Check Point Software Technologies, fornitore mondiale specializzato nel campo della sicurezza informatica, ha pubblicato i dati del proprio Global Threat Index per il mese di giugno 2023. Secondo i rilevamenti effettuati dai ricercatori, il malware più diffuso nel corso del 2023 è finora il trojan Qbot, affermatosi al primo posto per ben cinque mesi su sei. Il mobile trojan SpinOk è salito per la prima volta al vertice della classifica dopo essere stato rilevato inizialmente lo scorso mese, mentre il ransomware ha continuato a far parlare di sé grazie alla vulnerabilità zero-day scoperta nel software di file sharing MOVEIt.
Alcuni dati del Threat Index di Check Point
Qbot, apparso originariamente nel 2008 sotto forma di trojan bancario, è stato oggetto di un costante sviluppo acquisendo ulteriori funzionalità per la sottrazione di password, email e dati di carte di credito. Questo malware si propaga normalmente attraverso messaggi spam adottando svariate tecniche come metodi anti-VM, anti-debug e anti-sandbox per impedire l’analisi e aggirare i rilevamenti. Allo stato attuale il suo ruolo principale è quello di agire da loader per altri malware e stabilire una presenza all’interno delle organizzazioni prese di mira, rappresentando un trampolino di lancio per ulteriori attività dei gruppi specializzati in ransomware.
Nel frattempo i ricercatori Check Point hanno scoperto anche un malware mobile molto prolifico che ha accumulato sinora 421 milioni di download. Lo scorso mese, infatti, al vertice del malware mobile si è affermato per la prima volta SpinOk, un SDK (Software Development Kit) trojanizzato. Adoperato da numerose app per scopi di marketing, questo pericoloso software si è infiltrato all’interno di applicazioni e giochi di grande popolarità, alcuni dei quali disponibili su Google Play Store. In grado di sottrarre informazioni sensibili dai dispositivi e di osservare le informazioni che passano attraverso la clipboard usata per il copia-incolla, SpinOk costituisce una seria minaccia per la privacy e la sicurezza degli utenti, sottolineando la necessità di misure preventive per proteggere i dati personali e i dispositivi mobili. Questo tipo di malware serve anche a ricordare le potenzialità devastanti degli attacchi che prendono di mira le supply chain software.
Lo scorso mese Check Point ha scovato il lancio di una campagna di ransomware su vasta scala, che ha colpito obiettivi in tutto il mondo. Nel maggio 2023, Progress Software Corporation aveva annunciato l’esistenza di una vulnerabilità all’interno di MOVEit Transfer e MOVEit Cloud (CVE-2023-34362) dalla quale si poteva ottenere accesso non autorizzato all’ambiente circostante. Nonostante la relativa patch sia stata rilasciata entro 48 ore dalla disclosure, i cybercriminali affiliati al gruppo ransomware russo Clop hanno sfruttato la vulnerabilità e lanciato un attacco supply chain contro gli utenti MOVEIt. A oggi vi sono 108 vittime pubblicamente note, comprese sette università statunitensi, con centinaia di migliaia di record di informazioni sottratte.
“L’exploit di MOVEit dimostra come il 2023 sia già un anno significativo nella storia del ransomware. Gruppi di spicco come Clop non agiscono tatticamente per infettare un singolo obiettivo, ma aumentano l’efficienza delle loro azioni sfruttando software ampiamente diffusi all’interno degli ambienti aziendali. Questo approccio permette loro di colpire centinaia di vittime con un solo attacco”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Questo schema di attacco evidenzia l’importanza per le aziende di implementare una strategia di cybersicurezza stratificata e di prioritizzare la rapida applicazione delle patch non appena vengono annunciate delle vulnerabilità”.
Le minacce cyber in Italia nel mese di giugno
Nel mese di giugno 2023, in Italia la minaccia più grande è stata rappresentata dal malware Qbot, con un impatto dell’8,1% rispetto al 6,69% a livello globale, seguita dal Blindingcan (nuovo trojan ad accesso remoto di origine nord coreana) che in Italia ha registrato un impatto del 5,25%, notevolmente più alto rispetto a quanto si è rilevato a livello mondiale (0,22%). Formbook si è un po’ ridimensionato (-0,9% ripetto a maggio) e fa registrare un impatto nel nostro Paese del 3,1%. Stesso risultato per Guloader (downloader utilizzato dal 2019) e Lokibot (infostealer di prodotti di base).
Check Point Research ha rivelato inoltre che la vulnerabilità più sfruttata nello scorso mese è stata la “Web Servers Malicious URL Directory Traversal”, che ha avuto un impatto sul 51% delle organizzazioni di tutto il mondo, seguita dalla “Apache Log4j Remote Code Execution” con il 46%. Al terzo posto la vulnerabilità “HTTP Headers Remote Code Execution” con un impatto globale del 44%.
