In Italia, anche nel mese di ottobre si confermano le prime due posizioni nella classifica delle minacce più presenti: FakeUpdate al primo posto e Androxgh0st al secondo. Al terzo posto si registra un cambiamento: Skimmer prende il posto di Lumma Stealer che scende oltre il decimo posto.
Lo rivela il Global Threat Index per il mese di novembre 2024, sottolineando la crescente sofisticazione delle tattiche dei criminali informatici. Il rapporto evidenzia la rapida ascesa di Androxgh0st, ora integrato con la botnet Mozi, che continua a colpire le infrastrutture critiche in tutto il mondo.
Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto dell’7,7%, (-0,66% rispetto a ottobre e +2,58% rispetto all’impatto globale). La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 7,4% (+0,7% rispetto al dato di settembre e +2,22% rispetto all’impatto globale)
Al terzo posto si posiziona Skimmer, un codice JavaScript dannoso iniettato nelle pagine di pagamento online, spesso tramite script di terze parti compromessi, per rubare le informazioni dei clienti durante le transazioni, con un impatto del 3,61% (+0,73% rispetto all’impatto globale.
Le infrastrutture critiche, che comprendono infrastrutture energetiche, sistemi di trasporto e le reti sanitarie, rimangono un obiettivo primario per i criminali informatici a causa della loro vulnerabilità e del loro ruolo indispensabile nella vita quotidiana. L’interruzione di questi sistemi può generare caos in maniera diffusa, a perdite finanziarie e persino a minacciare la sicurezza pubblica.
I ricercatori hanno scoperto che Androxgh0st, ora in cima alla classifica delle minacce informatiche, sfrutta le vulnerabilità su più piattaforme, compresi i dispositivi IoT e i server web, componenti chiave delle infrastrutture critiche. Adottando le tattiche di Mozi, prende di mira i sistemi, utilizzando metodi di esecuzione di codice remoto e di furto di credenziali per mantenere un accesso persistente che consente attività dannose come per esempio attacchi DDoS e il furto di dati. La botnet si infiltra nelle infrastrutture critiche attraverso vulnerabilità non senza patch e l’integrazione delle capacità di Mozi ha ampliato significativamente la portata di Androxgh0st, consentendogli di infettare un maggior numero di dispositivi IoT e di controllare una gamma più ampia di obiettivi. Questi attacchi creano effetti a cascata in tutti i settori, evidenziando l’elevata posta in gioco per i governi, le aziende e i singoli che dipendono da queste infrastrutture.
Tra le principali minacce malware per dispositivi mobili, Joker rimane la più diffusa, seguita da Anubis e Necro. Joker continua a rubare messaggi SMS, contatti e informazioni sul dispositivo, abbonando silenziosamente le vittime a servizi premium. Nel frattempo, Anubis, un trojan bancario, ha acquisito nuove funzionalità, tra cui l’accesso remoto, il keylogging e la funzionalità ransomware.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
Androxgh0st è il malware più diffuso nel mese di novembre 2024 con un impatto del 5% sulle organizzazioni di tutto il mondo, seguito da FakeUpdates con un impatto del 5% e AgentTesla con il 3%.
1. ↑ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
2. ↓ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
3. ↔ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
4. ↑ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
5. ↑ Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.
Le vulnerabilità maggiormente sfruttate
1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086 – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
2. ↑ Divulgazione di informazioni su Git Repository – È stata segnalata una vulnerabilità di divulgazione di informazioni in Git Repository. Il corretto sfruttamento di questa vulnerabilità potrebbe consentire la divulgazione involontaria di informazioni sull’account.
3. ↑ ZMap Security Scanner (CVE-2024-3378) – ZMap è un prodotto per la scansione delle vulnerabilità. Gli aggressori remoti possono utilizzare ZMap per rilevare le vulnerabilità su un server di destinazione.
Principali malware per dispositivi mobili
A novembre, Joker è risultato essere al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Anubise Necro.
1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
2. ↑ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
3. ↓ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
I settori più attaccati a livello globale
Il mese scorso il settore dell’istruzione/ricerca è rimasto al primo posto nella classifica dei comparti più attaccati a livello globale, seguita dal settore delle comunicazioni e governo/militare.
1. Istruzione/Ricerca
2. Comunicazioni
3. Governo/Militare
I gruppi di ransomware maggiormente rilevati
I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è stato il gruppo ransomware più diffuso nel mese di novembre, responsabile del 16% degli attacchi pubblicati, seguito da Akira con il 6% e Killsec3 con il 6%.
1. RansomHub – RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
2. Akira – Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows che Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2 trapelato. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “. akira” ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.
3. KillSec3 – KillSec è un gruppo di minacce informatiche di lingua russa emerso nell’ottobre 2023. Il gruppo, che gestisce una piattaforma Ransomware-as-a-Service (RaaS), offre anche una serie di altri servizi criminali informatici offensivi, tra cui attacchi DDoS e i cosiddetti “servizi di penetration testing”. Un esame dell’elenco delle vittime rivela un numero sproporzionatamente alto di obiettivi in India e una percentuale insolitamente bassa di vittime statunitensi rispetto a gruppi simili. I loro obiettivi principali includono i settori sanitario e governativo.
English (US)