L'idea di qualsiasi malware rivolto alle aziende andrebbe oltre lo scopo. Qui, Varonis Threat Labs presenta 9 importanti varianti di malware che negli ultimi anni sono state particolarmente mirate alle informazioni nelle aziende: per lo più trojan di accesso remoto (RAT), ladri di informazioni o trojan bancari.
Oltre a una chiara tendenza verso ransomware altamente individualizzati, nell'ultimo anno i Varonis Threat Labs hanno notato anche una crescente diffusione del cosiddetto "malware di base". Questo termine si riferisce al malware che è disponibile per l'acquisto o il download gratuito su larga scala, non è personalizzato per le singole vittime e viene utilizzato da una varietà di aggressori diversi. Secondo le osservazioni dei ricercatori di sicurezza, tra l'enorme numero di varianti di malware disponibili, le seguenti nove in particolare giocano un ruolo di primo piano.
njRAT – Trojan di accesso remoto (RAT)
Osservato per la prima volta tra la fine del 2012 e l'inizio del 2013, njRAT è un diffuso trojan ad accesso remoto (RAT) originariamente sviluppato dalla banda criminale informatica Sparclyheason. Il codice sorgente di questo RAT era già stato pubblicato nel maggio 2013. Di conseguenza, viene utilizzato principalmente da criminali informatici meno esperti. Numerose guide e tutorial su come usarlo sono stati pubblicati su forum clandestini e YouTube. njRAT è ancora molto diffuso e viene distribuito principalmente tramite campagne di spam. Si trova anche nelle versioni "trojanizzate" di applicazioni legittime scaricate da fonti sospette e siti Web di condivisione di file.
Simile ad altri popolari programmi RAT, njRAT offre funzionalità di controllo e monitoraggio remoto, nonché la possibilità di trasferire ed eseguire file, manipolare il registro e accedere a una shell remota. Inoltre, il RAT può registrare audio e video in remoto tramite microfoni e webcam collegati, nonché utilizzare funzioni di keylogging e furto di password.
Modulo (XLoader)
Formbook è stato osservato per la prima volta all'inizio del 2016 e ribattezzato XLoader nel 2020. Formbook è disponibile come malware-as-a-service nei forum sotterranei ed è comunemente utilizzato da aggressori meno esperti per rubare credenziali o altri dati dalle vittime.
La diffusione di Formbook ha continuato ad aumentare nel 2021, probabilmente grazie alla sua disponibilità, al basso costo e alla facilità d'uso. In origine, Formbook era rivolto solo a Windows. Tuttavia, dall'introduzione di XLoader, è stato supportato anche Apple macOS. Oltre alle sue capacità di furto di credenziali, Formbook include anche alcune funzionalità simili a RAT, come la capacità di trasferire ed eseguire payload e forzare un riavvio o l'arresto del sistema. A questo proposito, Formbook è adatto anche come punto di ingresso per diffondere payload dannosi e anche per raggiungere altri obiettivi oltre al furto di dati.
NanoCore - Trojan ad accesso remoto (RAT)
NanoCore è stato scoperto per la prima volta nel 2013 e poteva essere acquistato per circa $ 25. Le versioni "crackate" sono ora diffuse anche nell'underground del crimine informatico. Il malware offre le tipiche funzioni RAT che possono essere integrate da un'architettura modulare. I plugin possono essere utilizzati per espandere significativamente la funzionalità. Grazie alla disponibilità di versioni crackate e trapelate, NanoCore è ancora ampiamente utilizzato oggi. La distribuzione di solito avviene tramite mail di phishing e copie piratate infette.
Lokibot - Ladro di informazioni
Lokibot (noto anche come Loki e LokiPWS) è un ladro di informazioni che è apparso per la prima volta a metà del 2015 ed è stato inizialmente venduto sui forum di criminalità informatica per un massimo di $ 400 prima che il suo codice sorgente fosse trapelato. Supporta moduli aggiuntivi come un keylogger e funzionalità di furto del portafoglio di criptovaluta. Più di recente, è stato spesso osservato in relazione alle campagne di phishing COVID-19.
