12/02/2018 di Redazione

Cryptominer, ricatti e pubblicità indesiderata disturbano le aziende

Mentre il fenomeno degli exploit kit è in calo, aumentano i casi di attacchi ransomware e le infezioni mirate a sfruttare la potenza di calcolo di un dispositivo per “estrarre” criptovaluta. Anche attraverso i Pc aziendali.

immagine.jpg

 

La popolarità delle criptovalute, pur tra grandi alti e bassi, è indubbia. Ma lo è anche la conseguente popolarità dei malware che per macinare guadagni illeciti sfruttano i dispositivi delle inconsapevoli vittime, o meglio sfruttano parte della potenza della Cpu (fino al 65%) o della Gpu del terminale infettato. I cryptominer sono una delle tendenze in ascesa segnalate da molti vendor di sicurezza, e Check Point non fa eccezione: nel suo ultimo report, “H2 2017 Global Threat Intelligence Trends” (tratto da un database di oltre 250 milioni di indirizzi, il ThreatCloud), spicca la statistica secondo cui nel periodo compreso fra inizio luglio e fine dicembre dell'anno scorso un'azienda su cinque è stata colpita da questa tipologia di malware. Il mondo delle imprese rappresenta ora per i criminali informatici un nuovo bacino di risorse di calcolo da sfruttare, dal momento che i dispositivi degli utenti consumer non sembrano più sufficienti a garantire la potenza computazionale necessaria per il mining.

La seconda metà del 2017 ha visto i criptominer prendere d'assalto il mondo fino a diventare uno dei vettori di attacco preferito per generare introiti illegali”, osserva Maya Horowitz, threat intelligence group manager di Check Point. “Anche se questo non è un tipo di malware completamente nuovo, la crescente popolarità e il valore della criptovaluta hanno portato a un significativo aumento nella distribuzione dei malware per il mining”. Oltre a questo fenomeno emergente, nel semestre in esame si trovano anche conferme di trend recenti e sempre attuali. Il ransomware, innanzitutto: la sua ascesa, cominciata nel 2016, sta proseguendo sulla base delle tante vulnerabilità che tappezzano i software in circolazione, software che colpevolmente spesso non vengono aggiornati. “Il 25% degli attacchi che abbiamo visto in questo periodo sfruttano le vulnerabilità scoperte oltre un decennio fa”, aggiunge Horowitz, “meno del 20% usa quelle degli ultimi due anni. Quindi è chiaro che c'è ancora molto che le organizzazioni devono fare per proteggersi completamente dagli attacchi”.

 

 

Presenti all'appello anche i malware mobile, il cui obiettivo finale sempre più spesso sono le aziende. In casi come quello di MilkyDoor si parte dall'infezione di un dispositivo mobile, che agisce come proxy per raggiungere l'obiettivo ultimo, cioè i dati aziendali. Un altro tipo di malware mobile è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico verso un server controllato dai cybercriminali. Aumentano, poi, i casi di truffa e la diffusione di malware attraverso la porta elettronica, un fenomeno ribattizzato “malspam”. Al contrario, quello che fino a un anno fa era il principale vettore di attacco – cioè gli exploit kit – nel semestre è risultato un fenomeno in diminuzione, grazie al fatto che le società che sviluppano software (e in particolare browser di navigazione) stiano rendendo i loro prodotti sempre più sicuri, aggiornamento dopo aggiornamento.

Check Point ha anche stilato una classifica delle minacce più popolari del secondo semestre del 2017, divise per tipologia. Tra i malware, al primo posto (corrispondente al 15,3% delle infezioni rilevate) svetta Rough Ted, un malvertising largamente diffuso, che viene utilizzato per dirottare gli utenti su siti Web dannosi, payload, adware, exploit kit e ransomware. Perché ha tanto successo? Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare gli adblocker e altri sistemi di controllo.

Tra i ransomware spicca Locky: si diffonde soprattutto attraverso email di spam che contengono un downloader sotto un documento Word o un file Zip allegato. Una volta installato quest'ultimo, il malware colonizza il dispositivo e può crittografare tutti i file in esso presenti. Dopo la “medaglia d'argento” di Globeimposter (un ransomware usato per diffondere campagne spam, malvertising ed exploit kit), al terzo posto si piazza il famigerato WannaCry.

 

La classifica dei malware mobile è stata invece dominata da Hiddad, un programma nocivo indirizzato ai dispositivi Android. Il suo funzionamento è abbastanza particolare: sfrutta delle applicazioni mobili del tutto legali ma modificate ad arte in modo che possano mostrare all'utente della pubblicità (e dunque portare introiti all'autore della manomissione). Inoltre è capace di accedere a informazioni di sicurezza del sistema operativo e, attraverso di esse, ottenere dati sensibili degli utenti.

 

 

ARTICOLI CORRELATI