In Italia e a livello globale si conferma FakeUpdates la principale minaccia a gennaio 2024

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index per il mese di gennaio 2024. Il mese scorso, i ricercatori hanno identificato un nuovo TDS, ovvero un nuovo sistema di distribuzione del traffico pervasivo. Si tratta di VexTrio, che ha aiutato più di 60 affiliati attraverso una rete di oltre 70.000 siti compromessi. Nel frattempo, LockBit3 è diventato il gruppo di ransomware più diffuso, e l’istruzione è rimasta il settore più colpito a livello mondiale. In Italia,nel mese di gennaio si confermano le minacce che già a dicembre 2023 avevano insidiato il nostro Paese, con i tre principali malware che hanno tutti registrato un incremento. Nello specifico, la minaccia più importante rimane FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 6,35%, +1,32% rispetto a novembre, e oltre il 2,1% in più rispetto all’impatto a livello globale.La seconda minaccia nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 5,29%, anch’esso in crescita rispetto a novembre (+1,34%) e ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,31%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows), risulta essere la terza minaccia nel nostro Paese con un impatto del 4,11% (+1,31 rispetto a novembre), anch’esso superiore all’impatto globale, che è del 1,94%. Attivo almeno dal 2017, VexTrio collabora con decine di associati per diffondere contenuti malevoli attraverso un sofisticato TDS. Utilizzando un sistema simile alle reti di affiliazione del marketing legittimo, le attività di VexTrio sono spesso di difficile identificazione, nonostante sia attivo da oltre sei anni, e la portata delle sue operazioni è passata in gran parte inosservata. Ciò è dovuto al fatto che non vi siano molti elementi che lo colleghino a specifici attori di minacce o catene di attacco, il che lo rende un rischio considerevole per la sicurezza informatica in un contesto di rete estesa e di operazioni avanzate. “I criminali informatici si sono evoluti da semplici hacker ad artefici dell’inganno, e VexTrio è l’ennesima conferma di quanto sia diventato commerciale il settore“, ha dichiara Maya Horowitz, VP Research di Check Point Software. “Per rimanere protetti, le persone e le organizzazioni dovrebbero dare priorità agli aggiornamenti regolari della cybersecurity, adottare una solida protezione degli endpoint e promuovere una attenta cultura delle abitudini online. Restando informati e proattivi, possiamo rafforzare collettivamente le nostre difese contro i pericoli in evoluzione causati dalle minacce informatiche emergenti“. Per la prima volta, l’Indice di Check Point include ora una classifica dei gruppi di ransomware più diffusi, basata sull’attività di oltre 200 siti. Il mese scorso, LockBit3 è stato il gruppo ransomware più diffuso, responsabile del 20% degli attacchi pubblicati. A gennaio si è reso anche responsabile di alcuni incidenti degni di nota, tra cui un attacco alla catena Subway e al Saint Anthony Hospital di Chicago. Inoltre, il CPR ha rivelato che la vulnerabilità più sfruttata a livello globale è la “Command Injection Over HTTP”, che interessa il 44% delle organizzazioni, seguita da “Web Servers Malicious URL Directory Traversal” con un impatto del 41% e “HTTP Headers Remote Code Execution” con un impatto globale del 40%. Famiglie di malware più diffuse*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.FakeUpdates è stato il malware più diffuso nel mese di gennaio 2024 con un impatto del 4% sulle organizzazioni mondiali, seguito da Qbot con un impatto globale del 3% e Formbook del 2%.

1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
2. ↑ Qbot Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
3. ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttateIl mese scorso, “Command Injection Over HTTP” è stata la vulnerabilità più sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da “Web Servers Malicious URL Directory Traversal” con il 41%, e “HTTP Headers Remote Code Execution” con un impatto globale del 40%.

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe a un attaccante di eseguire codice arbitrario sul computer di destinazione.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
3. ↑ HTTP Headers Remote Code Execution – Gli header HTTP consentono al client e al server di trasmettere informazioni aggiuntive all’interno di una richiesta HTTP. Un attaccante remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.

Principali malware per dispositivi mobiliIl mese scorso Anubis è rimasto al primo posto come malware mobile più diffuso, seguito da AhMyth e Hiddad.

1. Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
2. AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
3. Hiddad è un malware per Android che riconfeziona applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli chiave di sicurezza integrati nel sistema operativo.

I settori più attaccati a livello globaleIl mese scorso, l’Istruzione/Ricerca è rimasta al primo posto tra i settori attaccati a livello globale, seguita da Governo/Militare e Salute.

1. Istruzione/Ricerca
2. Governo/Militare
3. Salute

I gruppi di ransomware maggiormente rilevatiQuesta sezione contiene informazioni ricavate da quasi 200 “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione, 68 dei quali hanno pubblicato quest’anno i nomi e le informazioni delle vittime. I criminali informatici utilizzano questi siti per fare pressione sulle vittime che non pagano immediatamente il riscatto. I dati provenienti da questi siti portano con sé alcune distorsioni ed esagerazioni, ma forniscono comunque indicazioni preziose sull’ecosistema dei ransomware, che attualmente rappresentano la minaccia più grande per le aziende. Il mese scorso, LockBit3 è stato il gruppo di ransomware più diffuso, responsabile del 20% degli attacchi pubblicati, seguito da 8Base con il 10% e Akira con il 9%.

1. LockBit3 è un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. LockBit3 prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI).
2. Il gruppo di minacce 8Base è un insieme di ransomware attivo almeno da marzo 2022, che ha acquisito una notevole notorietà a metà del 2023 a seguito di un considerevole aumento delle proprie attività. Questo gruppo è stato osservato utilizzare diverse varianti di ransomware con Phobos come elemento comune. 8Base opera con un elevato livello di sofisticazione evidenziato dall’uso di tecniche avanzate nei suoi ransomware. I metodi del gruppo includono tattiche di doppia estorsione.
3. Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom e Chacha 2008 per ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, crittografa i dati e aggiunge un’estensione “. akira” ai nomi dei file, dopodiché invia una nota di riscatto che richiede il pagamento per la decrittografia.

L’elenco completo delle prime dieci famiglie di malware di gennaio è disponibile sul blog di Check Point.