Emotet: tornerà più forte dopo la pausa di giugno?

Il malware potrebbe essere offline per manutenzione e aggiornamento, e potrebbe essere riattivato con nuove e migliori capacità

Il Global Threat Index di giugno 2019, realizzato da Check Point Research, ha confermato che Emotet (la più grande botnet attualmente in funzione) è stato disattivato nel mese di giugno. Emotet è stato uno dei 5 principali malware a livello globale durante i primi sei mesi del 2019, ed è stato distribuito attraverso massicce campagne di spam.

I ricercatori di Check Point ritengono che l’infrastruttura di Emotet potrebbe essere offline per operazioni di manutenzione e aggiornamento, e che non appena i suoi server saranno di nuovo operativi, Emotet sarà riattivata con nuove e migliori capacità. Non è esattamente così per l’Italia che dal 102° posto tra i Paesi più colpiti, schizza all’83°, ma soprattutto viene colpita da Emotet, secondo malware più diffuso. Mentre, al primo posto si conferma XMRig, mining software open-source di CPU utilizzato per il mining della valuta criptata Monero; e al terzo posto Jsecoin, il miner JavaScript che può essere inserito all’interno dei siti.

“Emotet è diffuso dal 2014 come trojan bancario. Dal 2018, tuttavia, abbiamo visto che è stato utilizzato come botnet nelle principali campagne di malspam e utilizzato per distribuire altri malware. Anche se la sua infrastruttura è rimasta inattiva per gran parte di giugno, era ancora al 5° posto nel report globale, il che dimostra quanto venga utilizzato, ed è probabile che riemergerà con nuove funzionalità, ha dichiarato Maya Horowitz, Director Threat Intelligence & Research di Check Point. Una volta che Emotet viene installato sul dispositivo della vittima, può usarlo per diffondersi attraverso ulteriori campagne di spam, scaricare altri malware (come Trickbot, che a sua volta infetta l’intera rete di hosting con il famigerato Ryuk Ransomware), e diffondersi ad altre risorse della rete.”

I tre malware più diffusi a giugno 2019 sono stati:

I tre più importanti cryptominer guidano ancora la classifica: questo mese XMRig è stato il malware più impattante, che ha colpito il 4% delle organizzazioni in tutto il mondo, seguito da vicino da Jsecoin e Cryptoloot, entrambi con un impatto del 3% sulle organizzazioni a livello globale.

  1. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  2. Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
  3. Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.

I tre malware per dispositivi mobili più diffusi a giugno 2019:

Lotoor continua ad essere in testa alla lista dei principali malware mobile, seguito da Triada e Ztorg – un nuovo malware tra i top.

  1. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
  2. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  3. Ztorg – i trojan della famiglia Ztorg ottengono privilegi crescenti sui dispositivi Android e si installano nella directory di sistema. Il malware è in grado di installare qualsiasi altra applicazione sul dispositivo.

Le tre vulnerabilità più diffuse nel mese di giugno sono state:

Nel mese di giugno vediamo le tecniche di SQL Injections continuare ad essere al primo posto nella lista delle vulnerabilità degli exploit con un impatto globale del 52%. OpenSSL TLS DTLS Heartbeat Information Disclosure si è classificato al secondo posto con un impatto del 43% delle organizzazioni a livello globale, seguito da vicino da CVE-2015-8562 con un impatto del 41%.

  1. SQL Injection (several techniques) – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. Joomla Object Injection Remote Command Execution (CVE-2015-8562) – Nelle piattaforme Joomla è stata segnalata una vulnerabilità nell’esecuzione di comandi remoti. La vulnerabilità è dovuta alla mancanza di convalida sugli oggetti di input che può portare all’esecuzione del codice remoto. Un aggressore potrebbe sfruttare questa vulnerabilità inviando una richiesta dannosa alla vittima. Lo sfruttamento di questa vulnerabilità può portare all’esecuzione di codice arbitrario nel contesto dell’utente target.

La lista completa delle 10 famiglie di malware più attive nel mese di aprile è disponibile sul blog di Check Point