Check Point Software Technologies, tra i fornitori leader di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index per il mese di febbraio 2024.
Il mese scorso i ricercatori hanno scoperto una nuova campagna di FakeUpdates che comprometteva i siti web di WordPress. Questi siti sono stati infettati attraverso account violati da amministratore wp-admin, utilizzando un malware in grado di adattarsi per infiltrarsi nei siti utilizzando edizioni alterate di autentici plugin WordPress e ingannando così gli utenti che scaricavano a loro insaputa un Trojan di accesso remoto.
Intanto, nonostante la sua eliminazione verso la fine di febbraio, Lockbit3 è rimasto il gruppo di ransomware più diffuso, responsabile del 20% degli attacchi pubblicati. L’istruzione continua ad essere il settore più colpito a livello mondiale.
In Italia, nel mese di febbraio si confermano le minacce che già a dicembre 2023 avevano insidiato il nostro Paese, con i tre principali malware che hanno tutti registrato un incremento. Nello specifico, la minaccia più importante rimane FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 9,22%, anche questo mese in crescita (+2,87% rispetto a gennaio), e oltre il 3,9% superiore rispetto all’impatto a livello globale. La seconda minaccia nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 6,24%, anch’esso in crescita rispetto a gennaio (+0,95%) e ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,32%). Il malware Nanocore (Trojan osservato per la prima volta nel 2013 ad accesso remoto, che attacca gli utenti del sistema operativo Windows), risulta essere la terza minaccia nel nostro Paese con un impatto del 4,26% (+2,39 rispetto a gennaio), anch’esso superiore all’impatto globale, che è del 2,71%.
FakeUpdates, noto anche come SocGholish, è operativo almeno dal 2017 e utilizza malware JavaScript per colpire i siti web, in particolare quelli con sistemi di gestione dei contenuti, spiega Check Point. Spesso classificato come il malware più diffuso nell’Indice delle minacce, il malware FakeUpdates mira a ingannare gli utenti e a far loro scaricare software malevolo e, nonostante gli sforzi per fermarlo, rimane una minaccia significativa per la sicurezza dei siti web e per i dati degli utenti. Questa sofisticata variante del malware è stata precedentemente associata al gruppo di criminalità informatica russo noto come Evil Corp. A causa della sua funzionalità di downloader, si ritiene che il gruppo monetizzi il malware vendendo l’accesso ai sistemi che infetta, portando ad altre infezioni da malware se il gruppo fornisce l’accesso a più clienti.
“I siti web sono le vetrine digitali del nostro mondo, fondamentali per la comunicazione, il commercio e la connessione“, ha dichiarato Maya Horowitz, VP of Research di Check Point Software. “Difenderli dalle minacce informatiche non significa solo salvaguardare il codice, ma anche proteggere la nostra presenza online e le funzioni essenziali della nostra società interconnessa. Se i criminali informatici decidono di usarli come veicolo per diffondere segretamente malware, ciò potrebbe avere un impatto sui futuri ricavi e sulla reputazione di un’organizzazione. È fondamentale adottare misure preventive e una cultura di tolleranza zero per garantire una protezione assoluta dalle minacce”.
L’indice delle minacce di Check Point include anche informazioni su circa 200 “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione, 68 dei quali hanno pubblicato quest’anno informazioni sulle vittime per fare pressione sugli obiettivi non paganti. Lockbit3 è stato ancora una volta in testa il mese scorso con il 20% degli incidenti segnalati, seguito da Play con l’8% e da 8base con il 7%. Play, per la prima volta nella top 3, ha rivendicato la responsabilità di un recente attacco informatico alla città di Oakland.
Nel mese di febbraio, la vulnerabilità più sfruttata è stata “Web Servers Malicious URL Directory Traversal“, con un impatto sul 51% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” e “Zyxel ZyWALL Command Injection“, entrambe con il 50%.
Famiglie di malware più diffuse
Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è stato il malware più diffuso il mese scorso con un impatto del 5% sulle organizzazioni mondiali, seguito da Qbot con un impatto globale del 3% e Formbook con un impatto globale del 2%, spiega Check Point.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
- ↔ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
Le vulnerabilità maggiormente sfruttate
Il mese scorso, “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con un impatto sul 51% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” e “Zyxel ZyWALL Command Injection” con un impatto globale del 50%.
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↓ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe a un attaccante di eseguire codice arbitrario sul computer di destinazione.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli attaccanti remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
Principali malware per dispositivi mobili
Il mese scorso Anubis è rimasto al primo posto come malware mobile più diffuso, seguito da AhMyth e Hiddad.
- Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
- Hiddad è un malware per Android che riconfeziona applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli chiave di sicurezza integrati nel sistema operativo.
I settori più attaccati a livello globale, secondo Check Point
Il mese scorso, l’Istruzione/Ricerca è rimasta al primo posto tra i settori attaccati a livello globale, seguita da Governo/Militare e Salute.
- Istruzione/Ricerca
- Governo/Militare
- Sanità
I gruppi di ransomware maggiormente rilevati
Questa sezione contiene informazioni ricavate da quasi 200 “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione, 68 dei quali hanno pubblicato quest’anno i nomi e le informazioni delle vittime. I criminali informatici utilizzano questi siti per fare pressione sulle vittime che non pagano immediatamente il riscatto. I dati provenienti da questi siti portano con sé alcune distorsioni ed esagerazioni, ma forniscono comunque indicazioni preziose sull’ecosistema dei ransomware, che attualmente rappresentano la minaccia più grande per le aziende.
LockBit3 è stato il gruppo di ransomware più diffuso il mese scorso, responsabile del 20% degli attacchi pubblicati, seguito da Play con l’8% e 8base con il 7%.
- LockBit3 è un ransomware che opera in un modello RaaS, segnalato per la prima volta a settembre 2019. LockBit3 prende di mira le grandi imprese e gli enti governativi di vari Paesi e risparmia gli individui in Russia e nella Comunità degli Stati Indipendenti (CSI).
- Play è il nome di un programma di tipo ransomware che opera criptando i dati e chiedendo un riscatto per la decriptazione.
- 8base – Il gruppo di minacce 8Base è una banda di ransomware attiva almeno dal marzo 2022. Ha acquisito una notevole notorietà a metà del 2023 a causa di un notevole aumento delle sue attività. Questo gruppo è stato osservato utilizzare diverse varianti di ransomware, con Phobos come elemento comune. 8Base opera con un livello di sofisticazione, evidenziato dall’uso di tecniche avanzate nei suoi ransomware. I metodi del gruppo includono tattiche di doppia estorsione.
L’elenco completo delle prime dieci famiglie di malware di febbraio è disponibile sul blog di Check Point.