A giugno l’Italia si è trovata di nuovo sotto assedio dal malware Trickbot spesso utilizzato nelle fasi iniziali degli attacchi ransomware.

Trickbot

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index per giugno 2021 riferendo che Trickbot è ancora il malware più diffuso, mantenendo il primo posto ottenuto a maggio.

In Italia, e per il secondo mese consecutivo, Trickbot preoccupa ancora di più con una percentuale doppia rispetto a quella globale, impattando sul 12% delle organizzazioni colpite.

Trickbot è una botnet e un banking trojan che può rubare dettagli finanziari, credenziali e informazioni personali, oltre a diffondersi all’interno di una rete e rilasciare del ransomware. Il mese scorso CPR ha riferito che il numero medio settimanale di attacchi ransomware è aumentato del 93% negli ultimi 12 mesi, e ha anche avvertito che spesso non hanno inizio con il ransomware stesso. Per esempio, negli attacchi ransomware di Ryuk, il malware Emotet è stato usato per infiltrarsi nella rete, che è stata poi infettata dal top malware di questo mese, Trickbot, prima che il ransomware codificasse finalmente i dati.

Da quando la botnet Emotet è stata fermata a gennaio, il trojan e la botnet Trickbot hanno guadagnato popolarità. Recentemente è stato anche collegata a un nuovo gruppo ransomware chiamato “Diavol”. Trickbot viene costantemente aggiornato con nuove funzionalità, caratteristiche e vettori di distribuzione, il che gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

Gruppi ransomware ben noti come Ryuk e REvil si affidano a varie forme di malware per le fasi iniziali degli attacchi, come è successo per uno dei principali malware di questo mese, Trickbot”, ha detto Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Le organizzazioni devono rimanere estremamente consapevoli dei rischi e assicurarsi che ci siano soluzioni adeguate. Oltre alla botnet e al banking trojan Trickbot, la lista di questo mese include una vasta gamma di diversi tipi di malware tra cui botnet, infostealer, backdoor, RAT e mobile malware. È fondamentale per le organizzazioni avere le giuste tecnologie in campo per affrontare una così ampia varietà di minacce. Se lo faranno, la maggior parte degli attacchi, anche quelli più avanzati come REvil, potranno essere evitati senza interrompere il normale flusso di lavoro”.

I tre malware più diffusi di giugno
Trickbot
diventa il malware più diffuso con un impatto globale dell’7% delle organizzazioni, seguito da XMRig e Formbook con il 3% ciascuno.

1. Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
2. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
3. Formbook – info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.

Le tre vulnerabilità più sfruttate del mese di giugno
Oltre ai ransomware più diffusi di cui Trickbot è il “portabandiera”, viene riferita anche la lista delle vulnerabilità più sfruttate: “HTTP Headers Remote Code Execution” è la vulnerabilità più comunemente sfruttata, con un impatto del 47% delle organizzazioni a livello globale, seguita da “MVPower DVR Remote Code Execution” con un impatto del 45%. “Dasan GPON Router Authentication Bypass” occupa il terzo posto con un impatto globale del 44%.

1. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
2. MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – una vulnerabilità di bypass dell’autenticazione nei router GPON Dasan. Uno sfruttamento efficace di questa vulnerabilità permetterebbe agli aggressori remoti di ottenere informazioni sensibili e conquistare l’accesso non autorizzato nel sistema interessato.

I tre malware mobile più diffusi di giugno
xHelper
è al primo posto tra i malware mobili più diffusi, seguito da Hiddad e Xloader.

1. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
3. XLoader – è un trojan Android spyware e bancario sviluppato dalla Yanbian Gang, un gruppo di hacker cinesi. Questo malware utilizza lo spoofing DNS per distribuire app Android infette, al fine di ottenere informazioni personali e finanziarie.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware tra i quali si trova Trickbot.