La classifica dei malware più diffusi e come difendersi dagli attacchi

Le classifiche di evoluzione della minaccia tratte dal ThreatCloud Map e il Global Threat Impact Index di Check Point evidenziano ancora una predominanza di malware Cryoptominer e trojan bancari, seguiti dalla rapida ascesa un second-stage downloader. Sono tutti malware insidiosi e dannosi di cui conoscere le caratteristiche per essere in grado di attivare una difesa efficace. Fra i Cryptominer sia Coinhive che Authedmine hanno interrotto le loro attività di mining l’8 marzo anche se i ricercatori suggeriscono che potrebbero riattivarsi se il valore della criptovaluta Monero dovesse aumentare.

La classifica

Coinhive ha mantenuto la prima posizione da tredici mesi e con un impatto del 12% sulle organizzazioni mondiali a fronte di conseguenze sull’8% sulle organizzazioni locali italiane, ma secondo i dati di Marzo è stato superato da Cryptoloot  in testa alla classifica. XMRig è stato il secondo malware più diffuso con una portata globale dell’8%, seguito da vicino dal miner JSEcoin al terzo posto, con un impatto globale del 7% anche se nelle ultime rilevazioni, entrambi sono scesi entro i primi cinque posti della classifica, lasciando il secondo posto al trojan Emotet.

Cryptoloot è un malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Coinhive è uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.  Anche XMRig è un mining software open-source CPU utilizzato per il mining della valuta criptata Monero, mentre il miner JavaScript Jsecoin può essere integrato nei siti web per eseguirlo direttamente nel browser, in cambio di incentivi quali un’esperienza senza pubblicità o valúta del gioco. Infine Emotet rappresenta un trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.

Le minacce per Android

Sul fronte della minaccia Mobile, Hiddad è stato il malware mobile più diffuso, sostituendosi a Lotoor al primo posto. Triada conferma il suo terzo posto. fino a Febbraio invece Triada, era al primo posto tra i malware mobile, seguito da Guerilla e da Lotoor al terzo posto. Hiddad è un malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente. Triada attacca tramite una backdoor che concede privilegi amministrativi a malware scaricati e puó fare lo spoofing di URL caricati nel browser. Guerrila è un ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente. Infine Lotoor rappresenta una  tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.

Le vulnerabilità

Fra le vulnerabilità più sfruttate al primo posto risulta la CVE-2017-7269 con un impatto globale del 44%. Invece, condividono il 40% di impatto sia Web Server Exposed Git Repository Information Disclosure sia OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure.

Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) permette ad un hacker che invia una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, l’esecuzione di un codice arbitrario causando una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. Web Server Exposed Git Repository Information Disclosure è una vulnerabilità in GIT repository riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) rappresenta invece una vulnerabilità in OpenSSL che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

Trend evolutivi di attacco

Alcune delle “avanguardie” nei malware e nelle tecniche di attacco sono state evidenziate dalla UNIT 42 di palo Alto Networks che, nel caso del Trojan RogueRobin riconducibile al gruppo DarkHydrus, ha evidenziato come sia stato utilizzato Google Drive per le comunicazioni di Command & Control. Il trojan riceve comandi malevoli mediante il canale di tunneling DNS, utilizzando le richieste dell’API di Google Drive, verificando l’autenticazione dell’account Google controllato dagli attaccanti, prima di caricare e scaricare file da Google Drive. Ancora dalla UNIT 42 l’evidenza della capacità di smantellare le protezioni di sicurezza in cloud su server Linux, mediante lo studio di campioni di un malware Linux based usato per il mining delle monete dal gruppo Rocke. Il malware in particolare ottiene il pieno controllo amministrativo sugli host compromessi e poi abusa del controllo amministrativo completo per disinstallare cinque diversi prodotti di protezione e monitoraggio della sicurezza cloud dai server Linux, nello stesso modo in cui lo avrebbe fatto un amministratore legittimo. I prodotti sono stati sviluppati da Tencent Cloud e Alibaba Cloud (Aliyun), i due principali fornitori di cloud della Cina.

Approccio alla difesa

Nella sicurezza informatica tutti devono avere una parte attiva nella gestione dei rischi, parola di F5 Networks: dai singoli individui che devono prestare attenzione ai loro comportamenti, fino alle aziende e ai governi. La sicurezza, infatti, è una responsabilità condivisa che deve essere affrontata in modo sinergico da governi, aziende e cittadini. Il testo dell’ultima manovra finanziaria italiana, in particolare, prevendere un fondo con una dotazione iniziale di 1 milione di euro per ciascuno degli anni 2019, 2020 e 2021 per potenziare gli investimenti e le dotazioni strumentali in materia di cyber security.

Ma in generale sottolinea Paolo Dal Cin di Accenture Italia, “Nessuna organizzazione può affrontare da sola le sfide poste dalle minacce cyber; è un obiettivo globale che richiede una risposta globale”. Per Maurizio Desiderio, Country Manager di F5 Networks: “la sicurezza delle applicazioni, continuerà a rappresentare la vera chiave per la protezione dei dati degli individui e delle operazioni aziendali. Oltre alla protezione dell’infrastruttura IT è necessario prevedere protezione dalle bot, la crittografia a livello di applicazione, la sicurezza delle API e l’adozione dell’analisi comportamentale e dell’intelligenza artificiale adottando strumenti automatizzati e dotati di apprendimento automatico per rilevare e mitigare gli attacchi con un livello di precisione e accuratezza commisurato alle minacce evolute.

Fabio Pascali, Country Manager Italia di Veritas, ricorda in aggiunta l’utilizzo di tecnologie che consentono analisi predittive per fornire al personale IT indicazioni sull’aggiornamento della tecnologia per prevenire le interruzioni operative.

ITASEC 2019

L’ultima conferenza nazionale sulla Cybersecurity ITASEC19 svolta a Pisa dal 12 al 15 febbraio ha delineato il bilancio degli interventi nazionali in tema di difesa, GDPR, ricerca. L’evento, organizzato dal Laboratorio Nazionale di Cybersecurity del CINI presso il CNR pisano, ha permesso la presentazione di studi scientifici ed accademici sulle applicazioni di cybersecurity – dalla biometria ai computer quantistici – ed una serie di incontri e riflessioni sull’uso sociale delle tecnologie. Al filone principale, dedicato alla scienza e tecnologia della sicurezza informatica, si sono sffiancati workshop, tutorial, mostre e giochi di ruolo per riflettere con linguaggi innovativi sulle sfide più complesse poste dalla cybersecurity al nostro paese. Per approfondire si può conusltare il resoconto dell’evento.