![spyware spyware](https://www.bitmat.it/wp-content/uploads/2024/10/spyware.jpg)
Il fornitore di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered Check Point® Software Technologies ha pubblicato il suo Indice globale delle minacce per il mese di settembre 2024. Il rapporto evidenzia un’interessante tendenza nel panorama della cybersicurezza, in particolare l’emergere di malware guidati dall’intelligenza artificiale (AI), accanto al continuo dominio delle minacce ransomware.
In Italia, nel mese di settembre si confermano le prime due posizioni nella classifica delle minacce più presenti, mentre per il terzo posto si registra un cambiamento: Qbot lascia l’ultimo gradino del podio a Formbook, che torna a essere tra le principali minacce nel nostro Paese. Nello specifico, la minaccia più importante risulta essere ancora FAKEUPDATES (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult),
- con un impatto del 7,29%, facendo registrare un incremento del +0,39% rispetto ad agosto,
- e risultando inferiore di 0,85% rispetto all’impatto globale.
La seconda minaccia nel nostro Paese continua ad essere il malware ANDROXGH0ST (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili)
- con un impatto del 7,07% (+0,15% rispetto al dato di agosto)
- e superiore all’impatto globale di +1,43%.
Al terzo posto torna a farsi notare FORMBOOK, che scalza Qbot sceso al quarto posto,
- con un impatto del 4,75%, superiore di 0,5% rispetto all’impatto globale.
IA usata per creare più facilmente malware
I ricercatori hanno scoperto che, nel corso del mese di settembre, gli attori delle principali minacce hanno probabilmente utilizzato l’intelligenza artificiale per sviluppare uno script che fornisce il malware AsyncRAT, che si è ora posizionato al decimo posto nella classifica delle minacce informatiche più diffuse. Il metodo includeva lo smuggling HTML, con l’invio di un file ZIP protetto da password contenente codice VBScript dannoso, per dare il via a una catena di infezione sul dispositivo della vittima. Il codice ben strutturato e commentato suggeriva il coinvolgimento dell’IA. Una volta eseguito, AsyncRAT viene installato, consentendo all’aggressore di registrare i tasti premuti, controllare da remoto il dispositivo infetto e distribuire ulteriore malware. Questa scoperta evidenzia una tendenza crescente dei criminali informatici con competenze tecniche limitate che utilizzano l’intelligenza artificiale per creare più facilmente malware.
“Il fatto che gli attori delle minacce abbiano iniziato a utilizzare l’IA generativa come parte della loro infrastruttura di attacco evidenzia la continua evoluzione delle tattiche di attacco informatico”, commenta Maya Horowitz, VP of Research di Check Point Software. “I criminali informatici sfruttano sempre più le tecnologie disponibili per migliorare le loro operazioni, rendendo essenziale per le organizzazioni l’implementazione di strategie di sicurezza proattive, tra cui metodi di prevenzione avanzati e una formazione completa per i loro team”.
Nel corso del mese di settembre, Joker continua a essere il malware per mobile più diffuso, mentre RansomHub rimane il gruppo di ransomware leader. Entrambi mantengono le loro posizioni rispetto al mese precedente. Questi risultati evidenziano la persistenza delle minacce poste da queste entità maligne nel panorama in evoluzione della sicurezza informatica.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è il malware più diffuso questo mese con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 6% e Formbook con un impatto globale del 4%.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
- ↑ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
- ↔ Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
Le vulnerabilità maggiormente sfruttate
- ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di trasmettere informazioni aggiuntive all’interno di una richiesta HTTP. Un attaccante remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.
Principali malware per dispositivi mobili
Questo mese Joker è al primo posto nella classifica dei malware mobili più diffusi, seguito da Anubis e Hiddad.
- ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
- ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- ↑ Hiddad è un malware per Android che riconfeziona applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli chiave di sicurezza integrati nel sistema operativo.
I settori più attaccati a livello globale
Il mese scorso l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori maggiormente attaccati a livello globale, seguita da governo/militare e salute.
- Istruzione/Ricerca
- Governo/Militare
- Salute
I gruppi di ransomware maggiormente rilevati
I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Qilin con il 5%.
- RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
- Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
- Qilin, noto anche come Agenda, è un’operazione criminale di ransomware-as-a-service che collabora con gli affiliati per crittografare ed esfiltrare i dati dalle organizzazioni compromesse, chiedendo poi un riscatto. Questa variante di ransomware è stata rilevata per la prima volta nel luglio 2022 ed è sviluppata in Golang. Qilin è noto per prendere di mira le grandi imprese e le organizzazioni di alto valore, con particolare attenzione ai settori della sanità e dell’istruzione. Questo ransomware si infiltra tipicamente tramite e-mail di phishing contenenti link dannosi per stabilire l’accesso alle loro reti ed esfiltrare informazioni sensibili. Una volta entrato, Qilin di solito si muove lateralmente attraverso l’infrastruttura della vittima, alla ricerca di dati critici da criptare.