È stato recentemente pubblicato un nuovo report sulle cyber minacce, che esamina la crescita e le tendenze di nuovi malware, ransomware e altre minacce individuate nel corso del quarto trimestre 2017. McAfee Labs, autore della ricerca, ha rilevato in media otto nuovi campioni di minacce al secondo e un crescente ricorso ad attacchi malware fileless che sfruttano Microsoft PowerShell. Inoltre, l’aumento del valore dei Bitcoin registrato nel quarto trimestre ha spinto i criminali informatici a interessarsi al sequestro delle valute virtuali utilizzando vari metodi, incluse app dannose su Android.
“Il quarto trimestre è stato caratterizzato da una rapida adozione da parte dei criminali informatici di nuovi strumenti e schemi di attacco, come il malware fileless, il mining delle criptovalute e la steganografia. Tattiche comprovate e collaudate come le campagne di ransomware sono state impiegate in modo diverso dal solito, come per depistare e distrarre i difensori dai veri attacchi”, ha dichiarato Raj Samani, McAfee Fellow e Chief Scientist. “La collaborazione e lo scambio di informazioni senza preclusioni rimangono di fondamentale importanza per migliorare le difese contro gli attacchi, mentre i responsabili della sicurezza si devono impegnare a combattere l’escalation di una guerra informatica quanto mai impari”.
Ogni trimestre, McAfee Labs analizza il panorama delle minacce informatiche sulla base dei dati raccolti dalla dashboard cloud McAfee Global Threat Intelligence, analizzando centinaia di milioni di sensori e svariati vettori di minacce a livello globale. Inoltre, McAfee Advanced Threat Research integra i dati di McAfee Labs fornendo un’analisi investigativa approfondita degli attacchi hacker provenienti da tutto il mondo. Di seguito i ptincipali risultati dell’indagine.
I criminali informatici adottano nuove strategie e tattiche
Nel corso del quarto trimestre 2017 i criminali informatici hanno iniziato a specializzarsi, poiché un numero significativo di attori ha intrapreso nuove attività criminali con l’obiettivo di generare nuovi flussi di reddito. Ad esempio, l’aumento del valore dei Bitcoin li ha indotti ad arricchirsi con campagne di ransomware, o a dirottare portafogli di Bitcoin e Monero. I ricercatori hanno inoltre individuato applicazioni Android sviluppate esclusivamente con lo scopo di “minare” – ovvero generare nuove monete di criptovaluta – e ha osservato le discussioni nei forum del dark web che suggerivano di utilizzare Litecoin, in quanto più sicuro rispetto a Bitcoin, con meno probabilità di essere esposti al rischio.
I criminali informatici hanno continuato anche a fare ricorso al malware fileless in grado di sfruttare Microsoft PowerShell, che si è rivelato un set di strumenti pronto da utilizzare per i criminali informatici e che ha registrato un aumento del 432% nel corso del 2017. Il linguaggio di scripting è stato utilizzato all’interno dei file Microsoft Office per eseguire la prima fase degli attacchi.
Il settore della sanità è un obiettivo caldo
Sebbene nel quarto trimestre del 2017 gli incidenti di sicurezza che hanno avuto per bersaglio il settore sanità siano diminuiti del 78%, guardando al 2017 nel suo complesso, il settore ha registrato un drastico aumento di attacchi pari al 210%. Le indagini hanno rilevato che molti incidenti si sono verificati perché le aziende sanitarie non sono in linea con le best practice di sicurezza e non pongono rimedio alle vulnerabilità note nel software medicale.
Gli analisti hanno analizzato i possibili vettori di attacco legati ai dati sanitari che possono esporre immagini sensibili e software vulnerabili. Mettendo insieme questi vettori d’attacco, gli analisti sono stati in grado di ricostruire le parti del corpo del paziente e stampare modelli tridimensionali.
“Il settore della Sanità è un obiettivo prezioso per i cybercriminali che hanno messo da parte l’etica a favore dei profitti”, ha dichiarato Christiaan Beek, Lead Scientist and Senior Principal Engineer di McAfee. “I nostri ricercatori hanno scoperto vulnerabilità tipiche nei software e problemi di sicurezza, come password inserite nel codice hardware, esecuzione remota del codice, firmware senza firma e altro ancora. Sia le aziende sanitarie che gli sviluppatori devono essere più vigili in modo da essere conformi con le più aggiornate best practice di sicurezza.”
