L’Italia è ancora sotto la morsa del trojan ad accesso remoto Blindingcan

redazione

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index relativo a febbraio 2021. I ricercatori hanno riferito che il trojan Trickbot ha scalato la classifica dei malware col più alto impatto sulle aziende, salendo dalla terza posizione di gennaio.

Dopo lo smantellamento della botnet Emotet nel mese di gennaio, i gruppi di criminali informatici hanno continuato a utilizzare altre minacce di alto profilo per le proprie attività criminali, sfruttando malware come Trickbot. Durante il mese di febbraio, Trickbot è stato infatti distribuito tramite una campagna di spam progettata per ingannare gli utenti del settore legale e assicurativo facendo scaricare loro un archivio .zip con un file JavaScript malevolo sui loro PC. Una volta che questo file viene aperto, tenta di scaricare un ulteriore payload da un server remoto.

Trickbot è stato il quarto malware più diffuso a livello globale durante il 2020, con un impatto sull’8% delle aziende. Ha ricoperto un ruolo chiave in uno degli attacchi informatici di più alto profilo e più costosi del 2020, che ha colpito l’Universal Health Services (UHS), uno dei principali fornitori di servizi sanitari negli Stati Uniti. UHS è stato colpito dal ransomware Ryuk, e ha dichiarato che l’attacco è costato 67 milioni di dollari, tra ricavi persi e costi sostenuti. Trickbot è stato utilizzato dagli aggressori per rilevare e raccogliere dati dai sistemi di UHS, e poi per diffondere il payload del ransomware.

I criminali continueranno a utilizzare le minacce esistenti e gli strumenti che hanno a disposizione, e Trickbot è popolare per la sua versatilità e il suo background di successo negli attacchi precedenti”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Come sospettavamo, anche quando una minaccia di rilievo viene rimossa, ce ne sono molte altre che continuano a rappresentare un rischio elevato sulle reti di tutto il mondo, quindi le aziende devono assicurarsi di avere sistemi di sicurezza affidabili per evitare che le proprie reti vengano compromesse e per minimizzare i rischi. Una formazione completa per tutti i dipendenti è fondamentale, così che siano dotati delle competenze necessarie per identificare i tipi di e-mail malevole che diffondono Trickbot e altri malware.

L’Italia, invece, continua a subire l’ondata di attacchi di Blindingcan, un trojan ad accesso remoto (RAT) proveniente dalla Corea del Nord, che nel solo mese di febbraio ha colpito il 6,09% delle aziende italiane, mentre sembra ancora quasi assente su scala globale dove ha un impatto dello 0,35%. Questo RAT contiene delle funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima. Al secondo posto della classifica delle minacce col più alto impatto sulle aziende italiane troviamo Qbot, noto anche come Qakbot (che ha colpito il 4,45% delle aziende italiane), un trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti degli utenti. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debugging e anti-sandbox, per ostacolare l’analisi ed eludere il rilevamento. Al terzo posto troviamo FormBook, un InfoStealer che prende di mira il sistema operativo Windows. Viene distribuito come MaaS nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook, che ha colpito il 3,45% delle aziende italiane, raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti, e può scaricare ed eseguire file secondo gli ordini del suo C&C.

I tre malware più diffusi di febbraio sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese, Trickbot è al primo posto tra i malware più diffuso, con un impatto sul 3% delle aziende a livello globale, seguito da vicino da XMRig e Qbot, anch’essi con un impatto sul 3% delle aziende in tutto il mondo.

  • Trickbot – un banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
  • XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017
  • Qbot – un trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti degli utenti. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debugging e anti-sandbox, per ostacolare l’analisi ed eludere il rilevamento.

Vulnerabilità più sfruttate del mese di febbraio:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto del 48%, seguita da “HTTP Headers Remote Code Execution (CVE-2020-13756)”, con il 46%. “MVPower DVR Remote Code Execution” al terzo posto con un impatto globale del 45%.

  • Web Server Exposed Git Repository Information Disclosure – vulnerabilità di divulgazione delle informazioni che è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  • HTTP Headers Remote Code Execution (CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
  • MVPower DVR Remote Code Execution vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

I tre malware mobile più diffusi di febbraio:

Questo mese Hiddad rimane al primo posto, seguito da xHelper e FurBall.

  • Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  • xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  • FurBall – FurBall è un MRAT (Mobile Remote Access Trojan) Android che viene distribuito da APT-C-50, un gruppo APT iraniano collegato al governo iraniano. Questo malware è stato utilizzato in più campagne che risalgono al 2017, ed è ancora attivo oggi. Le capacità di FurBall includono il furto dei messaggi SMS, dei registri delle chiamate, la registrazione dei dintorni, la registrazione delle chiamate, la raccolta dei file multimediali, il tracciamento della posizione e altro ancora.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.

La lista completa delle 10 famiglie di malware più attive nel mese di febbraio è disponibile sul blog di Check Point.

Altre informazioni qui: http://www.checkpoint.com/threat-prevention-resources/index.html