FakeUpdates si conferma il malware più presente in Italia e a livello globale

Check Point ha pubblicato il Global Threat Index per il mese di marzo 2024. Il mese scorso, i ricercatori hanno rivelato che gli hacker utilizzavano i file VHD (Virtual Hard Disk) per distribuire il Trojan ad accesso remoto (RAT) Remcos. Nello stesso periodo Lockbit3 è rimasto il gruppo di ransomware più diffuso, nonostante le forti operazioni di disturbo e interruzione da parte delle forze dell’ordine, anche se la sua frequenza nei 200 "siti della vergogna" di ransomware monitorati da Check Point si è ridotta dal 20% al 12%.

In Italia, nel mese di marzo si registra il ritorno di Formbook sul podio dei malware più presenti, scalzando Nanocore e posizionandosi al terzo posto. Nello specifico, la minaccia più importante rimane FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 12,67% anche questo mese in crescita (+3,45% rispetto a febbraio), e oltre il 6% superiore rispetto all’impatto a livello globale. La seconda minaccia nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 5,47%, evidenziando una leggera riduzione rispetto a febbraio (-0,5%) tuttavia ancora notevolmente più alto (+5,45%) del valore rilevato a livello mondiale (0,29%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service) risulta essere la terza minaccia in Italia con un impatto del 5,12% (+1,15% rispetto a febbraio), anch’esso superiore all’impatto globale che è del 2,43%.

Remcos è un malware noto apparso per la prima volta nel 2016. Quest'ultima campagna aggira le comuni misure di sicurezza per consentire ai criminali informatici l'accesso non autorizzato ai dispositivi delle vittime. Nonostante le sue origini lecite per la gestione remota dei sistemi Windows, i criminali informatici hanno iniziato a capitalizzare la capacità dello strumento di infettare i dispositivi, catturare schermate, registrare sequenze di tasti e trasmettere i dati raccolti a server host designati. Inoltre, il Remote Access Trojan RAT dispone di una funzione di mass mailer in grado di lanciare campagne di distribuzione e, nel complesso, le sue varie funzioni possono essere utilizzate per creare botnet. Il mese scorso è salito dal sesto al quarto posto della classifica delle principali minacce informatiche.

"L'evoluzione delle tattiche di attacco evidenzia l'inarrestabile progresso delle strategie dei criminali informatici", osserva Maya Horowitz, VP of Research di Check Point Software. "Questo sottolinea la necessità per le aziende di dare priorità alle misure proattive. Rimanendo vigili, implementando una solida protezione degli endpoint e promuovendo una cultura di consapevolezza della sicurezza informatica, possiamo collettivamente rafforzare le nostre difese contro le minacce informatiche in continua evoluzione".

Il Ransomware Index di Check Point mette in evidenza i "siti della vergogna" gestiti da gruppi di ransomware a doppia estorsione che pubblicano informazioni sulle vittime. Lockbit3 è ancora una volta in cima alla classifica con il 12% degli attacchi segnalati, seguito da Play al 10% e Blackbasta al 9%. Blackbasta è entrato per la prima volta nella top 3, rivendicando la responsabilità di un recente attacco informatico a Scullion Law, uno studio legale scozzese.

Il mese scorso, la vulnerabilità più sfruttata è stata "Web Servers Malicious URL Directory Traversal", che ha colpito il 50% delle organizzazioni a livello globale, seguita da "Command Injection Over HTTP", con il 48% e "HTTP Headers Remote Code Execution" con il 43%.

Famiglie di malware più diffuse *Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è stato il malware più diffuso nel mese di marzo 2024 con un impatto del 6% sulle organizzazioni mondiali, seguito da Qbot con un impatto globale del 3% e Formbook con un impatto globale del 2%.

• ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
• ↔ Qbot Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell'utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l'analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
• ↔ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttate Il mese scorso, "Web Servers Malicious URL Directory Traversal" è stata la vulnerabilità più sfruttata, con un impatto sul 50% delle organizzazioni a livello globale, seguita da "Command Injection Over HTTP" con il 48% e "HTTP Headers Remote Code Execution" con il 43%.

• ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell'input in un server web che non sanifica correttamente l'URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
• ↓ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
• ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante remoto può utilizzare un'intestazione HTTP vulnerabile per eseguire un codice arbitrario sul computer della vittima.

Principali malware per dispositivi mobili Anche nel mese di marzo 2024 Anubis risulta essere il malware mobile più diffuso, seguito da AhMyth e Cerberus.

• Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
• AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
• Cerberus - Avvistato per la prima volta nel giugno 2019, Cerberus è un Trojan ad accesso remoto (RAT) con funzioni specifiche di overlay delle schermate bancarie per i dispositivi Android. Cerberus opera in un modello di Malware as a Service (MaaS), prendendo il posto di Trojan bancari come Anubis ed Exobot. Le sue funzioni includono il controllo degli SMS, il key-logging, la registrazione audio, il tracciamento della posizione e altro ancora.

I settori più attaccati a livello globale Il mese scorso, quello dell'Istruzione/Ricerca è rimasto al primo posto tra i settori più attaccati a livello globale, seguita da Governo/Militare e il settore della Comunicazione.

• Istruzione/Ricerca
• Governo/Militare
• Comunicazione

I gruppi di ransomware maggiormente rilevati Questa sezione contiene informazioni ricavate da "siti della vergogna" gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato i nomi e le informazioni delle vittime. I dati provenienti da questi siti portano con sé alcune distorsioni ed esagerazioni, ma forniscono comunque indicazioni preziose sull'ecosistema dei ransomware.

Lockbit3 è stato il gruppo ransomware più diffuso lo scorso mese, responsabile del 12% degli attacchi pubblicati, seguito da Play con il 10% e Blackbasta con il 9%.

• LockBit3 è un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. LockBit3 prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI). Nonostante abbia subito interruzioni significative nel febbraio 2024 a causa di azioni di contrasto, LockBit3 ha ripreso a pubblicare informazioni sulle sue vittime.
• Il ransomware Play, noto anche come PlayCrypt, è un gruppo di ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware consente l'accesso alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all'interno, utilizza tecniche come l'uso di binari "living-off-the-land" (LOLBins) per attività quali l'esfiltrazione dei dati e il furto di credenziali.
• Il ransomware BlackBasta è stato osservato per la prima volta nel 2022 e opera come ransomware-as-a-service (RaaS). Gli attori delle minacce che si celano dietro questo programma si rivolgono principalmente a organizzazioni e individui sfruttando le vulnerabilità RDP e le e-mail di phishing per distribuire il ransomware.