Check Point Software Technologies Ltd., il principale fornitore mondiale di soluzioni di cyber-security, ha rilevato in settembre un notevole aumento degli attacchi del ransomware Locky in tutto il mondo. Secondo i dati dell’ultimo Global Threat Impact Index, il ransomware ha colpito, infatti, l’11.5% delle aziende a livello globale. Anche il nostro Paese, nonostante sia sceso di ben 11 posizioni nella classifica dei paesi più attaccati, ha registrato una presenza massiccia di attacchi sferrati da Locky, che ha conquistato così il primo posto nella top ten dei malware più diffusi a settembre, seguito da RoughtTed e Globeimposter.
Locky non appariva nelle classifiche top ten mondiali dei malware più diffusi da novembre 2016, ma a settembre il ransomware è salito bruscamente al secondo posto, alimentato dalla botnet Necurs. Il ransomware Locky ha guadagnato 25 posizioni nell’indice, posizionandosi solo dietro la campagna malvertising di RoughTed.
Locky ha incominciato a diffondersi a febbraio 2016, e in poco tempo è diventata una delle famiglie di malware più importanti del mondo. Si trasmette soprattutto attraverso email di spam che contengono un downloader camuffato con un Word o un file Zip allegato contenente macro dannose. Quando gli utenti attivano queste macro – generalmente tramite una tecnica di social engineering – l’allegato scarica e installa il malware che crittografa tutti i file dell’utente. Un messaggio porta poi l’utente a scaricare il browser Tor e a visitare una pagina web che richiede un pagamento in bitcoin. A giugno 2016, il botnet Necurs ha rilasciato una versione aggiornata di Locky che conteneva nuove tecniche di evasione.
Il ritorno in grande di Locky dimostra come le aziende non possano mai stare tranquille se si tratta di malware. I cybercriminali sofisticati saranno sempre alla ricerca di nuove tecniche per modificare gli attuali malware e renderli ancora più potenti, mentre le botnet possono dare alle vecchie varianti una nuova vita, dando loro la possibilità di raggiungere rapidamente gli utenti di tutto il mondo. I dati di settembre rivelano che più di una organizzazione su dieci è stata attaccata da un’unica famiglia di ransomware a settembre: ciò sottolinea la pericolosità sia dei malware esistenti sia delle nuove varianti.
I tre malware più terribili a settembre 2017 sono stati:
*la freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
- ? RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomaware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco piùà potente.
- ? Locky – ransomware che ha iniziato a circolare nel febbraio 2016 e si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
- ? Globeimposter– si tratta di un ransomware che si presenta come una variante del ransomware Globe. È stata scoperto a maggio 2017 e viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.
HackerDefender, un rootkit user-mode per Windows, che ad agosto è stato il terzo malware più presente, ha abbandonato la top ten.
Se consideriamo i dispositivi mobile, Check Point segnala al primo posto della top ten dei mobile malware la presenza di Triada, seguito da Hiddad e Lotoor:
I tre malware per dispositivi mobili più terribili a settembre 2017:
- Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilege amministrativi a malware scaricati, dato che aiuta a integrarsi nei processi di sistema. Triada è stato anche identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
- Hiddad – malware per Android che raccoglie applicazioni legittime e le rilascia in uno store di terze parti. La sua principale funzione è la visualizzazione di annunci pubblicitari, ma è anche in grado di accedere alle misure di sicurezza integrate nel sistema operativo, consentendo ad un utente malintenzionato di ottenere dati sensibili dell’utente.
- Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.
“Se le organizzazioni avessero ancora dubbi sulla gravità della minaccia di ransomware, queste statistiche dovrebbero aiutare a farle riflettere“, ha dichiarato Maya Horowitz, Threat Intelligence, Group Manager di Check Point. “Ai primi tre posti della classifica, notiamo infatti che due posizioni su tre sono occupate dai ransomware: una nuova variante che è comparsa per la prima volta quest’anno e una famiglia più vecchia che ha subito una rinascita. È sufficiente che un solo dipendente cada in un tranello della social engineering per mettere in grave pericolo un’intera azienda“.
“Noi di Check Point riteniamo importante far implementare una strategia multilivello di cybersecurity capace di proteggere le aziende sia dalle famiglie malware consolidate sia dalle nuove varianti o dalle minacce zero-day. Gli strumenti efficaci per la sicurezza informatica cercano comportamenti sospetti o tecniche generali, come le macro integrate nei documenti. Questo è l’approccio proposto dalle nostre soluzioni SandBlast™ Zero-Day Protection e Mobile Threat Prevention.”
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
Le risorse per la Threat Prevention di Check Point sono disponibili al seguente link: http://www.checkpoint.com/threat-prevention-resources/index.html