La botnet Emotet nella top 10 delle minacce italiane e mondiali

È disponibile il Global Threat Index di novembre di Check Point Software Technologies, che rivela l’entrata della botnet Emotet nella Top 10 dei malware più diffusi, sia italiana sia mondiale.

La botnet Emotet, che era già apparsa in altre campagne, è stata la protagonista della campagna hacker che ha colpito duramente il Giorno del Ringraziamento. La campagna si è caratterizzata per l’invio di email spam contenenti malware che si presentavano sotto forma di biglietti di ringraziamento e che avevano come oggetto “Thanksgiving day wishes”, “Thanksgiving wishes” e “the Thanksgiving day congratulation!”. Le email si presentano con allegati malevoli, spesso con nomi di file relativi al Giorno del Ringraziamento, per diffondere la botnet e distribuire altri malware. Di conseguenza, l’impatto globale della botnet Emotet è aumentato del 25% rispetto a ottobre.

Ma il mese di novembre è stato anche il primo anniversario del cryptominer Coinhive, che guida il Global Threat Index dallo scorso dicembre. Negli ultimi 12 mesi, Coinhive da solo ha avuto un impatto sul 24% delle organizzazioni in tutto il mondo, mentre i malware cryptomining, in generale, hanno avuto un impatto globale del 38%. La stessa situazione riguarda l’Italia che vede Coinhive stabile al primo posto in classifica da dicembre 2017.

“Durante il mese di novembre, abbiamo registrato un aumento significativo degli sforzi per contrastare la botnet Emotet, che si è diffusa tramite messaggi legati a una particolare ricorrenza per attrarre un maggior numero di click”, ha dichiarato Maya Horowitz, Director Threat Intelligence and Research di Check Point. “I dipendenti e le aziende ormai si aspettano di ricevere messaggi di questo tipo. Questi messaggi sono utilizzati per diffondere la botnet Emotet. Si tratta di una tecnica di social engineering capace di ingannare le potenziali vittime e far aprire loro email malevole. Data questa potenzialità, insieme alla sua persistenza e all’uso di tecniche evasive per evitare il rilevamento, Emotet ha avuto quindi un grande successo nel mese di novembre.”

Mentre Coinhive è rimasto per un anno il malware più prolifico, si è verificato l’aumento di un malware che può essere utilizzato per distribuire payload aggiuntivi alle macchine infette. Questi moduli possono massimizzare i ritorni economici degli aggressori grazie alla loro natura multiuso.

I tre malware più diffusi a novembre 2018 sono stati:

1. Coinhive (stabile) – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
2. Cryptoloot (in salita) – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
3. Andromeda (in salita) – bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Per quanto riguarda, invece, la classifica dei malware mobile, Triada, malware modulare per Android, mantiene il primo posto, seguito da Hiddad che è tornato a occupare il secondo posto, e da Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è invece sceso al terzo gradino di questa speciale classifica.

I tre malware per dispositivi mobili più diffusi a novembre 2018:

1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
3. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Ancora una volta, CVE-2017-7269 rimane solida al primo posto, con un impatto globale del 48%. Al secondo posto invece, OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 44%, seguito da CVE-2016-6309, una vulnerabilità della funzione tls_get_get_message_body di OpenSSL, che ha colpito il 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di novembre sono state:

1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) (stabile) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) (stabile) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
3. OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) (in salita) – una vulnerabilità use-after-free è stata riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.