La minaccia non si ferma come provato dagli ultimi report di Check Point, dai dati divulgati da Eset e diffusi nell’ultima tappa del roadshow nazionale Clusit. Criptominer quadruplicati, una minaccia potenziale in ambito energetico e perfino un malware che sembra prendersi gioco del tempo.
Forse la minaccia informatica rappresenta “sempre lo stesso tipo di problema”, ovvero comporta la violazione della riservatezza, integrità e disponibilità dei dati di aziende e utenti, ma certo non si presenta sempre nello stesso modo, variando continuamente in forma, gravità e incidenza. Molto spesso sono intere famiglie di malware ad avere un maggior successo in un dato periodo caratterizzando dei trend nello scenario della minaccia, puntualmente identificati dai ricercatori delle aziende di sicurezza che studiano il loro codice per evidenziarne le caratteristiche tecniche e permettere di istruire contromisure appropriate. È il caso dei malware critptominer contro gli iPhone che dal dicembre 2017 ad oggi sono aumentati di quasi il 400% mediante Coinhive. In altri casi si trovano invece veri e propri malware “outsider”, caratteristici di attacchi targhetizzati verso specifici obiettivi. È il caso di GreyEnergy realizzato per gli attacchi a società energetiche e di MartyMcFly malware correlato all’attacco ad una realtà navale italiana.
Criptominer malware
I dati diffusi dal Global Threat Index di settembre da parte di Check Point hanno evidenziato una significativa e continua incidenza del malware Coinhive che ha colpito il 19% delle organizzazioni di tutto il mondo il 17% delle organizzazioni in Italia, con un aumento del 4% rispetto al mese precedente. In aggiunta al target principale relativo ai mobile di tipo iPhone, il malware ha aumentato la sua incidenza anche contro PC e dispositivi che utilizzano Safari, browser principale utilizzato dai dispositivi Apple. Coinhive è uno script di mining capace di utilizzare la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
Sempre nella famiglia dei malware criptominer si trova anche Cryptoloot salito al terzo posto della classifica ma diventato il secondo cryptominer più diffuso, grazie alla richiesta di una percentuale inferiore di profitti rispetto a Coinhive. Si mantiene quindi come un competitor del primo in classifica, dal quale cerca di accaparrarsi un maggior numero di vittime.
Il secondo malware nella classifica di incidenza registrata sul mese di settembre è rappresentato da Dorkbot un IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto.
Maya Horowitz, Threat Intelligence Group Manager di Check Point ha commentato i dati sottolineando come Il criptomining continui ad essere la minaccia dominante che le organizzazioni devono affrontare ogni giorno e che l’aumento quadruplo degli attacchi contro iPhone e i dispositivi che utilizzano il browser Safari è concentrato nelle ultime due settimane di settembre, senza che siano state utilizzate nuove funzionalità; quindi si renderà necessaria una indagine approfondita che permetta di scoprire i motivi possibili di questo sviluppo. I dispositivi mobile sono un elemento spesso trascurato nella linea di difesa di un’organizzazione, mentre è fondamentale che siano protetti con una soluzione completa di prevenzione dalle minacce, per evitare che diventino il punto debole delle difese di sicurezza aziendale.
Il costo dei dati sottratti agli utenti
La lunga lista di minacce che incombono sulle aziende italiane, secondo l’ultimo rapporto Clusit 2018, è stata anche ricordata in occasione dell’ultima tappa 2018 degli eventi Clusit (che ha toccato anche Roma nel mese di Giugno n.d.r.). Ma non sono solo le minacce a danneggiare gli utenti. La polizia Postale oltre a confermare la massiccia ondata di attacchi osservati dal centro CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), ha divulgato informazioni relativi al costo dei dati sottratti ad utenti e imprese, facendo capire quanto possano valere. Dalla media di 2 euro per i dati di identità di un semplice cittadino si passa a sei euro se vengono forniti i codici del conto, il numero di carta di credito e altri codici di tipo bancario. Un account Paypal può partire dai 18 ma arrivare fino a 500 euro, mentre un account Skype varrebbe 12 euro a fronte della compromissione di un semplice computer quotata circa 20 euro (fonte Ansa n.d.r.)
Obiettivo reti energetiche
Deriva da ESET invece, l’ultima scoperta in fatto di minacce mirate al settore energetico. In particolare, negli ultimi tre anni il malware soprannominato GreyEnergy avrebbe agito su obiettivi specifici fra Ucraina e Polonia (fonte Adnkronos n.d.r.). Il nuovo malware sembra comparso con intenti di spionaggio e ricognizione ma senza rendersi pericoloso, anche se si pensa che possa essere utilizzato per futuri attacchi di cyber sabotaggio. Il malware Greyenergy ha una struttura modulare che può determinare comportamenti diversi a seconda dei moduli utilizzati nei sistemi della potenziale vitttima target: backdoor, estrazione di file, acquisizione di schermate, keylogging, password, furto di credenziali.
Il malware del paradosso temporale
MartyMcFly Malware in analogia con la questione temporale che accompagna la scoperta di questo codice malevolo, è stato scoperto dal ricercatore italiano Marco Ramilli che ne ha analizzato e commentato il comportamento sul suo blog, rendendo disponibili anche dettagli tecnici specifici presso il blog dell’azienda Yoroi di cui Marco è il CTO. Il malware è stato individuato nelle mail di spear phishing indirizzate ad una realtà dell’industria navale italiana e caratterizzate dal tentativo di far cliccare un allegato file excel con la scusa di una richiesta di pezzi di ricambio. Il “paradosso temporale” legato al malware si è verificato durante l’analisi, quando il ricercatore si è reso conto che il malware sfrutta una vulnerabilità scoperta nel 2017 anche se il codice del malware sembra fosse stato osservato (e certificato da Virus Total n.d.r.) per la prima volta, 7 anni prima, come se la vulnerabilità fosse rimasta celata per tutto quel periodo. In particolare, un controllo data nel codice del malware avrebbe favorito questo “camuffamento”.
Classifica mobile
Rispetto ai dispositivi mobile la classifica della minaccia sul mese appena trascorso è ancora capitanata da Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, potendo anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore. Il primo posto e’ seguito da Lotoor, una tecnica di attacco in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati. Il terzo incidente nel panorama della minaccia mobile è rappresentato da Triada, un malware modulare per Android che sferra l’attacco tramite una backdoor capace di concedere privilegi amministrativi a malware scaricati permettendo di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.
