Rapporto sulle minacce G DATA: Qbot sostituisce Emotet. Gli attacchi informatici alle aziende stanno aumentando rapidamente. L'attuale rapporto sulle minacce di G DATA mostra che i criminali informatici hanno già trovato un successore di Emotet: Qbot.
Il malware è stato coinvolto in quasi ogni quarto attacco respinto. Le cifre mostrano che nel primo trimestre le aziende sono state particolarmente al centro dell'attenzione dei criminali informatici. Nel giro di un anno, il numero di attacchi respinti è aumentato di oltre il 60%.
aziende più a fuoco
G Data Tim Berghoff Evangelista della sicurezza (Immagine: GData)
L'attuale rapporto sulle minacce di G DATA CyberDefense mostra che le aziende sono maggiormente prese di mira dai criminali informatici. Mentre il numero di attacchi informatici contro utenti privati è cambiato solo leggermente - con un aumento dell'1,9% rispetto al primo trimestre del 2020 e al primo trimestre del 2021 - il numero di attacchi alle aziende è aumentato in modo significativo. Il numero di attacchi respinti tra gennaio e marzo di quest'anno è stato del 61,7% rispetto allo stesso periodo dell'anno scorso. Questo periodo ha visto anche i numerosi attacchi ai server Exchange, che hanno causato problemi a molte aziende e continueranno a farlo.
"Nel secondo anno della pandemia di coronavirus, le aziende devono ancora recuperare molto tempo quando si tratta di proteggere il proprio IT", afferma Tim Berghoff, Security Evangelist di G DATA CyberDefense. “I criminali informatici stanno facendo il gioco della continua situazione dell'home office e ne stanno approfittando. I responsabili IT devono finalmente agire e dire addio alle strutture domestiche temporanee e provvisorie e creare un'infrastruttura IT sicura".
Emotet è morto! – Lunga vita a Qbot!
Quando Emotet è stato disattivato da un'azione coordinata a livello internazionale alla fine di gennaio, è sorta subito una domanda: quale malware erediterà l'arma polivalente del crimine informatico? La risposta è: Qbot. I dati attuali mostrano che il 22% di tutti gli attacchi bloccati coinvolge Qbot. Il trojan bancario originale è stato gradualmente sviluppato ulteriormente dagli aggressori in modo modulare, ora ha elementi worm aggiuntivi ed è attivo come ladro di credenziali e caricatore. Attualmente, i criminali sfruttano le conversazioni di posta esistenti e aggiungono un nuovo messaggio contenente un collegamento a un sito Web compromesso con un archivio .zip. Questo .zip scarica Qbot e installa il malware sul computer. Organizzazioni sanitarie, agenzie governative, istituzioni finanziarie e società di vendita al dettaglio sono attualmente sulla lista degli attacchi di Qbot.
Gli attacchi stanno diventando sempre più professionali
Rapporto sulle minacce G DATA: Qbot sostituisce Emotet (immagine: GData).
Oltre al successore di Emotet, Qbot, attualmente è attivo un numero impressionante di trojan di accesso remoto (RAT). Più del 30% degli attacchi bloccati sono stati effettuati con AveMariaRAT o njRAT. I RAT consentono il controllo remoto e il controllo amministrativo di un altro computer senza che l'utente se ne accorga. Tra le altre cose, gli aggressori possono visualizzare il desktop della vittima, registrare i tasti premuti, accedere alla telecamera e copiare le informazioni di accesso memorizzate nei browser o caricare o scaricare file.
Le attuali campagne RAT in particolare mostrano che la tendenza è verso attacchi informatici sempre più professionali. I criminali stanno lavorando sempre più su una divisione del lavoro e stanno assemblando singoli componenti come Malware-as-a-Service per formare una catena di infezione modulare. Un'analisi dettagliata di una campagna in corso da parte del gruppo Aggah mostra che gli aggressori tentano di disabilitare i meccanismi di protezione e rilevamento sul computer infetto dopo che l'utente ha attivato una macro dannosa in un'e-mail di phishing. Lo script iniziale esamina quale soluzione di protezione degli endpoint è installata nel sistema, quindi seleziona lo script successivo per ingannare la soluzione di protezione. Inoltre, gli aggressori stanno anche modularizzando la loro infrastruttura archiviando e chiamando codice dannoso sulla piattaforma di condivisione di testo Pastebin.
Email di phishing come arma di attacco
"Soprattutto ora, le aziende devono prestare maggiore attenzione al fattore umano nella sicurezza IT. La situazione dell'home office e la pandemia stanno mettendo sotto stress i dipendenti e rendendoli più vulnerabili ai tentativi di attacco. A causa della simultaneità del lavoro e della vita privata, la concentrazione di molti dipendenti è inferiore, quindi cliccano più rapidamente su una posta falsa. Anche perché non c'è uno scambio diretto con i colleghi a cui si potrebbe chiedere consiglio», dice Tim Berghoff.
Altro su GData.de
Informazioni su G Data Con servizi di difesa informatica completi, l'inventore dell'antivirus consente alle aziende di difendersi dal crimine informatico. Più di 500 dipendenti garantiscono la sicurezza digitale di aziende e utenti. Made in Germany: con oltre 30 anni di esperienza nell'analisi del malware, G DATA conduce ricerca e sviluppo software esclusivamente in Germania. Le massime esigenze in materia di protezione dei dati hanno la massima priorità. Nel 2011, G DATA ha emesso una garanzia "no backdoor" con il sigillo di fiducia "IT Security Made in Germany" di TeleTrust eV. G DATA offre un portafoglio di antivirus e protezione degli endpoint, test di penetrazione e risposta agli incidenti per analisi forensi, controlli dello stato di sicurezza e formazione sulla consapevolezza informatica per difendere efficacemente le aziende. Nuove tecnologie come DeepRay proteggono dai malware con l'intelligenza artificiale. L'assistenza e il supporto fanno parte del campus G DATA di Bochum. Le soluzioni G DATA sono disponibili in 90 paesi e hanno ricevuto numerosi riconoscimenti.