Ransomware, attacchi raddoppiati in soli sei mesi

Naviga SWZ: Home Page » News
News del 28 Febbraio 17 Autore: Stefano Fossati
E’ stata una vera e propria escalation, quella degli attacchi ransomware nel corso del 2016: secondo il report H2 2016 Global Threat Intelligence Trends di Check Point, questi attacchi sono raddoppiati nel secondo semestre dell’anno scorso. Tra tutti gli attacchi malware denunciati nel mondo, la percentuale dei ransomware è passata dal 5,5% al 10,5% tra luglio e dicembre.

I ricercatori di Check Point nel 2016 hanno osservato migliaia di nuove varianti di ransomware, notando che negli ultimi mesi lo scenario è cambiato, diventando sempre più centralizzato con poche importanti varianti di ransomware che dominano il mercato e colpiscono organizzazioni di tutte le dimensioni. Ad agosto è stata scoperta Mirai, la prima botnet Internet of Things (IoT) che attacca dispositivi connessi vulnerabili, come ad esempio videoregistratori e telecamere di sorveglianza, tramutandoli in bot e sfruttandoli poi per scagliare molteplici attacchi di tipo Distributed Denial of Service (DDoS). Il principale vettore di infezione usato per le campagne di spam malevole durante il secondo semestre del 2016 è stato il downloader basato sul motore Windows Script (WScript). I downloader in Javascript (JS) e VBscript (VBS) hanno dominato l’ecosistema dello spam, insieme alle varianti simili, ma meno diffuse, come JSE, WSF, e VBE.

Ransomware, attacchi raddoppiati in soli sei mesi - immagine 1

I principali malware del secondo semestre 2016:
1. Conficker (14.5%) - Worm che consente operazioni da remoto e download di ulteriori malware. La macchina infetta viene controllata da una botnet, che contatta il server Command & Control, pronto a ricevere istruzioni.
2. Sality (6.1%) - Virus che consente operazioni da remoto e download di ulteriori minacce sui sistemi infetti. Il suo obiettivo principale è infiltrarsi in un sistema e offrire mezzi per il controllo da remoto, e installare così nuovi malware.
3. Cutwail (4.6%) – Botnet utilizzata soprattutto per inviare email di spam, e per perpetrare attacchi DDOS. Una volta installata, si connette direttamente al server command and control, e riceve istruzioni riguardo le email da inviare. Dopo l’esecuzione, la bot invia allo spammer statistiche precise riguardo le attività.
4. JBossjmx (4.5%) - Worm che prende di mira i sistemi con una variante vulnerabile di JBoss Application Server. Il malware crea una pagina JSP malevola su sistemi vulnerabili, che poi esegue comandi arbitrari. Inoltre, crea un’altra backdoor che accetta comandi da un server IRC remoto.
5. Locky (4.3%) – Ransomware che ha iniziato a circolare a febbraio 2016, si diffonde soprattutto attraverso email di spam che contengono un downloader mascherato da un file allegato in formato Word o Zip, che, in seguito, scarica e installa il malware, che a sua volta crittografa i file dell’utente.

I principali ransomware del secondo semestre 2016:
1. Locky 41% - Terzo tra i ransomware più diffusi nel primo semestre, nella seconda parte dell’anno ha aumentato la diffusione a macchia d’olio.
2. Cryptowall 27% - Ransomware che ha iniziato a circolare come il sosia di Cryptolocker, riuscendo persino a superarlo. Dopo aver superato Cryptolocker, Cryptowall si è affermato come uno dei ransomware dominanti finora. Cryptowall è conosciuto per l’utilizzo della crittografia AES e perché le comunicazioni C&C si svolgono sulla rete anonima Tor. Viene distribuito soprattutto attraverso exploit kit, adv malevoli e campagne di phishing.
3. Cerber 23% - Il servizio ransomware-as-a-service più articolato al mondo. Cerber funziona in modalità franchising, infatti gli sviluppatori reclutano gli affiliati, che diffondono malware in cambio di un dividendo dei profitti.

I principali malware mobili del secondo semestre 2016:
1. Hummingbad 60% - Malware Android scoperto per la prima volta dal team di ricercatori di Check Point, che installa nel dispositivo un rootkit persistente, applicazioni fraudolente e, con poche modifiche, potrebbe consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali, oltre a scavalcare i metodi di crittografia delle email usati dalle aziende.
2. Triada 9% - Backdoor modulare per Android che offre permessi maggiori rispetto all’utente, per scaricare malware, e contribuisce a farli infiltrare tra le procedure di sistema. Triada, inoltre, è in grado di imitare le URL caricate su un browser.
3. Ztorg 7% – Trojan che sfrutta permessi root per scaricare e installare applicazioni su dispositivi mobili all’oscuro dell’utente.

I principali malware bancari:
1. Zeus 33% - Trojan che colpisce le piattaforme Windows, spesso usato per rubare credenziali bancarie con attacchi man-in-the-browser, keylogger e esfiltrando dati dai documenti.
2. Tinba 21% - Trojan bancario che ruba le credenziali alla vittima con web-injection, che si attiva quando l’utente cerca di accedere al sito della propria banca.
3. Ramnit 16% – Trojan bancario che ruba credenziali, password FTP, cookie di sessione e dati personali.

“Questo report dimostra che l’ecosistema informatico odierno è caratterizzato da attacchi ransomware sempre più frequenti”, commenta Maya Horowitz, Threat Intelligence Group Manager di Check Point; “Il motivo di questa diffusione è che funzionano, assicurando introiti importanti agli hacker. Per far fronte a questa minaccia, le organizzazioni arrancano: molte, infatti, non sono dotate delle giuste misure, e potrebbero essere manchevoli anche riguardo la formazione dei dipendenti su come riconoscere i segnali di un potenziale attacco ransomware che si cela in una mail in entrata”.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE