Il Global Threat Index relativo ad aprile 2021 colloca AgentTesla al secondo posto per la prima volta, mentre il trojan Dridex rimane il malware più diffuso, classificandosi primo già a marzo e risalendo dal settimo posto di febbraio. In Italia, questi due malware, ad aprile hanno avuto un impatto ancor più pesante: Dridex con il 25% (mentre l’impatto globale è stato del 15%) e AgentTesla con il 21% (a livello globale invece con il 12%).
Questo mese, Dridex, che prende di mira la piattaforma Windows, è stato diffuso tramite la campagna malspam QuickBooks. Le e-mail di phishing utilizzavano il marchio di QuickBooks e cercavano di attirare l’utente con notifiche di pagamento e fatture false. Il contenuto richiedeva di scaricare un allegato malevolo di Microsoft Excel che avrebbe potuto causare l’infezione dell’intero sistema.
Questo malware viene spesso utilizzato nella fase iniziale di infezione nelle operazioni ransomware in cui gli hacker criptano i dati di un’organizzazione, chiedendo poi un riscatto per decriptarli. Questi hacker utilizzano sempre più la doppia estorsione, in cui rubano dati sensibili da un’organizzazione e minacciano di rilasciarli pubblicamente a meno che non venga effettuato un pagamento. A marzo, CPR ha riportato che gli attacchi di ransomware avevano visto un aumento del 57% all’inizio del 2021, ma questo trend ha continuato a salire, fino al 107% rispetto allo stesso periodo dello scorso anno. Più recentemente, Colonial Pipeline, una delle principali società di carburante degli Stati Uniti, è stata vittima di un attacco simile e nel 2020 si stima che il ransomware sia costato alle aziende di tutto il mondo circa 20 miliardi di dollari, quasi il 75% superiore rispetto al 2019.
Per la prima volta, AgentTesla si è classificato al 2° posto nell’elenco dei top malware. AgentTesla è un RAT avanzato attivo dal 2014 e funziona come keylogger e password stealer che può monitorare e raccogliere l’input della tastiera e gli appunti di sistema della vittima; inoltre, può salvare screenshot ed esfiltrare le credenziali da diversi software (inclusi Google Chrome, Mozilla Firefox e Microsoft Outlook). Ad aprile, le campagne utilizzanti AgentTesla si sono diffuse tramite malspam: il contenuto dell’e-mail chiede di scaricare un file (un qualsiasi tipo di file) che potrebbe causare l’infezione del sistema utilizzando AgentTesla.
“Stiamo assistendo a un enorme aumento degli attacchi ransomware in tutto il mondo e non sorprende che il malware principale di questo mese sia correlato a questo trend. In media, ogni 10 secondi a livello globale, un’organizzazione diventa vittima di ransomware”, ha affermato Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point. “Recentemente ai governi è stato chiesto di fare di più contro questa crescente minaccia, ma, nonostante questo, il trend non rallenta. Tutte le organizzazioni devono essere consapevoli dei rischi e devono garantire che siano presenti adeguate soluzioni anti-ransomware. Anche una formazione completa per tutti i dipendenti è fondamentale, in modo che siano dotati delle competenze necessarie per identificare i tipi di e-mail malevole che diffondono Dridex e altri malware, poiché è così che iniziano molti exploit ransomware.”
tre malware più diffusi di aprile sono stati
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, Dridex è ancora il malware più diffuso con un impatto globale del 15% delle organizzazioni, seguito da Agent Tesla e Trickbot che colpiscono rispettivamente il 12% e l’8% delle aziende nel mondo.
-
↔ Dridex – un trojan che prende di mira la piattaforma Windows e, secondo quanto riferito, viene scaricato tramite un allegato e-mail di spam. Dridex contatta un server remoto e invia informazioni sul sistema infetto. Può anche scaricare ed eseguire moduli arbitrari ricevuti dal server remoto.
-
↑ Agent Tesla – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
-
↑ Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
Le tre vulnerabilità più sfruttate del mese di aprile
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto sul 46% delle aziende a livello globale, seguita da “HTTP Headers Remote Code Execution (CVE-2020-13756)” con il 45,5%. “MVPower DVR Remote Code Execution” al terzo posto con il 44%.
-
↑ Web Server Exposed Git Repository Information Disclosure – – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
-
↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
-
↓ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
I tre malware mobile più diffusi di marzo:
Questo mese xHelper occupa il primo posto, seguito da Triada e Hiddad.
-
xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
-
Triada – Backdoor modulare per Android che garantisce i privilegi di superutente per scaricare malware.
-
Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.
La lista completa delle 10 famiglie di malware più attive nel mese di aprile è disponibile sul blog di Check Point.
