Nel Global Threat Index di agosto 2023, Formbook era il malware più diffuso in Germania, seguito da CloudEyE e Qbot.
Dall’altra parte dell’Atlantico, ad agosto l’FBI ha annunciato una vittoria significativa nella sua operazione globale contro Qbot (noto anche come Qakbot). Con l’“Operazione Duck Hunt” l’FBI ha preso il controllo della botnet, ha rimosso il malware dai dispositivi infetti e ha identificato un numero significativo di dispositivi colpiti
Qbot sta diminuendo in modo significativo
Qbot si è evoluto in un servizio di distribuzione di malware utilizzato per varie attività criminali informatiche, inclusi attacchi ransomware. In genere si diffonde attraverso campagne di phishing e collabora con altri autori di minacce. Anche se Qbot è rimasto il malware più diffuso a livello globale nel mese di agosto, Check Point ha osservato un calo significativo del suo impatto in seguito all’operazione. Anche in Germania i server del malware sono rimasti paralizzati, come ha annunciato la BKA.
Maya Horowitz, VP Research presso Check Point Software, sullo sciopero contro Qbot: “La rimozione di QBot è stata una svolta significativa nella lotta contro la criminalità informatica. Tuttavia non dobbiamo accontentarci perché quando uno cade, un altro si rialzerà e prenderà il suo posto. Dovremmo rimanere tutti vigili, lavorare insieme e continuare a praticare una buona igiene della sicurezza in tutti i vettori di attacco”.
Principali malware in Germania
Formbook è stato il malware più diffuso lo scorso mese con un impatto leggermente decrescente dell'11,88% sulle organizzazioni tedesche, seguito da CloudEyE con un impatto nazionale dell'11,72% e Qbot con il 4,82%.
↔ Modulo – Formbook è un ladro di informazioni destinato al sistema operativo Windows ed è stato scoperto per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) sui forum di hacking sotterranei a causa delle sue forti tecniche di evasione e del prezzo relativamente basso. FormBook raccoglie le informazioni di accesso da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file quando richiesto dal suo C&C.
↑ CloudEyE–CloudEye, precedentemente chiamato “GuLoader”, è un downloader che prende di mira la piattaforma Windows e viene utilizzato per scaricare e installare programmi dannosi sui computer delle vittime.
↔ Qbot – Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È progettato per rubare le credenziali di accesso di un utente, registrare i tasti premuti, rubare i cookie dai browser, spiare l'attività bancaria e installare malware aggiuntivo. Comunemente distribuito tramite e-mail di spam, Qbot utilizza molteplici tecniche anti-VM, anti-debug e anti-sandbox per complicare l'analisi ed eludere il rilevamento. A partire dal 2022, è uno dei trojan più diffusi.
Le 3 principali vulnerabilità
Il mese scorso, la vulnerabilità più sfruttata è stata “HTTP Headers Remote Code Execution”, che ha colpito il 40% delle organizzazioni in tutto il mondo, seguita da “Command Injection Over http”, che ha colpito il 38% delle organizzazioni in tutto il mondo. “MVPower CCTV DVR Remote Code Execution” è stata la terza vulnerabilità più sfruttata con un impatto globale del 35%.
↑ Intestazione HTTP Esecuzione di codice remoto (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Le intestazioni HTTP consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un'intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.
↑ Iniezione di comandi su HTTP (CVE-2021-43936, CVE-2022-24086) - È stata segnalata una vulnerabilità di Command Injection su HTTP. Un utente malintenzionato remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente predisposta. Se sfruttato con successo, un utente malintenzionato potrebbe eseguire codice arbitrario sul computer di destinazione.
↑ Esecuzione del codice remoto del DVR CCTV MVPower (CVE-2016-20016) – Una vulnerabilità legata all'esecuzione di codice in modalità remota nel DVR CCTV MVPower. Lo sfruttamento efficace di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
I 3 principali malware per dispositivi mobili
Il mese scorso, Anubis è rimasto in testa alla classifica dei malware mobile più comuni, seguito da AhMyth e SpinOk, che si sono scambiati di posto.
↔ Anubis – Anubis è un malware bancario trojan progettato per i telefoni cellulari Android. Dalla sua scoperta iniziale, ha acquisito funzionalità aggiuntive tra cui Remote Access Trojan (RAT), keylogger, funzionalità di registrazione audio e varie funzionalità ransomware. È stato scoperto in centinaia di diverse applicazioni sul Google Store.
↑ AhMito – AhMyth è un Trojan di accesso remoto (RAT) scoperto nel 2017. Viene distribuito tramite app Android che possono essere trovate negli app store e in vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, acquisizione di screenshot, invio di messaggi SMS e attivazione della fotocamera, che vengono generalmente utilizzate per rubare informazioni sensibili.
↓ SpinOk – SpinOk è un modulo software Android che funziona come un programma spia. Raccoglie informazioni sui file archiviati sui dispositivi ed è in grado di inoltrarli ad autori di minacce dannose. Il modulo dannoso è stato trovato in più di 100 app Android ed è stato scaricato più di 2023 di volte a maggio 421.000.000.
Top 3 dei settori e delle aree attaccate in Germania
↑ SI/VAR/Distributori
↑ Servizio sanitario
↑ ISP/MSP
Il Global Threat Impact Index e la ThreatCloudMap di Check Point si basano su ThreatCloudIntelligence di Check Point. ThreatCloud fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo su reti, endpoint e telefoni cellulari. Questa intelligenza è arricchita con motori basati sull'intelligenza artificiale e dati di ricerca esclusivi di Check Point Research, la divisione di ricerca e sviluppo di Check Point Software Technologies.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.
Articoli relativi all'argomento