Il report “Cyber Attack Trends: 2020 Mid-Year” scopre le tecniche per gli attacchi informatici

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo report “Cyber Attack Trends: 2020 Mid-Year” per evidenziare come i criminali informatici  abbiano sfruttato la pandemia e i temi ad essa correlati, al fine di colpire governi, industria,  sanità, fornitori di servizi,  infrastrutture critiche e consumatori.

Gli attacchi di phishing e malware sono cresciuti da meno di 5.000 a settimana, nel mese di febbraio, ad oltre 200.000 a settimana, verso fine aprile. Tra maggio e giugno, inoltre, in Paesi in cui il lockdown è stato allentato, cybercrimes, non legati al COVID-19, sono prolificati in modo esponenziale.

I principali trend rivelati nel report includono:

• Guerra informatica che si intensifica: gli attacchi a livello statale sono incrementati in intensità e gravità, nella prima metà dell’anno, negli Stati che cercavano di raccogliere informazioni sulla gestione della pandemia. Questa situazione si è estesa anche alle organizzazioni sanitarie e umanitarie come l’OMS, che ha segnalato un’espansione del 500% .
• Attacchi a duplice estorsione: nel 2020, si è diffusa una nuova forma di attacco ransomware tramite cui gli aggressori estraggono grandi quantità di dati prima di cifrarli e minacciano di diffonderli se le vittime si rifiutano di pagare il riscatto.
• Sfruttamento del mondo mobile: gli haker, con una tipologia innovativa, hanno utilizzato il sistema Mobile Device Management (MDM), di una grande azienda internazionale, per distribuire malware ad oltre il 75% dei dispositivi gestiti, installando, quindi, applicazioni dannose negli App Store ufficiali.
• Esposizione al cloud: il rapido passaggio al cloud pubblico ha generato un aumento degli attacchi verso i workload sensibili e i dati su cloud. I criminali informatici stanno, inoltre, utilizzando tale infrastruttura per archiviare workload dannosi. A gennaio, i ricercatori di Check Point hanno trovato, per la prima volta, in Microsoft Azure una vulnerabilità critica, che avrebbe permesso agli hacker di compromettere i dati e le applicazioni degli utenti .

Le varianti di malware più comuni durante la prima metà del 2020 sono state:

1. Emotet (con un impatto sul 9% delle aziende a livello globale) – un trojan evoluto e modulare, che si auto diffonde. Utilizzato in passato come banking trojan, Emotet rappresenta un veicolo d’infezione per altri malware o campagne maligne. Si avvale di diversi metodi per mantenere la persistenza e le tecniche di evasione, per eludere i sistemi di rilevamento e può contagiare tramite e-mail di phishing.
2. XMRig (8%) – un mining software open-source CPU, usato per il mining della criptovaluta Monero. Gli hacker spesso sfruttano questo software open-source per condurre attività di mining illegali sui dispositivi delle vittime.
3. Agent Tesla (7%) – un trojan ad accesso remoto avanzato (RAT) che funziona come keylogger o ladro di password ed è venduto in vari mercati online e forum di hacking.
   Attivo dal 2014, AgentTesla è in grado di monitorare e raccogliere gli input dalla tastiera e gli appunti di sistema, di fare screenshot e di estrarre le credenziali da una serie di software installati sul dispositivo della vittima.

I principali criptominer durante la prima metà 2020

1. XMRig (responsabile del 46% di tutte le attività di criptomining a livello globale)

Apparso per la prima volta nel maggio 2017, il software open-source 7XMRig per il mining di CP è utilizzato per il processo della criptovaluta Monero. Gli attori della minaccia spesso integrano questo software nel loro malware.

2. Jsecoin (28%) – un criptominer web-based, progettato per eseguire senza autorizzazione il mining della criptovaluta Monero, quando un utente visita una pagina Web. Il software installato, JavaScript, utilizza una grande quantità di risorse di calcolo per estrarre la valuta, influenzando così le prestazioni del sistema. JSEcoin ha cessato la sua attività nell’aprile 2020.
3. WannaMine (6%) – WannaMine è un sofisticato criptomining worm per Monero, che diffonde l’exploit EternalBlue. Implementandolo, WannaMine, un meccanismo di diffusione e tecniche di resistenza, sfrutta gli abbonamenti permanenti agli eventi di Windows Management Instrumentation (WMI).

