Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni per la sicurezza informatica a livello globale, ha pubblicato il suo ultimo Global Threat Index di febbraio 2022. Emotet rimane il malware più diffuso, con un impatto sul 5% delle organizzazioni in tutto il mondo, mentre Trickbot è scivolato ancora più in basso, al sesto posto.
Trickbot è una botnet e un banking trojan che può rubare informazioni finanziarie, personali e credenziali di account, oltre a diffondersi lateralmente all’interno di una rete e distribuire poi del ransomware. Nel 2021, si è classificato primo nella top10 dei malware più diffusi, per sette volte. Durante le ultime settimane, tuttavia, Check Point Research, non ha notato nuove campagne Trickbot e il malware è ora al sesto posto. Questo potrebbe essere dovuto in parte ad alcuni membri di Trickbot che si sono uniti al gruppo ransomware Conti, dopo il data leak avvenuto nei giorni scorsi.
Questo mese, CPR ha visto i criminali informatici approfittare del conflitto Russia-Ucraina per invogliare le persone a scaricare allegati dannosi. Ed Emotet, il malware più diffuso di febbraio, ha fatto proprio questo, attraverso e-mail contenenti file dannosi e un oggetto tipo dal nome “Recall: Ukraine -Russia Military conflict: Welfare of our Ukrainian Crew member”.
“Attualmente stiamo vedendo un certo numero di malware, tra cui Emotet, approfittare dell’interesse pubblico attorno al conflitto Russia-Ucraina creando campagne e-mail specifiche, attirando le persone a scaricare allegati dannosi. È importante controllare sempre che l’indirizzo e-mail del mittente sia autentico, fare attenzione a qualsiasi errore di ortografia e non aprire gli allegati o cliccare sui link a meno che non si sia certi che l’e-mail sia sicura” ha dichiarato Maya Horowitz, VP Research di Check Point Software.
I tre malware più diffusi di febbraio sono stati:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, Emotet è ancora il malware più diffuso con un impatto sul 5% delle organizzazioni a livello globale, seguito da Formbook con un impatto del 3% e Glupteba con il 2%.
1. ↔ Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
2. ↑ Formbook – un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
3. ↑ Glupteba – una backdoor maturata gradualmente in una botnet. Fino al 2019 includeva un meccanismo di update degli indirizzi C&C attraverso liste pubbliche di BitCoin, una capacità da browser stealer e un router exploiter.
I settori più attaccati a livello globale per il mese di gennaio:
1. Istruzione/Ricerca
2. Governo/Militare
3. ISP/MSP
Le tre vulnerabilità più sfruttate del mese di febbraio:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto sul 46% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution”, ora al secondo posto, con il 44%. “HTTP Headers Remote Code Execution” è la terza vulnerabilità con un impatto globale del 41%.
1. ↑ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
I tre malware mobile più diffusi di febbraio:
Questo mese XLoader conquista il primo posto tra i malware mobile più diffusi, seguito da xHelper e AlienBot.
1. XLoader – uno spyware Android e banking trojan sviluppato dalla Yanbian Gang, un gruppo di hacker cinesi. Utilizza lo spoofing DNS per distribuire app Android infette e raccogliere informazioni personali e finanziarie.
2. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
3. AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
