Check Point Software Technologies ha pubblicato il report sulla sicurezza informatica nella seconda metà del 2017, rivelando come i criminali informatici si stiano rivolgendo sempre più ai cryptominer per creare nuovi flussi illegali di guadagni.
Dal report emerge che, nella seconda metà del 2017, un’azienda su cinque è stata colpita da un malware per il mining di criptovalute, strumenti che consentono ai criminali informatici di utilizzare la potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute, utilizzando fino al 65% della potenza della CPU dell’utente finale.
Mentre i miner di criptovalute sono di solito utilizzati dagli utenti per minare le proprie criptovalute, la crescita dell’interesse da parte dell’opinione pubblica nei confronti delle valute virtuali ha rallentato il processo di estrazione, che dipende direttamente dal numero dei possessori delle valute. Questo rallentamento ha aumentato la potenza computazionale necessaria per minare le criptovalute e, di conseguenza, i criminali informatici hanno pensato a nuovi modi per sfruttare le risorse di calcolo di un pubblico ignaro di tutto.
In ogni caso, fino a un anno fa gli exploit kit erano il principale vettore di attacco. Nel corso del 2017, tuttavia, questo tipo di utilizzo è diminuito in modo significativo man mano che le piattaforme sfruttate sono diventate più sicure. La rapida risposta da parte dei vendor e dei principali sviluppatori di browser alle nuove vulnerabilità, insieme al rilascio di aggiornamenti automatici alle versioni più recenti, hanno anche ridotto la vita dei nuovi exploit.
Durante il 2017, il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha attratto esperti attori delle minacce che hanno portato con sé una pratica avanzata che includeva vari exploit di vulnerabilità nei documenti, in particolare in Microsoft Office.
Infine, ell’ultimo anno abbiamo assistito a numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. Ciò include i dispositivi mobile che agiscono come proxy, attivati dal malware MilkyDoor e utilizzati per raccogliere dati interni dalla rete aziendale. Un altro tipo di malware mobile, è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.
Questi i malware più diffusi nella seconda metà del 2017:
1. RoughTed (15,3%) – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
2. Coinhive (8,3%) – un malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina Web, senza l’approvazione dell’utente. Coinhive installa un JavaScript, che utilizza alti livelli della CPU degli utenti finali, incidendo gravemente sulle prestazioni della macchina. Coinhive è emerso nel settembre 2017 e ha già infettato il 12% delle aziende a livello globale.
3. Locky (7,9%) – ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
I ransomware più diffusi nella seconda metà del 2017:
I dati di questo report sono stati recuperati con l’aiuto di ThreatCloudTM, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce, relativa al periodo luglio-dicembre 2017.