Dopo le incursioni nel mondo dell’e-commerce, il trojan malware bancario Ramnit torna a colpire
il settore finanziario in Europa.
Il 40% degli attacchi avviene in Italia, mentre ci si prepara alla dichiarazione dei redditi
Il trojan bancario Ramnit è tornato sul suo originario terreno di caccia, dopo le incursioni di successo nel mondo dell’e-commerce; questo è quanto merge dalla nuova ricerca promossa dagli F5 Labs e dal Security Operations Center (SOC) di F5, che ha preso in esame le configurazioni attive di questa minaccia bancaria nei mesi di febbraio e marzo 2019.
Tutti i segnali indicano come gli autori di Ramnit siano tornati a colpire i servizi finanziari online, in preparazione del periodo che coincide con la dichiarazione dei redditi, in particolare in Italia.
A dicembre 2018, il malware Ramnit era stato il protagonista delle festività natalizie amaricane, mostrando la sua capacità di spostare il focus dell’attacco dal mondo finance ai siti di e-commerce statunitensi1.
Nell’ultima analisi, invece, risulta che gli autori di Ramnit siano tornati a concentrarsi su siti dei servizi finanziari e i siti di tecnologia finanziaria, in particolare in Italia (40% di tutti gli attacchi), con una distanza significativa dagli altri Paesi europei: il 9% degli attacchi era rivolto al Regno Unito e l’8% a Francia2.
Complessivamente, il 70% di tutti gli obiettivi degli attacchi di Ramnit è stato localizzato in Europa, il 27% negli Stati Uniti e il 3% nel resto del mondo3.
È interessante notare che i siti di social networking hanno rappresentato solo una porzione minore degli obiettivi di questi attacchi, anche se nello stesso periodo le più importanti piattaforme di social networking del mondo, come Twitter, Facebook, Tumblr e YouTube subivano attacchi consistenti.
Approfondendo l’analisi, gli F5 Labs hanno scoperto che le configurazioni di Ramnit a marzo tendevano a riadattarsi in modo costante, comprendendo tattiche di scaling web injection4. Si tratta di una novità interessante che comporta la capacità di perseguire gli obiettivi senza alcun collegamento con una azienda o un sito web specifico4. Ricorrono, invece, numerose parole in francese, italiano o inglese aggiunte al mix6 nella speranza di catturare in modo casuale i siti web. Insieme a parole utilizzate come semplici obiettivi, ad esempio il termine “bonifico”, Ramnit includeva anche il nome di un’opera italiana, Il Trovatore, e alcuni nomi di dominio errati.
“Ramnit è un Trojan bancario persistente, emerso per la prima volta nel 2010 con forma meno sofisticata di un worm autoreplicante. Oggi, le sue tattiche e obiettivi si sono evoluti rendendolo in grado di colpire altri settori e fare potenzialmente molti più danni. Ha una grande capacità di adattarsi, come abbiamo notato nel recente passaggio al settore finanziario, e i suoi autori sono in grado di espandere in modo significativo la superficie di attacco””, spiega Roy Moshailov, head of security and malware research di F5 Networks.
“È fondamentale per le banche e le aziende del mondo finance implementino soluzioni per la protezione dalle frodi Web per garantire la sicurezza dei propri clienti e contribuire a ridurre l’onere di eventuali costi legati alle frodi, in particolare per le banche che vengono prese di mira in modo costante. Anche altri settori devono essere consapevoli delle tecniche sempre più intelligenti sfruttate da chi attacca, in modo da poter prendere precauzioni analoghe. La cosa più importante, infatti, è non mostrarsi mai compiacenti. Dato che i malware Trojan in genere vengono installati tramite phishing o pubblicità dannose, è quindi fondamentale che le organizzazioni offrano formazione ai proprio dipendenti e clienti in modo da renderli maggiormente consapevoli sulla sicurezza.”
###
F5 Networks
F5 (NASDAQ: FFIV) supporta le grandi aziende, i service provider, le aziende pubbliche e i brand consumer dando loro la possibilità di rilasciare qualsiasi applicazione dove vogliono, in totale sicurezza. F5 offre servizi applicativi per il cloud e la security che consentono alle organizzazioni di adottare l’infrastruttura applicativa che meglio risponde alle loro esigenze senza dover compromettere velocità e controllo. Per maggiori informazioni, visita il sito www.f5.com.