I malware mobile più diffusi nella prima metà del 2020

1. xHelper (responsabile del 24% di tutti gli attacchi malware tramite mobile) – un malware per Android che mostra principalmente pubblicità pop-up invadenti e spam di notifica. Se installato, è molto difficile da rimuovere per le sue abilità di reinstallazione. Rilevato per la prima volta nel marzo 2019, xHelper ha infettato più di 45.000 dispositivi.
2. PreAMo (19%) – un clicker malware per dispositivi Android, segnalato per la prima volta nell’aprile 2019. PreAMo genera ricavi simulando l’attività dell’utente e cliccando sugli annunci senza che questo ne sia a conoscenza. Scoperto su Google Play, il malware è stato scaricato oltre 90 milioni di volte su sei diverse app mobile.
3. Necro (14%) – un trojan dropper Android che può scaricare altri malware, mostrare pubblicità invadenti e addebitare in modo fraudolento abbonamenti a pagamento.

I principali malware banking durante il primo semestre del 2020

1. Dridex (responsabile del 27% di tutti gli attacchi di malware bancari) – un trojan baking che prende di mira i PC Windows. Viene trasmesso tramite campagne spam, Exploit Kits e si affida a WebInjects per reindirizzare le credenziali bancarie verso un server remoto, inviare informazioni sul sistema infetto, scaricare ed eseguire moduli aggiuntivi per il controllo.
2. Trickbot (20%) – un trojan banking modulare che si rivolge alla piattaforma Windows ed è per lo più distribuito tramite campagne spam o altre famiglie di malware come Emotet.
3. Ramnit (15%) – un trojan banking modulare, scoperto per la prima volta nel 2010, che sottrae le informazioni delle sessioni web, dando la possibilità di rubare le credenziali di tutti i servizi utilizzati dalla vittima, compresi i conti bancari, i conti aziendali e dei social network.

Il report “Cyber Attack Trends: 2020 Mid-Year” offre, in effetti, una panoramica dettagliata delle minacce informatiche attuali. Questi risultati si basano sui dati provenienti dal sistema di intelligence di Check Point, ThreatCloud ed evidenziano le principali tecniche utilizzate dagli hacker per attaccare le aziende.

(NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo report “Cyber Attack Trends: 2020 Mid-Year” per evidenziare come i criminali informatici  abbiano sfruttato la pandemia e i temi ad essa correlati, al fine di colpire governi, industria,  sanità, fornitori di servizi,  infrastrutture critiche e consumatori.

Gli attacchi di phishing e malware sono cresciuti da meno di 5.000 a settimana, nel mese di febbraio, ad oltre 200.000 a settimana, verso fine aprile. Tra maggio e giugno, inoltre, in Paesi in cui il lockdown è stato allentato, cybercrimes, non legati al COVID-19, sono prolificati in modo esponenziale.

I principali trend rivelati nel report includono:

• Guerra informatica che si intensifica: gli attacchi a livello statale sono incrementati in intensità e gravità, nella prima metà dell’anno, negli Stati che cercavano di raccogliere informazioni sulla gestione della pandemia. Questa situazione si è estesa anche alle organizzazioni sanitarie e umanitarie come l’OMS, che ha segnalato un’espansione del 500% .
• Attacchi a duplice estorsione: nel 2020, si è diffusa una nuova forma di attacco ransomware tramite cui gli aggressori estraggono grandi quantità di dati prima di cifrarli e minacciano di diffonderli se le vittime si rifiutano di pagare il riscatto.
• Sfruttamento del mondo mobile: gli haker, con una tipologia innovativa, hanno utilizzato il sistema Mobile Device Management (MDM), di una grande azienda internazionale, per distribuire malware ad oltre il 75% dei dispositivi gestiti, installando, quindi, applicazioni dannose negli App Store ufficiali.
• Esposizione al cloud: il rapido passaggio al cloud pubblico ha generato un aumento degli attacchi verso i workload sensibili e i dati su cloud. I criminali informatici stanno, inoltre, utilizzando tale infrastruttura per archiviare workload dannosi. A gennaio, i ricercatori di Check Point hanno trovato, per la prima volta, in Microsoft Azure una vulnerabilità critica, che avrebbe permesso agli hacker di compromettere i dati e le applicazioni degli utenti .

