Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Report 3° trimestre sulle minacce informatiche: i ransomware
- LUNEDÌ 4 DICEMBRE 2017


Nel terzo trimestre del 2017 abbiamo individuato oltre 199 milioni di malware sui sistemi degli utenti Quick Heal: la maggior parte di queste individuazioni risalgono al mese di Luglio. Rispetto al trimestre scorso il numero delle rilevazioni è sceso dell'11%. Purtroppo però non sarebbe corretto pensare ad una tregua: i ransomware hanno continuato incessantemente a colpire gli utenti in tutto il mondo. I Lab di sicurezza Quick Heal hanno individuato 9 nuove famiglie di ransomware in questo trimestre. Il "Top Malware" è rimasto lo stesso dello scorso trimestre, un trojan capace di modificare il browser. Tra i modi di propagazione più diffusioni troviamo i software free, i dispositivi di rete e removibili, le email di spam, i siti web compromessi. 

La famiglia dei trojan ottiene ancora una volta il gradino più alto del podio in quanto a numero di individuazioni, seguita da worm e adware. La catena di attacco che ha più colpito l'attenzione è stata quella che ha riguardato il popolarissimo tool di ottimizzazione per computer CCleaner (ne abbiamo parlato qui).

Per quanto riguarda Android invece lo scenario si fa difficile: il numero delle individuazioni è cresciuto del 40% rispetto allo scorso trimestre. Gli app-store di terze parti continuano ad essere la principale fonte di malware. Le Applicazioni potenzialmente non desiderate (PUA) sono cresciute del 238%. 

L'intero report è consultabile qui. Qui approfondiremo i ransomware per Windows e per Android.

I ransomware per Windows
  • Nel 3° trimestre assistiamo ad una crescita esponenziale della famiglia ransomware Cryptomix. Utilizzano vastissime campagne di email di spam e dannose e vari exploit kit. Negli ultimi 3 mesi c'è stata una crescita anhe del ransomware Globeimposter, che cripta i file apponendovi svariate e diverse estensioni. Questo ransomware si diffondeva tramite RDP (remote desktop), ma ora usa anche campagne di spam per la diffusione.
  • Abbiamo osservato una nuova variante del ransomware Petya: ha colpito in Europa e in alcuni stati asiatici. La nazione bersaglio è comunque risultata, in maniera evidente, l'Ucraina: vittime privilegiate i servizi energetici e i principali istituti bancari. La nuova versione di Petya non cripta solo i file, ma anche l'MTF (Master File Table) e sovrascrive l'MBR (Master Boot Record), così il sistema bersaglio non potrà più neppure avviarsi. Più che un ransomware potremmo definirlo un "disk wiper", dato che il recupero dei file è impossibile. 
  • Arena e Aleta sono due nuove varianti della famiglia BTCWare. Questi ransomware si diffondono con un attacco di brute-force contro la porta RDP: se l'attacco ha successo (ed è solo questione di tempo), l'attaccante ottiene l'accesso al sistema-
  • La famiglia Locky invece si arricchisce di molti nuovi membri: Lukitus, Diablo6, Ykcol ecc..

  • Altri ransomware osservati nel 3° Trimestre 2017
    •   Karo
    •   NemucodAES
    •   Reyptson
    •   Viro
    •   Oops Locker
    •   Philadelphia
    •   Gryphon
    •   SyncCrypt
    •   Princess

    NemucodAES merita un piccolo approfondimento in più: è stato diffuso tramite alcune campagne, diverse, ma accomunate tutte dal fatto di usare mail apparentemente provenienti da UPS: queste email recano allegati .zip che contengono sia il ransomware NemucodAES sia il trojan file-less Kovter. L'allegato .zip contiene un JavaScript che scarica un file .DOC quindi la componente PHP e il file DLL del ransomware. Kovter invece, diffuso in coppia con NemucodAES, è un trojan che non necessita di file salvati in memoria locale per funzionare: si nasconde nel registro, così è molto difficile individuarlo. Ruba i dati della vittima e li invia al server C&C sotto il controllo degli attaccanti. 

    Ransomware per Android
    I ransomware per Android funzionano alla stessa maniera dei ransomware per Windows. Il malware può sia criptare i file per renderli illeggibili oppure bloccare lo schermo del dispositivo rendendolo inservibile: viene quindi richiesto un riscatto. Nella tabella sotto è possibile vedere le famiglie di ransomware per Android individuate, confrontate con lo stesso dato del 1° e 2° trimestre 2017. 


    Il più diffuso e pericolo tra questi è stato Android Locker, individuato dai nostri antivirus come Android.Locker.A. Lo abbiamo individuato in diffusione sul Google Play Store: all'inizio appare inoffensivo, ma, una volta avviato, esegue molteplici attività dannose sul telefono, infine blocca lo schermo sulla home. Impedisce così l'uso del telefono, mentre il ransomware rimane attivo e in esecuzione in background. Scarica quindi file dannosi da un server remoto e allo stesso invia in ritorno dati privati della vittima come email, la cronologia del browser, i contatti, il registro delle chiamate e i messaggi. I dati rubati vengono mostrati alle vittime, in ordine e scelta casuale, su una pagina web. Si chiede un riscatto per lo sblocco del telefono e la rimozione dei dati privati dal web. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login