I crypto miner malevoli stanno diventando un pilastro del cyber crime, e diventaranno ancora più importanti nel secondo trimestre

Cryptojacking: malware cryptominer in crescita del 25% nel 2020

È disponibile l’ultimo Internet Security Report di WatchGuard, relativo alle minacce riscontrate nel primo trimestre del 2018. Il report ha rilevato che il 98.8% delle varianti di malware Linux/Downloader apparentemente comuni sono state progettate per rilasciare un noto miner di criptovaluta basato su Linux. Questo è solo uno dei tanti segnali che indicano come il malware crypto-mining stia diventando una tattica molto usata tra i criminali informatici. Il report completo descrive i meccanismi di rilascio di questi attacchi crypto-miner ed esplora altre minacce alla sicurezza prevalenti rivolte alle piccole e medie imprese (PMI) e alle imprese distribuite.

“Il nostro Threat Lab ha scoperto diversi indicatori che suggeriscono che i crypto miner malevoli stanno diventando un pilastro importante negli arsenali dei criminali informatici e continueranno a diventare più dominanti nel secondo trimestre”, ha affermato Corey Nachreiner, Chief Technology Officer di WatchGuard Technologies. “Mentre il ransomware e altre minacce avanzate rappresentano ancora una delle maggiori preoccupazioni, questi nuovi attacchi crypto-miner dimostrano che i criminali stanno costantemente adattando le loro tattiche per trovare nuovi modi per approfittare delle loro vittime. Di fatto, ancora una volta nel primo trimestre, abbiamo visto che quasi la metà di tutti i malware supera le soluzioni antivirus basate su firme a causa di vari metodi di offuscamento. Le organizzazioni possono proteggersi da queste minacce sofisticate ed evasive implementando difese in grado di garantire una prevenzione avanzata dal malware come il nostro servizio APT Blocker.”

L’Internet Security Report di WatchGuard fornisce aggiornamenti approfonditi sulle più diffuse minacce di ogni trimestre, insieme alle principali raccomandazioni per la difesa che le PMI possono mettere in pratica per proteggersi. I risultati si basano su dati provenienti da decine di migliaia di appliance Firebox UTM attive nel mondo. Di seguito sono elencati i punti salienti relativi al report per il Q1 del 2018:

  • I miner di criptovaluta sono in crescita. Nell’elenco di WatchGuard delle prime 25 varianti di malware sono apparsi per la prima volta diversi miner di criptovaluta. Le appliance Firebox hanno una regola chiamata Linux/Downloader che cattura una varietà di programmi Linux “dropper” o “downloader” che scaricano ed eseguono payloads malware. Di solito questi dropper scaricano una vasta gamma di malware, ma nel primo trimestre del 2018, il 98,8% delle istanze di Linux/Downloader stava tentando di scaricare lo stesso famoso crypto miner basato su Linux. Ciò che è emerso finora in Q2 fa presagire che il malware crypto-miner rimarrà nella lista delle prime 25 varianti di malware di WatchGuard e potrebbe addirittura entrare tra le prime 10.
  • Il trojan Ramnit fa il suo ritorno in Italia. L’unico modello di malware nella top 10 di WatchGuard che non era mai apparso in un precedente rapporto è Ramnit, un trojan che è emerso per la prima volta nel 2010 e ha avuto un breve risveglio nel 2016. Quasi tutti i rilevamenti Ramnit di WatchGuard provengono dall’Italia (98.9%), il che indica una campagna di attacco mirata. Poiché le versioni precedenti di Ramnit hanno preso di mira le credenziali bancarie, WatchGuard consiglia agli italiani di prendere ulteriori precauzioni per le loro informazioni bancarie e di abilitare l’autenticazione a più fattori per qualsiasi account finanziario.
  • Per la prima volta, la regione APAC segnala il volume di malware più elevato. Nei rapporti precedenti, l’APAC ha seguito con un ampio margine EMEA e AMER nel numero di hit malware segnalati. Nel primo trimestre del 2018, l’APAC ha ricevuto nel complesso il maggior numero di malware. La stragrande maggioranza di questi attacchi era costituita da malware basati su Windows e il 98% era destinato a India e Singapore.
  • Quasi la metà di tutto il malware elude le soluzioni antivirus di base (AV). Le appliance WatchGuard UTM bloccano il malware utilizzando le tecniche tradizionali di rilevamento basate sulle firme e una soluzione di rilevamento comportamentale moderna e proattiva – APT Blocker. Quando APT Blocker rileva una variante di malware, significa che le firme AV legacy non l’hanno intercettata. Questo malware zero day (termine per connotare il malware che è in grado di eludere l’AV tradizionale basato su firma) ha rappresentato il 46% di tutto il malware in Q1. Questo livello di malware zero day suggerisce che i criminali continuano a utilizzare tecniche di offuscamento per superare i servizi AV tradizionali, confermando l’importanza delle difese basate sul comportamento.
  • Mimikatz punta agli Stati Uniti, salta l’Asia Pacifico. Il malware per il furto delle credenziali di Windows di Mimikatz è riapparso nell’elenco dei 10 principali malware stilato da WatchGuard dopo diversi trimestri di assenza. Due terzi del rilevamento di questo malware si sono concentrati negli Stati Uniti e meno dello 0,1% dei rilevamenti in APAC, probabilmente a causa della complessità dei caratteri a doppio byte in paesi come il Giappone che utilizzano un linguaggio basato su simboli per le password.