Botnet, rootkit e ransomware: tutte le “star” del momento

Il sospiro di sollievo, temporaneao, del mese di gennaio è già dimenticato: a febbraio l’incidenza degli attacchi malware in Italia ha ripreso a crescere. Lo racconta Check Point nell’ultimo dei suoi regolari monitoraggi basati sulla ThreatCloud Map (un database contenente oltre 250 milioni di indirizzi Ip). Il mese scorso lo Stivale ha, purtroppo, scalato ben 25 posizioni tornando fra i piani alti della classifica delle nazioni più bersagliate dai malware.

Più in generale, la fotografia di Check Point rappresenta le tendenze del momento su scala globale, evidenziando la capacità di “reincarnazione” di molte minacce. In circolazione da tempo, magari apparentemente debellate, le famiglie di malware più abili nel rigenerarsi e modificare il proprio codice risultano spesso longeve e distruttive. È proprio questo il caso di Kelihos, il programma nocivo più popolare del mese di febbraio, rilevato nel 12% delle organizzazioni colpite durante il periodo in esame. Si tratta di una botnet nata addirittura nel 2010 (all’epoca, come semplice campagna di spam) e apparentemente debellata l’anno successivo e poi, ancora, riemersa e nuovamente sconfitta solo in apparenza. Oggi, a detta di Check Point, Kelihos è una delle principali fonti di spam al mondo, operante attraverso una rete di 300mila macchine infette, ciascuna in grado di inviare più di 200mila messaggi al giorno. I suoi scopi variano dal semplice intasamento caselle di posta al furto di bitcoin.

La medaglia d’argento di febbraio spetta a HackerDefender, un rootkit per sistemi Windows, che ha colpito il 5% delle organizzazioni monitorate da Check Point. Questa infezione può essere usate per nascondere file, procedure e chiavi di registro, nonché per eseguire backdoor e reindirizzare le porte. Al terzo posto il ransomware Cryptowall, erede del famigerato Cryptolocker: questa minaccia ha mietuto vittime tra il 4,5% delle aziende, diffondendosi principalmente attraverso exploit kit, malvertising e campagne di phishing, e trasmettendo comunicazioni sulla rete anonima Tor.

Tra i pericoli in ascesa, Check Point segnala invece il downloader Hancitor, salito di 22 posti nella classifica mondiale nel corso del mese di febbraio. Questa infezione solitamente si diffonde tramite documenti di Office contenenti delle macro e inviati come allegati di email che pretendono di comunicare messaggi importanti, fax o fatture; una volta approdato sul Pc della vittima, installa payload malevoli, come trojan bancari e ransomware.

Distribuzione mondiale dei malware a febbraio 2017 (Fonte: Check Point Software Technologies)

Per quanto riguarda i malware mobile, le varianti più attive sono state, nell’ordine, Hiddad, Hummingbad e Triada. Il primo è un malware Android che riconfeziona app legali e poi le consegna a un marketplace; il prodotto risultante può limitarsi a mostrare pubblicità non gradita o, nel peggiore dei casi, può ottenere accesso a dati custoditi nello smartphone o tablet della vittima. Altrettanto rivolto al sistema operativo del robottino, Hummingbad stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e la de-crittografia dei file. Terzo gradino del podio per Triada, una backdoor modulare per Android, capace di ottenere permessi di gestione del dispositivo superiori al livello utente, e dunque di scaricare malware.