Secondo il Global Threat Impact Index di maggio di Check Point® Software Technologies Ltd., l’Italia scende di quindici posizioni nella classifica dei paesi più attaccati al mondo piazzandosi al 50esimo posto. Se si considerano le minacce, Fireball, il malware cinese che prende il controllo dei browser, ha colpito duramente anche nel nostro Paese aggiudicandosi il primo posto nella classifica dei malware più diffusi. Al secondo posto si è piazzato Roughted, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, mentre al terzo posto appare Conficker, warm che punta ai sistemi operativi Windows. Gli utenti di Facebook e Skype sono stati tra le prime vittime di questo malware che da tempo compare in classifica. WannaCry, il ransomware che ha sconvolto mezzo mondo lo scorso mese, è fermo invece alla posizione numero quattro nella classifica italiana dei 10 malware più diffusi.
Check Point rivela che due delle tre famiglie malware che hanno infettato a livello mondiale le reti erano zero-day, cioè non erano mai state identificate prima. In particolare, Fireball ha colpito un’organizzazione su cinque, mentre RoughTed, secondo classificato anche nel mondo, è responsabile del 16% dei casi di infezione alle aziende, infine, il terzo classificato WannaCry ha infettato l’8% delle aziende. Si è notato inoltre che altre varianti di Fireball e WannaCry si sono diffuse rapidamente a livello mondiale durante il mese di maggio.
Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione. Fireball attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Al contrario, RoughTed è una campagna di malvertising su larga scala, mentre WannaCry sfrutta un exploit di Windows SMB chiamato EternalBlue capace di diffondersi all’interno delle reti e tra le reti. WannaCry è diventato famoso a maggio per avere bloccato un larghissimo numero di reti e dispositivi in tutto il mondo.
Oltre ai malware citati sopra, la classifica presenta altri nuovi malware, tra cui il ransomware Jaff (ottava posizione) che si è dimostrato particolarmente profittevole per i cybercriminali.
I tre malware più terribili a maggio 2017 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.
- ? Fireball – si tratta di un browser hijacker che si trasforma in un malware downloader completo. Dato che è in grado di eseguire un qualsiasi codice sui computer vittime, riesce a compiere un’ampia serie di azioni come rubare credenziali e rilasciare altri malware.
- ? RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
- ? WannaCry – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.
Per quanto riguarda il mobile, Hummingbad ritorna al primo posto della classifica, marcato stretto da Hiddad e Triada:
I tre malware per dispositivi mobili più terribili di maggio 2017:
- Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
- Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità
“Vedere così tante nuove famiglie di malware nei più importanti attacchi hacker del mondo sottolinea quanto innovativi possono essere i cybercriminali e mostra quanto sia pericoloso per le aziende diventare tolleranti”, ha dichiarato Maya Horowitz, Threat Intelligence, Group Manager di Check Point. “Le aziende devono ricordarsi che l’impatto economico di un attacco hacker va al di là dell’incidente iniziale. Ripristinare i servizi chiave e riparare i danni d’immagine può essere un processo lungo e costoso. Le organizzazioni in ogni settore hanno bisogno di un approccio multlivello per la propria cybersecurity. Le nostre soluzioni SandBlast™ Zero-Day Protection e Mobile Threat Prevention, per esempio, offrono protezione completa nei confronti della più ampia gamma di tipi di attacchi in continua evoluzione e delle varianti dei malware zero-day”.
La ThreatCloud Map si avvale dell’intelligence ThreatCloud di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.