2 Configurazioni di Ramnit in Europa, marzo 2019
3 Obiettivi delle configurazioni Ramnit nel mondo, marzo 2019
4 Screengrab di un recente attacco di Ramnit che mostra una tecnica di web injection che manipola l’HTML
5 Siti target:
| Target Name | Target Domain | Country | Industry |
| http://* | |||
| Bing | https://www.bing.com/fd/ls/lsp.aspx | USA | Search Engine |
| WebPT | https://app.webpt.com/ping.php* | USA | Healthcare/Electronic Medical Records |
| New Relic Browser | https://*bam.nr-data.net* | USA | Web Services |
| Google, LLC | https://googleads.g.doubleclick.net/pagead/ads | USA | Online Advertising |
| Cure MD | https://cloud8.curemd.com* | USA | Healthcare/Electronic Medical Records |
| Microsoft | https://word-view.officeapps.live.com* | USA | Productvity |
| TrackJS | https://capture.trackjs.com* | USA | Web Services |
| AirBnB | https://www.airbnb.com* | USA | Travel |
| SoundCloud | https://*soundcloud.com* | USA | Music |
| Tyler Technologies | https://*tylertech.com* | USA | Computer Software |
| Microsoft | https://outlook.live.com/owa/service.svc* | USA | Email/Communications |
| Expedia | https://oms.expedia.com* | USA | Travel |
| Yahoo | https://mg.mail.yahoo.com* | USA | Email/Communications |
| Google, LLC | https://mail.google.com/mail/* | USA | Email/Communications |
| Clicktale | https://*clicktale.net* | USA | Digital Analytics |
| Yahoo | https://geo.query.yahoo.com* | USA | Maps |
| Yahoo | https://finance.yahoo.com* | USA | News |
| Go daddy | https://email12.godaddy.com* | USA | Email/Communications |
| tSheets | https://ilweb15.tsheets.com/ajax | USA | Productvity |
| Amazon | https://music-xray-service.amazon.com/ | USA | Music |
| SpotX | https://*spotxchange.com* | USA | Online Advertising |
| Dropbox | https://*dropbox.com* | USA | Web Services |
| Amazon | https://fls-na.amazon.com/1/bit-reporter/1/OE | USA | Web Services |
| Microsoft | https://t.urs.microsoft.com/urstelemetry.asmx* | USA | Web Services |
| Google, LLC | https://photos.google.com* | USA | Video/Image Hosting |
| Google, LLC | https://mail.google.com/cloudsearch* | USA | Email/Communications |
| Google, LLC | https://hangouts.google.com/webchat/* | USA | Email/Communications |
| https://*facebook* | USA | Social networking | |
| Youtube , LLC | https://*youtube* | USA | Video/Image Hosting |
| https://*twitter* | USA | Social networking | |
| https://*instagram* | USA | Social networking | |
| Flickr | https://*flickr.com* | USA | Video/Image Hosting |
| https://*linkedin.com* | USA | Social networking | |
| Conviva | https://*conviva.com* | USA | Digital Analytics |
| Google, LLC | https://www.google-analytics.com* | USA | Digital Analytics |
| Google, LLC | https://safebrowsing.google.com/* | USA | Web Services |
| Google, LLC | https://translate.google.com/* | USA | Email/Communications |
| Google, LLC | https://*clients1.google.com* | USA | Web Services |
| Google, LLC | https://*clients2.google.com* | USA | Web Services |
| Google, LLC | https://*clients4.google.com* | USA | Web Services |
| Google, LLC | https://*clients5.google.com* | USA | Web Services |
| Google, LLC | https://*clients6.google.com* | USA | Web Services |
| Google, LLC | https://ogs.google.com/u/0/_/notifications/count | USA | Web Services |
| Google, LLC | https://*googleapis.com* | USA | Web Services |
| Google, LLC | https://*talkgadget.google.com* | USA | Email/Communications |
| Google, LLC | https://0.client-channel.google.com* | USA | Web Services |
| Google, LLC | https://plus.google.com/u/* | USA | Social networking |
| Google, LLC | https://play.google.com/* | USA | Computer Software |
| Google, LLC | https://drive.google.com/* | USA | Productvity |
| Google, LLC | https://docs.google.com/* | USA | Productvity |
| Google, LLC | https://notifications.google.com/u* | USA | Productvity |
| Google, LLC | https://*client-channel.google.com* | USA | Web Services |
| Google, LLC | https://apis.google.com* | USA | Web Services |
| Google, LLC | https://calendar.google.com* | USA | Productvity |
| Etsy | https://*etsy.com* | USA | E-Commerce |
| Issu | https://*issuu.com* | USA | News |
| Amazon | https://music.amazon.com* | USA | Music |
| Yahoo | https://comet.yahoo.com/comet | USA | Online Advertising |
| Yahoo | https://pr.comet.yahoo.com/comet | USA | Online Advertising |
| Apple | https://p54-bookmarks.icloud.com* | USA | Web Storage |
| Grendel CRM | https://www.grendelonline.com* | USA | Financial Technology |
| Yelp | https://www.yelp.com* | USA | Travel |
| LiveVol | https://secure.livevol.com* | USA | Financial Technology |
| Google, LLC | https://www.google-analytics.com/collect | USA | Digital Analytics |
| Amazon | https://fls-na.amazon.com/1/batch/1/OE/ | USA | Web Services |
| Toys”R”Us | https://edq.toysrus.com/* | USA | E-Commerce |
| tSheets | https://azweb16.tsheets.com/ajax* | USA | Productvity |
| Google, LLC | https://beacons.gvt2.com/domainreliability/upload* | USA | Web Services |
| Pandora Radio | https://www.pandora.com* | USA | Music |
| Google, LLC | https://www.google.com* | USA | Search Engine |
| Microsoft | https://urs.microsoft.com/urs.asmx* | USA | Web Services |
| Yahoo | https://udc.yahoo.com/v2/public* | USA | Web Services |
| Full Story | https://r.fullstory.com/rec/* | USA | Digital Analytics |
| Mozilla | https://incoming.telemetry.mozilla.org* | USA | Web services |
| Microsoft | https://msub03.manage.microsoft.com/ AdminAPIWebService/adminapi.svc/silverlightXml | USA | Web Services |
| Full Slate | https://app.fullslate.com/admin/journal/commit?poll | USA | Productvity |
| Optimizely | https://logx.optimizely.com/log/event | USA | Digital Analytics |
| Expedia | https://www.expedia.com/api/datacapture/track | USA | Travel |
| https://s.acexedge.com* | |||
| Scanmarket | https://*scanmarket.com* | USA | Computer Software |
| Intuit Inc. | https://*intuit.com* | USA | Financial Technology |
| https://*crdui.com* | |||
| Yahoo | https://www.yahoo.com* | USA | News |
56 Parole e targe NON-dominio
| !*-sys.com* | !*ocsp.* | *control* |
| !*ads.* | !*office* | *corp* |
| !*analytic* | !*outlook* | *Customer* |
| !*api.* | !*stream* | *Dashboard* |
| !*bam.nr-data.net* | !*track* | *identity* |
| !*chat* | !*trouter.io* | *importo* |
| !*cloud* | !*update* | *login* |
| !*download* | !*upload* | *Main* |
| !*events* | !*video* | *manager* |
| !*game* | !http://* | *panel* |
| !*gigaup13b.allegati.tim.it* | *access* | *payment* |
| !*gstatic.* | *account* | *register* |
| !*hub* | *admin* | *secure* |
| !*iltrovatore.it* | *Authenticate* | *sepa* |
| !*iolam.it* | *authentipec* | *sign* |
| !*lampoilbro* | *bank* | *trade* |
| !*messenger* | *basic* | *virement* |
| !*metric* | *bonifico* |
56 Parole e targe NON-dominio
| !*-sys.com* | !*ocsp.* | *control* |
| !*ads.* | !*office* | *corp* |
| !*analytic* | !*outlook* | *Customer* |
| !*api.* | !*stream* | *Dashboard* |
| !*bam.nr-data.net* | !*track* | *identity* |
| !*chat* | !*trouter.io* | *importo* |
| !*cloud* | !*update* | *login* |
| !*download* | !*upload* | *Main* |
| !*events* | !*video* | *manager* |
| !*game* | !http://* | *panel* |
| !*gigaup13b.allegati.tim.it* | *access* | *payment* |
| !*gstatic.* | *account* | *register* |
| !*hub* | *admin* | *secure* |
| !*iltrovatore.it* | *Authenticate* | *sepa* |
| !*iolam.it* | *authentipec* | *sign* |
| !*lampoilbro* | *bank* | *trade* |
| !*messenger* | *basic* | *virement* |
| !*metric* | *bonifico* |
