L’intelligence delle minacce riferite al primo trimestre del 2018 ha rilevato che il 98.8% delle varianti di malware Linux/Downloader apparentemente comuni sono state progettate per rilasciare un noto miner di criptovaluta basato su Linux. Lo rivela il nuovo Internet Security Report di WatchGuard Technologies, produttore di soluzioni di sicurezza di rete avanzate.
Questo è solo uno dei tanti segnali che indicano come il malware crypto-mining stia diventando una tattica molto usata tra i criminali informatici. Il report completo descrive i meccanismi di rilascio di questi attacchi crypto-miner ed esplora altre minacce alla sicurezza prevalenti rivolte alle piccole e medie imprese (PMI) e alle imprese distribuite.
"Il nostro Threat Lab ha scoperto diversi indicatori che suggeriscono che i crypto miner malevoli stanno diventando un pilastro importante negli arsenali dei criminali informatici e continueranno a diventare più dominanti nel secondo trimestre – ha affermato Corey Nachreiner, Chief Technology Officer di WatchGuard Technologies -. Mentre il ransomware e altre minacce avanzate rappresentano ancora una delle maggiori preoccupazioni, questi nuovi attacchi crypto-miner dimostrano che i criminali stanno costantemente adattando le loro tattiche per trovare nuovi modi per approfittare delle loro vittime. Di fatto, ancora una volta nel primo trimestre, abbiamo visto che quasi la metà di tutti i malware supera le soluzioni antivirus basate su firme a causa di vari metodi di offuscamento. Le organizzazioni possono proteggersi da queste minacce sofisticate ed evasive implementando difese in grado di garantire una prevenzione avanzata dal malware come il nostro servizio APT Blocker ".
L’Internet Security Report di WatchGuard fornisce aggiornamenti approfonditi sulle più diffuse minacce di ogni trimestre, insieme alle principali raccomandazioni per la difesa che le PMI possono mettere in pratica per proteggersi. I risultati si basano su dati provenienti da decine di migliaia di appliance Firebox UTM attive nel mondo. Di seguito sono elencati i punti salienti relativi al report per il Q1 del 2018:
- I miner di criptovaluta sono in crescita. Nell'elenco di WatchGuard delle prime 25 varianti di malware sono apparsi per la prima volta diversi miner di criptovaluta. Le appliance Firebox hanno una regola chiamata Linux/Downloader che cattura una varietà di programmi Linux "dropper" o "downloader" che scaricano ed eseguono payloads malware. Di solito questi dropper scaricano una vasta gamma di malware, ma nel primo trimestre del 2018, il 98,8% delle istanze di Linux/Downloader stava tentando di scaricare lo stesso famoso crypto miner basato su Linux. Ciò che è emerso finora in Q2 fa presagire che il malware crypto-miner rimarrà nella lista delle prime 25 varianti di malware di WatchGuard e potrebbe addirittura entrare tra le prime 10.
- Il trojan Ramnit fa il suo ritorno in Italia. L'unico modello di malware nella top 10 di WatchGuard che non era mai apparso in un precedente rapporto è Ramnit, un trojan che è emerso per la prima volta nel 2010 e ha avuto un breve risveglio nel 2016. Quasi tutti i rilevamenti Ramnit di WatchGuard provengono dall'Italia (98.9%), il che indica una campagna di attacco mirata. Poiché le versioni precedenti di Ramnit hanno preso di mira le credenziali bancarie, WatchGuard consiglia agli italiani di prendere ulteriori precauzioni per le loro informazioni bancarie e di abilitare l'autenticazione a più fattori per qualsiasi account finanziario.
- Per la prima volta, la regione APAC segnala il volume di malware più elevato. Nei rapporti precedenti, l'APAC ha seguito con un ampio margine EMEA e AMER nel numero di hit malware segnalati. Nel primo trimestre del 2018, l'APAC ha ricevuto nel complesso il maggior numero di malware. La stragrande maggioranza di questi attacchi era costituita da malware basati su Windows e il 98% era destinato a India e Singapore.
- Quasi la metà di tutto il malware elude le soluzioni antivirus di base (AV). Le appliance WatchGuard UTM bloccano il malware utilizzando le tecniche tradizionali di rilevamento basate sulle firme e una soluzione di rilevamento comportamentale moderna e proattiva – APT Blocker. Quando APT Blocker rileva una variante di malware, significa che le firme AV legacy non l’hanno intercettata. Questo malware zero day (termine per connotare il malware che è in grado di eludere l'AV tradizionale basato su firma) ha rappresentato il 46% di tutto il malware in Q1. Questo livello di malware zero day suggerisce che i criminali continuano a utilizzare tecniche di offuscamento per superare i servizi AV tradizionali, confermando l'importanza delle difese basate sul comportamento.
- Mimikatz punta agli Stati Uniti, salta l'Asia Pacifico. Il malware per il furto delle credenziali di Windows di Mimikatz è riapparso nell'elenco dei 10 principali malware stilato da WatchGuard dopo diversi trimestri di assenza. Due terzi del rilevamento di questo malware si sono concentrati negli Stati Uniti e meno dello 0,1% dei rilevamenti in APAC, probabilmente a causa della complessità dei caratteri a doppio byte in paesi come il Giappone che utilizzano un linguaggio basato su simboli per le password.
L’Internet Security Report completo presenta una ripartizione dettagliata dell'attacco da record GitHub 1.35 Tbps DDoS, oltre all'analisi dei principali attacchi malware e di rete del trimestre e tattiche chiave di difesa per le PMI.
Le conclusioni relative al Q1 2018 si basano su dati in forma anonima di Firebox Feed provenienti da più di 40,000 appliance WatchGuard Firebox attive nel mondo, che hanno bloccato più di 23 milioni di varianti malware (628 per ogni appliance) e oltre 10 milioni di attacchi di rete (278 per appliance) in Q1 2018.