Check Point Software Technologies ha pubblicato il suo report “Cyber Attack Trends: 2020 Mid-Year”, che mostra come i criminali informatici siano stati una minaccia, sia a livello politico che statale, e come abbiano sfruttato la pandemia da COVID-19 e i temi ad essa correlati, per colpire le organizzazioni di tutti i settori, compresi i governi, l’industria, la sanità, i fornitori di servizi, le infrastrutture critiche e i consumatori.
Gli attacchi di phishing e malware collegati al COVID-19 sono aumentati drasticamente, da meno di 5.000 a settimana registrati a febbraio, ad oltre 200.000 a settimana alla fine di aprile. Inoltre, a maggio e giugno, mesi in cui i vari Paesi hanno iniziato ad allentare il lockdown, i criminali informatici hanno intensificato anche le loro attività non legate al COVID-19, con un conseguente aumento del 34% registrato a fine giugno, per tutti i tipi di cyber-attacchi a livello globale rispetto a marzo e aprile.
Gli attacchi informatici a livello statale sono aumentati di intensità e gravità nella prima metà dell’anno, proprio mentre i Paesi cercavano di raccogliere informazioni sulla gestione della pandemia. Questa situazione si è estesa anche alle organizzazioni sanitarie e umanitarie come l’OMS, che ha segnalato un aumento del 500% degli attacchi.
Nel 2020 si è diffusa una nuova forma di attacco ransomware in cui gli aggressori estraggono grandi quantità di dati prima di cifrarli. Le vittime che si rifiutano di pagare il riscatto vengono minacciate dai criminali di far trapelare i dati, esercitando su di loro un’ulteriore pressione al fine di cedere alle richieste.
I criminali hanno cercato nuovi vettori di infezione tramite mobile, migliorando le loro tecniche per aggirare le protezioni di sicurezza e installare applicazioni dannose negli App Store ufficiali. Con una tipologia di attacco innovativa, gli hacker hanno utilizzato il sistema Mobile Device Management di una grande azienda internazionale per distribuire malware a oltre il 75% dei dispositivi mobile gestiti.
Il rapido passaggio al cloud pubblico durante la pandemia ha generato un aumento degli attacchi verso i workload sensibili e verso i dati su cloud. I criminali informatici stanno inoltre utilizzando l’infrastruttura cloud per archiviare workload dannosi utilizzati nei loro attacchi malware. A gennaio, i ricercatori di Check Point hanno trovato, prima volta nel settore, una vulnerabilità critica in Microsoft Azure, che avrebbe permesso agli hacker di compromettere i dati e le applicazioni di altri utenti di Azure, dimostrando così come i cloud pubblici non siano intrinsecamente sicuri.
“La risposta globale alla pandemia ha trasformato e accelerato i modelli abituali di attacco degli hacker durante il primo semestre di quest’anno, sfruttando la paura scatenata dal COVID-19 come copertura per le loro attività. Abbiamo anche visto emergere nuove e maggiori vulnerabilità e vettori di attacco, che minacciano la sicurezza delle aziende attraverso tutti i settori”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Gli esperti della sicurezza devono essere consapevoli di queste minacce in rapida evoluzione in modo da poter garantire alle proprie aziende il miglior livello di protezione possibile durante il resto del 2020.”
Emotet è un trojan evoluto, modulare che si auto diffonde. Utilizzato in passato come banking trojan, Emotet ora rappresenta un veicolo d’infezione per altri malware o campagne maligne. Utilizza diversi metodi per mantenere la persistenza e le tecniche di evasione per eludere i sistemi di rilevamento. Inoltre, può essere diffuso tramite e-mail di phishing contenenti allegati o link malevoli.
XMRig è un mining software open-source CPU utilizzato per il mining della criptovaluta Monero. Gli hacker spesso sfruttano questo software open-source integrandolo nei loro malware per condurre attività di mining illegali sui dispositivi delle vittime.
Agent Tesla è un trojan ad accesso remoto avanzato che funziona come keylogger e ladro di password, ed è attivo dal 2014. AgentTesla è in grado di monitorare e raccogliere gli input dalla tastiera e gli appunti di sistema della vittima, di fare screenshot e di estrarre le credenziali da una serie di software installati sul dispositivo della vittima. AgentTesla è venduto in vari mercati online e forum di hacking.
7XMRig è un software open-source per il mining di CPU utilizzato per il processo di mining della criptovaluta Monero, e visto per la prima volta nel maggio 2017. Gli attori della minaccia spesso abusano di questo software open-source integrandolo nel loro malware per condurre attività minerarie illegali sui dispositivi delle vittime.
Jsecoin è un criptominer web-based progettato per eseguire senza autorizzazione il mining della criptovaluta Monero, quando un utente visita una pagina Web. Il software installato JavaScript utilizza una grande quantità di risorse di calcolo dei dispositivi dell’utente finale per estrarre la valuta, influenzando così le prestazioni del sistema. JSEcoin ha cessato la sua attività nell’aprile 2020.
WannaMine è un sofisticato criptomining worm per Monero che diffonde l’exploit EternalBlue. WannaMine implementa un meccanismo di diffusione e tecniche di resistenza sfruttando gli abbonamenti permanenti agli eventi di Windows Management Instrumentation.
xHelper è un malware per Android che mostra principalmente pubblicità pop-up invadenti e spam di notifica. Una volta installato, è molto difficile da rimuovere a causa delle sue abilità di reinstallazione. Rilevato per la prima volta nel marzo 2019, xHelper ha infettato più di 45.000 dispositivi.
PreAMo è un clicker malware per dispositivi Android, segnalato per la prima volta nell’aprile 2019. PreAMo genera ricavi simulando l’attività dell’utente e cliccando sugli annunci senza che questo ne sia a conoscenza. Scoperto su Google Play, il malware è stato scaricato oltre 90 milioni di volte su sei diverse app mobile.
Necro è un trojan dropper Android che può scaricare altri malware, mostrare pubblicità invadenti e addebitare in modo fraudolento abbonamenti a pagamento.
Dridex è un trojan baking che prende di mira i PC Windows. Viene trasmesso tramite campagne spam e Exploit Kits e si affida a WebInjects per intercettare e reindirizzare le credenziali bancarie verso un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo remoto.
Trickbot è un trojan bankin modulare che si rivolge alla piattaforma Windows, ed è per lo più distribuito tramite campagne spam o altre famiglie di malware come Emotet.
Ramnit è un trojan bankin modulare modulare scoperto per la prima volta nel 2010. Ramnit ruba le informazioni delle sessioni web, dando la possibilità di rubare le credenziali di tutti i servizi utilizzati dalla vittima, compresi i conti bancari, i conti aziendali e dei social network.
Il report “Cyber Attack Trends: 2020 Mid-Year” offre una panoramica dettagliata delle minacce informatiche attuali. Questi risultati si basano sui dati provenienti dal sistema di intelligence di Check Point, ThreatCloud, tra gennaio e giugno 2020, ed evidenziano le principali tecniche utilizzate dagli hacker per attaccare le aziende.