Principali famiglie di malware rilevate da Check Point
Gli esperti di Check Point spiegano che Qbot è stato il malware più diffuso nello scorso mese con un impatto sul 7% delle organizzazioni di tutto il mondo, seguito da Formbook con un impatto globale del 4% ed Emotet con un impatto globale del 3%.
- Qbot – Qbot alias Qakbot è un malware multifunzione apparso originariamente nel 2008 e progettato per sottrarre le credenziali di un utente, registrare i tasti premuti sulla tastiera, sottrarre cookie dai browser, spiare le attività di online banking e installare ulteriore malware. Spesso diffuso attraverso messaggi spam, Qbot adotta diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare le analisi e aggirare i rilevamenti.
- Formbook – Formbook è un Infostealer che colpisce i sistemi operativi Windows rilevato per la prima volta nel 2016. Nei forum underground viene proposto come Malware-as-a-Service (MaaS) per le sue solide tecniche di evasione e per il costo relativamente contenuto. Formbook sottrae le credenziali da diversi browser, acquisisce screenshot, controlla e registra i tasti premuti e può scaricare ed eseguire file secondo gli ordini ricevuti dal proprio C&C.
- Emotet – Emotet è un trojan modulare avanzato capace di autopropagarsi. Un tempo utilizzato come trojan bancario, di recente è diventato un veicolo di distribuzione per altri malware o campagne di attacchi. Emotet sfrutta svariati metodi per rendersi persistente e molteplici tecniche di evasione per non farsi rilevare; può inoltre diffondersi attraverso mail di phishing contenenti allegati o link pericolosi.
Principali obiettivi globali per settore di attività
Secondo Check Point. lo scorso mese il settore dell’Istruzione e della Ricerca ha continuato a essere quello più attaccato a livello globale, seguito dal comparto Pubblica Amministrazione/Forze Armate e da quello della Sanità.
- Istruzione/Ricerca
- Pubblica Amministrazione/Forze Armate
- Sanità
Vulnerabilità maggiormente sfruttate
La vulnerabilità più sfruttata nel corso del mese passato è stata quella nota come “Web Servers Malicious URL Directory Traversal”, che ha avuto un impatto sul 51% delle organizzazioni di tutto il mondo, seguita dalla “Apache Log4j Remote Code Execution” con il 46%. In terza posizione la vulnerabilità denominata “HTTP Headers Remote Code Execution”, con un impatto globale del 44%.
- Web Servers Malicious URL Directory Traversal – Su diversi web server esiste una vulnerabilità provocata da un errore nella convalida dell’input in conseguenza dell’insufficiente sanificazione dell’URI nei pattern di attraversamento delle directory. L’exploit di questa vulnerabilità consente ad attaccanti remoti non autenticati di accedere a file arbitrari residenti sul server vulnerabile.
- Apache Log4j Remote Code Execution (CVE-2021-44228) – Una vulnerabilità di Apache Log4j che consente di eseguire codice da remoto. La specificità di questa vulnerabilità sta nel consentire a chi compie l’attacco di lanciare in esecuzione un codice arbitrario sul sistema colpito.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Gli header HTTP permettono lo scambio di informazioni supplementari tra client e server all’interno di una richiesta HTTP. Un cybercriminale remoto potrebbe sfruttare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina colpita.
Principali malware per dispositivi mobili individuati da Check Point
Lo scorso mese SpinOk ha conquistato la prima posizione tra i malware più diffusi su dispositivi mobili, seguito da Anubis e AhMyth.
- SpinOk – SpinOk è un modulo software Android che agisce da spyware raccogliendo informazioni sui file residenti nei dispositivi infetti per poi trasferirli ai malintenzionati che ne controllano il funzionamento. Questo modulo è stato rilevato in oltre 100 app Android, e scaricato più di 421.000.000 volte alla data del 23 maggio.
- Anubis – Anubis è un trojan bancario progettato per gli smartphone Android. Da quando è stato rilevato per la prima volta ha ampliato le proprie funzionalità con capacità RAT (Remote Access Trojan) e di keylogging, capacità di registrazione audio oltre a svariate funzioni ransomware. Anubis è stato rilevato all’interno di centinaia di applicazioni disponibili su Google Store.
- AhMyth – AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017 che viene distribuito attraverso app Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo e attivare azioni come registrare i tasti premuti, scattare foto allo schermo, inviare messaggi SMS e attivare la videocamera, in genere allo scopo di sottrarre informazioni riservate.