Check Point Software Technologies ha pubblicato il suo Indice delle minacce globali per il mese di giugno 2024. Il mese scorso, i ricercatori hanno notato un cambiamento nel panorama dei Ransomware-as-a-Service (RaaS), con il nuovo arrivato RansomHub che ha superato LockBit3 e diventando il gruppo di ransomware più diffuso tra quelli provenienti dai “siti della vergogna”. Nel frattempo, è stata identificata una backdoor per Windows denominata BadSpace, che coinvolge siti web WordPress infetti e falsi aggiornamenti del browser.
In Italia, a giugno si registra un podio dei malware più presenti leggermente differente rispetto al mese precedente: Al terzo posto Formbook scalza Blindingcan, che esce dalle prime dieci posizioni. Nello specifico, la minaccia più importante rimane ancora FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 7,67%, facendo registrare una leggera riduzione (-0,81% rispetto a maggio), ma comunque superiore di 0,64% rispetto all’impatto globale. La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto in crescita del 7,21% (+0,26% rispetto al dato di maggio) e anch’esso superiore all’impatto globale (+1,69%) che è in questo caso del 5,52%. Al terzo posto si registra il ritorno sul podio dopo due mesi di assenza di Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service) che in Italia ha avuto un impatto del 2,56%, valore leggermente superiore (+0,58%) a quello rilevato a livello mondiale (1,98%).
Nel mese di giugno, RansomHub è diventato il gruppo RaaS più diffuso dopo che
l'azione delle forze dell'ordine contro LockBit3 a febbraio gli ha fatto perdere la fedeltà dei suoi affiliati. Di conseguenza,
LockBit3 ha registrato un minimo storico di sole 27 vittime in aprile, seguito da un numero elevato e inspiegabile di oltre 170 in maggio e di meno di 20 in giugno, segnalando il suo potenziale declino.
Molti affiliati di LockBit3 utilizzano ora la crittografia di altri gruppi RaaS, con conseguente aumento delle segnalazioni di vittime da parte di altri attori delle minacce. RansomHub, che è emerso per la prima volta nel febbraio 2024 e che, a quanto pare, è una sorta di reincarnazione del ransomware Knight, ha registrato un aumento significativo a giugno, con quasi 80 nuove vittime. In particolare, solo il 25% di queste proviene dagli Stati Uniti, mentre un numero significativo proviene da Italia Brasile, Spagna e Regno Unito.
I ricercatori hanno anche evidenziato una recente
campagna di FakeUpdates (nota anche come SocGholish), che si è posizionato come il malware più diffuso, e che ora offre una nuova backdoor chiamata BadSpace. La proliferazione di FakeUpdates è stata facilitata da una rete di affiliazione di terze parti, che reindirizza il traffico dai siti web compromessi alle pagine di destinazione di FakeUpdates. Queste pagine invitano gli utenti a scaricare quello che sembra essere un aggiornamento del browser. Questo download contiene però un caricatore basato su JScript che successivamente scarica ed esegue la backdoor BadSpace. BadSpace impiega sofisticate tecniche di offuscamento e anti-sandbox per evitare di essere rilevato e mantiene la persistenza attraverso attività pianificate. Le sue comunicazioni di comando e controllo sono criptate, rendendo difficile l'intercettazione.