
L’attuale indice delle minacce mostra che RansomHub rimane il gruppo ransomware più attivo. Allo stesso tempo, i ricercatori hanno identificato una campagna malware Remcos Windows che sfrutta un aggiornamento di sicurezza rilasciato di recente.
Il Global Threat Index di luglio 2024 mostra: nonostante un calo significativo a giugno, LockBit è tornato al secondo posto tra i gruppi di ransomware più pericolosi il mese scorso, mentre RansomHub rimane al primo posto. Nel frattempo, i ricercatori hanno identificato sia una campagna di distribuzione di malware Remcos a seguito di un problema di aggiornamento di CrowdStrike, sia una serie di nuove tattiche di FakeUpdate che sono tornate in cima alla lista dei principali malware a luglio.
Si è verificato un problema con CrowdStrike
Un problema nel CrowdStrike Falcon Sensor per Windows ha consentito ai criminali informatici di distribuire un file ZIP dannoso chiamato crowdstrike-hotfix.zip. Questo file conteneva HijackLoader, che successivamente ha attivato il malware Remcos, che a luglio era il settimo malware più ricercato al mondo. La campagna prendeva di mira le aziende che utilizzavano istruzioni in lingua spagnola e prevedevano la creazione di domini falsi per attacchi di phishing.
Principali malware in Germania
- OcchioNuvola (12,5%) – CloudEye è un downloader che prende di mira il sistema Windows e viene utilizzato per scaricare e installare programmi dannosi sui computer delle vittime.
- Androxgh0st (4,5%) – Androxgh0st è una botnet che prende di mira le piattaforme Windows, Mac e Linux. Per l'infiltrazione, Androxgh0st sfrutta diverse vulnerabilità di sicurezza, in particolare in PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come informazioni sull'account Twilio, credenziali SMTP, chiavi AWS e simili. Utilizza file Laravel per raccogliere le informazioni richieste. Esistono diverse varianti che cercano informazioni diverse.
- ModuloLibro (4,35%) è un infostealer che prende di mira il sistema operativo Windows ed è stato scoperto per la prima volta nel 2016. Viene commercializzato nei forum degli hacker come Malware as a Service (MaaS) a causa delle sue potenti tecniche di evasione e del prezzo relativamente basso. FormBook raccoglie credenziali da vari browser Web, nonché schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file su istruzione dal suo server C&C.
Gruppi di ransomware più attivi
I dati si basano sui risultati dei siti di vergogna del ransomware, gestiti da gruppi di ransomware a doppia estorsione e che pubblicano informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell'11% degli attacchi pubblicati, seguito da Lockbit3 con l'8% e Akira con il 6%.
- RansomHub – RansomHub è un’operazione ransomware-as-a-service (RaaS) emersa come versione rinominata del ransomware Knight precedentemente noto. RansomHub è apparso nei forum clandestini del crimine informatico all'inizio del 2024 e ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi come Windows, macOS, Linux e soprattutto ambienti VMware ESXi. Questo malware è noto per l'utilizzo di metodi di crittografia sofisticati.
- Lockbit3 – LockBit è un ransomware basato su RaaS segnalato per la prima volta a settembre 2019. LockBit prende di mira grandi aziende e agenzie governative in vari paesi, ma non privati in Russia e nella Comunità degli Stati Indipendenti.
- Akira – Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine „.akira“-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.