Check Point Software Technologies rivela che gli attacchi ransomware sono aumentati in modo esponenziale lo scorso settembre. In Italia, la minaccia del ransomware Locky è diventata la seconda più diffusa dopo la variante di malware Conficker. "Sotto la pressione degli attacchi il nostro Paese - affermano gli espserti di sicurezza di Check Point - ha scalato la classifica dei paesi più minacciati dagli hacker, salendo di ben 7 posizioni nell’arco di un solo mese. A settembre, l’Italia è stata il quarto paese nel mirino degli attacchi informatici in Europa, e il quarantunesimo a livello mondiale".
il ransomware Locky è responsabile del 6% di tutti gli attacchi rilevati a livello globale lo scorso settembre. La presenza di attacchi ransomware, in rapporto al totale, è aumentata del 13% a livello mondiale. Nella top 10 dei più aggressivi malware si evidenziano Chanitor, che scarica payload malevoli, l’exploit kit Blackhole e Nivdort, un bot multifunzionale. Per il sesto mese di fila, inoltre,
HummingBad si afferma come il malware più usato per attaccare i dispositivi mobili..
Complessivamente Conficker è stata la variante più diffusa, responsabile del 14% degli attacchi rilevati; al secondo posto, si posiziona Sality, causa del 6% delle infezioni, mentre è al terzo posto emerge, per l'appunto, Locky, il ransomware che ha attaccato nel 6% dei casi riscontrati. In totale, le 10 varianti più comuni hanno causato il 50% di tutti gli attacchi rilevati da Check Point.
Nathan Shuchami, Head of Threat Prevention di Check Point, ha dichiarato: “La crescita continua dei ransomware è la dimostrazione del fatto che molte aziende sono disposte a pagare il riscatto per riavere le proprie informazioni più riservate, quindi, sono diventati un mezzo interessante e lucrativo per i cybercriminali. Per ovviare a questa situazione, le organizzazioni devono affidarsi a tecniche di advanced threat prevention per le proprie reti, i propri endpoint e i dispositivi mobili, in modo che i malware siano bloccati allo stadio pre-infettivo".
In sintesi le modalità di attacco dei diversi ramsomware:
Conficker - Worm che consente operazioni da remoto e download di malware. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzion
Sality - Virus che consente operazioni da remoto e il download di ulteriori malware sui sistemi infetti. L’obiettivo principale è restare latente in un sistema, e trovare il modo di attivare controlli da remoto e installare così nuovi malware
Locky – Ransomware che ha iniziato a circolare nel febbraio 2016, e si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
Per quanto rigaurda le varianti malware per i dispositivi mobili:
HummingBad - Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente, e innesca altre attività malevole, come l’installazione di key logger, e il furto di credenziali, e scavalca i sistemi di crittografia delle email utilizzati dalle aziende.
Triada – backdoor modulare per Android, che permette di raggiungere permessi maggiori rispetto all’utente, e quindi di scaricare malware, riuscendo anche ad inserirsi nei processi di sistema. Triada, inoltre, è in grado di imitare le URL caricate sul browser.
Ztorg - Trojan che utilizza i privilegi di root per scaricare e installare applicazioni sul telefono cellulare all’insaputa dell’utente.