Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Quick Heal: report delle minacce - 1° Trimestre 2019 | I Malware per Windows
- MARTEDÌ 7 MAGGIO 2019


Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 1° trimestre del 2019, per home user e aziende. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc...

Nel primo trimestre del 2019 i Quick Heal Security Labs hanno individuato oltre 434 milioni di Malware per Windows: 162 milioni nel solo mese di Gennaio. Su base giornaliera, parliamo di una media di 22.000 ransomware, 0.5 milioni di exploit, 0.4 milioni di Applicazioni Potenzialmente indesiderate e 69.000 malware per il mining di criptovaluta. I Trojan si confermano la categoria dominante per il 1° trimestre 2019. 

In questo articolo ci concentriamo sui malware per il sistema operativo Windows: il report completo è disponibile qui.

2019: highlihts


Le statistiche di individuazione


Se il mese di Febbraio ha mostrato un forte calo nel conteggio delle rilevazioni malware, il numero ha iniziato a salire nell'ultima settimana di Marzo, segnando il numero massimo di rilevazioni. 

Panoramica delle categorie di malware individuate nel 1° Trim.2019


La figura sopra mostra le percentuali suddivise per categorie dei malware rilevati nel 1° trimestre del 2019. La categoria dei trojan si conferma sul podio, toccando il 46% del totale dei rilevamenti malware: il predominio dei trojan si conferma, come si può vedere nella figura sottostante, per tutti e tre i primi mesi del 2019. 


La TOP10 dei malware per Windows
Il grafico sotto mostra la Top 10 dei malware per Windows rilevati nel 1° Trimestre del 2019: la classifica tiene di conto del tasso di individuazioni nei mesi Gennaio - Marzo. Il malware più diffuso è un Trojan, Trojan.Starter.YY4: ha segnato ben 25 milioni di individuazioni.


1. Trojan.Starter.YY4 
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email e siti web compromessi/dannosi
Comportamento:
  • crea un processo apposito per avviare l'eseguibile dannoso;
  • modifica le impostazioni del registro del computer infetto: talvolta comporta il crash del sistema;
  • scarica altri malware, come keylogger e altri file infector;
  • rallenta il riavvio del sistema e arresta processi;
  • consente all'attaccante il furto di dati e informazioni sensibili (sopratutto bancarie).
2.  LNK.Cmd.Exploit.F
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email e siti web dannosi
Comportamento:
  • usa cmd.exe per eseguire ulteriori malware;
  • esegue simultaneamente un file .vbs dannoso insieme al proprio eseguibile;
  • il file VSB usa un protocollo per il mining della criptovaluta Monero. 
3.  W32.Ramnit.A
Livello di rischio: medio
Categoria: virus
Metodo di propagazione: drive USB, altri malware, exploit kit ecc...
Comportamento:
  • è dotato di molti componenti, ognuna specializzata in un compito preciso. Questo rende più veloce il processo di infezione;
  • infetta tutti i processi in esecuzione;
  • modifica le voci di registro per assicurarsi l'esecuzione ad ogni riavvio di sistema.
4. VNS.Dropper.A
Livello di rischio: medio
Categoria: dropper
Metodo di propagazione: pagine web
Comportamento:
  • si diffonde tramite pagine web dannose; queste pagine contengono il file PE;
  • il file PE viene salvato su una cartella specifica e avviato per eseguire varie attività dannose. 
5. LNK.Exploit.Gen
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: software collegati e freeware
Comportamento:
  • è un trojan molto dannoso che si nasconde in allegati email, siti web dannosi e pop-up;
  • si installa su Windows sfruttando estensioni illegittime dei browser;
  • modifica alcuni file di sistema senza che l'utente possa accorgersene. Al riavvio del sistema, si esegue in background e spia l'attività dell'utente. Infine dirotta l'indirizzo IP e modifica i file host di sistema. 
Leggi qui il report completo >> https://bit.ly/2PKus0s

Approfondimento: Desktop Remoto insicuro e SMB
I Quick Heal Security Labs hanno rilevato una crescente serie di attacchi sfruttando i servizi di desktop remoto e di brute force contro il protocollo SMB. Attaccare i servizi RDP e SMB è un sistema piuttosto efficace per penetrare le reti aziendali. 

Servizi RDP:  Remote Desktop Protocol - è largamente usato per la connessione da remoto ai sistemi Windows.

Procotollo SMB: Server Message Block - è un protocollo di comunicazione client- server usato per l'accesso a file, stampanti, porte seriali e altre risorse condivise sulla rete aziendale.  Vediamo i tre tipi di attacchi maggiormente rilevati nel 1° trimestre 2019:
  1. Attacco di "brute force": è un attacco del tipo "tenta e ritenta"usato per indovinare, tentando  molteplici combinazioni, informazioni critiche come username e password. Solitamente è un tipo di attacco portato usando script automatizzati;
  2. RDP Brute Force Attack: il servizio Remote Desktop Protocol è eseguito di default sulla porta 3389. Un attacco di brute force contro tale porta può consentire all'attaccante di ottenere username e password, quindi l'accesso via RDP alla macchina della vittima. 
  3. SMB Brute Force Attack: il protocollo SMB si esegue sulla porta 445. Se il brute force (solitamente eseguito con Metasploit) ha successo, l'attaccante ottiene accesso al sistema con una reverse shell. A questo punto può creare un nuovo utente coi diritti di amministrazione sulla macchina della vittima: fatto ciò l'attaccante può eseguire qualsiasi tipo di attacco. 
Questi primi mesi del 2019 ci indicano come la protezione dei servizi RDP contro accessi non autorizzati sia divenuta una necessità urgente. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 29 LUGLIO 2019
Sicurezza IoT: Il Miner Trinity usa le porte ADB aperte per colpire i dispositivi smart
Ormai praticamente tutti dispongono di un dispositivo IoT: la quasi totalità di questi usano processori ARM e eseguono un sistema operativo Android o Unix. Tra questi dis...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login