Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index relativo ai cyber attacchi di maggio 2021. CPR segnala che Trickbot, entrato per la prima volta nella lista nell’aprile 2019, ora è al primo posto. Mentre il trojan Dridex è scivolato in classifica dopo essere stato uno dei malware più diffusi negli ultimi mesi; anche se non è ancora noto il motivo dello scivolone, gli ultimi report indicano che Evil Corp, ben nota per la distribuzione di Dridex, ha fatto un processo di rebranding per eludere le sanzioni del dipartimento del tesoro degli Stati Uniti.
Trickbot preoccupa anche l’Italia, non solo per il primo posto nella speciale classifica dei cyber attacchi di maggio, ma per averlo ottenuto con una percentuale (15%) praticamente doppia rispetto a tutto il mondo (8%). Come detto, Trickbot sta dominando il panorama ora e preoccupa per la sua natura: botnet e banking trojan che può rubare dettagli finanziari, credenziali di conto e informazioni di identificazione personale, oltre a diffondersi all’interno di una rete e rilasciare del ransomware, in particolare Ryuk. Viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione, il che gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
Dall’inizio del 2021, CPR ha visto un aumento significativo del volume di cyber attacchi verso le imprese. Confrontando con i cyber attacchi di maggio 2020, ha visto un aumento del 70% nelle Americhe, mentre in EMEA l’aumento è del 97%, e infine APAC ha visto un impressionante aumento del 168%.
Dopo la registrazione di questa impennata dei cyber attacchi di maggio, Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point dichiara:
“Si è parlato molto del recente aumento degli attacchi ransomware, ma in realtà stiamo assistendo a un’enorme impennata dei cyber attacchi in generale. È un trend significativo e preoccupante. Le organizzazioni devono essere consapevoli dei rischi e garantire soluzioni adeguate, ma anche ricordare che gli attacchi non possono solo essere rilevati, ma devono essere prevenuti, compresi gli attacchi zero-day e il malware ancora sconosciuto. Con le giuste tecnologie in atto, la maggior parte degli attacchi, anche quelli più avanzati, può essere prevenuta senza intaccare il business”.
I tre malware protagonisti degli cyber attacchi di maggio sono stati:
- Trickbot: il malware più diffuso con un impatto globale dell’8% delle organizzazioni. Botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- XMRig: con il 3% delle organizzazioni in tutto il mondo. Mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
- Formbook: anche questo con il 3% delle organizzazioni in tutto il mondo. Info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.
Le tre vulnerabilità più sfruttate dai cyber attacchi di maggio:
- Web Server Exposed Git Repository Information Disclosure: la vulnerabilità più sfruttata, con un impatto sul 48% delle organizzazioni a livello globale. In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
- HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): con un impatto del 47,5%, consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
- MVPower DVR Remote Code Execution: occupa il terzo posto con un impatto globale del 46%. Vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
I tre malware mobile più diffusi dai cyber attacchi di maggio:
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- Triada – Backdoor modulare per Android che garantisce i privilegi di superutente per scaricare malware.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.
La lista completa delle 10 famiglie di malware protagonisti dei cyber attacchi di maggio è disponibile al seguente link.
