, utilizza un exploit di Adobe Flash per consentire l’esecuzione degli impianti. Inoltre include elementi del malware Destover, utilizzato nell’attacco Sony Pictures del 2014, e l’impianto Proxysvc, un impianto precedentemente non documentato che opera senza essere stato rilevato dalla metà del 2017.
Incidenti di sicurezza per settore
Nel primo trimestre del 2018, McAfee Labs ha registrato 313 incidenti di sicurezza resi noti pubblicamente, con un aumento del 41% rispetto al quarto trimestre dello scorso anno. i principali tipi di incidenti nel primo trimestre hanno coinvolto più settori (37) o hanno interessato più regioni (120).
- Sanità. Gli incidenti segnalati nel settore sanità sono aumentati del 47%. I cybercriminali hanno continuato a colpire il settore con il Ransomware SAMSA, e sono stati numerosi i casi di ospedali costretti a pagare i criminali.
- Formazione. Gli attacchi al settore dell’istruzione sono aumentati del 40%, laddove il ransomware è stato la principale causa degli attacchi contro le scuole e le istituzioni collegate.
- Finanza. Gli incidenti segnalati in questo settore sono aumentati del 39%, con molteplici attacchi al sistema bancario SWIFT. Questi attacchi non sono stati sempre specifici per regione, come negli anni precedenti, ma McAfee ha identificato attività in Russia con relative campagne estese anche a Turchia e Sud America.
Dati sull’andamento delle minacce nel primo trimestre 2018
Nel primo trimestre del 2018, McAfee Labs ha registrato, in media, cinque nuovi campioni di malware al secondo, comprese minacce che indicano notevoli sviluppi nella padronanza delle tecniche e che migliorano le più recenti tecnologie e tattiche di successo per superare le difese dei propri bersagli.
- Da PowerShell a LNK. Mentre gli attacchi PowerShell hanno subito un rallentamento dopo l’impennata del 2017, i criminali informatici si sono indirizzati allo sfruttamento di altre tecnologie benigne. Il numero totale di malware che sfruttano le funzionalità LNK è aumentato del 59% rispetto al trimestre precedente.
- Da Locky a Gandcrab. Sebbene la crescita dei nuovi ransomware sia rallentata del 32% nel primo trimestre del 2018, il ceppo di Gandcrab ha infettato circa 50.000 sistemi nelle prime tre settimane del trimestre, prendendo il posto delle varianti del ransomware Locky tra i più diffusi del trimestre. Gandcrab utilizza nuove metodologie criminali, come la transazione dei pagamenti di riscatto attraverso la criptovaluta Dash o Bitcoin.
- Malware. Il numero totale di campioni di malware è cresciuto del 37% negli ultimi quattro trimestri, raggiungendo oltre 734 milioni di campioni.
- Mobile malware. Negli ultimi quattro trimestri il numero totale di campioni di malware mobile noti è cresciuto del 42%. Le infezioni globali dei dispositivi mobili sono diminuite del 2%; l’Africa ha registrato il tasso più elevato, pari al 15%.
