Check Point Research (CPR), la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di dicembre 2021. Nel mese che ha visto la vulnerabilità Apache Log4j preoccupare il mondo di internet, CPR ha riportato che Trickbot rimane il malware più diffuso, anche se ad un tasso leggermente inferiore con il 4% delle organizzazioni in tutto il mondo (5% a novembre). Emotet, dopo essere riapparso il mese prima, è salito rapidamente dalla settima posizione alla seconda. CPR rivela anche il settore più attaccato, che continua ad essere quello dell’istruzione/ricerca.
In Italia, il malware che ha dominato a dicembre è stato BLINDINGCAN, un trojan ad accesso remoto (RAT) che utilizza diverse tecniche per spacchettare ed eseguire una variante di Hidden Cobra RAT. Il malware contiene funzioni integrate per operazioni da remoto per agire sul sistema della vittima. BLINDINGCAN si è rivelato preoccupante per la sua percentuale di impatto (8,5%) sulle organizzazioni italiane perché più che doppia rispetto a tutti gli altri malware più diffusi a dicembre.
Il mese scorso “Apache Log4j Remote Code Execution” è stata la vulnerabilità più sfruttata, colpendo il 48,3% delle organizzazioni a livello globale. Segnalata per la prima volta il 9 dicembre, nel pacchetto di log di Apache Log4j – la più popolare libreria Java con oltre 400.000 download, la vulnerabilità ha preoccupato non poco, impattando quasi la metà delle aziende in tutto il mondo in poco tempo. Gli aggressori sono in grado di sfruttare le app vulnerabili per eseguire criptojacker e altri malware sui server compromessi. Fino ad ora, la maggior parte degli attacchi si sono concentrati sull’uso di criptomining a spese delle vittime, tuttavia, gli hacker hanno iniziato ad agire in modo aggressivo e a puntare target di alto livello.
“Log4j ha dominato i titoli della stampa a dicembre. Si tratta di una delle vulnerabilità più gravi che abbiamo mai visto, e a causa della complessità nella patch e la sua facilità di sfruttamento, è probabile che rimanga con noi per molti anni, a meno che le aziende non prendano misure immediate per prevenire gli attacchi”, ha detto Maya Horowitz, VP Research di Check Point Software. “Questo mese abbiamo visto anche la botnet Emotet passare dal settimo malware più diffuso al secondo. Proprio come sospettavamo, Emotet non ci ha messo molto a tornare con prepotenza da quando è riapparso a novembre. È sfuggente e si sta diffondendo velocemente tramite e-mail di phishing con allegati o link dannosi. Ora è più importante che mai avere una robusta soluzione per l’e-mail security e assicurarsi che gli utenti sappiano come identificare un messaggio o un allegato dall’aspetto sospetto.”
I tre malware più diffusi di dicembre sono stati:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, Trickbot è il malware più popolare con un impatto del 4% delle organizzazioni a livello globale, seguito da Emotet e Formbook, entrambi con il 3%.
- Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- – un trojan avanzato, auto-propagante e modulare, una volta usato come banking trojan, più recentemente è usato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
- ↔ Formbook – un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
I settori più attaccati a livello globale per il mese di dicembre:
Le tre vulnerabilità più sfruttate del mese di dicembre:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto del 48,3% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 43,8%. “HTTP Headers Remote Code Execution” rimane al terzo posto con il 41,5%.
- una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
- una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
I tre malware mobile più diffusi di dicembre:
Anche questo mese AlienBot prende il primo posto tra i malware mobile più diffusi, seguito da xHelper e FluBot.
- AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- FluBot – è un malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.
Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
La lista completa delle 10 famiglie di malware più attive nel mese di dicembre è disponibile sul blog.
