Conficker si conferma il ceppo di malware più aggressivo, ma i malware responsabili di attacchi DDoS il mese scorso hanno registrato un’impennata
Check Point Software Technologies, il più grande fornitore specializzato in soluzioni di sicurezza a livello mondiale, ha rilevato le varianti di malware protagoniste di attacchi alle reti delle organizzazioni e ai dispositivi mobili di gennaio 2016. L’Italia rimane il quarto paese europeo più colpito, dopo Montenegro, Polonia e Liechtenstein, in termini di numero di minacce, ma registra una diminuzione (-10%) delle minacce, passando da un indice pari a 7,1% (a dicembre) a un indice del 6,4% (a gennaio). Di conseguenza, il Bel Paese scende al 59° posto nella classifica mondiale dei paesi più attaccati.
In particolare, in Italia, continuano ad essere molto diffusi i malware Conficker, una botnet controllata da remoto, Ponmoucup, botnet specializzata in frodi e furti di dati e Sality, virus particolarmente insidioso che si cela nei sistemi. La novità è l’arrivo di Dorkbot, un malware Worm IRC che sferra attacchi denial-of-service. Questo malware agisce installando un rootkit user-mode per prevenire, visualizzare o manomettere i file, e modifica il registro per essere eseguito ogni volta che si avvia il sistema. Invia messaggi a tutti i contatti dell’utente infetto, o esegue hijack su una connessione esistente, per un link alla copia del worm.
Grazie alla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale, Check Point ha individuato più di 1.500 diversi tipi di malware attivi durante lo scorso gennaio, in linea con i trend annunciati a dicembre 2015, che registravano un aumento di gruppi di malware attivi del 25%. Se le varianti di malware Conficker e Sality sono rimaste quelle più diffuse per il secondo mese consecutivo, e sono state responsabili del 34% di tutti gli attacchi a livello mondiale, Dorkbot, legato agli attacchi di tipo DDoS e agli exploit che puntano ai dati sensibili, si è affermato come la new entry sul podio, causando il 5% degli attacchi del mese scorso.
Le tre varianti di malware più diffuse, che hanno causato il 39% degli attacchi totali a gennaio sono stati:
- ↔ Conficker – Responsabile del 25% di tutti gli attacchi rilevati, le macchine infettate da Conficker vengono controllate da una botnet, inoltre il malware disabilita i servizi di sicurezza, rendendo i computer ancora più vulnerabili ad altri attacchi.
- ↑Sality – Virus che permette di eseguire operazioni da remoto e download di altri malware nei sistemi infettati. Il suo obiettivo principale è insidiarsi in un sistema e fornire gli strumenti per il controllo da remoto e installare ulteriori malware.
- ↑Dorkbot – È un malware IRC Worm creato per permettere l’esecuzione di un codice da remoto da parte dell’operatore, oltre a consentire di scaricare ulteriori malware sul sistema infettato, con l’obiettivo di rubare dati sensibili e lanciare attacchi di tipo denial-of-service.
La ricerca di Check Point ha denunciato anche i malware mobili più diffusi a gennaio 2016 e, ancora una volta, gli attacchi contro Android sono stati molto più frequenti di quelli ai danni di iOS. I malware più diffusi sui dispositivi mobili sono stati:
- ↑ AndroRAT – Malware che si inserisce in un’app mobile legale e si installa all’oscuro dell’utente, offrendo a un hacker il completo controllo da remoto di un dispositivo Android.
- ↓ Xinyin – Classificato come Trojan-Clicker che esegue truffe su siti di pubblicità cinesi
- ↑Leech – Malware creato per inviare messaggi di testo da dispositivi mobili infetti a numeri a pagamento, con codifica fissa nel file.
Nathan Shuchami, Head of Threat Prevention di Check Point, ha dichiarato: “L’aumento di attacchi DDoS contro siti web pubblici è stato ampiamente documentato negli ultimi due mesi, e il fatto che la variante Dorkbot stia diventando sempre più diffusa, evidenzia che le aziende devono provvedere a tutelarsi dagli attacchi di questo tipo. La gravità e il numero di attacchi che le organizzazioni stanno affrontando dall’inizio del 2016 è in continua crescita, sottolineando quindi le sfide legate alla messa in sicurezza delle reti. Per questo è essenziale che le organizzazioni applichino misure di protezione per prevenire exploit e per difendere i propri dati”.
La ThreatCloud Map si avvale dell’intelligence ThreatCloud di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.