Check Point ha condiviso i dati sugli attacchi che hanno colpito le aziende italiane nel mese di aprile. Ecco i dettagli.
Il mese di aprile è stato “nero” per l’Italia, che ha praticamente scalato la classifica dei paesi più colpiti dai malware di altre 7 posizioni, raggiungendo quota 35. L’Italia è il secondo paese più colpito in Europa solo dopo la Romania.
Le principali minacce attualmente in atto nel nostro Paese sono Conficker, warm che punta ai sistemi operativi Windows; HackerDefender, un rootkit user-mode per Windows, che modifica parecchi sistemi Windows e API native e li rende introvabili dai sistemi di sicurezza e Rig EK, un exploit rilevato la prima volta nel 2014 che si diffonde con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit. A livello globale, è stata rilevata una costante crescita nell’uso di exploit da parte dei cybercriminali con Rig EK che è diventato addirittura la più diffusa forma di attacco, secondo il Global Threat Impact Index di aprile.
Gli Exploit Kit, che sono progettati per scoprire e sfruttare vulnerabilità sui dispositivi al fine di far scaricare ed eseguire codice malevolo, hanno avuto un declino in tutto il mondo fino a marzo 2017, quando si è registrata un’impennata degli attacchi che utilizzano gli Exploit Kit, Rig e Terror.
Durante il mese di aprile, Check Point ha anche rivelato un’improvvisa ripresa nell’utilizzo del worm Slammer, che è balzato nella top three delle famiglie di malware più diffuse, dopo un lungo periodo di quiete. Il worm Slammer è stato per la prima volta rilevato nel 2003 e si era diffuso molto rapidamente. Fu sviluppato per colpire il sistema Microsoft SQL 2000 e si propagò così velocemente che fu in grado di causare un attacco DoS su alcuni obiettivi colpiti. Questa è la seconda volta in pochi mesi che il worm entra nella top ten del Global Impact Index di Check Point, evidenziando come anche i malware più vecchi possono ritornare con successo.
Le tre principali famiglie di malware rivelano una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione. A livello mondiale, le tre famiglie di malware più diffuse ad aprile sono state Rig EK e HackerDefender, con rispettivamente il 5% e il 4,5% delle organizzazioni colpite da ciascuno, seguito dal worm Slammer che ha attaccato il 4% delle aziende.
Questi i pericoli maggiori:
1. Rig EK – exploit rilevato la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
2. HackerDefender – Rootkit user-mode per Windows, che può essere utilizzata per nascondere file, procedure e chiavi di registro, inoltre esegue backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere. Questo significa che è impossibile trovare la backdoor nascosta usando mezzi tradizionali.
3. ↑Slammer – Worm resistente nato per attaccare il sistema Microsoft SQL 2000. Caratterizzato da una rapida diffusione, il worm può causare una negazione del servizio (attacco DoS) dei sistemi presi di mira.
Per quanto riguarda i malware mobile, le due principali famiglie restano uguali a quelle di marzo, mentre Lotoor ha conquistato il terzo posto:
1. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
2. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
3. Lotoor – applicazione che sfrutta le vulnerabilità di Android per ottenere privilegi su dispositivi mobili compromessi