Secondo il Global Threat Impact Index di giugno di Check Point Software Technologies Ltd., l’Italia sale di otto posizioni nella classifica dei Paesi più attaccati al mondo piazzandosi al 42esimo posto. Se si considerano le minacce, RoughTed, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, ha colpito duramente anche nel nostro Paese aggiudicandosi il primo posto nella classifica dei malware più diffusi. Al secondo posto si è piazzato Conficker, warm che punta ai sistemi operativi Windows, mentre al terzo posto torna Nivdort, una famiglia di trojan che colpisce la piattaforma Windows.
I ricercatori di Check Point hanno rivelato che, il 28% delle organizzazioni a livello globale 1 è stato
colpito da RoughTed nel mese di giugno. Questa campagna di malvertising ha cominciato a crescere
a fine maggio, fino a raggiungere il suo picco nel mese di giugno, colpendo le organizzazioni di 150
Paesi. Le organizzazioni più colpite da RoughTed operavano nel settore delle comunicazioni,
dell’istruzione, del commercio al dettaglio e all’ingrosso. I tassi di infezione correlati a questa
campagna di malvertising sono cresciuti negli ultimi mesi, dal momento che i cybercriminali devono
semplicemente compromettere un provider di annunci online per raggiungere una vasta gamma di
vittime con uno sforzo minimo, e che non vi è alcuna necessità di mantenere una pesante
infrastruttura di distribuzione per il malware.
Al secondo posto, in termini di infezioni globali, troviamo Fireball che aveva colpito il 20% delle
organizzazioni a maggio e che è fortunatamente declinato colpendo solo il 5% delle organizzazioni a
giugno. Infine, il terzo classificato è il worm Slammer, che ha infettato l’4% delle organizzazioni.
Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e
un impatto su tutti gli stadi dell’infezione. A differenza di RoughTed, Fireball attacca i browser di
destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di
azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Mentre Slammer è un
worm che si insedia esclusivamente nella memoria operativa e che può essere usato per causare
attacchi denial of service.
La vasta gamma di vettori di attacco utilizzata dai cybercriminali è evidente anche lungo tutta la Top
Ten dei malware più comuni, che infatti vede la presenza dei ransomware Cryptowall (4°) e Jaff (6°),
di HackerDefender (5°), un rootkit user-mode utilizzato per nascondere file, e di Zeus (9°) un trojan
bancario.
I tre malware più terribili a giugno 2017 sono stati:
1. ? RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per
diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può
essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i
controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più
potente.
2. ? Fireball – si tratta di un browser hijacker che si trasforma in un malware downloader
completo. Dato che è in grado di eseguire un qualsiasi codice sui computer vittime, riesce a
compiere un’ampia serie di azioni come rubare credenziali e rilasciare altri malware.
3. ? Slammer – un worm che si insedia nella memoria e che colpisce Microsoft SQL 2000.
Diffondendosi rapidamente, questo worm può causare interruzioni di servizio
Per quanto riguarda il mobile, Hummingbad è ancora al primo posto della classifica, marcato stretto
da Hiddad e Lotoor:
I tre malware per dispositivi mobili più terribili di giugno 2017:
1. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa
applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole,
come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia
utilizzata dalle aziende.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua
funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni
di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di
ottenere dati sensibili degli utenti.
3. Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di
ottenere privilegi di root sui dispositivi mobile compromessi.
“Nel mese di maggio e di giugno le organizzazioni sono state messe a dura prova e hanno dovuto
garantire la protezione contro i ransomware, in risposta ai pesanti attacchi di WannaCry e Petya”, ha
dichiarato Maya Horowitz, Threat Intelligence, Group Manager di Check Point. “Tuttavia l’ampia
varietà di vettori di attacco utilizzati durante giugno serve a ricordare alle organizzazioni che devono
dotarsi di solide e robuste infrastrutture di sicurezza in grado di proteggerli contro tutte le tattiche e
i metodi utilizzati dai cybercriminali. Le organizzazioni in ogni settore hanno bisogno di un approccio
multlivello per la propria cybersecurity. Le nostre soluzioni SandBlast™ Zero-Day Protection e Mobile
Threat Prevention, per esempio, offrono protezione completa nei confronti della più ampia gamma
di tipi di attacchi in continua evoluzione e delle varianti dei malware zero-day”.
La ThreatCloud Map si avvale dell’intelligence ThreatCloud di Check Point, la più grande rete che
collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi,
attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250
milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più
di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.