Ransomware sempre più pericolosi: Malwarebytes guarda alle tendenze malware negli ultimi mesi

Nei giorni scorsi hanno fatto rumore le dichiarazioni di un ex sviluppatore Mozilla che sosteneva l’inutilità di un software antivirus. Nel nostro articolo L’antivirus serve davvero? No, secondo un ex sviluppatore Mozilla abbiamo voluto esprimere la nostra opinione sottolineando come le “generalizzazioni” siano sempre pericolose, soprattutto nell’ambito di un tema delicatissimo qual è quello della sicurezza informatica.

Malwarebytes, nel presentare il suo resoconto relativo all’ultima parte del 2016, ha in realtà dimostrato quanto le soluzioni di base per il rilevamento e la neutralizzazione delle minacce informatiche non siano più sufficienti.

Partendo dall’analisi dei campioni malware rilevati sui sistemi dei suoi clienti (circa un miliardo di rilevamenti relativi a un milioni di utenti consumer e aziendali su Windows e Android, per un totale di 200 nazioni), Malwarebytes ha accertato che la minaccia ransomware si è fatta sempre più importante e pericolosa.

A gennaio 2016, infatti, delle infezioni complessivamente distribuite utilizzando campagne spam e kit di exploit, il 18% di esse veicolava ransomware. Appena pochi mesi più tardi, a novembre 2016, le infezioni da ransomware sono salite al 66%.
Un incremento a cui i tecnici di Malwarebytes dichiarano di non aver mai assistito prima.

“Realizzare” un lucroso ransomware oggi è davvero semplicissimo: il “mercato nero” offre soluzioni Ransomware as a Service per appena 39 dollari.
Ciò significa che un aggressore non ha più neppure la necessità di disporre di specifiche competenze in fatto di programmazione per avviare una campagna ransomware.

Il modello ransomware funziona: i file della vittima, una volta eseguito il codice dannoso, vengono crittografato usando un algoritmo spesso impossibile da violare (salvo alcune eccezioni, ad esempio quando il codice fosse stato scritto commettendo alcune “leggerezze”). I pagamenti del “riscatto”, poi, vengono gestiti in automatico e vengono trasferiti direttamente sull’account dell’aggressore.

Locky è uno dei ransomware ancora più attivi ed efficaci (ne sono conosciute diverse varianti) mentre Cerber sembra avere ormai raccolto la sua eredità a partire da fine 2016.

Accanto ai ransomware, nel 2016 è cresciuto a dismisura il numero di botnet gestite da criminali informatici e con esse i sistemi zombie (infetti e controllati da remoto dagli aggressori) che ne sono entrati a far parte.
La novità è che soprattutto in forza di lacune legate alla mancata implementazione delle misure di sicurezza basilari a protezione dei device, dispositivi progettati per l’Internet delle Cose (termostati intelligenti, webcam, sistemi di sicurezza e router) sono entrati a far parte di una botnet chiamata Mirai.
La protezione di questi dispositivi sarà una sfida importante per evitare che device pensati per svolgere compiti specifici possano diventare strumenti utili per sferrare, ad esempio, attacchi DDoS.

Le tendenze per il 2017 nel settore dei malware

Secondo Malwarebytes ransomware e botnet continueranno a essere i protagonisti della scena anche nel corso di quest’anno.

Per i tecnici della società, poi, saranno sempre più diffusi quei ransomware che non soltanto cifrano file specifici di proprietà degli utenti ma mettono sotto scacco l’intero sistema installandosi a livello di Master Boot Record (MBR).

L’email continuerà ad essere il primo veicolo di infezione: cruciale sarà quindi riconoscere gli allegati nocivi che, sempre più spesso, verranno distribuiti attraverso campagne phishing ben congegnate.
Attenzione quindi anche ai messaggi di posta elettronica scritti in italiano, che sembrano provenire – almeno all’apparenza – da contatti conosciuti o fidati. È proprio lì che potrebbe nascondersi la minaccia (vedere Da dove arriva una mail e chi l’ha inviata?).

Malwarebytes prevede anche il rilascio di nuovi exploit kit dotati di innovative funzionalità tese a rendere più difficoltoso il rilevamento delle minacce da parte delle soluzioni per la sicurezza.

Ecco perché una soluzione efficace che permetta di proteggere i sistemi anche nei confronti degli attacchi zero-day è assolutamente consigliata.