Check Point Research (CPR), la divisione di Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index per il mese di luglio. Emotet continua a essere il malware più diffuso e utilizzato dai cyber-criminali, nonostante una riduzione del suo impatto pari al 50% a livello globale rispetto al mese precedente. Anche in Italia, Emotet si riconferma al numero uno registrando un impatto di quasi il 13%.
Dopo aver raggiunto il picco a livello mondiale in termini di impatto lo scorso mese, Emotet sta tornando ai suoi numeri abituali e continua a essere il malware più diffuso. Probabilmente la fase di picco è terminata a causa delle vacanze estive, come già accaduto in passato. Nonostante questo, Emotet aggiunge nuove funzionalità e aggiorna le proprie capacità, per esempio lo sviluppo di un modulo capace di rubare i dati delle carte di credito, e alcuni miglioramenti apportati al suo sistema di diffusione.
Luglio ha anche visto Snake Keylogger, un malware che ruba le credenziali, scendere dal terzo all’ottavo posto. In giugno, Snake Keylogger si era diffuso attraverso documenti Word maligni, quindi la sua minor diffusione potrebbe essere dovuta in parte alla recente conferma di Microsoft che bloccherà di default le macro. Al terzo posto, sia a livello mondiale sia a livello italiano, si è piazzato invece XMRig, un software CPU open-source utilizzato per estrarre criptovaluta – il che indica che i cyber-criminali cercano innanzi tutto i soldi, al di là di qualsiasi altra dichiarazione che possano fare in merito a motivazioni più alte come l’attivismo. Malibot, che ha fatto la sua comparsa per la prima volta nel report dello scorso mese, resta una minaccia per gli utenti di app di mobile banking perché continua a essere il terzo malware mobile più diffuso nel mondo.
“Emotet continua a dominare le nostre classifiche mensili,” ha dichiarato Maya Horowitz, VP Research presso Check Point Software. “Questo botnet si evolve continuamente per mantenere costante la sua persistenza e la sua capacità di evasione. I suoi ultimi sviluppi gli permettono di rubare le credenziali delle carte di credito, il che significa che aziende e utenti individuali devono prestare grande attenzione quando fanno acquisti online e inoltre, con Microsoft che conferma di voler bloccare le macro di default, attendiamo di vedere in che modo malware come Snake Keylogger riusciranno a cambiare le loro tattiche.”
CPR ha anche rivelato che questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, che colpisce il 42% delle aziende in tutto il mondo, seguita da vicino
da “Apache Log4j Remote Code Execution,” con un impatto del 41%. “Web Servers Malicious URL Directory Traversal” è rimasta al terzo posto, con un impatto a livello globale del 39%.
Le tre vulnerabilità più sfruttate del mese di luglio nel mondo e in Italia:
* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente.
Emotet continua a essere il malware più diffuso con un impatto del 7% sulle organizzazioni a livello globale. Questo è seguito da Formbook che ha un impatto del 3% e poi da XMRig, con un impatto del 2%
1. ↔ Emotet – Emotet è un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
2. ↔ Formbook – Formbook è un infostealer che colpisce il Sistema Operativo Windows ed è stato identificato per la prima volta nel 2016. Viene immesso sul mercato come Malware-as-a-Service (MaaS) nei forum di hacker underground per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C
3. ↑ XMRig – XMRig è un software CPU open-source utilizzato per estrarre criptovaluta Monero. I cyber criminali spesso abusano di questi software open-source integrandoli nei loro malware per effettuare azioni illecite di mining sui dispositivi delle vittime.
Emotet è, come anticipato, al primo posto anche in Italia con un impatto di quasi il 13%, seguito da Blindingscan e da XMRig. Mentre Blindingscan ha colpito oltre il 6% delle organizzazioni nel nostro Paese, XMRig ha registrato un impatto di quasi il 3%. Da segnalare che Blindingscan, trojan ad accesso remoto (RAT), pericoloso per le sue funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima, si era già fatto conoscere nel nostro Paese lo scorso novembre registrando in quel periodo un impatto del 10% sulle organizzazioni locali.
La lista complete delle 10 famiglie di malware di luglio si può trovare sul blog di Check Point
I settori più colpiti nel mese di luglio nel mondo e in Italia:
Quello dell’istruzione/ricerca è ancora il mercato più preso di mira a livello mondiale, seguito dal settore Governo / Militare e dagli Internet Service Providers/Managed Service Providers (ISP/MSP).
1. Istruzione / Ricerca
2. Governo/Militare
3. ISP/MSP
In Italia, invece, la classifica vede al primo posto il settore dell’istruzione/ricerca, seguito dal mercato dei fornitori di software e dal settore Governo / Militare.
1. Istruzione / Ricerca
2. Vendor Software
3. Governo / Militare
Le tre vulnerabilità più sfruttate del mese di luglio a livello mondiale:
“Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata , con un impatto del 42% sulle aziende a livello globale . È seguita da vicino da “Apache Log4j Remote Code Execution” che dal primo posto scivola al secondo con un impatto leggermente più basso e pari al 41%. “Web Servers Malicious URL Directory Traversal” rimane invece al terzo posto con un impatto a livello globale pari 39%.
1. ↑ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
3. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Esiste una vulnerabilità trasversale delle directory su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory trasversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
I malware mobili più diffusi di luglio a livello mondiale:
AlienBot è il malware mobile più diffuso, seguito da Anubis e MaliBot.
1. AlienBot – La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
2. Anubis – Anubis è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store
3. MaliBot – Malibot è un banking malware infostealer per Android individuato soprattutto in Spagna e in Italia. Il banking si camuffa da app di cryptomining con nomi diversi e mira al furto di informazioni finanziarie, portafogli di criptovalute e altri dati personali.
l Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
