A maggio, secondo l’Indice delle minacce globali di Check Point, ha debuttato la campagna della botnet Phorpiex, per diffondere ransomware attraverso e-mail di phishing. I milioni di e-mail di phishing inviate contenevano LockBit Black, basato su LockBit3 ma non affiliato al gruppo ransomware. In uno sviluppo non correlato, l’attuale gruppo LockBit3 ransomware-as-a-Service (RaaS) ha registrato un’impennata di diffusione dopo una breve pausa a seguito di una rimozione globale da parte delle forze dell’ordine, rappresentando il 33% degli attacchi pubblicati.
La situazione nel nostro Paese
In Italia, a maggio si registra un podio dei malware più presenti uguale al mese scorso, con lo scambio di posto tra Androxgh0st, che sale al secondo posto, e Blindingcan. La minaccia più importante rimane ancora FakeUpdates, downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli. Ha avuto un impatto dell’8,48% con una leggera crescita (+0,05% rispetto ad aprile), e superiore di 1,62% rispetto all’impatto a livello globale.
Il borsino delle minacce globali
La seconda minaccia diventa il malware Androxgh0st, botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili con un impatto del 6,95% (+2,01% rispetto ad aprile). Anch’esso superiore all’impatto globale che è in questo caso dell’1,76%. Al terzo posto scende il trojan Blindingcan di origine nord coreana) che in Italia ha avuto un impatto del 6,30%, in leggera crescita rispetto ad aprile (+0,15%) e ancora più alto (+5,93%) del valore rilevato a livello mondiale (0,37%).
Phorpiex ricompare nella nuova variante “Twizt”
Gli operatori originali della botnet Phorpiex hanno chiuso e venduto il codice sorgente nell’agosto 2021. Nel dicembre 2021, Check Point Research ha scoperto che era riemersa come nuova variante chiamata “Twizt”, operante in un modello decentralizzato peer-to-peer. In aprile, il New Jersey Cybersecurity and Communications Integration Cell ha trovato prove che la botnet Phorpiex, al sesto posto nell’indice delle minacce del mese scorso, veniva utilizzata per inviare milioni di e-mail di phishing come parte di una campagna di ransomware LockBit3. Queste e-mail contenevano allegati ZIP che, una volta eseguiti i file .doc.scr al loro interno, attivavano il processo di crittografia del ransomware. La campagna ha utilizzato oltre 1.500 indirizzi IP unici, provenienti da Kazakistan, Uzbekistan, Iran, Russia e Cina.
Minacce globali: chi sale e chi scende in maggio secondo Check Point
Nel frattempo, l’Indice delle minacce di Check Point ha messo in evidenza i “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione, che pubblicano informazioni sulle vittime per fare pressione sugli obiettivi che non pagano. A maggio, LockBit3 ha riaffermato il suo dominio, rappresentando il 33% degli attacchi pubblicati. Seguono Inc. Ransom con il 7% e Play con un tasso di rilevamento del 5%. Inc. Ransom ha recentemente rivendicato la responsabilità di un grave incidente informatico che ha interrotto i servizi pubblici del Comune di Leicester, nel Regno Unito. Rubando presumibilmente oltre 3 terabyte di dati e causando un diffuso arresto del sistema.
La capacità di rigenerarsi dei ransomware
Maya Horowitz, VP of Research di Check Point Software
Sebbene le forze dell’ordine siano riuscite a interrompere la cybergang LockBit3, smascherando uno dei leader e affiliati e rilasciando oltre 7.000 chiavi di decrittazione LockBit, non è ancora sufficiente. Non sorprende vederli riorganizzarsi e mettere in campo nuove tattiche per continuare a perseguire i loro obiettivi. Il ransomware è uno dei metodi di attacco più dirompenti utilizzati dai criminali informatici. Una volta che si sono infiltrati nella rete e hanno estratto le informazioni, le opzioni sono limitate per la vittima. Soprattutto se non può permettersi di pagare le richieste di riscatto. Ecco perché le organizzazioni devono essere attente ai rischi e dare priorità alle misure preventive.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è stato il malware più diffuso lo scorso mese con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con il 5% e da Qbot con il 3%.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. Ha portato a ulteriori compromissioni tramite molti altri malware.
- ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilit: Ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
- ↔ Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
Le vulnerabilità più sfruttate
Il mese scorso, “Command Injection Over HTTP” è stata la vulnerabilità più sfruttata, con un impatto sul 50% delle organizzazioni a livello globale. Seguono “Web Servers Malicious URL Directory Traversal” con il 47% e “Apache Log4j Remote Code Execution” con il 46%.
↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità dei comandi su HTTP. Un aggressore remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe di eseguire codice arbitrario sul computer di destinazione.
Minacce globali secondo Check Point
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Esiste una vulnerabilità nell’esecuzione di codice remoto in Apache Log4j. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire all’aggressore remoto di eseguire un codice arbitrario sul sistema interessato.
Principali malware per dispositivi mobili
Il mese scorso, Anubis era al primo posto come malware mobile più diffuso, seguito da AhMyth e Hydra.
- ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo. Inoltre può eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, allo scopo di sottrarre informazioni riservate.
- ↑ Hydra è un Trojan bancario progettato per rubare le credenziali bancarie chiedendo alle vittime di abilitare permessi e accessi ogni volta che entrano in un’applicazione bancaria.
I settori più attaccati a livello globale
Il mese scorso, il settore Istruzione/Ricerca è rimasto al primo posto nella classifica dei più attaccati a livello globale, seguito da Governo/Militare e Comunicazioni.
- Istruzione/Ricerca
- Governo/Militare
- Comunicazioni
I gruppi di ransomware più rilevati
I dati che seguono si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che pubblicano informazioni sulle vittime.
- In aprile, LockBit3 è stato il gruppo ransomware più diffuso, responsabile del 33% degli attacchi pubblicati, seguito da Inc. Ransom con il 7% e Play con il 5%. Si tratta di un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. Prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI). Nonostante abbia subito interruzioni nel febbraio 2024 a causa di azioni di contrasto, ha ripreso a pubblicare informazioni sulle sue vittime.
A maggio chi sale e chi scende nelle minacce globali
- Inc. Ransom è un’operazione di estorsione tramite ransomware emersa nel luglio 2023, che esegue attacchi di spear-phishing e prende di mira servizi vulnerabili. Gli obiettivi principali sono le organizzazioni del Nord America e dell’Europa in diversi settori, tra cui sanità, istruzione e pubblica amministrazione. I payload del ransomware Inc. supportano più argomenti da riga di comando e utilizzano una crittografia parziale con un approccio multi-threading.
- Play Ransomware, o PlayCrypt, è un ransomware emerso per la prima volta a giugno 2022. Ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità non patchate, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
