Il Global Threat Index relativo a gennaio 2020 di Check Point Research evidenzia che Emotet si è riconfermata la principale minaccia malware per il quarto mese consecutivo, diffuso inoltre tramite una campagna spam a tema Coronavirus.
Le e-mail sembrano segnalare dove il Coronavirus si stia diffondendo, o sembrano offrire maggiori informazioni, incoraggiando la vittima ad aprire gli allegati o a cliccare su link che, se aperti, tentano di scaricare Emotet. In Italia nel mese di gennaio ha avuto un impatto sul 18% delle aziende, un valore di rilievo se comparato all’impatto dell’11% che lo stesso malware ha avuto nel report precedente. Il software dannoso è utilizzato principalmente per diffondere ransomware o altre campagne dannose.
A gennaio sono aumentati anche i tentativi per sfruttare la vulnerabilità MVPower DVR Remote Code Execution, con un impatto sul 45% delle aziende a livello globale. Questa è passata dall’essere la terza vulnerabilità più sfruttata a dicembre, al diventare il vertice della classifica nel mese appena concluso. Se sfruttata con successo, un aggressore può sfruttare questa debolezza per eseguire codice arbitrario sul dispositivo bersagliato.
“Come il mese scorso, le minacce dannose più ricercate continuano a essere malware versatili come Emotet, XMRig e Trickbot, che collettivamente colpiscono oltre il 30% delle organizzazioni in tutto il mondo, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. Le aziende devono assicurarsi che i loro dipendenti siano istruiti su come identificare i tipi di e-mail spam che vengono tipicamente utilizzati per propagare queste minacce; inoltre, devono implementare una sicurezza che impedisca attivamente l’infezione delle le loro reti per evitare ransomware o esfiltrazione di dati.”
I tre malware più diffusi di gennaio sono stati:
Emotet detiene il primo posto con un impatto sul 13% delle aziende a livello globale, seguito da XMRig e Trickbot con un impatto, rispettivamente, sul 10% e 7%.
- ↔ Emotet – Trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
- ↔ XMRig – Mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
- ↔ Trickbot – Trojan del mondo banking e viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.
I tre malware mobile più diffusi in gennaio:
xHelper mantiene il primo posto tra i malware più diffusi per i dispositivi mobile, seguito da Guerilla e AndroidBauts.
- ↔ xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- ↔ Guerrilla – Un trojan Android incorporato in molteplici applicazioni legittime, in grado di scaricare ulteriori payload dannosi. Genera entrate pubblicitarie fraudolente per gli sviluppatori di app.
- ↑ AndroidBauts – Adware rivolto agli utenti Android che esfiltra le informazioni IMEI, IMSI, posizione GPS e altre informazioni sul dispositivo e consente l’installazione di applicazioni e scorciatoie di terze parti sui dispositivi mobile.
Le vulnerabilità più sfruttate del mese di gennaio:
MVPower DVR Remote Code Execution è stata la vulnerabilità più sfruttata, con un impatto sul 45% delle aziende a livello globale, seguita da Web Server Exposed Git Repository Information Disclosure (44%) e dalla vulnerabilità PHP DIESCAN information disclosure con un impatto del 42%.
- ↑ MVPower DVR Remote Code Execution – Vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
- ↑ Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
- ↑ PHP DIESCAN information disclosure – Una vulnerabilità di divulgazione delle informazioni segnalata nelle pagine PHP. Il successo dello sfruttamento potrebbe portare alla divulgazione di informazioni sensibili dal server.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point.
