lunedì 6 febbraio 2017

[QUICK HEAL LAB] Report annuale delle Minacce 2017: Ransomware ed Exploit


Il Report Annuale delle minacce presenta statistiche dettagliate riguardo lo stato della sicurezza digitale per gli utenti Windows e Android. Il Report si apre con una panoramica dei tipi di malware individuati nel 2016, seguito dalla Top Ten dei malware per Windows e da una loro breve trattazione. Prosegue con una trattazione riguardo alle statistiche di individuazione delle varie categorie dei malware, la Top Ten delle PUA (potentially unwanted applications), adware e exploit. 

Il report, in inglese, è interamente consultabile qui

In questo articolo trattiamo nel dettaglio la "Questione Ransomware" per Windows, concludendo, perchè molto legata, con una breve panoramica dei 10 "Top Exploit" nel 2016.

Malware per Windows: percentuale di rilevamento per tipologia




Osservazioni: 
1. la categoria più diffusa dei malware è quella dei Trojan (30.83%)
2. sul secondo gradino del podio gli Infector (22.18%)
3. Adwware si attesta attorno al 14.78%.
4. I ransomware presentano un trend in crescita per tutto il 2016, con un aumento sostanzioso tra il secondo e il terzo trimestre.

Ransomare più pericolosi

Nuovi Ransomware osservati nel 2016


Ransomware individuati nel 2015 e rimasti attivi anche nel 2016


1.Troldesh (Crysis/XTBL)
Nel 2016 osserviamo la messa in diffusione e l'esecuzione del ransomware Crysis con una tecnica molto particolare: non la solita mail di spam con allegato dannoso, ma l'ottenimento diretto dell'accesso al computer della vittima tramite il Desktop Remoto. E' stato possibile decriptare questo ransomware solo grazie al rilascio della master key di decriptazione. E' però stato un sollievo solo temporaneo: prima della fine del 2016 il ransomware è stato messo di nuovo in diffusione con una variante 2.0, che utilizza la stessa tecnica di diffusione della versione precedente (brute force dell'RDP): semplicemente, una volta ottenuto l'accesso, il cyber-crminale disattiva i sistemi difensivi della macchina e avvia il payload. La nuova variante cripta i file modificandone le estensioni in ".Dharma" e ".wallet". Attualmente la versione 2.0 non è decriptabile.

2. La saga del ransomware Locky
Il Ransomware Locky è stato individuato intorno alla metà del febbraio 2016. Viene diffuso sia tramite ampie campagne di spam sia attraverso siti web compromessi. Locky usa un sistema integrato di criptazione simmetrica e asimmetrica che praticamente lo rende inattaccabile. E' un ransomware in continua e costante evoluzione, forse percéè tra i ransomware "di punta" del cyber-crimine: tutt'ora è infatti non risolvibile. Le varianti sono:

- Variante di Locky: modifica completamente il nome dei file con una stringa di 32 caratteri esadecimali seguiti dall'estenzione ".locky" (es. 140E87B9982828DA30CF54705AB380B3.locky). Modifica l'immagine di sfondo del Desktop della vittima, mostrando una immagine contenente l'ID personale della vittima e le istruzioni per il pagamento del riscatto e il recupero dei file.
- Variante Zepto: comparsa nell'Agosto 2016 con l'estensione ".zepto" al posto di ".locky". Similmente alla versione precedente, modifica anche il nome dei file con una serie di caratteri esadecimali:non 32 consecuitivi ma 5 blocchi separati, ad esempio ‘7CE1B2C7-F4E9-FEE1-4317-9A6FC4E6CBE3.zepto’
- Variante Odin: appare nel Settembre 2016 e modifica l'estensione dei file in ".odin".
- Variante Shit: appare verso la fine di ottobre 2016, non modifica il nome del file: li rende illeggibili e ne modifica l'estensione in ".shit".
- Variante Thor: appare a meno di 24 ore di distanza dalla Variante Shit riportando il ransomware entro la tradizione degli Dei Nordici: l'unico cambiamento visibile rispetto alle altre versioni è appunto il cambio di estensione (.thor)
- Variante Aesir: modifica l'estensione dei file in ".aesir". inoltre cambia il nome dei file secondo questo schema [8 caratteri]-[4 caratteri]-[4 caratteri]-[12 caratteri].aesir. Modifica lo sfondo del desktop mostrando la richiesta di riscatto. 

TOP 10 Windows Exploit
L'exploit di un computer è definibile come un attacco volto a ottenere vantaggi da una particolare vulnerabilità di sicurezza presente sul sistema bersaglio. Questi gli exploit più sfruttati nel 2016 (ricordiamo il legame tra ransomware ed exploit, di cui abbiamo trattato qui.)




Exp.OLE.CVE-2014-6352.A (OLE Remote Code Execution)è la più diffusa: è una vulnerabilità di Microsoft Windows OLE.

Nessun commento:

Posta un commento