Negli ultimi sei mesi i cyber-criminali hanno colpito le organizzazioni utilizzando malware di cryptomining per ottenere guadagni illegali; allo stesso tempo, le infrastrutture cloud sembrano essere un obiettivo in crescita per la community hacker. Questo è ciò che emerge nel “Cyber Attack Trends: 2018 Mid-Year Report” di Check Point Software Technologies.
Tra gennaio e giugno 2018, il numero di organizzazioni coinvolte dagli attacchi malware è raddoppiato rispetto al 20,5% nella seconda metà del 2017, arrivando a quota 42% nei primi 6 mesi del 2018. I malware di cryptomining consentono ai criminali informatici di dirottare la potenza della CPU o della GPU della vittima – utilizzandone fino al 65% – per estrarre la criptovaluta. Le prime tre varianti di malware più diffuse nel primo semestre del 2018 erano tutte cryptominer.
Check Point ha inoltre rilevato un numero crescente di attacchi, rivolti alle infrastrutture cloud. Con le organizzazioni che trasferiscono sempre più dati e informazioni in ambienti di questo tipo, i criminali cercano di sfruttare la vasta potenza computazionale del cloud puntando a moltiplicare i loro profitti in modo illegale.
Questo report offre una panoramica dettagliata dei trend delle minacce informatiche nelle principali categorie di malware: cryptominer, ransomware, banking e mobile. Questi risultati si basano sui dati tratti dalla ThreatCloud intelligence di Check Point, tra gennaio e giugno 2018, evidenziando le tattiche chiave utilizzate dai criminali informatici per attaccare le aziende.
I principali trend dei malware da gennaio a giugno 2018
Durante questo periodo, i ricercatori di Check Point hanno rilevato una serie di tendenze chiave dei malware tra cui:
- I cryptominer si evolvono – Nel 2018, sono stati aggiornati notevolmente, diventando più sofisticati e persino più dannosi. Motivati dal chiaro interesse di aumentare la percentuale di risorse sfruttate ed essere ancora più redditizi, i cryptominer oggi prendono di mira tutto ciò che si trovano davanti. Di recente si sono evoluti per sfruttare vulnerabilità di alto profilo e per eludere reti e prodotti di sicurezza, col fine di espandere le infezioni informatiche.
- Gli hacker si spostano verso il cloud – Nel corso di quest'anno, sono state utilizzate numerose tecniche e strumenti sofisticati per colpire i cloud storage service. Diversi attacchi ai cloud, principalmente quelli che coinvolgono il furto di dati e la divulgazione di informazioni, sono resi possibili da pratiche di scarsa sicurezza, come il fatto di rendere disponibili le credenziali su repository di codice sorgente pubblico o l'uso di password deboli. I cryptominer, inoltre, si rivolgono sempre più alle infrastrutture cloud per sfruttare la loro potenza computazionale e moltiplicare i profitti.
- Attacchi multipiattaforma in aumento – Fino alla fine del 2017, i malware multipiattaforma erano rari. Tuttavia, l'aumento del numero di dispositivi consumer connessi e la crescente quota di mercato dei sistemi operativi “non-Windows” ha portato a un aumento dei malware multipiattaforma. I criminali informatici hanno implementato diverse tecniche per prendere il controllo delle diverse piattaforme infette delle campagne
- Mobile malware diffusi attraverso la supply chain- Nella prima metà dell’anno, si sono verificati diversi episodi in cui il malware mobile non è stato scaricato da un URL malevolo, ma è arrivato già installato all'interno del dispositivo. Inoltre, sono aumentate le app presenti negli store, che in realtà erano malware sotto mentite spoglie, tra cui banking trojan, adware e sofisticati remote access trojan (RAT).
I malware più diffusi nella prima metà del 2018:
- Coinhive (30%) – un malware progettato per estrarre la criptovaluta Monero, quando un utente visita una pagina Web, senza la sua approvazione. Coinhive è emerso solo a settembre 2017, ma ha colpito il 12% delle organizzazioni mondiali.
- Cryptoloot (23%) – un malware JavaScript progettato per estrarre la criptovaluta Monero, quando un utente visita una pagina Web, senza la sua approvazione.
- JSEcoin (17%) – un malware web-based progettato per estrarre la criptovaluta Monero, quando un utente visita una pagina Web, senza la sua approvazione.
I ransomware più diffusi nella prima metà del 2018:
- Locky (40%) – ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
- WannaCry (35%) – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.
- Globeimposter (8%) – viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l'estensione .crypt a ciascun file crittografato.
I malware mobile più diffusi nella prima metà del 2018:
- Triada (51% – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell'identità.
- Lokibot (19%) – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
- Hiddad (10%) – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
I malware bancari più diffusi nella prima metà del 2018:
- Ramnit (29%) – un trojan bancario che ruba credenziali bancarie, le password FTP, i cookie della sessione e i dati personali.
- Dorkbot (22%) – un trojan bancario che ruba le credenziali della vittima tramite web-injects, che si attiva quando l'utente tenta di accedere al proprio sito web bancario.
- Zeus (14%) – un trojan che colpisce le piattaforme Windows e spesso le utilizza per rubare informazioni bancarie tramite attacchi man-in-the-browser di tipo keystroke logging e acquisizione dei moduli.
I dati di questo report, si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce, relativa al periodo gennaio-giugno 2018. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.