Focus sui temibili ambiti della minaccia: i malware che targetizzano i sistemi operativi Microsoft, il trojan Ursnif, il cryptojacking e i ransomware
La cultura della sicurezza informatica permea ancora troppo lentamente le diverse fasce di popolazione, che pure sono interessate da una adozione di strumenti digitali progressivamente crescente ed accelerata dai dispositivi mobili nella fascia consumer, dalla digitalizzazione indotta dai dispositivi IoT e dalle facilitazioni fiscali correlate al programma di industria 4.0. per il ricorso a tecnologie digitali in modalità agevolata. Insomma, lo “spessore digitale” abilitante aumenta e con esso le innumerevoli applicazioni utente per ogni ordine, grado e gusto.
La sicurezza informatica gioca un ruolo fondamentale per contribuire alla individuazione ma soprattutto alla prevenzione delle minacce che, se hanno successo, possono vanificare ogni sforzo di crescita. Infatti, il danno economico correlato ad un incidente informatico potrebbe potenzialmente annullare ogni reveniew ottenuta grazie agli investimenti digitali, se non, nel caso peggiore, causare un danno irreversibile all’azienda che ne fosse vittima e/o un danno pur significativo per il privato cittadino che ne fosse colpito.
Per contribuire alla awareness, ovvero alla conoscenza e consapevolezza dei pericoli digitali esaminiamo alcuni dei trend di attacco maggiormente perseguiti dai criminali informatici per monetizzare e fare profitto: le minacce per i sistemi operativi Microsoft largamente diffusi sia in ambito privato sia in ambito business, il rinnovato trojan Ursnif, la categoria di attacchi perpetrata con il cryptojacking e i “sempreverdi” ransomware.
Le minacce verso i sistemi Microsoft
Il centro Ricerche C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche sull’incidenza dei virus/malware registrati nel mese di maggio e giugno 2018. Il “rate di infezione” è calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer, prodotto dalla stessa TG Soft. Secondo questo rapporto i Trojan, rappresentano una prevalenza con la percentuale del 7.90% (5,42 % a giugno), seguiti dai PUP (Potentially Unwanted Program, programmi potenzialmente indesiderati scaricati dall’utente senza leggere gli accordi di download n.d.r.), al 3.83% di incidenza (2,45% a giugno) e dagli Adware (malware che visualizzano banner pubblicitari n.d.r.) con il 3.27% (2,14% a giugno). Significativo il quarto posto di Marco EXCEL allo 0,89% salito all’1,28% nel mese di giugno e al decimo posto i Ransomware (tutti i tipi di malware che chiedono un riscatto n.d.r.) con lo 0,33% (0,26% a giugno).
In aggiunta il C.R.A.M. diffonde anche la classifica delle minacce per tipologia e la classifica delle minacce che si diffondono via mail. Nel primo caso la top three sia a maggio che s a giugno è composta da Trojan, Adware e PUP, seguiti da worm, backdoor e BHO, dialer e spyware, mentre via mail si confermano ancora al primo posto i trojan ma seguiti al secondo posto da Macro virus e dal phishing che rappresenta una vera piaga.
Trojan Ursnif
A conferma della classifica del C.R.A.M. anche I ricercatori di CSE CybSec Enterprise SPA hanno studiato l’incidenza dei trojan ed in particolare della variante di Ursnif, un trojan bancario capace di rubare password usate per l’home banking, gli acquisti online e la posta elettronica. I ricercatori hanno scoperto che la mail ricevuta dalle vittime contiene in allegato un documento Word con la richiesta di abilitare le macro in modo da permettere la corretta visualizzazione dello stesso. La mail per ingannare meglio la vittima sfrutta una discussione pre-esistente tra il mittente e il destinatario.
