Secondo il Global Threat Impact Index di giugno di Check Point Software Technologies, l’Italia sale di otto posizioni nella classifica dei Paesi più attaccati al mondo piazzandosi al 42esimo posto. Se si considerano le minacce, RoughTed, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, ha colpito duramente anche nel nostro Paese aggiudicandosi il primo posto nella classifica dei malware più diffusi. Al secondo posto si è piazzato Conficker, warm che punta ai sistemi operativi Windows, mentre al terzo posto torna Nivdort, una famiglia di trojan che colpisce la piattaforma Windows.
I ricercatori di Check Point hanno rivelato che, il 28% delle organizzazioni a livello globale è stato colpito da RoughTed nel mese di giugno. Questa campagna di malvertising ha cominciato a crescere a fine maggio, fino a raggiungere il suo picco nel mese di giugno, colpendo le organizzazioni di 150 Paesi. Le organizzazioni più colpite da RoughTed operavano nel settore delle comunicazioni, dell’istruzione, del commercio al dettaglio e all’ingrosso. I tassi di infezione correlati a questa campagna di malvertising sono cresciuti negli ultimi mesi, dal momento che i cybercriminali devono semplicemente compromettere un provider di annunci online per raggiungere una vasta gamma di vittime con uno sforzo minimo, e che non vi è alcuna necessità di mantenere una pesante infrastruttura di distribuzione per il malware.
Al secondo posto, in termini di infezioni globali, troviamo Fireball che aveva colpito il 20% delle organizzazioni a maggio e che è fortunatamente declinato colpendo solo il 5% delle organizzazioni a giugno. Infine, il terzo classificato è il worm Slammer, che ha infettato il 4% delle organizzazioni.
Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione. A differenza di RoughTed, Fireball attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Mentre Slammer è un worm che si insedia esclusivamente nella memoria operativa e che può essere usato per causare attacchi denial of service.
La vasta gamma di vettori di attacco utilizzata dai cybercriminali è evidente anche lungo tutta la Top Ten dei malware più comuni, che infatti vede la presenza dei ransomware Cryptowall (4°) e Jaff (6°), di HackerDefender (5°), un rootkit user-mode utilizzato per nascondere file, e di Zeus (9°) un trojan bancario.
I tre malware più terribili a giugno 2017 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.
1. ↑ RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
2. ↓ Fireball – si tratta di un browser hijacker che si trasforma in un malware downloader completo. Dato che è in grado di eseguire un qualsiasi codice sui computer vittime, riesce a compiere un’ampia serie di azioni come rubare credenziali e rilasciare altri malware.
3. ↑ Slammer – un worm che si insedia nella memoria e che colpisce Microsoft SQL 2000. Diffondendosi rapidamente, questo worm può causare interruzioni di servizio
Per quanto riguarda il mobile, Hummingbad è ancora al primo posto della classifica, marcato stretto da Hiddad e Lotoor:
I tre malware per dispositivi mobili più terribili di giugno 2017:
1. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
3. Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.
“Nel mese di maggio e di giugno le organizzazioni sono state messe a dura prova e hanno dovuto garantire la protezione contro i ransomware, in risposta ai pesanti attacchi di WannaCry e Petya”, ha dichiarato Maya Horowitz, Threat Intelligence, Group Manager di Check Point. “Tuttavia l’ampia varietà di vettori di attacco utilizzati durante giugno serve a ricordare alle organizzazioni che devono dotarsi di solide e robuste infrastrutture di sicurezza in grado di proteggerli contro tutte le tattiche e i metodi utilizzati dai cybercriminali. Le organizzazioni in ogni settore hanno bisogno di un approccio multlivello per la propria cybersecurity. Le nostre soluzioni SandBlast™ Zero-Day Protection e Mobile Threat Prevention, per esempio, offrono protezione completa nei confronti della più ampia gamma di tipi di attacchi in continua evoluzione e delle varianti dei malware zero-day”.
La ThreatCloud Map si avvale dell’intelligence ThreatCloudT di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
