La botnet ha ricominciato a diffondere campagne attive anche in Italia; colpito il 19,13% delle organizzazioni

Emotet torna al primo posto nella classifica dei top malware

Il Global Threat Index di settembre 2019 di Check Point Research avverte le organizzazioni che la Botnet Emotet ha ricominciato a diffondere nuove campagne spam, dopo una pausa di tre mesi. I ricercatori hanno riportato che la famigerata Botnet è tornata a colpire nel mese di agosto, dopo essersi presa una pausa che durava da giugno.

Alcune delle campagne spam di Emotet includevano e-mail che contenenti un link per scaricare un file Word dannoso e, in altri casi, contenevano il documento dannoso stesso. Una volta aperto il file, questo invita le vittime ad attivare le macro del documento, e queste installano il malware Emotet sul computer. Emotet è stato il quinto malware più diffuso al mondo nel mese di settembre, così come in Italia che ha colpito il 19,13% dell’organizzazioni (rispetto al 5,33% di diffusione a livello globale). Il secondo malware più diffuso sul suolo italiano è AgentTesla, che ha più che raddoppiato il suo impatto passando dal 7% di agosto al 15% del mese scorso (rispetto al 6,59% di diffusione a livello globale), mentre al terzo posto di questa classifica troviamo Lokibot che ha colpito il 5,07% delle aziende italiane (3,12% a livello globale).

“Non è chiaro perché la botnet di Emotet sia rimasta dormiente per tre mesi, ma possiamo supporre che gli sviluppatori stessero aggiornando le sue caratteristiche e capacità. È essenziale che le organizzazioni avvertano i dipendenti sui rischi delle e-mail di phishing, dell’apertura di allegati o dei link che non provengono da una fonte o un contatto di fiducia. Dovrebbero inoltre, implementare soluzioni anti-malware di ultima generazione in grado di estrarre automaticamente contenuti sospetti dalle e-mail prima che raggiungano gli utenti finali”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point.

I tre malware più diffusi a settembre 2019

Questo mese, il criptominer Jsecoin è al primo posto nella lista dei malware, con un impatto sull’8% delle organizzazioni in tutto il mondo. XMRig è il secondo malware più diffuso, seguito da AgentTesla, entrambi con un impatto globale del 7%.

  1. Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
  2. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3. AgentTesla – AgentTesla è una RAT avanzata che funziona come keylogger e ruba-password. è in grado di monitorare e raccogliere l’input della tastiera, gli appunti di sistema, fare screenshot ed estrarre le credenziali appartenenti a una varietà di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e client di posta elettronica Microsoft Outlook).

I tre malware per dispositivi mobili più diffusi in settembre

Questo mese Lotoor è il malware mobile più diffuso, seguito da AndroidBauts e Hiddad.

  1. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
  2. AndroidBauts – adware che colpisce gli utenti Android e che estrae informazioni su IMEI, IMSI, posizione GPS e altre informazioni del dispositivo e consente l’installazione di applicazioni di terze parti e shortcut su dispositivi mobili.
  3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dall’utente.

Le tre vulnerabilità più diffuse nel mese di settembre

Questo mese, la vulnerabilità MVPower DVR Remote Code Execution è al primo posto nella lista delle vulnerabilità sfruttate con un impatto globale del 37%. La vulnerabilità Linux System Files Information Disclosure è al secondo posto, seguita da vicino da Web Server Exposed Git Repository Information Disclosure, con entrambi gli impatti sul 35% delle organizzazioni in tutto il mondo.

  1. MVPower DVR Remote Code Execution – esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  2. Linux System Files Information Disclosure – Il sistema operativo Linux contiene file di sistema con informazioni sensibili. Se non correttamente configurato, gli aggressori possono visualizzare le informazioni su tali file da remoto.
  3. Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point.