Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo recente Global Threat Index per il mese di settembre 2020.
I ricercatori comunicano che una versione aggiornata del malware Valak è entrata per la prima volta nella classifica, piazzandosi al 9° posto tra i malware più diffusi. Mentre in Italia arriva addirittura al quarto posto, anche se con una percentuale bassa (3%), perché il panorama italiano delle minacce è dominato da Emotet con il 24% che agilmente l’impatto sulle organizzazioni in tutto il mondo (14%).
Visto per la prima volta alla fine del 2019, Valak è una minaccia molto sofisticata, in precedenza classificata come un malware loader. Negli ultimi mesi sono state scoperte nuove varianti con significativi cambiamenti funzionali che consentono a Valak di operare come un info-stealer verso privati e imprese. Questa nuova versione di Valak è in grado di rubare informazioni sensibili dai sistemi di posta elettronica di Microsoft Exchange, così come le credenziali degli utenti e i certificati di dominio. Durante settembre, Valak è stato ampiamente diffuso da campagne malspam contenenti file .doc dannosi.
Il trojan Emotet rimane al 1° posto per il terzo mese consecutivo, con un impatto sul 14% delle organizzazioni a livello globale. Invece, il trojan Qbot, visto nella Top10 la prima volta ad agosto, è stato sfruttato molto anche a settembre, passando dal 10° al 6° posto.
“Queste nuove campagne di diffusione di Valak sono un altro esempio di come gli aggressori cercano di massimizzare i loro investimenti in forme consolidate e comprovate di malware. Insieme alle versioni aggiornate di Qbot, emerse in agosto, Valak ha lo scopo di consentire il furto di dati e credenziali su larga scala sia a organizzazioni che privati. Le aziende dovrebbero cercare di implementare soluzioni anti-malware in grado di impedire che tali contenuti raggiungano gli utenti finali e consigliare ai propri dipendenti di essere prudenti nell’aprire le e-mail, anche quando sembrano provenire da una fonte affidabile”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point.
I tre malware più diffusi di agosto sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese Emotet rimane il malware più diffuso, seguito da Trickbot e Dridex rispettivamente con un impatto del 4% e del 3% sulle organizzazioni di tutto il mondo.
- ↔ Emotet – trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
- ↑ Trickbot – banking trojan che viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.
- ↑ Dridex – banking trojan che prende di mira la piattaforma Windows, distribuito da campagne spam e kit di exploit, che si affidano a WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
Vulnerabilità più sfruttate del mese di agosto:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
A settembre “MVPower DVR Remote Code Execution” è la più comune vulnerabilità sfruttata, con un impatto sul 46% delle organizzazioni a livello globale, seguita da “Dasan GPON Router Authentication Bypass” che ha avuto un impatto sul 42%. Poi, “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346” al terzo posto, con il 36%.
- ↑ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnerabilità di bypass dell’autenticazione che esiste nei router Dasan GPON. Uno sfruttamento efficace permetterebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
I tre malware mobile più diffusi di agosto:
Anche a settembre xHelper è il malware mobile più diffuso, seguito da Xafecopy e Hiddad.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- Xafekopy – trojan camuffato da app utili come Battery Master. Carica segretamente codice dannoso sul dispositivo; una volta attivata l’app, clicca sulle pagine web con la fatturazione del Wireless Application Protocol (WAP) – una forma di pagamento mobile che addebita i costi direttamente sulla bolletta del cellulare dell’utente.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.
La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point.
