Check Point Software Technologies, fornitore attivo nelle soluzioni di cybersecurity, ha annunciato gli ultimi dati relativi alle attività di alcuni tra i principali malware che dal 2017 stanno attaccando le organizzazioni a livello globale. Ad inizio marzo 2019 sia Coinhive che Authedmine hanno interrotto le loro attività. Per la prima volta da dicembre 2017, Coinhive ha perso la prima posizione, ma nonostante abbia operato solo per i primi giorni di marzo, è rimasto nella top10 del mese, piazzandosi al sesto posto. Coinhive è un malware che è riuscito a raggiungere un picco del 23% di organizzazioni colpite in tutto il mondo.
Molti siti web contengono ancora oggi il codice Coinhive JavaScript, anche se senza alcuna attività di mining, il malware Coinhive potrebbe riattivarsi se il valore di Monero dovesse aumentare. Nel frattempo, sfruttando l’assenza di Coinhive, altre attività di mining hanno incrementato la loro attività. Nel mese di marzo, tre dei cinque principali malware più diffusi sono stati dei criptominer: Cryptoloot, XMRig e JSEcoin. Cryptoloot ha guidato per la prima volta il Threat Index, seguito da vicino da Emotet, il trojan modulare. Entrambi hanno avuto un impatto globale del 6%, mentre con il 5% XMRig si è classificato terzo.
In Italia la situazione è ben diversa: Coinhive domina ancora la classifica con il 12,9% di impatto, mentre al secondo posto risale Lokibot; mentre Cryptoloot, primo nel mondo, è solamente quarto.
“Con il calo generale dei valori delle criptovalute dal 2018, vedremo altri criptominer per browser seguire le orme di Coinhive e cessare le loro operazioni. Tuttavia, sospetto che i criminali informatici troveranno il modo di guadagnare da attività di criptomining più solide, come il mining in ambienti Cloud, dove la funzione di autoscaling integrata permette la creazione di un più ampio raggio di criptovaluta,” ha commentato Maya Horowitz, Threat Intelligence and Research Director di Check Point. “Abbiamo visto che alle organizzazioni è stato chiesto di pagare centinaia di migliaia di dollari ai loro fornitori cloud per le risorse informatiche utilizzate illecitamente dai criptominer. Questo è un invito per le organizzazioni ad agire per proteggere i loro ambienti cloud.”
I tre malware più diffusi a marzo 2019
Di seguito i dettagli dei tre malware più diffusi nel mese di marzo 2019:
- Cryptoloot: malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
- Emotet: trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
- XMRig: mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
Questo mese Hiddad è stato il malware mobile più diffuso, sostituendosi a Lotoor al primo posto di questa classifica dedicata ai malware mobile. Triada conferma il suo terzo posto.
I tre malware per dispositivi mobili più diffusi a marzo 2019
La classifica dei malware si differenzia tra i diversi devices. Di seguito la classifica dei tre malware per dispositivi malware:
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
- Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
- Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate: CVE-2017-7269 è ancora al primo posto tra le vulnerabilità maggiormente sfruttate, con un impatto globale del 44%. Invece, condividono il 40% di impatto sia Web Server Exposed Git Repository Information Disclosure sia OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure.
Le tre vulnerabilità più diffuse nel mese di marzo 2019
La classifica delle tre vulnerabilità vede Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow stabile in prima posizione. In salita nella classifica rispetto al mese precedente Web Server Exposed Git Repository Information Disclosure e OpenSSL TLS DTLS Heartbeat Information Disclosure. Di seguito i dettagli:
- Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
- Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
