La cybersecurity nel 2017, ecco i primi trend

 

I dati  sono forniti dalla Threat Cloud map di Check point, mediante diversi bollettini di aggiornamento riguardanti i primi 3 mesi dell’anno.

Dopo un inizio anno caratterizzato da un calo delle minacce informatiche, Febbraio e Marzo mostrano un assedio crescente e continuo, tanto che nel mese di marzo l’Italia scala un’altra posizione nella classifica Europea e diventa il secondo paese più colpito.

Le principali minacce che interessano il Bel Paese sono tre:

• Conficker, warm che punta ai sistemi operativi Windows;
• Nivdort, famiglia di trojan che colpisce la piattaforma Windows;
• Cryptoload, trojan-downloader che diffonde ransomware su dispositivi infettati.

E’ stata riscontrata un po’ ovunque, inoltre, una massiccia impennata nell’uso di exploit progettati per scoprire e sfruttare vulnerabilità sui dispositivi al fine di far scaricare ed eseguire codice melevolo.

In passato la loro incidenza era diminuita grazie  alla scomparsa delle principali varianti Angler e Nuclear. Ma proprio nel mese di Marzo sono stati individuati gli exploit Rig EK e Terror.  Entrambe hanno diffuso una vasta gamma di minacce, da ransomware a banking Trojan a spambot a BitCoin miner.

A livello mondiale, le tre famiglie di malware più diffuse sono state HackerDefender e Rig EK, con il 5% delle organizzazioni colpite da ciascuno, seguiti da Conficker e Cryptowall, che hanno colpito ciascuno il 4% delle aziende. Si riportano le principali caratteristiche per ognuno:

1. HackerDefender – Rootkit user-mode per Windows, che può essere utilizzata per nascondere file, procedure e chiavi di registro, inoltre esegue backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere. Questo significa che è impossibile trovare la backdoor nascosta usando mezzi tradizionali.
2. Rig EK – Exploit rilevato la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
3. Kelihos – Botnet utilizzata soprattutto per il furto di bitcoin e per lo spam. Si serve di comunicazioni peer-to-peer, consentendo a singole unità di agire come server Command & Control.
4. Conficker – Worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
5. Cryptowall – Dopo l’estinzione di Cryptolocker, Cryptowall è diventato uno dei ransomware finora più temibili. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché trasmette le comunicazioni C&C sulla rete anonima Tor. Si diffonde principalmente attraverso exploit kits, malvertising e camapgne di phishing.

Ricordiamo inoltre alcuni altri temibili:

1. Terror è stato identificato all’inizio di dicembre 2016 e conteneva otto diversi exploit operativi.
2. Cerber, un ransomware offline che è stato identificato per la prima volta nel febbraio 2016.
3. Hancitor, noto anche come Chanitor e’ un downloader, salito nella top cinque delle famiglie malware ‘most wanted’ da febbraio che installa payload malevoli come trojan bancari e ransomware sui dispositivi infetti. Solitamente viene diffuso come un documento di Office contenente delle macro all’interno di email di phishing con messaggi “importanti” quali messaggi vocali, fax o fatture.

Per quanto riguarda i malware Mobile, le due principali famiglie restano uguali a quelle di febbraio, mentre Ztorg è tornato nella top three:

1. Hiddad – malware Android che riconfeziona app legali e poi le consegna ad un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
2. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
3. Ztorg – trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
4. Triada – backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.

I consigli per la difesa sono sempre orientati verso soluzioni tecnologiche e quindi appliance capaci di difendere endpoint e dispositivi di rete, ma qualunque sia la soluzione prescelta, si deve verificare la frequenza e la qualità degli aggiornamenti, assicurando soprattutto che il proprio team di security sia aggiornato e formato sul comportamento delle minacce correnti e sulle contromisure da implementare.