In base ai dati del Global Threat Index di Check Point il malware di cryptominer Conhive ha attaccato il 22% delle aziende a livello internazionale, con un aumento di quasi il 50% rispetto al mese di aprile.

Conhive mantiene così il primato di malware più diffuso insieme a Cryptoloot, un altro malware di cryptomining, presente sempre al secondo posto nella classifica mondiale con un tasso d’impatto del 11%.

Per il secondo mese consecutivo, si registra ancora al terzo posto la presenza di Roughted, malware malvertising che ha colpito quasi l’8% delle aziende a livello mondiale.

In Italia la classifica si mantiene invariata rispetto al mese precedente, con Coinhive e Cryptoloot che occupano le prime due posizioni, seguiti da Conficker, warm che punta ai sistemi operativi Windows.

“Il cryptomining è una tecnica molto diffusa, che colpisce quasi il 40% delle organizzazioni in tutto il mondo e per questo motivo, gli hacker la considerano molto redditizia”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. Per impedire che le reti vengano sfruttate per fini di cryptomining e altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello che protegga sia da famiglie di malware già note, sia dalle nuove minacce”.

Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.

Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.

Roughted – malvertising utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere utilizzato per attaccare qualsiasi tipo di piattaforma e sistema operativo e sfrutta le tecniche di bypassaggio degli adblock e di fingerprinting per essere certi di sferrare il più terribile degli attacchi.

A livello mondiale, il 44% delle organizzazioni è stato inoltre colpito da vulnerabilità che hanno interessato Microsoft Windows Server 2003, mentre la vulnerabilità di Oracle Web Logic, che si è posizionata appena dopo, avendo interessato il 40% delle organizzazioni, seguita da SQL injection, che ha interessato il 17% delle aziende.

“I criminali informatici, che puntano a sviluppare nuovi vettori d’attacco, tendono a utilizzare vulnerabilità già conosciute, sicuri che le organizzazioni non abbiano ancora adottato misure per affrontarle. Gli hacker sono sempre alla ricerca del modo più semplice per entrare in una rete”, afferma Horowitz. “Per questo motivo, è preoccupante notare come così tante organizzazioni continuino a subire queste vulnerabilità, nonostante le patch siano disponibili da tempo”.

Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La patch è disponibile da marzo 2017.

Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota. La patch è disponibile da ottobre 2017.

SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.

Clicca qui per vedere la lista completa delle 10 famiglie di malware più attive nel mese di maggio