Durante l’annuale conferenza per i clienti, la Checkpoint Customer Experience ha annunciato quali sono i malware più diffusi e sfruttati per attaccare le reti delle organizzazioni e i dispositivi mobili a livello globale nel mese di marzo 2016. L’Italia registra una diminuzione degli attacchi informatici e scende al 48° posto nella classifica mondiale dei paesi più attaccati (10° in Europa).
In particolare, in Italia continuano a essere molto diffusi i malware Conficker, una botnet controllata da remoto, HummingBad, un malware che colpisce i dispositivi mobile Android, introducendo in questi un rootkit e, in seguito, app fraudolente e attività malevole, e Dorkbot, un malware Worm IRC che sferra attacchi denial-of-service.
Dopo il suo ingresso nella top ten durante il mese di febbraio 2016, il mobile agent HummingBad si è affermato al sesto posto tra i malware più aggressivi verso le reti e i dispositivi aziendali a livello globale nel mese di marzo. HummingBad è anche entrato nella top ten dei malware dell’intero primo trimestre del 2016, nonostante sia stato scoperto dai ricercatori Check Point solo nel mese di febbraio, il che indica che gli attacchi contro i dispositivi mobili Android che utilizzano questo malware sconosciuto fino a poco tempo fa sono in rapida crescita.
Check Point ha individuato più di 1.300 famiglie di malware diversi nel mese di marzo, in lieve calo rispetto al mese precedente. Questo mette in evidenza il fatto che i criminali informatici non hanno bisogno di sviluppare nuovi malware per lanciare attacchi dannosi; ciò che serve loro è semplicemente fare piccoli cambiamenti alle famiglie di malware esistenti in modo che la variante aggiornata possa aggirare le misure di sicurezza tradizionali. Inoltre, questo mette in evidenza la necessità di misure avanzate di threat prevention sulle reti, gli endpoint e i dispositivi mobile per fermare il malware in fase di pre-infezione, come ad esempio le soluzioni SandBlast e Mobile Threat Prevention di Check Point.
A marzo, Conficker è stata la famiglia di malware più aggressiva con il 20% degli attacchi riconosciuti; Sality è stato responsabile del 9,5%, e Cutwail del 4% degli attacchi riconosciuti. Le prime dieci famiglie di malware, nel loro complesso, sono state responsabili di oltre la metà di tutti gli attacchi riconosciuti livello mondiale.
1. Conficker – Worm che consente operazioni da remoto e dowload di malware. Le macchine infettate da Conficker vengono controllate da una botnet, inoltre il malware disabilita i servizi di sicurezza, rendendo i computer ancora più vulnerabili ad altri attacchi.
2. Sality – Virus che permette di eseguire operazioni da remoto e download di altri malware nei sistemi infettati. Il suo obiettivo principale è insidiarsi in un sistema e fornire gli strumenti per il controllo da remoto e installare ulteriori malware.
3. Cutwail – Una botnet principalmente coinvolta nell’invio di email di spam, così come di alcuni attacchi DDOS. Una volta installato, i bot si collegano direttamente al server di comando e controllo (C&C), e ricevono istruzioni riguardo alle email da inviare. Una volta eseguite le istruzioni, i bot riferiscono le statistiche dell’operazione allo spammer.
Le tre principali famiglie di malware mobile di marzo hanno tutte coinvolto Android:
1. HummingBad – Malware che attacca Android installando un rootkit nel dispositivo, seguito poi da applicazioni fraudolente, e favorisce inoltre ulteriori attività malevole come l’installazione di key-logger, che sottraggono credenziali e scavalcano i sistemi di criptaggio email utilizzati dalle aziende.
2. AndroRAT – Malware che si inserisce in un’app mobile legale e si installa all’oscuro dell’utente, offrendo a un hacker il completo controllo da remoto di un dispositivo Android.
3. Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito.
Il threat index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale.