Emotet è stato inattivo per la maggior parte di giugno, ma potrebbe tornare con nuove funzionalità. Mentre l’Italia subisce comunque attacchi da Emotet, e “guadagna” 19 posti nella classifica dei Paesi più colpiti
Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di giugno 2019. Senza alcuna segnalazione di nuove campagne, il team di ricerca conferma che Emotet (la più grande botnet attualmente in funzione) è stato disattivata nel mese di giugno. Emotet è stato uno dei 5 principali malware a livello globale durante i primi sei mesi del 2019, ed è stato distribuito attraverso massicce campagne di spam.
I ricercatori di Check Point ritengono che l’infrastruttura di Emotet potrebbe essere offline per operazioni di manutenzione e aggiornamento, e che non appena i suoi server saranno di nuovo operativi, Emotet sarà riattivata con nuove e migliori capacità. Non è esattamente così per l’Italia che dal 102° posto tra i Paesi più colpiti, schizza all’83°, ma soprattutto viene colpita da Emotet, secondo malware più diffuso. Mentre, al primo posto si conferma XMRig, mining software open-source di CPU utilizzato per il mining della valuta criptata Monero; e al terzo posto Jsecoin, il miner JavaScript che può essere inserito all’interno dei siti.
“Emotet è diffuso dal 2014 come trojan bancario. Dal 2018, tuttavia, abbiamo visto che è stato utilizzato come botnet nelle principali campagne di malspam e utilizzato per distribuire altri malware. Anche se la sua infrastruttura è rimasta inattiva per gran parte di giugno, era ancora al 5° posto nel report globale, il che dimostra quanto venga utilizzato, ed è probabile che riemergerà con nuove funzionalità”, ha dichiarato Maya Horowitz, Director Threat Intelligence & Research di Check Point. “Una volta che Emotet viene installato sul dispositivo della vittima, può usarlo per diffondersi attraverso ulteriori campagne di spam, scaricare altri malware (come Trickbot, che a sua volta infetta l’intera rete di hosting con il famigerato Ryuk Ransomware), e diffondersi ad altre risorse della rete.”
I tre malware più diffusi a giugno 2019 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
I tre più importanti cryptominer guidano ancora la classifica: questo mese XMRig è stato il malware più impattante, che ha colpito il 4% delle organizzazioni in tutto il mondo, seguito da vicino da Jsecoin e Cryptoloot, entrambi con un impatto del 3% sulle organizzazioni a livello globale.
-
↑ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
-
↑ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
-
↓ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
I tre malware per dispositivi mobili più diffusi a giugno 2019:
Lotoor continua ad essere in testa alla lista dei principali malware mobile, seguito da Triada e Ztorg – un nuovo malware tra i top.
-
Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
-
Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
-
Ztorg – i trojan della famiglia Ztorg ottengono privilegi crescenti sui dispositivi Android e si installano nella directory di sistema. Il malware è in grado di installare qualsiasi altra applicazione sul dispositivo.
Le tre vulnerabilità più diffuse nel mese di giugno sono state:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Nel mese di giugno vediamo le tecniche di SQL Injections continuare ad essere al primo posto nella lista delle vulnerabilità degli exploit con un impatto globale del 52%. OpenSSL TLS DTLS Heartbeat Information Disclosure si è classificato al secondo posto con un impatto del 43% delle organizzazioni a livello globale, seguito da vicino da CVE-2015-8562 con un impatto del 41%.
-
↑ SQL Injection (several techniques) – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
-
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
-
↑ Joomla Object Injection Remote Command Execution (CVE-2015-8562) – Nelle piattaforme Joomla è stata segnalata una vulnerabilità nell’esecuzione di comandi remoti. La vulnerabilità è dovuta alla mancanza di convalida sugli oggetti di input che può portare all’esecuzione del codice remoto. Un aggressore potrebbe sfruttare questa vulnerabilità inviando una richiesta dannosa alla vittima. Lo sfruttamento di questa vulnerabilità può portare all’esecuzione di codice arbitrario nel contesto dell’utente target.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
* La lista completa delle 10 famiglie di malware più attive nel mese di aprile è disponibile sul blog di Check Point: https://blog.checkpoint.com/2019/07/09/june-2019s-most-wanted-malware-emotet-crypto-malware-mining-xmrig/
Le risorse per la Threat Prevention di Check Point sono disponibili al seguente link: http://www.checkpoint.com/threat-prevention-resources/index.html
Segui Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Check Point Research
Check Point Research è in grado di fornire le principali informazioni sulle minacce informatiche ai clienti di Check Point Software e alla più ampia community di intelligence. Il team di ricerca raccoglie e analizza tutti i dati mondiali relativi agli attacchi rilevati da ThreatCloud per tenere a bada gli hacker e garantire che tutti i prodotti Check Point siano aggiornati con le protezioni più recenti. Il team di ricerca è composto da oltre 100 analisti e ricercatori che collaborano con altri vendor di sicurezza, forze dell’ordine e numerosi CERT.
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) è il più grande fornitore mondiale specializzato nel campo della sicurezza informatica per i governi e le aziende. Le sue soluzioni leader di mercato, dotate del più elevato tasso di rilevamento di malware, di ransomware e di altri tipi di attacchi informatici, proteggono i clienti dagli attacchi di quinta generazione. Check Point fornisce un’architettura multilivello di sicurezza, “Infinity” Total Protection dotata di prevenzione contro le minacce Gen V, che protegge le informazioni contenute nei cloud, nei network e nei dispositivi mobili delle aziende, oltre a offrire un unico sistema di gestione della sicurezza più completo e intuitivo possibile. Check Point difende più di 100.000 organizzazioni di tutte le dimensioni.
