FakeUpdates si conferma anche a giugno come il malware più presente in Italia e nel mondo, mentre RansomHub conquista il primo posto come gruppo ransomware, approfittando del declino di LockBit3.

In Italia, dopo due mesi di assenza, torna sul podio Formbook, che scalza Blindingcan dal terzo posto. FakeUpdates si conferma al primo posto e Androxgh0st continua ad essere la seconda minaccia del nostro Paese. A livello globale, i ricercatori hanno rilevato un cambiamento nel panorama dei Ransomware-as-a-Service (RaaS): RansomHub ha infatti superato LockBit3 quale minaccia ransomware più diffusa. I ricercatori hanno identificato una campagna di backdoor BadSpace per Windows diffusa tramite falsi aggiornamenti del browser.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered, ha pubblicato il suo Indice delle minacce globali per il mese di giugno 2024. Il mese scorso, i ricercatori hanno notato un cambiamento nel panorama dei Ransomware-as-a-Service (RaaS), con il nuovo arrivato RansomHub che ha superato LockBit3, diventando il gruppo di ransomware più diffuso tra quelli provenienti dai “siti della vergogna”. Nel frattempo, è stata identificata una backdoor per Windows denominata BadSpace, che coinvolge siti web WordPress infetti e falsi aggiornamenti del browser.

In Italia, a giugno si registra un podio dei malware più presenti leggermente differente rispetto al mese precedente: Al terzo posto Formbook scalza Blindingcan, che esce dalle prime dieci posizioni. Nello specifico, la minaccia più importante rimane ancora FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 7,67%, facendo registrare una leggera riduzione (-0,81% rispetto a maggio), ma comunque superiore di 0,64% rispetto all’impatto globale. La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto in crescita del 7,21% (+0,26% rispetto al dato di maggio) e anch’esso superiore all’impatto globale (+1,69%) che è in questo caso del 5,52%. Al terzo posto si registra il ritorno sul podio dopo due mesi di assenza di Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service) che in Italia ha avuto un impatto del 2,56%, valore leggermente superiore (+0,58%) a quello rilevato a livello mondiale (1,98%).

Nel mese di giugno, RansomHub è diventato il gruppo RaaS più diffuso dopo che l’azione delle forze dell’ordine contro LockBit3 a febbraio gli ha fatto perdere la fedeltà dei suoi affiliati. Di conseguenza, LockBit3 ha registrato un minimo storico di sole 27 vittime in aprile, seguito da un numero elevato e inspiegabile di oltre 170 in maggio e di meno di 20 in giugno, segnalando il suo potenziale declino.

Molti affiliati di LockBit3 utilizzano ora la crittografia di altri gruppi RaaS, con conseguente aumento delle segnalazioni di vittime da parte di altri attori delle minacce. RansomHub, che è emerso per la prima volta nel febbraio 2024 e che, a quanto pare, è una sorta di reincarnazione del ransomware Knight, ha registrato un aumento significativo a giugno, con quasi 80 nuove vittime. In particolare, solo il 25% di queste proviene dagli Stati Uniti, mentre un numero significativo proviene da Italia, Brasile, Spagna e Regno Unito.

I ricercatori hanno anche evidenziato una recente campagna di FakeUpdates (nota anche come SocGholish), che si è posizionato come il malware più diffuso, e che ora offre una nuova backdoor chiamata BadSpace. La proliferazione di FakeUpdates è stata facilitata da una rete di affiliazione di terze parti, che reindirizza il traffico dai siti web compromessi alle pagine di destinazione di FakeUpdates. Queste pagine invitano gli utenti a scaricare quello che sembra essere un aggiornamento del browser. Questo download contiene però un caricatore basato su JScript che successivamente scarica ed esegue la backdoor BadSpace. BadSpace impiega sofisticate tecniche di offuscamento e anti-sandbox per evitare di essere rilevato e mantiene la persistenza attraverso attività pianificate. Le sue comunicazioni di comando e controllo sono criptate, rendendo difficile l’intercettazione.

"Sembra che le azioni contro LockBit3 abbiano avuto l’impatto desiderato. Tuttavia, come suggerito in precedenza, il suo declino lascia spazio ad altri gruppi per prendere il controllo e continuare le loro campagne ransomware contro le organizzazioni a livello globale", ha dichiarato Maya Horowitz, VP of Research at Check Point Software.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è stato il malware più diffuso questo mese con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto del 6% e AgentTesla con il 3%.

• ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

• ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.

• ↑ AgentTesla - AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).

Le vulnerabilità maggiormente sfruttate

• ↑ Check Point VPN Information Disclosure (CVE-2024-24919) - È stata scoperta una vulnerabilità di divulgazione delle informazioni in Check Point VPN. La vulnerabilità consente potenzialmente a un utente malintenzionato di leggere determinate informazioni sui gateway connessi a Internet con accesso remoto VPN o accesso mobile abilitato.

• ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell'input in un server web che non sanifica correttamente l'URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.

• ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Le intestazioni HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un'intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.

Principali malware per dispositivi mobili

Il mese scorso Joker era al primo posto come malware mobile più diffuso, seguito da Anubis e AhMyth.

• ↑ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.

• ↓ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

• ↓ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Il mese scorso, il settore dell'Istruzione/Ricerca è rimasto al primo posto nella classifica dei settori più attaccati a livello globale, seguito da Governo/Militare e Salute.

1. Istruzione/Ricerca
2. Governo/Militare
3. Salute

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da "siti della vergogna" gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è stato il gruppo di ransomware più diffuso il mese scorso, responsabile del 21% degli attacchi pubblicati, seguito da Play con l'8% e Akira con il 5%.

• RansomHub è un'operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all'inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l'impiego di sofisticati metodi di crittografia.

• Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all'interno, utilizza tecniche come l'uso di binari “living-off-the-land” (LOLBins) per attività quali l'esfiltrazione di dati e il furto di credenziali.

• Akira - Il ransomware Akira, segnalato per la prima volta all'inizio del 2023, colpisce sia i sistemi Windows che Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2 trapelato. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell'infezione, cripta i dati e aggiunge un'estensione ".akira" ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.