mercoledì 2 agosto 2017

[Quick Heal Lab] Report delle minacce 2° trimestre 2017: Ransomware e Exploit


Nel secondo trimestre del 2017, i Lab Quick Heal hanno individuato oltre 224 milioni di malware: il mese di Aprile detiene il record di individuazioni. Rispetto al primo trimestre del 2017 abbiamo registrato una riduzione del 24% nel numero delle individuazioni (nel primo trimestre furono 295 milioni di malware). Il tipo di malware più individuato in questo trimestre è un trojan che modifica le impostazioni del browser e sottrae informazioni sensibili alla vittima. I free software si confermano come il mezzo più usato per la diffusione di infezioni, seguiti dalle email di spam e i dispositivi removibili. Sono stati individuati anche 8 nuove famiglie di Ransomware e bloccati oltre 1 milione di tentativi di exploit finalizzati alla diffusione di ransomware. 

Rispetto ad Android si è registrato un calo di individuazioni di malware del 21%. App Store di terze parti continuano ad essere la fonte prioritaria nella diffusione di app dannose. I ransomware per
Android sono cresciuti però del 16% rispetto al primo trimestre 2017, mentre i trojan bancari registrano un vero e proprio boom di oltre il 166%. 


In questo articolo ci concentriamo sui ransomware e gli exploit, che sono uno dei vettori di diffusione dei ransomware: il report completo delle minacce informatiche per il secondo trimestre 2017 è consultabile qui (in inglese) 

Top 10 Exploit per Windows
Per exploit intendiamo un attacco pensato per ottenere vantaggi da una particolare vulnerabilità di sicurezza presente nel sistema bersaglio. Quelle mostrate sotto sono le TOP 10 degli exploit (host-based e network-based).
  • 1. Exploit host-based
    Sono quegli exploit che hanno come obiettivo le vulnerabilità di sicurezza individuate nelle applicazioni host-based (intendendo con host ogni computer o altri dispositivi connessi a una rete di computer). Sono individuati da moduli quali Protezione Virus, protezione Email e Scanner. 


Dai dati si evince che la vulnerabilità più sfruttata in questi casi è la Exp.RTF.CVE-2012-0158, vulnerabilità di Windows Common Control Library. MSCOMCTL.OCX è una Dynamic Linked Library (DLL) contenente una lunga serie di comandi comuni: il suo exploit consente ad un attaccante l'esecuzione di codici arbitrari da remoto

  • 2. Exploit network-based
    Sono quegli exploit che hanno come obiettivo le vulnerabilità di sicurezza individuate nelle applicazioni network-based. Colpiscono cioè le vulnerabilità della rete. Sono individuati da moduli quali l'IDS/IPS (Intrusion Detection/Intrusion Prevention). 


Dai dati si evince che la vulnerabilità più sfruttata è la CVE-2008-4250 una vulnerabilità nel servizio Server di una lunga serie di versioni di Windows, il cui exploit consente ad un attaccante di eseguire sulla macchina codici dannosi da remoto (vedi il bollettino di riferimento)

TOP 10 RANSOMWARE

1. WannaCry
Il secondo trimestre del 2017 ha visto avvenire il più grande attacco ransomware della storia. L'attacco, iniziato il 12 Maggio, ha infettato oltre 230,000 computer in oltre 150 paesi. E' un ransomware che si diffonde tramite exploit, usando per l'appunto l'exploit kit EternalBlue, pensato per sfruttare una falla presente nel protocollo SMBv1. WannaCry, oltre a essere un ransomware, è dotato di caratteristiche da worm, che gli hanno consentito una così virulenta diffusione: infettato cioè un computer cerca di replicarsi e diffondersi negli altri dispositivi collegati in rete. Tutto questo avviene senza nessuna conoscenza o necessità di interazione da parte dell'utente. Ha colpito, oltre che singoli utenti, organizzazioni governative, grandi aziende, ospedali, centrali elettriche, operatori di telefonia ecc...  Leggi altre info su WannaCry

2. Jaff Ransomware
Il Ransomware Jaff era già in diffusione da tempo, ma dopo WannaCry sono state individuate nuove versioni. Si diffonde tramite email di spam contenenti allegati dannosi. L'allegato è un file pdf ch ha integrato un documento Word con una macro: abilitare la macro significa avviare il download del payload del ransomware. Dopo l'esecuzione del payload inizia la criptazione dei file sul computer infetto.  Leggi altre info su Jaff

3. Petya o NotPetya Ransomware
Il secondo protagonista sui media mondiali di questo secondo trimestre è indubbiamente NotPetya. La prima infezione di questa nuova versione del ransomware è stata individuata in Ucraina, ma, in poche ore, si era già diffusa in moltissimi stati europei, così come gran parte dell'Asia. Usa anch'esso l'exploit EternalBlue per colpire i sistemi bersaglio. In rarissimi casi (solo in Ucraina) è stato diffuso tramite software gestionali. I file che cripta non sono in realtà recuperabili: è nei fatti un disk-wipe.
Leggi altre info su NotPetya

4. Ransomware Crisis
Il ransomware Crisis non era una novità, ma in questo periodo ne sono state messe in diffusione nuove versioni che modificano le estensioni dei file criptati in .wallet o .onion. La master-key è stata rilasciata dall'autore stesso del rasnomware, consentendo così di approntare un tool di decriptazione utile a risolvere questa criptazione e recuperare i file. Leggi altre info su Crisis

Altri ransomware individuati in questo trimestre sono Cry128/Cry9, Mole, AES-NI e altri secondari. 

Nessun commento:

Posta un commento