E’ tornata la botnet Emotet (anche in Italia)

Il Global Threat Index di settembre 2019 di Check Point rivela che la famigerata botnet è stata riattivata e sta nuovamente diffondendo campagne attive, anche nel nostro Paese dove ha colpito il 19,13% delle organizzazioni

Il Global Threat Index di settembre 2019 di Check Point Software Technologies ha evidenziato che la Botnet Emotet ha ricominciato a diffondere nuove campagne spam, dopo una pausa di tre mesi. I ricercatori di Check Point hanno riportato che la famigerata Botnet è tornata a colpire nel mese di agosto, dopo essersi presa una pausa che durava da giugno.

Cos’è Emotet

Alcune delle campagne spam di Emotet includevano e-mail che contenenti un link per scaricare un file Word dannoso e, in altri casi, contenevano il documento dannoso stesso. Una volta aperto il file, questo invita le vittime ad attivare le macro del documento, e queste installano il malware Emotet sul computer.

Emotet è stato il quinto malware più diffuso al mondo nel mese di settembre, così come in Italia che ha colpito il 19,13% dell’organizzazioni (rispetto al 5,33% di diffusione a livello globale).

Il secondo malware più diffuso sul suolo italiano è AgentTesla, che ha più che raddoppiato il suo impatto passando dal 7% di agosto al 15% del mese scorso (rispetto al 6,59% di diffusione a livello globale), mentre al terzo posto di questa classifica troviamo Lokibot che ha colpito il 5,07% delle aziende italiane (3,12% a livello globale).

I dati

I tre malware più diffusi a settembre 2019 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese, il criptominer Jsecoin è al primo posto nella lista dei malware, con un impatto sull’8% delle organizzazioni in tutto il mondo. XMRig è il secondo malware più diffuso, seguito da AgentTesla, entrambi con un impatto globale del 7%.

1. ↑ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
2. ↓ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
3. ↑ AgentTesla – AgentTesla è una RAT avanzata che funziona come keylogger e ruba-password. è in grado di monitorare e raccogliere l’input della tastiera, gli appunti di sistema, fare screenshot ed estrarre le credenziali appartenenti a una varietà di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e client di posta elettronica Microsoft Outlook).

I tre malware per dispositivi mobili più diffusi in settembre:

Questo mese Lotoor è il malware mobile più diffuso, seguito da AndroidBauts e Hiddad.

1. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
2. AndroidBauts – adware che colpisce gli utenti Android e che estrae informazioni su IMEI, IMSI, posizione GPS e altre informazioni del dispositivo e consente l’installazione di applicazioni di terze parti e shortcut su dispositivi mobili.
3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili
dell’utente.

Le tre vulnerabilità più diffuse nel mese di settembre sono state:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese, la vulnerabilità MVPower DVR Remote Code Execution è al primo posto nella lista delle vulnerabilità sfruttate con un impatto globale del 37%. La vulnerabilità Linux System Files Information Disclosure è al secondo posto, seguita da vicino da Web Server Exposed Git Repository Information Disclosure, con entrambi gli impatti sul 35% delle organizzazioni in tutto il mondo.

1. ↑ MVPower DVR Remote Code Execution – esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
2. ↑ Linux System Files Information Disclosure – Il sistema operativo Linux contiene file di sistema con informazioni sensibili. Se non correttamente configurato, gli aggressori possono visualizzare le informazioni su tali file da remoto.
3. ↑ Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità