checkpoint
Un calo dei ransomware in Italia, cosa accade altrove

Check Point Software Technologies rivela che sia le varianti di ransomware che la frequenza degli attacchi malware in agosto sono cresciuti, con dati precisi sulle varianti più pericolose che hanno attaccato le reti aziendali in quel periodo. Il nostro Paese, durante il mese preferito per andare in vacanza, ha riscontrato un lieve calo degli attacchi informatici, ma, al 48esimo posto a livello mondiale, è lontano dall’essere al sicuro. Infatti, se Conficker e JBossjmx sono tra le minacce più diffuse, come nei mesi scorsi, torna a riaffacciarsi anche il pericolo Locky, il ransomware che colpisce le piattaforme Windows.

In agosto, il numero di varianti di ransomware attive è aumentato del 12%, mentre i tentativi di attacco ransomware sventati sono aumentati del 30%. Più della metà di tutte le varianti ransomware conosciute il mese scorso hanno aumentato la loro attività, scalando la classifica dei malware più pericolosi, molto spesso di più di 100 posizioni. Secondo Check Point, l’aumento dei ransomware è dovuto alla facilità di estendere un ransomware a macchia d’olio, una volta che ne viene creata una nuova variante. Inoltre, questa tendenza evidenzia anche che molte aziende accettano di pagare il riscatto, pur di riavere dati riservati. Per questa ragione, questo tipo di attacco è interessante e redditizio per i cybercriminali.

Per il quinto mese consecutivo HummingBad è il malware più comunemente usato per attaccare i dispositivi mobili, anche se la frequenza degli attacchi rilevati è diminuita di più del 50%. Le varianti malware uniche attive in agosto sono rimaste simili a quelle dei mesi precedenti, dato che sono rimaste piuttosto diffuse. In generale, la variante più comune è stata Conficker, con il 14% di tutti gli attacchi riconosciuti. Al secondo posto, JBossjmx, responsabile del 9% degli attacchi, e Sality, con la stessa percentuale. In totale, le dieci varianti più diffuse hanno causato il 57% di tutti gli attacchi rilevati.

  1. ↔ Conficker – worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.
  2. ↔ JBossjmx – worm che prende di mira i sistemi con una versione vulnerabile di JBoss Application Server. Il malware crea una pagina JSP malevola sui sistemi vulnerabili che esegue comandi arbitrari. Inoltre, crea un’altra Backdoor che accetta comandi da un server IRC remoto.
  3. ↔ Sality – virus che permette di eseguire operazioni da remoto e download di altri malware nei sistemi infetti. Il suo obiettivo principale è installarsi permanentemente in un sistema, al fine di raggiungere il controllo da remoto e l’installazione di ulteriori malware.

Le varianti di malware per i dispositivi mobili, in agosto, hanno continuato a minacciare gravemente i dispositivi mobili aziendali. Le prime tre minacce sono state:

  1. ↔ HummingBad – malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente, innesca altre attività malevole, come l’installazione di key logger, e il furto di credenziali, e scavalca i sistemi di crittografia delle email utilizzati dalle aziende.
  2. ↔ Ztorg – trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.
  3. ↑Triada backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.

Nathan Shuchami, Head of Threat Prevention di Check Point, ha dichiarato: “Le aziende, quando si parla di ransomware, si ritrovano in una strada senza uscita. Se non pagano il riscatto, infatti, devono affrontare la perdita di dati delicati e di beni, per agire nel migliore dei modi. Se invece pagano, continuano a incoraggiare i cybercriminali, che utilizzeranno di nuovo quest’arma, perché è un attacco redditizio. Per annullare questo effetto, le organizzazioni devono contare su una prevenzione delle minacce avanzata per le proprie reti, per gli endpoint e per i dispositivi mobili, per bloccare i malware allo stadio pre-infettivo. Un esempio possono essere soluzioni come SandBlast ™ Zero Day Protection e Mobile Threat Prevention, per essere sicuri di avere una difesa adeguata contro le minacce più avanzate”.

Dato che i cybercriminali continuano a bersagliare le risorse più delicate delle aziende, il numero di varianti attive di malware è sempre alto”, aggiunge Shuchami, “e questo, unito ai metodi d’attacco applicati dalle diverse varianti, dimostra quanto è impegnativa la sfida che le organizzazioni devono affrontare per mettere in sicurezza le proprie reti ed evitare così gli exploit dei cybercriminali”.

Il Threat Index di Check Point

Il Threat Index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale. La Threat Map si avvale dell’intelligence ThreatCloudTM di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.