Le principali minacce di marzo: per il Global Threat Index Check Point gli hacker hanno utilizzato il nuovo metodo dei file VHD per distribuire il Trojan ad accesso remoto Remcos. Nello stesso periodo Lockbit3 è rimasto il gruppo di ransomware più diffuso, nonostante le forti operazioni di disturbo e interruzione da parte delle forze dell’ordine. Questo anche se la sua frequenza nei 200 “siti della vergogna” di ransomware, monitorati da Check Point, è calata dal 20% al 12%.
La situazione in Italia
A marzo si registra nel nostro Paese il ritorno di Formbook sul podio dei malware più presenti, scalzando Nanocore e posizionandosi al terzo posto. Nello specifico, la minaccia più importante rimane FakeUpdates. Si tratta di un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult). Con un impatto del 12,67%, anche questo mese in crescita (+3,45% rispetto a febbraio), e oltre il 6% superiore rispetto all’impatto a livello globale.
Ancjhe Blindingcan e Formbook sul podio
La seconda minaccia nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) con un impatto del 5,47%, in leggero calo rispetto a febbraio (-0,5%). Tuttavia ancora notevolmente più alto (+5,45%) del valore rilevato a livello mondiale (0,29%). la terza minaccia in Italia risulta il malware Formbook. Si tratta di un Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service. Con un impatto del 5,12% (+1,15% rispetto a febbraio), è anch’esso superiore all’impatto globale, che è del 2,43%.
Le principali minacce di marzo
Remcos è un malware noto apparso per la prima volta nel 2016. Quest’ultima campagna aggira le comuni misure di sicurezza per consentire ai criminali informatici l’accesso non autorizzato ai dispositivi delle vittime. Nonostante le sue origini lecite per la gestione remota dei sistemi Windows, i criminali informatici hanno iniziato a capitalizzare la capacità dello strumento di infettare i dispositivi. Oltre a poter catturare schermate, registrare sequenze di tasti e trasmettere i dati raccolti a server host designati. Inoltre, il Remote Access Trojan RAT dispone di una funzione di mass mailer in grado di lanciare campagne di distribuzione e, nel complesso, le sue varie funzioni possono essere utilizzate per creare botnet. A marzo è salito dal sesto al quarto posto della classifica delle principali minacce informatiche.
Focus sulle misure proattive
Maya Horowitz, VP of Research di Check Point Software
L’evoluzione delle tattiche di attacco evidenzia l’inarrestabile progresso delle strategie dei criminali informatici. Questo sottolinea la necessità per le aziende di dare priorità alle misure proattive. Rimanendo vigili, implementando una solida protezione degli endpoint e promuovendo una cultura di consapevolezza della sicurezza informatica. Così possiamo collettivamente rafforzare le nostre difese contro le minacce informatiche in continua evoluzione.
Lockbit3 in cima ai “siti della vergogna”
Il Ransomware Index di Check Point mette in evidenza i “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che pubblicano informazioni sulle vittime. Lockbit3 è ancora una volta primo nella classifica con il 12% degli attacchi segnalati, seguito da Play al 10% e Blackbasta al 9%. Blackbasta è entrato per la prima volta nella top 3, rivendicando la responsabilità di un recente attacco informatico a Scullion Law, uno studio legale scozzese. Nel mese di marzo la vulnerabilità più sfruttata è stata “Web Servers Malicious URL Directory Traversal”, che ha colpito il 50% delle organizzazioni a livello globale. Seguono “Command Injection Over HTTP”, con il 48% e “HTTP Headers Remote Code Execution” con il 43%.
Le famiglie di malware più diffuse
FakeUpdates è stato il malware più diffuso a marzo 2024 con un impatto del 6% sulle organizzazioni mondiali. Seguono Qbot con un impatto globale del 3% e Formbook con un impatto globale del 2%.
↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Le principali minacce di marzo
↔ Qbot Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
↔ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue tecniche di evasione e il prezzo basso. Raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
Le principali minacce di marzo: vulnerabilità più sfruttate
Il mese scorso, “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con un impatto sul 50% delle organizzazioni a livello globale. Seguita da “Command Injection Over HTTP” con il 48% e “HTTP Headers Remote Code Execution” con il 43%.
↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260). Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
↓ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086). È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375). Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire un codice arbitrario sul computer della vittima.
Principali malware per dispositivi mobili
- Anche a marzo 2024 Anubis risulta essere il malware mobile più diffuso, seguito da AhMyth e Cerberus.
- Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni. Tra cui la funzionalità di Trojan ad accesso remoto (RAT) e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
- Cerberus – Avvistato per la prima volta nel giugno 2019, Cerberus è un Trojan ad accesso remoto (RAT) con funzioni specifiche di overlay delle schermate bancarie per i dispositivi Android. Cerberus opera in un modello di Malware as a Service (MaaS), prendendo il posto di Trojan bancari come Anubis ed Exobot. Le sue funzioni includono il controllo degli SMS, il key-logging, la registrazione audio, il tracciamento della posizione e altro ancora.
I settori più attaccati a livello globale
A marzo quello dell’Istruzione/Ricerca è rimasto al primo posto tra i settori più attaccati a livello globale, seguito dai settori Governo/Militare e della Comunicazione.
I gruppi di ransomware maggiormente rilevati
Questa sezione contiene informazioni ricavate da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato i nomi e le informazioni delle vittime. I dati provenienti da questi siti portano con sé alcune distorsioni ed esagerazioni, ma forniscono comunque indicazioni preziose sull’ecosistema dei ransomware.
Le principali minacce di marzo, ecco il borsino di Check Point
Lockbit3 è stato il gruppo ransomware più diffuso lo scorso mese, responsabile del 12% degli attacchi pubblicati, seguito da Play con il 10% e Blackbasta con il 9%.Un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. Prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI). Nonostante abbia subito interruzioni nel febbraio 2024 a causa di azioni di contrasto, ha ripreso a pubblicare informazioni sulle sue vittime.
Dati e credenziali in pericolo
Il ransomware Play, noto anche come PlayCrypt, è un gruppo di ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Consente l’accesso alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione dei dati e il furto di credenziali.