Le varianti di malware più comuni durante la prima metà del 2020 sono state:

1. Emotet (con un impatto sul 9% delle aziende a livello globale) – un trojan evoluto e modulare, che si auto diffonde. Utilizzato in passato come banking trojan, Emotet rappresenta un veicolo d’infezione per altri malware o campagne maligne. Si avvale di diversi metodi per mantenere la persistenza e le tecniche di evasione, per eludere i sistemi di rilevamento e può contagiare tramite e-mail di phishing.
2. XMRig (8%) – un mining software open-source CPU, usato per il mining della criptovaluta Monero. Gli hacker spesso sfruttano questo software open-source per condurre attività di mining illegali sui dispositivi delle vittime.
3. Agent Tesla (7%) – un trojan ad accesso remoto avanzato (RAT) che funziona come keylogger o ladro di password ed è venduto in vari mercati online e forum di hacking.
   Attivo dal 2014, AgentTesla è in grado di monitorare e raccogliere gli input dalla tastiera e gli appunti di sistema, di fare screenshot e di estrarre le credenziali da una serie di software installati sul dispositivo della vittima.

I principali criptominer durante la prima metà 2020

1. XMRig (responsabile del 46% di tutte le attività di criptomining a livello globale)

Apparso per la prima volta nel maggio 2017, il software open-source 7XMRig per il mining di CP è utilizzato per il processo della criptovaluta Monero. Gli attori della minaccia spesso integrano questo software nel loro malware.

2. Jsecoin (28%) – un criptominer web-based, progettato per eseguire senza autorizzazione il mining della criptovaluta Monero, quando un utente visita una pagina Web. Il software installato, JavaScript, utilizza una grande quantità di risorse di calcolo per estrarre la valuta, influenzando così le prestazioni del sistema. JSEcoin ha cessato la sua attività nell’aprile 2020.
3. WannaMine (6%) – WannaMine è un sofisticato criptomining worm per Monero, che diffonde l’exploit EternalBlue. Implementandolo, WannaMine, un meccanismo di diffusione e tecniche di resistenza, sfrutta gli abbonamenti permanenti agli eventi di Windows Management Instrumentation (WMI).

I malware mobile più diffusi nella prima metà del 2020

1. xHelper (responsabile del 24% di tutti gli attacchi malware tramite mobile) – un malware per Android che mostra principalmente pubblicità pop-up invadenti e spam di notifica. Se installato, è molto difficile da rimuovere per le sue abilità di reinstallazione. Rilevato per la prima volta nel marzo 2019, xHelper ha infettato più di 45.000 dispositivi.
2. PreAMo (19%) – un clicker malware per dispositivi Android, segnalato per la prima volta nell’aprile 2019. PreAMo genera ricavi simulando l’attività dell’utente e cliccando sugli annunci senza che questo ne sia a conoscenza. Scoperto su Google Play, il malware è stato scaricato oltre 90 milioni di volte su sei diverse app mobile.
3. Necro (14%) – un trojan dropper Android che può scaricare altri malware, mostrare pubblicità invadenti e addebitare in modo fraudolento abbonamenti a pagamento.

I principali malware banking durante il primo semestre del 2020

1. Dridex (responsabile del 27% di tutti gli attacchi di malware bancari) – un trojan baking che prende di mira i PC Windows. Viene trasmesso tramite campagne spam, Exploit Kits e si affida a WebInjects per reindirizzare le credenziali bancarie verso un server remoto, inviare informazioni sul sistema infetto, scaricare ed eseguire moduli aggiuntivi per il controllo.
2. Trickbot (20%) – un trojan banking modulare che si rivolge alla piattaforma Windows ed è per lo più distribuito tramite campagne spam o altre famiglie di malware come Emotet.
3. Ramnit (15%) – un trojan banking modulare, scoperto per la prima volta nel 2010, che sottrae le informazioni delle sessioni web, dando la possibilità di rubare le credenziali di tutti i servizi utilizzati dalla vittima, compresi i conti bancari, i conti aziendali e dei social network.

Il report “Cyber Attack Trends: 2020 Mid-Year” offre, in effetti, una panoramica dettagliata delle minacce informatiche attuali. Questi risultati si basano sui dati provenienti dal sistema di intelligence di Check Point, ThreatCloud ed evidenziano le principali tecniche utilizzate dagli hacker per attaccare le aziende.