Alessia Valentini

Alessia Valentini

Mag 29, 2017

Malware, l’Italia è il secondo Paese più a rischio in Europa dopo la Romania

A Check Point Expo sono stati diffusi gli aggiornamenti degli incidenti di sicurezza relativi al mese di aprile. L’Italia ha raggiunto la 35ma posizione nella classifica dei paesi più colpiti al mondo dai malware, salendo di 7 posizioni

Ogni anno, l’azienda israeliana Check Point (CP), tiene una conferenza, la Check Point Expo (CPX) dedicata a partner, clienti e prospect. Durante le sessioni degli esperti e nelle aree demo, sono presentate e discusse le ultime novità in tema di minaccia, prodotti e soluzioni di difesa e contrasto e tutto quello che ha scoperto in tema di sicurezza informatica. In particolare nell’ultima edizione, sono stati diffusi gli aggiornamenti degli incidenti di sicurezza relativi al mese di Aprile, mese considerato critico per il Bel paese, poiché  l’Italia ha raggiunto la 35ma posizione nella classifica dei paesi più colpiti al mondo dai malware, salendo di 7 posizioni. Nel contesto Europeo ha invece il triste primato di essere seconda dopo la Romania.

Il panorama della minaccia

I ricercatori hanno rilevato una costante crescita nell’uso di exploit da parte dei cybercriminali con Rig EK che è diventato la più diffusa forma di attacco, secondo il Global Threat Impact Index (GTII) di aprile. In particolare, gli Exploit Kit che nel primo trimestre sembrava avessero mostrato un declino in tutto il mondo, tornano invece ad imperversare con Rig e Terror.  Altri ritorni riguardano il worm Slammer, rilevato nel 2003 e balzato nella top three delle famiglie di malware più diffuse a livello mondiale, dopo un lungo periodo di quiete, e collocato al quinto posto nella classifica italiana del Malware. Questa è la seconda volta in pochi mesi che il worm entra nella top ten del GTII evidenziando come anche i malware più vecchi possono ritornare con successo dotati di modifiche e aggiornamenti che li rendono più pericolosi rispetto al passato

Le principali minacce attualmente in atto nel Bel Paese vedono al primo posto Conficker, warm che punta ai sistemi operativi Windows, seguito da HackerDefender, un rootkit user-mode per Windows, che modifica parecchi sistemi Windows e API native e li rende introvabili dai sistemi di sicurezza. Come ultimo posto della top Three italiana si trova Rig EK, un exploit rilevato la prima volta nel 2014 che si diffonde con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.

La top three del rischio a livello mondiale

A livello mondiale invece la top three consiste in Rig EK, seguito anche su scala mondiale da HackerDefender, il rootkit user-mode per Windows, che può essere utilizzato per nascondere file, procedure e chiavi di registro; il malware sfrutta le backdoor e reindirizza le porte attraverso le porte TCP aperte con servizi in essere, il che rende impossibile trovare la backdoor nascosta usando mezzi tradizionali. Infine il già citao Slammer, worm resistente nato per attaccare il sistema Microsoft SQL 2000 e caratterizzato da una rapida diffusione, e con le rovinose conseguenze di negazione del servizio (attacco DoS) dei sistemi presi di mira.

Rig EK e HackerDefender, hanno inciso rispettivamente per il il 5% e il 4,5% seguiti dal worm Slammer che ha attaccato il 4% delle aziende. La lista dei “most wanted” ovvero le 10 famiglie di malware più attive è disponibile sul blog CP.

WannaCry

Fin dalla prima segnalazione la campagna ransomware, è stata tenuta sotto osservazione dal team di ricerca CP che ha tracciato 34.300 tentativi di attacco in 97 Paesi. La media degli attacchi attualmente è pari a un tentativo in ogni tre secondi, un dato calante rispetto ai picchi dei primi giorni che evidenziavano una media  pari ad un tentativo al secondo. La nazione in cui è stato registrato il maggior numero di attacchi è l’India, seguita da USA e Russia. Per avere una vista d’insieme si può consultare la  WannaCry Ransomware Infection Map che mostra l’entità della diffusione epidemica. Mentre se si cercano approfondimenti si può consultare il Blog CP.

I dati di tutte le minacce sono collezionati a partire dalla ThreatCloudTM di Check Point che fornisce dati sulla base dell’andamento attacchi, usando diverse fonti: i feedback della rete mondiale di sensori, un database di più di 250 milioni di indirizzi, analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti.