In crescita anche la diffusione del trojan banking Ursnif, con un impatto sul 13% delle organizzazioni italiane

Zero-day, il 74% delle minacce sfugge agli antivirus

Il Global Threat Index di Check Point Research per il mese di giugno 2020 mostra che la botnet Phorpiex ha trasmesso il ransomware Avaddon, una nuova variante del Ransomware-as-a-Service (RaaS) emersa all’inizio di giugno, attraverso campagne malspam, facendola salire di 13 posti, fino al 2° posto nella classifica Top Malware e raddoppiando il suo impatto sulle organizzazioni di tutto il mondo, rispetto al mese di maggio.

Come già segnalato in precedenza dai ricercatori di Check Point, Phorpiex è nota per la diffusione di campagne malspam su larga scala basate sulla sextortion, oltre che per la distribuzione di altre famiglie di malware. Gli ultimi malspam distribuiti tramite Phorpiex cercano di invogliare i destinatari ad aprire un allegato Zip utilizzando una emoji che fa l’occhiolino nell’oggetto della mail. Nel momento del clic, viene attivato il ransomware Avaddon, che rimescola i dati sul computer e chiede un riscatto in cambio della decriptazione del file. Nella sua ricerca del 2019, Check Point ha trovato oltre un milione di computer Windows infettati da Phorpiex – stimando, inoltre, le entrate generate dalla botnet Phorpiex che equivalgono a circa 500mila dollari all’anno.

Ciò che preoccupa l’Italia invece è il trojan banking Ursnif. Questa minaccia prende di mira i PC Windows ed è in grado di rubare informazioni finanziarie vitali, credenziali di posta elettronica e altri dati sensibili. Il malware viene consegnato attraverso campagne spam con allegati Word o Excel. Rispetto al mese scorso, anche se nel mondo la percentuale di impatto è scesa sotto l’1%, le organizzazioni italiane hanno avuto a che fare ancora in modo consistente con Ursnif, che si colloca al primo posto della classifica con il 13% di impatto.

“In passato, Phorpiex, noto anche come Trik, veniva monetizzato dalla distribuzione di altri malware come GandCrab, Pony o Pushdo, utilizzando i suoi host per estrarre la criptovaluta o per truffe di sesxtortion. Ora viene utilizzato per diffondere una nuova campagna ransomware, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. Le organizzazioni dovrebbero educare i dipendenti su come identificare i tipi di malspam che portano queste minacce, come ad esempio l’ultima campagna rivolta agli utenti con email contenenti un’emoji che fa l’occhiolino, e garantire loro di implementare una sicurezza che impedisca di infettare attivamente le loro reti.”

Il team di ricerca avverte inoltre che “OpenSSL TLS DTLS Heartbeat Information Disclosure” è stata la vulnerabilità più sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da vicino da “MVPower DVR Remote Code Execution”, con il 44%. “Web Server Exposed Git Repository Information Disclosure” al terzo posto, con un impatto globale del 38%.

I tre malware più diffusi di giugno

Questo mese Agent Tesla è il malware più popolare con un impatto globale del 3% delle organizzazioni, seguito da vicino da Phorpiex e XMRig che interessano il 2% delle organizzazioni.

  1. ↑ Agent Tesla – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
  2. ↑ Phorpiex – botnet nota per la distribuzione di famiglie di malware tramite campagne spam e campagne di sextortion su larga scala.
  3. ↔ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.

Vulnerabilità più sfruttate del mese di giugno

A giugno la vulnerabilità OpenSSL TLS DTLS Heartbeat Information Disclosure è stata la più diffusa, interessando il 45% delle organizzazioni a livello globale, seguita da MVPower DVR Remote Code Execution con il 44%, e Web Server Exposed Git Repository Information Disclosure, che rimane al terzo posto, con un impatto globale del 38%.

  1. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  2. ↓ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  3. ↔Web Server Exposed Git Repository Information Disclosure – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.

I tre malware mobile più diffusi di giugno

Questo mese Necro è il malware più diffuso, seguito da Hiddad e Lotoor.

  1. Necro – trojan dropper Android che può scaricare altri malware, mostrando annunci intrusivi e rubando denaro addebitando degli abbonamenti.
  2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  3. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.

La lista completa delle 10 famiglie di malware più attive nel mese di giugno è disponibile sul blog di Check Point.

Altre informazioni qui.