Top malware agosto ancora FakeUpdates e si rafforza la minaccia da Ransomware

– Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered, ha pubblicato il suo Indice delle minacce globali per il mese di agosto 2024: il ransomware rimane una forza dominante, con RansomHub che mantiene la sua posizione quale gruppo di ransomware più presente. Il Ransomware-as-a-Service (RaaS) si è rapidamente estesa dopo il suo rebranding da Knight ransomware, violando oltre 210 vittime in tutto il mondo. Nel frattempo, è emerso il ransomware Meow, che si è spostato dalla crittografia alla vendita dei dati rubati su Data leak site. In Italia,nel mese di agosto il podio delle minacce più presenti vede il ritorno di Qbot in terza posizione, lasciando invariate le prime due posizioni. Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 7,29%, facendo registrare una leggera riduzione (-0,38% rispetto a luglio), e risultando inferiore di 0,93% rispetto all’impatto globale.La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 6,92% (+0,12% rispetto al dato di luglio) e superiore all’impatto globale (+1,58%). Al terzo posto torna a farsi notare Qbot, con un impatto del 3,49%, inferiore di 0,17% rispetto all’impatto globale.Il mese scorso, RansomHub ha consolidato la propria posizione di minaccia principale per quanto riguarda i ransomware, come descritto in un avviso congiunto di FBI, CISA, MS-ISAC e HHS. L’operazione RaaS ha preso di mira in modo aggressivo i sistemi Windows, macOS, Linux e soprattutto gli ambienti VMware ESXi, utilizzando sofisticate tecniche di crittografia.Agosto ha anche visto l’ascesa del ransomware Meow, che si è assicurato per la prima volta il secondo posto nella classifica dei ransomware più presenti. Nato come variante del ransomware Conti, Meow ha spostato il focus dalla crittografia all’estrazione dei dati, trasformando il suo sito di estorsione in un mercato di data leak. In questo modello, i dati rubati vengono venduti al miglior offerente, discostandosi dalle tradizionali tattiche di estorsione del ransomware.“L’emergere di RansomHub come principale minaccia ransomware nel mese di agosto sottolinea la crescente sofisticazione delle operazioni Ransomware-as-a-Service”, ha dichiarato Maya Horowitz, VP of Research di Check Point Software. “Le organizzazioni devono essere più vigili che mai. L’ascesa del ransomware Meow evidenzia, inoltre, lo spostamento verso i marketplace di data-leak, segnalando un nuovo metodo di monetizzazione per gli operatori di ransomware, dove i dati rubati vengono sempre più spesso venduti a terzi, piuttosto che semplicemente pubblicati online. Con l’evolversi di queste minacce, le aziende devono stare all’erta, adottare misure di sicurezza proattive e migliorare continuamente le proprie difese contro attacchi sempre più sofisticati”.Famiglie di malware più diffuse*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.FakeUpdates è il malware più diffuso ad agosto con un impatto dell’8% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto del 5% e Phorpiex col 5%.

  1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
  3.  Phorpiex è un botnet noto per la distribuzione di altre famiglie di malware tramite campagne di spam e per l’alimentazione di campagne di sextortion su larga scala.

Le vulnerabilità maggiormente sfruttate

  1. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
  2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.

Principali malware per dispositivi mobiliAnche ad agosto è Joker al primo posto nella classifica dei malware più diffusi per mobile, seguito da Anubis e Hydra.

  1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
  2. ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
  3. ↑ Hydra è un Trojan bancario progettato per rubare le credenziali, chiedendo alle vittime di abilitare permessi e accessi ogni volta che entrano in un’applicazione bancaria.

I settori più attaccati a livello globaleIl mese scorso l’istruzione/ricerca è rimasta al primo posto tra i settori maggiormente attaccati a livello globale, seguita da quello governativo/militare e da quello della sanità.1.           Istruzione/Ricerca2.           Governo/Militare3.           Sanità I gruppi di ransomware maggiormente rilevatiI dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso anche questo mese, responsabile del 15% degli attacchi pubblicati, seguito da Meow con il 9% e da Lockbit3 con l’8%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto. Meow Ransomware si diffonde attraverso vari vettori, tra cui configurazioni RDP non protette, spam via e-mail e download dannosi, e utilizza l’algoritmo di crittografia ChaCha20 per bloccare i file, esclusi i file “.exe” e di testo.
  3. LockBit è un ransomware che opera in modalità RaaS. Segnalato per la prima volta nel settembre 2019, LockBit prende di mira le grandi imprese e gli enti governativi di vari Paesi e non prende di mira gli individui in Russia o nella Comunità degli Stati Indipendenti.