Secondo i ricercatori Check Point ad aprile hanno rilevato un aumento significativo di attacchi Androxgh0st, malware utilizzato come strumento per sottrarre informazioni sensibili tramite botnet. Nello stesso periodo, LockBit3 è rimasto il gruppo di ransomware più diffuso, nonostante il -55% dall’inizio dell’anno, con una riduzione del suo impatto a livello mondiale dal 20% al 9%.
Le principali minacce in Italia
In Italia, ad aprile si registra l’ingresso sul podio dei malware più presenti di Androxgh0st, che si è posizionato terzo, spingendo Formbook al quarto posto. Nello specifico, la minaccia più importante rimane ancora FakeUpdates, downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli. FakeUpdates registra un impatto dell’8,43% questo mese in decrescita (-4,24% rispetto a marzo), ma superiore di 2,3% rispetto all’impatto a livello globale. La seconda minaccia si conferma Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 6,15%. Evidenziando una crescita rispetto a marzo (+0,68%) e ancora notevolmente più alto (+5,8%) del valore rilevato a livello mondiale (0,35%). Il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) risulta essere la terza minaccia in Italia con un impatto del 4,94%, anch’esso superiore all’impatto globale che è del 3,77%.
Rubare le credenziali
I ricercatori hanno monitorato le attività di Androxgh0st sin dalla sua comparsa nel dicembre 2022. Sfruttando vulnerabilità come CVE-2021-3129 e CVE-2024-1709, gli aggressori utilizzano una web shell per il controllo remoto e si concentrano sulla creazione di botnet per il furto di credenziali. Questo è stato osservato in un Cybersecurity Advisory (CSA) congiunto emesso dall’FBI e dal Cybersecurity and Infrastructure Security Agency (CISA). In particolare, questo operatore di malware è stato associato alla distribuzione del ransomware Adhublika. Gli attori di Androxgh0st hanno dimostrato una predilezione per lo sfruttamento delle vulnerabilità nelle applicazioni Laravel, con l’obiettivo di rubare le credenziali per i servizi basati sul cloud come AWS, SendGrid e Twilio. Indicazioni recenti suggeriscono uno spostamento dell’attenzione verso la costruzione di botnet per lo sfruttamento di sistemi più ampi.
Il ranking dei “siti della vergogna”
Nel frattempo, l’indice di Check Point evidenzia le azioni dei “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che pubblicano informazioni sulle vittime per fare pressione sugli obiettivi che non pagano. LockBit3 è ancora una volta in cima alla classifica con il 9% degli attacchi, seguito da Play al 7% e 8Base al 6%. Quest’ultimo ha dichiarato di essersi infiltrato nei sistemi informatici delle Nazioni Unite e di aver sottratto informazioni sulle risorse umane e sugli approvvigionamenti. Sebbene LockBit3 rimanga al primo posto, il gruppo ha subito diverse battute d’arresto. A febbraio, il sito di data leak è stato sequestrato nell’ambito di una campagna multi-agenzia denominata Operazione Cronos. Questo mese gli stessi organi di polizia internazionale hanno pubblicato nuovi dettagli, identificando 194 affiliati che utilizzano LockBit3, oltre a smascherare e sanzionare il leader del gruppo.
Investire sulla cybersecurity
Maya Horowitz, VP Research di Check Point Software
La nostra ricerca ha dimostrato che gli sforzi collettivi a livello internazionale per arrestare LockBit3 sembrano aver avuto successo. Riducendo così il suo impatto mondiale di oltre il cinquanta per cento dall’inizio del 2024. A prescindere dai recenti sviluppi positivi, le organizzazioni devono continuare a dare priorità alla propria cybersecurity, essendo proattive e rafforzando la sicurezza della rete, degli endpoint e delle e-mail. L’implementazione di difese a più livelli e la creazione di solidi piani di backup, procedure di ripristino e di risposta agli incidenti sono ancora fondamentali per aumentare la resilienza informatica.
Attacchi del malware Androxgh0st
Il mese scorso, le vulnerabilità più sfruttate a livello globale sono state “Command Injection Over HTTP” e “Web Servers Malicious URL Directory Traversal”, che hanno colpito il 52% delle organizzazioni a livello globale. Segue “HTTP Headers Remote Code Execution” con il 45%.
Famiglie di malware più diffuse
FakeUpdates è stato il malware più diffuso nel mese di aprile 2024 con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 4% e da Qbot con un impatto globale del 3%.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↑ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
- Attacchi del malware Androxgh0st
- ↓ Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
Le vulnerabilità maggiormente sfruttate
Il mese scorso, le vulnerabilità più sfruttate a livello globale sono state “Command Injection Over HTTP” e “Web Servers Malicious URL Directory Traversal”, con un impatto sul 52% delle organizzazioni. Seguono “HTTP Headers Remote Code Execution” con un impatto globale del 45%.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086). È stata segnalata una vulnerabilità dei comandi su HTTP. Un aggressore remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe di eseguire codice arbitrario sul computer di destinazione.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260). Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire un codice arbitrario sul computer della vittima.
Principali malware per dispositivi mobili
Il mese scorso Anubis era al primo posto come malware mobile più diffuso, seguito da AhMyth e Hiddad.
- ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni. Come la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
- ↑ Hiddad è un malware per Android che riconfeziona applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli chiave di sicurezza integrati nel sistema operativo.
I settori più attaccati a livello globale
Il mese scorso l’Istruzione/Ricerca è rimasta al primo posto tra i settori attaccati a livello globale, seguita da Governo/Militare e Salute.
- Istruzione/Ricerca
- Governo/Militare
- Salute
I gruppi di ransomware maggiormente rilevati
I dati si basano su informazioni provenienti dai “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. Lockbit3 è stato il gruppo ransomware più diffuso il mese scorso, responsabile del 9% degli attacchi pubblicati, seguito da Play con il 7% e 8Base con il 6%.
- LockBit3 è un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. LockBit3 prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI). Nonostante abbia subito interruzioni significative nel febbraio 2024 a causa di azioni di contrasto, LockBit3 ha ripreso a pubblicare informazioni sulle sue vittime.
- Il ransomware Play, noto anche come PlayCrypt, è un gruppo di ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware consente l’accesso alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione dei dati e il furto di credenziali.
Attacchi del malware Androxgh0st
- 8Base – Il gruppo di minacce 8Base è un ransomware attivo almeno dal marzo 2022. Ha acquisito una notevole notorietà a metà del 2023 a causa di un importante aumento delle sue attività. Questo gruppo è stato osservato utilizzare diverse varianti di ransomware, con Phobos come elemento comune. 8Base opera con un livello di sofisticazione, evidenziato dall’uso di tecniche avanzate nei suoi ransomware. I metodi del gruppo includono tattiche di doppia estorsione.