Home . Magazine . Cybernews . Cybersecurity, attacchi ransomware raddoppiati negli ultimi 6 mesi del 2016

Cybersecurity, attacchi ransomware raddoppiati negli ultimi 6 mesi del 2016

Report di Check Point

CYBERNEWS
Cybersecurity, attacchi ransomware raddoppiati negli ultimi 6 mesi del 2016

(foto Fotogramma)

Gli attacchi ransomware nel secondo semestre del 2016 sono raddoppiati. Tra tutte le denunce arrivate da ogni parte del mondo, la percentuale dei malware che bloccano il computer e chiedono un riscatto per permettere di utilizzarlo di nuovo è passata dal 5,5% al 10,5%, il tutto tra luglio e dicembre. E' quanto rileva Check Point nel suo ultimo Global Threat Intelligence Trends relativo al secondo semestre dello scorso anno.

Dal documento è emerso il monopolio del mercato ransomware, con migliaia di nuove varianti e con uno scenario cambiato negli ultimi mesi, divenuto sempre più centralizzato: poche importanti varianti dominano il mercato e colpiscono organizzazioni di tutte le dimensioni.

Nel periodo preso in esame, precisamente ad agosto, è stata scoperta la botnet Mirai, ricorda il report. E' la prima nel suo genere, attacca dispositivi Internet-enabled digitali vulnerabili, come ad esempio videoregistratori (DVR) e telecamere di sorveglianza (CCTV). La botnet trasforma questi prodotti IoT in bot e sfrutta poi il dispositivo corrotto per scagliare molteplici attacchi di tipo Distributed Denial of Service (DDoS). Con questa scoperta, è divenuto evidente che i dispositivi IoT vulnerabili sono presenti in quasi tutte le abitazioni, e gli attacchi DDoS di massa basati su questi dispositivi continueranno.

Dal report sono poi emerse le nuove estensioni di file usate per perpetrare campagne di spam. Il principale vettore di infezione usato per le campagne di spam malevole durante il secondo semestre del 2016 è stato il downloader basato sul motore Windows Script (WScript). I downloader in Javascript (JS) e VBscript (VBS) hanno dominato l’ecosistema dello spam, insieme alle varianti simili, ma meno diffuse, come JSE, WSF, e VBE.

"Questo report dimostra che l’ecosistema informatico odierno è caratterizzato da attacchi ransomware sempre più frequenti. Il motivo di questa diffusione è che funzionano, assicurando introiti importanti agli hacker", commenta Maya Horowitz, Threat Intelligence Group Manager di Check Point. "Per far fronte a questa minaccia, le organizzazioni arrancano: molte, infatti, non sono dotate delle giuste misure, e potrebbero essere manchevoli anche riguardo la formazione dei dipendenti su come riconoscere i segnali di un potenziale attacco ransomware che si cela in una mail in entrata".

"Inoltre - prosegue la top manager - i dati dimostrano che un gruppo ristretto di varianti è responsabile della maggior parte degli attacchi, e migliaia di altre varianti restano invece quasi sconosciute. La maggior parte delle minacce informatiche è globale e trasversale alle diverse regioni, eppure la regione Apac (Asia Pacifica) balza all’occhio, perché racchiude tra le varianti più diffuse in loco, cinque tipologie che non appaiono altrove".

I principali malware rilevati nel secondo semestre 2016 sono Conficker, Sality e Cutwail. Il primo, con una percentuale sul totale degli attacchi pari al 14,5%, è un worm che consente operazioni da remoto e download di ulteriori malware. La macchina infetta viene controllata da una botnet, che contatta il server Command & Control, pronto a ricevere istruzioni.

Sality, che totalizza il 6,1% delle infezioni, è un virus che consente operazioni da remoto e download di ulteriori minacce sui sistemi infetti. Il suo obiettivo principale è infiltrarsi in un sistema e offrire mezzi per il controllo da remoto, e installare così nuovi malware.

Infine Cutwail, che incassa il 4,6%, una botnet utilizzata soprattutto per inviare email di spam, e per perpetrare attacchi DDoS. Una volta installata, si connette direttamente al server command and control, e riceve istruzioni riguardo le email da inviare. Dopo l’esecuzione, la bot invia allo spammer statistiche precise riguardo le attività. Seguono, poco distanti, JBossjmx (4,5%) e il ransomware Locky (4,3%).

Sul fronte dei principali ransomware del secondo semestre, comanda Locky con il 41% del totale delle infezioni, seguito da Cryptowall (27%), malware che ha iniziato a circolare come il sosia di Cryptolocker, riuscendo persino a superarlo. Dopo averlo superato, si è affermato come uno dei ransomware dominanti finora. Terzo in classifica Cerber, al 23%. Si tratta di un servizio ransomware-as-a-service più articolato al mondo. Cerber funziona in modalità franchising: gli sviluppatori reclutano gli affiliati, che diffondono malware in cambio di un dividendo dei profitti.

Nel report vengono poi elencati i principali malware nel mobile: Hummingbad (60% del totale), un malware Android scoperto per la prima volta dal team di ricercatori di Check Point, che installa nel dispositivo un rootkit persistente, applicazioni fraudolente e, con poche modifiche, potrebbe consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, oltre a scavalcare i metodi di crittografia delle email usati dalle aziende. Ben distante, appena al 9% del totale, c'è Triada, backdoor modulare per Android che offre permessi maggiori rispetto all’utente, per scaricare malware, e contribuisce a farli infiltrare tra le procedure di sistema. Triada, inoltre, è in grado di imitare le URL caricate su un browser. Con il 7% del totale, c'è Ztorg, il trojan che sfrutta permessi root per scaricare e installare applicazioni su dispositivi mobili all’oscuro dell’utente.

Infine, i principali malware bancari. Al primo posto Zeus (33%), un trojan che colpisce le piattaforme Windows, spesso usato per rubare credenziali bancarie con attacchi man-in-the-browser, keylogger e esfiltrando dati dai documenti. Al secondo posto Tinba (21%), trojan bancario che ruba le credenziali alla vittima con web-injection, che si attiva quando l’utente cerca di accedere al sito della propria banca. Infine, sul gradino più basso del podio, Ramnit (16%), trojan bancario che ruba credenziali, password FTP, cookie di sessione e dati personali.

RIPRODUZIONE RISERVATA © Copyright Adnkronos.