FakeUpdates è ancora il malware più presente in Italia e nel mondo, mentre Remcos e RansomHub crescono

redazione

 Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered, ha pubblicato il suo Indice delle minacce globali per il mese di luglio 2024. Nonostante un calo significativo a giugno, LockBit è riemerso il mese scorso diventando il secondo gruppo di ransomware più diffuso, mentre RansomHub ha mantenuto il primo posto. Nel frattempo, i ricercatori hanno identificato sia una campagna che distribuisce il malware Remcos in seguito a un problema di aggiornamento di CrowdStrike, sia una serie di nuove tattiche di FakeUpdates, che ancora una volta si sono posizionate al primo posto nella classifica dei principali malware di luglio.

In Italia, a luglio il podio delle minacce più presenti rimane invariato rispetto al mese precedente. Nello specifico, la minaccia più importante rimane ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 7,67%, facendo registrare una leggera crescita (+0,14% rispetto a giugno), e superiore di 0,41% rispetto all’impatto globale.La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 6,8% (-0,41% rispetto al dato di giugno) e anch’esso superiore all’impatto globale (+1,39%). Al terzo posto si conferma per il secondo mese di fila, dopo due mesi di assenza, Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service) che in Italia ha avuto un impatto del 4,41%, valore molto superiore rispetto al mese precedente (+1,85%). Anche in questo caso il dato nostrano supera quello mondiale(+1,43%).

I ricercatori hanno, inoltre, identificato una serie di nuove tattiche che impiegano FakeUpdates, minaccia in cima alla classifica dei malware più importanti per un altro mese. Gli utenti che visitavano i siti web compromessi si imbattevano in falsi messaggi di aggiornamento del browser, che portavano all’installazione di Trojan ad accesso remoto (RAT) come AsyncRAT, attualmente al nono posto dell’indice di Check Point. È allarmante che i criminali informatici abbiano iniziato a sfruttare BOINC, una piattaforma destinata al volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.

La continua persistenza e la ricomparsa di gruppi di ransomware come Lockbit e RansomHub sottolineano la continua attenzione dei criminali informatici per il ransomware, una sfida significativa per le organizzazioni con implicazioni di vasta portata per la continuità operativa e la sicurezza dei dati. Il recente sfruttamento di un aggiornamento del software di sicurezza per distribuire il malware Remcos evidenzia ulteriormente la natura opportunistica dei criminali informatici nel distribuire malware, compromettendo ulteriormente le difese delle organizzazioni. Per contrastare queste minacce, le organizzazioni dovranno adottare una strategia di sicurezza a più livelli che includa una solida protezione degli endpoint, un monitoraggio vigile e la formazione degli utenti per ridurre l’assalto di questi cyberattacchi sempre più massicci“, ha dichiarato Maya Horowitz, VP of Research di Check Point Software.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è stato il malware più diffuso il mese scorso con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 3%.

  1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
  3. ↔ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).

Le vulnerabilità maggiormente sfruttate

  1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
  2. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.

Principali malware per dispositivi mobili

Invariate le prime posizioni tra le minacce informatiche mobili più diffuse: Joker si conferma al primo posto seguito da Anubis e AhMyth.

  1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
  2. ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
  3. ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Il mese scorso il settore dell’istruzione/ricerca è rimasto al primo posto tra i settori attaccati a livello globale, seguito da quello governativo/militare e dalle comunicazione.

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. Comunicazione

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell’11% degli attacchi pubblicati, seguito da Lockbit3 con l’8% e Akira con il 6%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. LockBit è un ransomware che opera in modalità RaaS. Segnalato per la prima volta nel settembre 2019, LockBit prende di mira le grandi imprese e gli enti governativi di vari Paesi e non prende di mira gli individui in Russia o nella Comunità degli Stati Indipendenti.

3.       Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “.akira” ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.