Remcos - Trojan ad accesso remoto (RAT)
Remcos è commercializzato come uno strumento di accesso remoto commerciale "legittimo" e viene regolarmente aggiornato dai suoi sviluppatori. Remcos è uno dei trojan di accesso remoto più diffusi e, come strumenti simili, si rivolge principalmente agli aggressori inesperti che possono scoprire di più sul malware da numerosi tutorial di YouTube. Tuttavia, molti aggressori professionisti utilizzano Remcos anche per evitare di dover sviluppare i propri strumenti e per potersi concentrare sulle altre fasi del loro attacco.
Oltre alle funzionalità RAT standard, Remcos offre una funzionalità di "Scripting remoto" che consente l'esecuzione simultanea del codice su più host. Inoltre, gli utenti Remcos possono acquistare servizi aggiuntivi dagli sviluppatori, ad es. B. un mass mailer per l'invio di e-mail di phishing e un servizio DNS dinamico. Ciò fornisce un singolo nome host che facilita l'accesso all'host di comando e controllo (C2) e consente agli aggressori di aggiornare il proprio indirizzo IP senza dover aggiornare il binario Remcos.
AZORult - Ladro di informazioni
Scoperto per la prima volta all'inizio del 2016, AZORult è un ladro di informazioni che viene spesso distribuito tramite campagne malspam che affrontano questioni di attualità o si mascherano da comunicazioni aziendali legittime. Distribuisce principalmente documenti di Microsoft Office con macro dannose. Quando le vittime abilitano le macro, l'infrastruttura di comando e controllo degli aggressori scarica il payload dannoso. Quindi avvia AZORult per rubare dati sensibili tra cui credenziali di accesso, dettagli della carta di pagamento, dati di navigazione e portafogli di criptovaluta prima di inviarli al C2 e disabilitarsi.
AZORult si verifica spesso insieme ad altri attacchi, la maggior parte dei quali ha altri obiettivi. Oltre a mascherarsi da comunicazioni commerciali, la proliferazione avviene spesso tramite "crack" infetti o altri contenuti discutibili, spesso associati alla violazione del copyright.
Netwire - Trojan di accesso remoto (RAT)
Netwire è stato identificato per la prima volta nel 2012 ed è molto diffuso. Il Remote Access Trojan (RAT) viene spesso distribuito tramite campagne di phishing che si presentano come conferme d'ordine o notifiche di tracciamento. Oltre alle funzioni RAT standard, Netwire dispone dal 2016 di una funzione per la lettura delle carte di pagamento. Questo si rivolge specificamente ai dispositivi di pagamento nei negozi.
Netwire utilizza una crittografia speciale per il suo traffico di comando e controllo per eludere il rilevamento e complicare le indagini. I dati rubati vengono crittografati prima della trasmissione.
Danabot - Trojan bancario
Danabot è un trojan bancario modulare originariamente utilizzato da un singolo gruppo e ora venduto ad altri criminali informatici come Malware-as-a-Service (MaaS). Inizialmente, Danabot si concentrava sul furto di credenziali, account di criptovaluta e credenziali bancarie tramite web-inject. Tuttavia, l'architettura modulare consente di personalizzare facilmente il malware e di utilizzarlo in vari modi. Ad esempio, sono disponibili funzioni di crittografia RAT e ransomware.
Nell'ottobre 2021, un pacchetto NPM per la popolare libreria JavaScript UAParser.js è stato compromesso e modificato per scaricare ed eseguire Danabot insieme a un crypto miner. Il pacchetto legittimo viene scaricato tra XNUMX e XNUMX milioni di volte a settimana, a dimostrazione dell'enorme impatto di un attacco alla catena di approvvigionamento.
Emotet: malware, spia, downloader, ransomware
Emotet è probabilmente uno dei programmi dannosi più noti. Emotet è stato originariamente sviluppato come trojan bancario. Sebbene Emotet abbia mantenuto alcune funzionalità di base per il furto di informazioni, il malware si è evoluto nel corso degli anni in un downloader per altri payload dannosi. Gli attori dietro Emotet hanno anche offerto la loro botnet come servizio, diventando un distributore leader di altre minacce popolari come Ryuk ransomware.
Nel frattempo, anche Emotet si è calmato un po' a causa di una rimozione internazionale da parte di varie forze dell'ordine. Tuttavia, le attività stanno nuovamente aumentando, a volte sotto nuovi nomi e in diverse costellazioni.
Altro su Varonis.com
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,