Per riconoscerla bisogna fare attenzione alla qualità dell’italiano scritto, alla richiesta di attivazione delle macro e alla forma del nome del file che appare in una forma profilata al nome dell’azienda vittima concatenato alla parola “richiesta”, ovvero “[NOME-AZIENDA-VITTIMA]_Richiesta.doc”. Se l’utente cade nel tranello di abilitare quella che crede essere una macro, si attiva uno script malevolo che si collega a Internet e scarica dal proprio server il malware (payload) vero e proprio e questo, una volta eseguito automaticamente attraverso lo stesso script che ha iniziato il download, inizia le proprie attività malevole, conservandosi costantemente. Il malware infatti, è programmato per sopravvivere e restare attivo anche al riavvio del computer. La sua capacità di restare “trasparente” all’utente e al Sistema Operativo è data dal fatto che riesce a iniettare il proprio codice all’interno del processo “explorer.exe” che è uno dei principali processi del sistema operativo di Microsoft ed ha il compito di gestire le finestre del sistema operativo stesso.
La miglior difesa anche in questo caso è rappresentata dalla conoscenza che permette la prevenzione e il riconoscimento del tranello contenuto nella mail, ma qualora si fosse vittima di questo malware è necessario un intervento professionale per la rimozione e risoluzione del problema.
Cryptojacking e Ransomware
Tutte le minacce che garantiscono “moneta facile” sono largamente preferite dagli attaccanti. Non stupisce quindi che la tecnica del cryptomining che colpisce quasi il 40% delle organizzazioni, sia fra i maggiori trend di attacco. Come ricordato anche nelle ultime classifiche della minaccia il Conhive cripjacking ha attaccato il 22% delle aziende a livello internazionale, con un aumento di quasi il 50% rispetto al mese di aprile assieme a Cryptoloot, un altro malware di cryptomining.
I ransomware sono tristemente noti a tutti solo in relazione alla campagna Wannacry ma è bene ricordare che le campagne di ransoware, nate per guadagnare a mezzo richiesta di riscatto verso vittime i cui dati criptati sono resi inutilizzabili, sono state anche utilizzate in un contesto diverso e se possibile ancora più critico del danno al singolo cittadino, o all’intera azienda bloccata: l’attacco verso una intera città come nel caso di Atlanta city, colpita dal ransomware SAM SAM e sostanzialmente paralizzata per una settimana con un danno inizialmente stimato in 2 milioni di dollari ed oggi salito a 9,5 Milioni di dollari per ottenere una ripresa completa dei servizi.
Fra i ransomware in circolazione a maggio e giugno (Fonte C.R.A.M.) si ricorda il FakeGDF e alcuni sample di Cryptomalware ovvero i malware polimorfici che criptano i dati e chiedono un riscatto: Cryptolocker, CryptoTear, CryptoScarab, GlobeImposter2.0, CryptoShade.
La difesa
Per difendersi da questo tipo di minacce è ancora una volta opportuno evitare la prima fonte di infezione, il phishing, spesso veicolata su social con link cliccati troppo alla leggera o via mail con allegati fraudolenti aperti senza verificare meglio il contenuto della mail e il suo mittente. Non si ricorda mai abbastanza di ricorrere alla pratica del patching e dei back up con puntuale regolarità e si suggerisce anche di seguire altre tre regole (fonte Check Point): Conoscere la propria infrastruttura come punti di accesso edendpoint, valutando ogni elemento di controllo, dall’autenticazione degli utenti, al provisioning, dall’accesso dell’amministratore, ai sistemi attivi di protezione dei dati dell’infrastruttura o deputati alla continuità delle operazioni, per capire dove si possa nascondere una vulnerabilità. Assumere di essere già stati compromessi e agire come farebbe un sistema immunitario: segmentando la rete ed esaminando l’interno della propria realtà operativa (aziendale o privata) per trovare le infezioni che si spostano lateralmente. Non escludere rischi da cause interne: errori umani, backup difettosi e social engineering (ad esempio, gli attacchi di phishing) che possono causare altrettanti danni rispetto a quelli da attacco esterno sia esso innovativo, o una variante rinnovata di vecchie minacce.
