Fortinet, il malware per cryptomining raddoppia e si diffonde a ritmi vertiginosi

CyberwarSicurezza

L’ultimo report Fortinet, basato sull’intelligence collettiva dei FortiGuard Labs, evidenzia l’evoluzione dei ransomware e l’intensificarsi degli attacchi per il cryptomining e IoT

Nell’ultima edizione del Global Threat Landscape Report di Fortinet evidenzia l’evoluzione dei metodi di attacco utilizzati dal cybercrime per avere maggiori probabilità di successo e accelerare la diffusione del malware, nel corso del primo trimestre del 2018. Il Report è un’analisi trimestrale che racchiude l’intelligence collettiva dei FortiGuard Labs ricavata da sensori e dispositivi di rete Fortinet dislocati negli ambienti di produzione.

La ricerca si sofferma su tre aspetti centrali e complementari del panorama delle minacce: exploit applicativi, malware e botnet. E’ disponibile inoltre un servizio gratuito su registrazione, chiamato Threat Intelligence Brief, che analizza i principali malware, virus, e minacce web-based rilevate su base settimanale, assieme ai link delle scoperte più rilevanti di Fortinet. Ma entriamo nei dettagli dell’ultima edizione del Report.

Gli attacchi ransomware mantengono la loro carica distruttiva ma allo stesso tempo i criminali informatici preferiscono utilizzare sistemi di dirottamento di questa tipologia di minaccia per generare profitti nell’ambito del mining di cryptovalute piuttosto che per chiedere un riscatto.

Così il malware diventa sempre più difficile da prevenire e rilevare. Alcuni numeri: la prevalenza del malware cryptomining è più che raddoppiata da un trimestre all’altro passando dal 13 percento al 28 percento. Inoltre, il criptojacking è risultato maggiormente diffuso in Medio Oriente, America Latina e Africa.

I toolkit per il criptojacking stanno mostrando un’incredibile diversità, con i criminali informatici in grado di creare malware più efficaci senza alcun file per iniettare il codice infetto nei browser con una minore probabilità di rilevamento. Gli hacker hanno come obiettivo più sistemi operativi e l’estrazione di diverse criptovalute, tra cui Bitcoin e Monero. E la modalità d’azione evidenzia come, a partire da una buona esperienza, siano pronti ad apprendere e innestare le modifiche necessarie nel codice, per fare meglio, quindi con un accresciuto numero di varianti, a parità di tipologia di attacco.

Fortinet – Exploit, gli attacchi quotidiani

I numeri indicano una capacità affinata nell’uso del malware e nello sfruttamento di nuove vulnerabilità zero-day annunciate per attaccare in maniera rapida e su vasta scala. Mentre il numero di rilevazioni di exploit per impresa è diminuito del 13 percento nel primo trimestre del 2018, il numero di rilevamenti di exploit unici è cresciuto di oltre l’11 percento, mentre il 73 percento delle aziende ha registrato un grave exploit.

Grande attenzione anche per l’ottimizzazione negli attacchi mirati. Gli hacker conducono una ricognizione significativa su un’organizzazione prima di lanciare un attacco, per aumentare le probabilità di successo. Una volta permeata la rete, si spostano lateralmente attraverso la rete prima di attivare la parte più distruttiva del loro attacco pianificato. Tra gli esempi di questa modalità di azione il malware Olympic Destroyer e il ransomware SamSam sono esempi in cui i criminali informatici combinano un attacco a una carica distruttiva per il massimo impatto.

A proposito di ransomware, Fortinet registra la crescita sia in volume, sia per sofisticazione. Per esempio sfrutta nuovi canali di consegna come il social engineering e nuove tecniche come gli attacchi a più stadi per eludere il rilevamento e infettare i sistemi. GandCrab è emerso a gennaio con la peculiarità di essere il primo ransomware a richiedere la criptovaluta Dash come strumento di pagamento.

Per quanto riguarda invece i vettori di attacco, oltre alle vulnerabilità Meltdown e Spectre, il 21 percento delle organizzazioni ha segnalato malware mobile (+7 percento), con Microsoft che  continua a rappresentare il bersaglio numero uno per gli exploit, e i router al secondo posto nel volume di attacco totale.

Anche i Content Management Systems (CMS) e le tecnologie web oriented sono state fortemente presi di mira. Per quanto riguarda IoT, gli attacchi rivolti a sensori e dispositivi periferici per ora rappresentano ancora una percentuale minore nel panorama generale degli attacchi ma le tendenze sono preoccupanti. Attualmente, la stragrande maggioranza delle attività di exploit è diretta contro i due protocolli di comunicazione industriale più comuni perché sono i più distribuiti e quindi i più redditizi.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore