Tra le minacce cyber di aprile rilevate da CPR c’è una vasta campagna malspam che utilizza il trojan Qbot. Il malware IoT Mirai torna a preoccupare.

minacce-cyber-di-aprile

Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il proprio Global Threat Index contenente le minacce cyber di aprile 2023. Il mese scorso, i ricercatori hanno scoperto una massiccia campagna di malspam Qbot, distribuita attraverso file PDF malevoli allegati a e-mail visualizzate in diverse lingue. Qbot si è riconfermato anche in Italia con il 10% di impatto sulle organizzazioni, è il malware più diffuso a livello nazionale, seguito da Formbook e AgentTesla. Nel frattempo, il malware Internet-of-Things (IoT) Mirai è entrato nella lista mondiale per la prima volta dopo un anno, avendo sfruttato una nuova vulnerabilità nei router TP-Link, mentre il settore Healthcare è salito al secondo posto tra i settori più colpiti.

Minacce cyber di aprile: Qbot e Mirai le protagoniste assolute

Tra le minacce cyber di aprile spicca sicuramente la campagna Qbot che prevede un nuovo metodo di diffusione in cui viene inviata un’e-mail ai bersagli con un allegato contenente file PDF protetti. Una volta scaricati, il malware Qbot viene installato sul dispositivo. I ricercatori hanno riscontrato casi di invio in più lingue diverse, il che significa che le organizzazioni possono essere prese di mira in tutto il mondo.

Le minacce cyber di aprile hanno visto anche il ritorno di Mirai, uno dei malware IoT più diffusi. I ricercatori hanno scoperto che sfruttava una nuova vulnerabilità zero-day CVE-2023-1380 per attaccare i router TP-Link e aggiungerli alla sua botnet, che è stata utilizzata per facilitare alcuni degli attacchi DDoS distribuiti più dirompenti mai registrati. Quest’ultima campagna rispecchia un ampio report pubblicato da Check Point Research (CPR) sulla prevalenza degli attacchi IoT.

I settori più colpiti dalle minacce cyber di aprile

Si è registrato anche un cambiamento nei settori colpiti dalle minacce cyber di aprile, con la sanità che ha superato la pubblica amministrazione come secondo settore più sfruttato nel mese di aprile. Gli attacchi alle istituzioni sanitarie sono ben documentati e alcuni Paesi affrontano continui attacchi. Ad esempio, il gruppo di criminali informatici Medusa ha recentemente sferrato attacchi a strutture oncologiche in Australia. Il settore rimane un obiettivo redditizio per gli attaccanti, in quanto offre loro un potenziale accesso ai dati riservati dei pazienti e ai dati di pagamento. Ciò potrebbe avere implicazioni per le aziende farmaceutiche, in quanto potrebbe portare a fughe di notizie relative a studi clinici o a nuovi farmaci e dispositivi medici.

“I criminali informatici lavorano costantemente a nuovi metodi per aggirare le restrizioni, e queste campagne sono un’ulteriore prova di come il malware si adatti per sopravvivere. Con Qbot di nuovo all’attacco, ricordiamo ancora una volta l’importanza di disporre di una cybersecurity completa e di una dovuta attenzione quando si tratta di fidarsi della provenienza e delle intenzioni di un’e-mail”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.

Le tre vulnerabilità più sfruttate del mese di aprile

Tra le minacce cyber di aprile AgentTesla è stato il malware più diffuso, con un impatto di oltre il 10% sulle organizzazioni mondiali, seguito da Qbot e Formbook con un impatto globale del 4%.

  1. AgentTesla – è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
  2. Qbot è noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
  3. Formbook è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.

I settori più attaccati a livello globale per il mese di aprile

Il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati dalle minacce cyber di aprile a livello globale, seguito da quello Sanitario e da quello Governativo/Militare.

  1. Education/Research
  2. Healthcare
  3. Government/Military

In Italia: 

  1. Education/Research
  2. Finance/Banking
  3. ISP/MSP

Le tre vulnerabilità più sfruttate del mese di aprile

Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata dalle minacce cyber di aprile, con un impatto sul 48% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 44% e “HTTP Headers Remote Code Execution” con un impatto globale del 43%.

  1. Web Servers Malicious URL Directory Traversal – esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228) – è una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.

I malware mobile più diffusi di aprile

Il mese scorso, Ahmyth è passato al primo posto come malware mobile più diffuso tra le minacce cyber di aprile, seguito da Anubis e Hiddad.

  1. AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate su app store e vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
  2. Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
  3. Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.