I risultati del Global Threat Index di febbraio 2019 diย Check Point Software Technologiesย confermano per il quindicesimo mese consecutivo il primato di Coinhive nella classifica dei malware piรน pericolosi, sia in Italia sia a livello mondiale. In particolare, lโItalia, nonostante un impatto minore di Coinhive, conquista 15 posizioni salendo al 95esimo posto e ritrovandosi dopo 6 mesi tra i 100 Paesi piรน colpiti. Il team di threat intelligence di Check Point, Check Point Research, ha, inoltre, rivelato numerose campagne ransomware con protagonista GandCrab che hanno colpito, tra gli altri, Giappone, Germania, Canada e Australia. Questi attacchi si sono verificati negli ultimi due mesi e Check Point ha notato come una nuova versione del ransomware sia apparsa in una delle ultime campagne. La nuova versione, GandCrab V5.2, presenta la maggior parte delle funzioni della precedente versione, ma con un cambiamento nel metodo di crittografia che rende inefficace lo strumento di decrittografia. In Italia, GandCrab ha colpito quasi il doppio delle organizzazioni rispetto al resto del mondo: lโimpatto รจ stato pari a 4,38% rispetto al โsoloโ 2,40% mondiale.
A febbraio, le varianti di malware piรน diffuse sono state i cryptominer. Coinhive rimane il principale malware, colpendo il 10% delle organizzazioni di tutto il mondo: si tratta comunque di un trend al ribasso considerando lโimpatto globale del 18% che Coinhive aveva registrato a ottobre 2018 e del 12% che lo stesso malware aveva registrato a gennaio 2019. Questo abbassamento รจ stato causato dallโaumento dei costi del mining unito alla diminuzione del valore di Monero. Cryptoloot รจ salito invece al secondo posto a febbraio, sostituendo XMRig, seguito poi da Emotet, un trojan avanzato, autopropagato e modulare, che ha sostituito Jsecoin al terzo posto nella classifica mondiale mensile.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
โCome abbiamo visto a gennaio, gli attori delle minacce continuano a sfruttare nuovi modi per distribuire il malware, creando nuove e piรน pericolose varianti di forme giร esistenti. La nuova versione di GandCrab dimostra ancora una volta che, sebbene esistano famiglie di malware apparentemente statiche che rimangono in cima alla lista dei malware per diversi mesi, in realtร si stanno evolvendo per ingannare i sistemi di rilevamentoโย ha commentatoย Maya Horowitz, Threat Intelligence and Research Director di Check Point.ย โPer combattere efficacemente questo fenomeno, i nostri ricercatori li rintracciano continuamente sulla base del DNA della loro famiglia di malware, quindi รจ essenziale che le organizzazioni mantengano le loro soluzioni di sicurezza completamente aggiornate.โ
I tre malware piรน diffusi a febbraio 2019 sono stati:
Coinhiveย (stabile) โ uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantitร di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare lโarresto anomalo del sistema.
Cryptolootย (in crescita) โ malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi piรน vittime chiedendo ai siti una percentuale minore in termini di profitti.
Emotetย (in crescita) โ trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilitร e le tecniche di evasione per evitare il rilevamento. Inoltre, puรฒ essere diffuso attraverso campagne phishing con mail contenenti allegati o link dannosi.
Per quanto riguarda invece la classifica dei malware mobile, Lotoor si รจ posizionato al primo posto, seguito da Hiddad al secondo e Triada al terzo.
I tre malware per dispositivi mobili piรน diffusi a febbraio 2019:
Lotoorโ tecnica di hackeraggio in grado di sfruttare le vulnerabilitร dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
Hiddadย โ malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale รจ visualizzare annunci, ma รจ anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo allโaggressore di ottenere dati sensibili dellโutente.
Triadaย โ malware modulare per Android che sferra lโattacco tramite unaย backdoor che concede privilegi amministrativi a malware scaricati. Triada puรฒ anche fare lo spoofing di URL caricati nel browser.
I ricercatori di Check Point hanno anche analizzato le vulnerabilitร informatiche piรน sfruttate: Il CVE-2017-7269 รจ ancora al primo posto tra le vulnerabilitร piรน sfruttate con il 45% di impatto globale. OpenSSL TLS DTLS Heartbeat Information Disclosure รจ la seconda vulnerabilitร piรน diffusa con un impatto globale del 40%, seguita dal Web servers PHPMyAdmin Misconfiguration Code Injection Injection exploit, con il 34%.
Le tre vulnerabilitร piรน diffuse nel mese di febbraio sono state:
Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflowย (CVE-2017-7269, stabile) โ inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciรฒ รจ dovuto principalmente a una vulnerabilitร di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
OpenSSL TLS DTLS Heartbeat Information Disclosureย (CVE-2014-0160; CVE-2014-0346, in calo) โ in OpenSSL esiste una vulnerabilitร che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore puรฒ sfruttare questa vulnerabilitร per rivelare il contenuto della memoria di un client o server collegato.
Web servers PHPMyAdmin Misconfiguration Code Injectionย (in crescita) โ la vulnerabilitร di iniezione di codice รจ dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto puรฒ sfruttare questa vulnerabilitร inviando una richiesta HTTP appositamente creata per il target da colpire.
Intermezzo promozionale ... continua la lettura dopo il box:
https://www.bitmat.it/blog/news/83926/i-malware-gandcrab-e-coinhive-minacciano-i-device-italiani
