Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di novembre 2021. Secondo quanto riportato dai ricercatori, Trickbot, botnet modulare e banking trojan, rimane in cima alla classifica dei malware più diffusi, colpendo quasi il 5% delle organizzazioni in tutto il mondo, mentre Emotet è inaspettatamente tornato nella Top 10 dei malware più pericolosi, occupando il settimo posto. I settori più colpiti sia in Europa sia nel resto del mondo rimangono anche a novembre quelli relativi a istruzione e ricerca. In Italia, lo scenario cambia e si assiste al primato assoluto di Blindingcan capace di colpire nel mese di novembre oltre il 10% delle nostre organizzazioni. Blindingscan è un trojan ad accesso remoto (RAT), pericoloso per le sue funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima. Ma se la novità riguarda il primo posto, la classifica vede anche per l’Italia la diffusione di Trickbot che si posizione al secondo posto con un impatto del 4.52% e quella di Emotet che addirittura fa meglio rispetto al resto del mondo, posizionandosi al sesto posto.
Nonostante i grandi sforzi di Europol insieme alle forze dell’ordine per annientare Emotet a inizio anno, la nota botnet è tornata ad occupare un posto nella Top 10 dei malware più pericolosi, quindi, in azione già da novembre ed è già il settimo malware più utilizzato a livello mondiale. Trickbot è in cima alla classifica per la sesta volta questo mese, ed è anche coinvolto con la nuova variante di Emotet, che viene installata su sistemi già infetti utilizzando l’infrastruttura di Trickbot.
Emotet si diffonde tramite e-mail di phishing che contengono file Word, Excel e Zip infetti che distribuiscono Emotet sull’host della vittima. Il contenuto delle e-mail varia dalle notizie di attualità a fatture e falsi promemoria aziendali per attirare le vittime ad aprirli. Più recentemente, Emotet ha anche iniziato a diffondersi attraverso pacchetti Windows App Installer maligni che fingono di essere software Adobe.
“Emotet è una delle botnet di maggior successo nella storia del crimine informatico ed è responsabile dell’esplosione di attacchi ransomware mirati a cui abbiamo assistito negli ultimi anni”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Il ritorno della botnet nella Top 10 dei malware più pericolosi di novembre è estremamente preoccupante perché potrebbe portare a un notevole aumento di questi attacchi. Il fatto che stia usando l’infrastruttura di Trickbot significa che sta accorciando il tempo necessario a Emotet per costruire un punto d’appoggio abbastanza significativo nelle reti di tutto il mondo. Poiché si sta diffondendo tramite e-mail di phishing con allegati dannosi, è fondamentale che la consapevolezza e la formazione degli utenti sia in cima alle liste di priorità delle organizzazioni quando si tratta di cybersecurity. E chiunque cerchi di scaricare il software Adobe dovrebbe ricordarsi, come per qualsiasi applicazione, di passare solo attraverso i canali ufficiali”.
CPR ha anche rivelato che questo mese l’istruzione/ricerca è il settore più attaccato a livello globale, seguito da quello delle comunicazioni e dal governo/militare. “Web Servers Malicious URL Directory Traversal” è ancora la vulnerabilità più sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,7% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 42%.
I tre malware più diffusi di novembre sono stati:
Questo mese, nella Top 10 dei malware più pericolosi troviamo Trickbot è il malware più popolare con un impatto del 5% delle organizzazioni a livello globale, seguito da Agent Tesla e Formbook, entrambi con il 4%.
- Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- Agent Tesla – Agent Tesla è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
- Formbook – Formbook è un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
I settori più attaccati a livello globale dalla Top 10 dei malware più pericolosi nel mese di novembre:
- Istruzione/Ricerca
- Comunicazioni
- Governo/Militare
Le tre vulnerabilità più sfruttate del mese di novembre:
Questo mese, “Web Servers Malicious URL Directory Traversal” è la vulnerabilità più sfruttata dai malware presenti nella Top 10 dei malware più pericolosi, con un impatto del 44% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 43.7%. “HTTP Headers Remote Code Execution” rimane terza con il 42%.
- Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
- Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
I tre malware mobile più diffusi di novembre:
CPR, insieme alla Top 10 dei malware più pericolosi, ha reso noto che a novembre AlienBot prende il primo posto tra i malware mobili più diffusi, seguito da xHelper e FluBot.
- AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- FluBot– è un malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.
Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
