Checkpoint: a luglio trionfa un nuovo malware

Il malware più diffuso a luglio sfrutta una vulnerabilità del componente WebAdmin Plugin di OpenDreamBox 2.0.0 per eseguire comandi da remoto

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di luglio 2019. I ricercatori dell’azienda segnalano alle organizzazioni globali una nuova vulnerabilità che è stata scoperta nel componente WebAdmin Plugin di OpenDreamBox 2.0.0 e che ha colpito il 32% delle organizzazioni a livello globale nell’ultimo mese.

La vulnerabilità, classificata all’ottavo posto tra le vulnerabilità più sfruttate, consente ai malintenzionati di eseguire comandi da remoto sulle macchine bersaglio. L’exploit è stato attivato insieme ad altri attacchi contro i dispositivi IoT – in particolare con l’esecuzione remota del codice MVPower DVR (la terza vulnerabilità più sfruttata a luglio), che è anche noto per essere legato alla famigerata botnet Mirai.

Nel mese di luglio si è registrato anche un forte calo nella diffusione di Cryptoloot, che è sceso al decimo posto della classifica dei malware più diffusi, rispetto terzo posto occupato a giugno.

In Italia, che si è posizionata al 110° posto tra i Paesi più colpiti, le famiglie di malware più diffuse sono state Ursnif, un trojan che colpisce la piattaforma Windows, XMRig, mining software open-source di CPU utilizzato per il mining della valuta criptata Monero, ed Emotet, trojan bancario avanzato, auto-propagante e modulare.

“Gli attori delle minacce informatiche sono sempre pronti a sfruttare nuove vulnerabilità quando emergono, prima che le organizzazioni abbiano avuto la possibilità di correggerle, e la falla di OpenDreamBox non fa eccezione. Anche così, è sorprendente che quasi un terzo delle organizzazioni siano state colpite. Questo evidenzia quanto sia importante che le organizzazioni si proteggano installando le patch disponibili rapidamente”, ha dichiarato Maya Horowitz, Director Threat Intelligence & Research di Check Point.

“È interessante anche il netto declino nell’uso di Cryptoloot. Ha dominato la classifica dei malware più diffusi per l’ultimo anno e mezzo ed è stata classificata come seconda variante di malware più diffusa nella prima metà del 2019, con un impatto sul 7,2% sulle organizzazioni in tutto il mondo. Riteniamo che il declino sia legato al suo principale concorrente, Coinhive, che ha chiuso le proprie operazioni all’inizio del 2019. Gli attori delle minacce si affidano a malware alternativi di cripto-mining, come XMRig e Jsecoin”.

I tre malware più diffusi a luglio 2019 sono stati:

(La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente)

XMRig guida la classifica dei malware più diffusi, con un impatto sul 7% delle organizzazioni in tutto il mondo. Jsecoin e Dorkbot hanno avuto un impatto globale rispettivamente del 6%.
1. ↔ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
2. ↔ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
3. ↑ Dorkbot – Dorkbot è un worm basato su IRC progettato per consentire l’esecuzione remota del codice da parte del suo operatore, così come il download di malware aggiuntivo all’interno del sistema infetto.

I tre malware per dispositivi mobili più diffusi a luglio 2019:

Lotoor è stato il malware mobile più diffuso, seguito da AndroidBauts e Piom – due nuove famiglie di malware nella lista dei principali malware mobili.
1. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
2. AndroidBauts – adware che colpisce gli utenti Android e che estrae informazioni su IMEI, IMSI, posizione GPS e altre informazioni del dispositivo e consente l’installazione di applicazioni di terze parti e shortcut su dispositivi mobili.
3. Piom – adware che monitora il comportamento di navigazione dell’utente e visualizza pubblicità indesiderate basate sulle attività web degli utenti.

Le tre vulnerabilità più diffuse nel mese di luglio sono state:

(La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente)

Le tecniche di SQL Injection continuano a essere al primo posto nella lista delle vulnerabilità più sfruttate, con un impatto sul 46% delle organizzazioni in tutto il mondo. Al secondo posto si colloca l’OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto globale del 41%, seguita da vicino dall’MVPower DVR Remote Code Execution, che ha colpito il 40% delle organizzazioni in tutto il mondo.

1. ↔ SQL Injection (several techniques) – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
3. ↑ MVPower DVR Remote Code Execution – esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.