I dati di dicembre 2017 del Global Threat Impact Index di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, rivelano un’impennata nella diffusione di malware per il mining di criptovalute.
L’Italia, che è salita di una posizione nella classifica dei paesi più colpiti dalle minacce informatiche piazzandoli al 75esimo posto, ha subìto in primo luogo il dominio di Coinhive, uno script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero; di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute; e di Globeimposter, un ransomware che si presenta come una variante del ransomware Globe.
A livello globale, il Global Threat Impact Index ha rilevato che il mining di criptovalute ha colpito il 55% delle organizzazioni a livello globale nel mese di dicembre, con dieci diverse varianti nella Top 100 dei malware del mese e ben due varianti tra le prime tre posizioni.
Check Point ha inoltre scoperto che i miner di criptovalute sono stati intenzionalmente immessi all’interno alcuni principali siti Web, per lo più legati a servizi di streaming multimediale e di condivisione di file, senza avvisare gli utenti. Sebbene alcuni di questi siti siano legali e legittimi, possono essere hackerati per richiedere più potenza e generare maggiori entrate ai malintenzionati, utilizzando fino al 65% della potenza della CPU degli utenti finali.
Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “Dal momento che gli utenti sono sempre più diffidenti verso i pop-up e i banner pubblicitari e utilizzano software per bloccarli, molti siti web fanno ricorso ai miner di criptovalute come fonte alternativa di entrate, spesso senza che gli utenti le cui macchine vengono sfruttate per il mining ne siano consapevoli e abbiano dato l’autorizzazione. Di conseguenza, anche i cybercriminali utilizzano i miner di criptovalute per drenare ancora più risorse dagli utenti per il proprio guadagno, ed è probabile che vedremo questa tendenza continuare a crescere nei prossimi mesi”.
Nel mese di dicembre, il miner di criptovalute Coinhive ha rimpiazzato RoughTed quale minaccia più diffusa, mentre l’exploit kit Rig ek è rimasto saldo a secondo posto. Un’altra new entry nella Top 10, il miner di criptovalute Cryptoloot, si è invece posizionato al terzo posto.
I tre malware più diffusi a dicembre 2017 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.
↑ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
↔ Rig ek – exploit kit scoperto per la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute – aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
Triada, una backdoor modulare per Android, continua a essere il più diffuso malware usato per attaccare i dispositivi mobile delle aziende. Seguito da Lokibot e Lotoor.
I tre malware per dispositivi mobili più diffusi a dicembre 2017:
Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore
Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
* La lista completa delle 10 famiglie di malware più attive nel mese di dicembre è disponibile sul blog di Check Point: https://blog.checkpoint.com/2018/01/15/decembers-wanted-malware-crypto-miners-affect-55-businesses-worldwide/
Le risorse per la Threat Prevention di Check Point sono disponibili al seguente link: http://www.checkpoint.com/threat-prevention-resources/index.html
Seguici sui nostri canali social:
Twitter: http://www.twitter.com/checkpointsw e https://twitter.com/CheckPointItaly
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) è il più grande fornitore mondiale specializzato nel campo della sicurezza, offre soluzioni leader di mercato e protegge i propri clienti, con il più elevato tasso di rilevamento di malware e di altri tipi di attacchi informatici sul mercato. Check Point fornisce un’architettura multilivello di sicurezza per difendere il cloud, i network e i dispositivi mobili delle aziende, oltre a offrire un unico sistema di gestione della sicurezza più completo e intuitivo possibile. Check Point difende più di 100.000 organizzazioni di tutte le dimensioni.
###