Le minacce di marzo 2016 rilevate da Check Point evidenziano la continua ascesa dei malware per i dispositivi mobili. HummingBad entra nella top ten dei malware dell’intero primo trimestre 2016
Durante l’annuale conferenza per i clienti, la Checkpoint Customer Experience (CPX), Check Point Software Technologies, il più grande fornitore specializzato in soluzioni di sicurezza a livello mondiale, ha annunciato le famiglie di malware più diffuse e utilizzate per attaccare le reti delle organizzazioni e i dispositivi mobili a livello globale nel mese di marzo 2016. L’Italia registra una diminuzione degli attacchi informatici e scende al 48° posto nella classifica mondiale dei paesi più attaccati (10° in Europa).
In particolare, in Italia, continuano a essere molto diffusi i malware Conficker, una botnet controllata da remoto; HummingBad, un malware che colpisce i dispositivi mobile Android, introducendo in questi un rootkit e, in seguito, app fraudolente e attività malevole; e Dorkbot, un malware Worm IRC che sferra attacchi denial-of-service.
Dopo il suo ingresso nella top ten durante il mese di febbraio 2016, il mobile agent HummingBad si è affermato al sesto posto tra i malware più aggressivi verso le reti e i dispositivi aziendali a livello globale nel mese di marzo. HummingBad è anche entrato nella top ten dei malware dell’intero primo trimestre del 2016, nonostante sia stato scoperto dai ricercatori Check Point solo nel mese di febbraio, il che indica che gli attacchi contro i dispositivi mobili Android che utilizzano questo malware sconosciuto fino a poco tempo fa sono in rapida crescita.
Check Point ha individuato più di 1.300 famiglie di malware diversi nel mese di marzo, in lieve calo rispetto al mese precedente. Questo mette in evidenza il fatto che i criminali informatici non hanno bisogno di sviluppare nuovi malware per lanciare attacchi dannosi; ciò che serve loro è semplicemente fare piccoli cambiamenti alle famiglie di malware esistenti in modo che la variante aggiornata possa aggirare le misure di sicurezza tradizionali. Inoltre, questo mette in evidenza la necessità di misure avanzate di threat prevention sulle reti, gli endpoint e i dispositivi mobile per fermare il malware in fase di pre-infezione, come ad esempio le soluzioni SandBlast e Mobile Threat Prevention di Check Point.
A marzo, Conficker è stata la famiglia di malware più aggressiva con il 20% degli attacchi riconosciuti; Sality è stato responsabile del 9,5%, e Cutwail del 4% degli attacchi riconosciuti. Le prime dieci famiglie di malware, nel loro complesso, sono state responsabili di oltre la metà di tutti gli attacchi riconosciuti livello mondiale.
1. ↔ Conficker – Worm che consente operazioni da remoto e dowload di malware. Le macchine infettate da Conficker vengono controllate da una botnet, inoltre il malware disabilita i servizi di sicurezza, rendendo i computer ancora più vulnerabili ad altri attacchi.
2. ↔ Sality – Virus che permette di eseguire operazioni da remoto e download di altri malware nei sistemi infettati. Il suo obiettivo principale è insidiarsi in un sistema e fornire gli strumenti per il controllo da remoto e installare ulteriori malware.
3. ↑ Cutwail – Una botnet principalmente coinvolta nell’invio di email di spam, così come di alcuni attacchi DDOS. Una volta installato, i bot si collegano direttamente al server di comando e controllo (C&C), e ricevono istruzioni riguardo alle email da inviare. Una volta eseguite le istruzioni, i bot riferiscono le statistiche dell’operazione allo spammer.
Le tre principali famiglie di malware mobile di marzo hanno tutte coinvolto Android:
1. ↔ HummingBad – Malware che attacca Android installando un rootkit nel dispositivo, seguito poi da applicazioni fraudolente, e favorisce inoltre ulteriori attività malevole come l’installazione di key-logger, che sottraggono credenziali e scavalcano i sistemi di criptaggio email utilizzati dalle aziende.
2. ↔ AndroRAT – Malware che si inserisce in un’app mobile legale e si installa all’oscuro dell’utente, offrendo a un hacker il completo controllo da remoto di un dispositivo Android.
3. ↑ Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito.
Nathan Shuchami, Head of Threat Prevention di Check Point, ha dichiarato: “Dopo il suo sorprendente ingresso nella top ten globale delle famiglie di malware nel mese di febbraio, gli attacchi che utilizzano HummingBad hanno continuato a crescere in volume. Il fatto che questa minaccia, in precedenza sconosciuta, sia già tra le prime dieci famiglie di malware globali del primo trimestre del 2016 indica quanto sia reale e in rapida crescita il pericolo di malware mobile. La dipendenza delle organizzazioni nei confronti dei dispositivi mobili cresce ogni giorno, ma la sicurezza mobile è ancora molto indietro rispetto a quella delle reti. La necessità di avere una protezione efficace per i dispositivi mobile aziendali è oggi più urgente che mai”.
Il threat index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale. La Threat Map si avvale dell’intelligence ThreatCloudTM di Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.