Dati sull’andamento delle minacce nel quarto trimestre 2017
Malware fileless. Nel quarto trimestre la crescita del malware basato su JavaScript ha continuato a rallentare con un calo del 9% di nuovi campioni, mentre è più che triplicato il nuovo malware PowerShell, con una crescita del 267%.
Incidenti di sicurezza. Nel quarto trimestre McAfee Labs ha rilevato 222 incidenti di sicurezza divulgati pubblicamente, con un calo del 15% rispetto al trimestre precedente. Il 30% di tutti gli incidenti di sicurezza resi pubblici nel quarto trimestre si è verificato nelle Americhe, seguite dal 14% in Europa e dall’11% in Asia.
Obiettivi verticali. Il settore pubblico, finanziario, sanitario e dell’istruzione sono stati protagonisti di “incidenti verticali” nel settore della sicurezza nel 2017.
- Sanità. Gli incidenti segnalati hanno registrato un’impennata nel 2017, con un aumento del 210%, mentre nel quarto trimestre sono diminuiti del 78%.
- Settore pubblico. Gli incidenti denunciati sono diminuiti del 15% nel 2017 e del 37% nel T4.
- Istruzione. Gli incidenti segnalati sono aumentati del 125% nel 2017, anche se sono rimasti invariati nel quarto trimestre.
- Finanza. Gli incidenti denunciati sono aumentati del 16% nel 2017, con un calo del 29% nel quarto trimestre.
Obiettivi regionali
- Americhe. Gli incidenti denunciati sono aumentati del 46% nel 2017, con un calo del 46% nel quarto trimestre.
- Asia. Gli incidenti denunciati sono diminuiti del 58% nel 2017, con un aumento del 28% nel quarto trimestre.
- Europa. Gli incidenti denunciati sono diminuiti del 20% nel 2017, con un aumento del 18% nel quarto trimestre.
- Oceania. Gli incidenti denunciati sono aumentati del 42% nel 2017, con un calo del 33% nel quarto trimestre.
Vettori di attacco. Nel quarto trimestre e nel 2017 a livello complessivo, il malware è stato il principale vettore di attacco, seguito dal sequestro di account, fuoriuscita di dati, denial of service distribuito (DDoS) e inserimento di codice maligno.
Ransomware. L’ultimo trimestre dell’anno ha visto notevoli successi nel settore della sicurezza e nell’applicazione della legge contro i criminali informatici responsabili delle campagne ransomware. I nuovi campioni di ransomware sono cresciuti del 59% negli ultimi quattro trimestri, mentre nel quarto trimestre la crescita è rallentata assestandosi al 35%. Il numero totale di campioni di ransomware è aumentato del 16% nell’ultimo trimestre, raggiungendo il totale di 14,8 milioni di campioni.
Malware mobile. Il nuovo malware mobile è diminuito del 35% rispetto al trimestre precedente. Il totale di malware mobile registrato nel 2017 ha segnato un aumento del 55%, mentre i nuovi campioni sono diminuiti del 3%.
Malware complessivo. Nel corso del quarto trimestre, i nuovi campioni di malware sono aumentati del 32%. Il numero totale di campioni di malware è cresciuto del 10% negli ultimi quattro trimestri.
Malware Mac. I nuovi campioni di malware Mac OS sono aumentati del 24% nel quarto trimestre. Nel 2017 il malware Mac OS è cresciuto complessivamente del 58%.
Malware delle macro. I nuovi malware delle macro sono aumentati del 53% nel quarto trimestre del 2017 e sono diminuiti del 35% nel 2017.
Campagne di spam. Il 97% del traffico delle botnet di spam nel quarto trimestre è stato alimentato da Necurs – recente protagonista di invii di spam a tema “lonely girl”, spam finanziario a schema “pump and dump” e downloader del ransomware Locky – e da Gamut – mittente di email di phishing focalizzato su offerte di lavoro e di assunzione dei cosiddetti ‘money mule’.
