I criminali informatici prendono sempre più di mira le vulnerabilità dei server privi di patch per infettarli con malware di cryptomining. Lo rivela il Global Threat Index di Check Point Software Technologies relativo al mese di aprile.
Aprile è stato il quarto mese consecutivo che ha visto i malware di cryptomining dominare il Top Ten Most Wanted Malware Index di Check Point: la variante Coinhive mantiene il primo posto come malware più diffuso con un impatto globale del 16%. Cryptoloot, altro malware per il mining di criptovalute, segue a poca distanza registrando un impatto del 14%, mentre il malware malvertising Roughted compare al terzo posto, con un impatto sulle organizzazioni mondiali dell’11%.
Lo stesso vale per l’Italia che ha registrato la presenza massiccia di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il cryptomining, seguito da Coinhive, script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero e Roughted, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Secondo quanto emerso dal Global Threat Index, l’impatto di Cryptoloot in Italia è stato quasi del 17%, superiore al tasso d’impatto che ha avuto il malware in tutto il mondo.
I ricercatori di Check Point hanno inoltre sottolineato la crescita significativa di un trend comparso all’inizio dell’anno, in cui i criminali informatici stanno prendendo di mira le vulnerabilità dei server privi di patch quali Microsoft Windows Server 2003 (CVE-2017-7269) e Oracle Web Logic (CVE-2017-10271) con lo scopo di estrarre illecitamente le criptovalute. A livello mondiale, il 46% delle organizzazioni è stato colpito dalla vulnerabilità di Microsoft Windows Server 2003, mentre la vulnerabilità di Oracle Web Logic, che si è posizionata appena dopo, ha interessato il 40% delle organizzazioni.
“A causa del notevole aumento dei malware per il cryptomining, i criminali informatici stanno innovando le loro tecniche per scoprire nuovi modi di sfruttare le macchine delle vittime e aumentare i guadagni – ha dichiarato Maya Horowitz, Threat Intelligence Group Manager di Check Point -. Poiché la loro intenzione è quella di intrufolarsi nelle reti utilizzando vulnerabilità di server privi di patch, ricordiamo ancora una volta a tutte le aziende che gli elementi base della sicurezza, tra cui le patch, sono fondamentali per garantire che le reti rimangano sicure”.
Horowitz ha poi proseguito: “È preoccupante notare come così tante organizzazioni siano state colpite da vulnerabilità già note, soprattutto considerando che le patch erano disponibili da almeno 6 mesi. Dato che più del 40% delle organizzazioni di tutto il mondo sono state interessate da questi attacchi, è ormai obbligatorio che le aziende adottino una strategia di sicurezza informatica multilivello che protegga sia da famiglie di malware già note, sia dalle nuove minacce”.
I tre malware più diffusi ad aprile 2018 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
- ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
- ↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
- ↑ Roughted – malvertising utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere utilizzato per attaccare qualsiasi tipo di piattaforma e sistema operativo e sfrutta le tecniche di bypassaggio degli adblock e di fingerprinting per essere certi di sferrare il più terribile degli attacchi.
Lokibot, trojan bancario che colpisce i sistemi Android e che concede privilegi amministrativi per il download di malware, è stato il malware mobile più diffuso e utilizzato per attaccare i dispositivi mobile delle organizzazioni, seguito da Triada e Hiddad.
I tre malware per dispositivi mobili più diffusi ad aprile 2018:
- Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
- Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.
I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 46%, mentre al secondo posto troviamo la vulnerabilità CVE-2017-10271 che ha interessato il 40% delle organizzazioni. Al terzo posto si posiziona, invece, SQL injection con un impatto del 16%.
Le tre vulnerabilità più diffuse nel marzo 2018 sono state:
- ↑ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La patch è disponibile da marzo 2017.
- ↓ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota. La patch è disponibile da ottobre 2017.
- ↓ SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
L’elenco dimostra perfettamente come i criminali informatici utilizzino entrambe le tecniche moderne (due vulnerabilità pubblicate nel 2017) e i classici vettori di attacco come SQL injection.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
Per scoprire invece come prevenire gli attacchi zero-day Check Point e Lutech organizzano invece per il 6 giugno un webinar a cui è possibile iscriversi qui.