Il nuovo Global Threat Index per luglio 2023 mostra quali settori sono stati attaccati in modo particolarmente pesante: il nuovo numero 1 sono i servizi di pubblica utilità. Subito dietro c'è il settore dei trasporti e poi, quanto in alto nella lista, ci sono i fornitori di software.
I primi 3 settori più attaccati in Germania sono cambiati completamente rispetto a giugno: i servizi di pubblica utilità hanno preso il primo posto a luglio, seguiti da trasporti e fornitori di software.
Malware Formbook ancora iperattivo
Anche questo mese Malware Formbook ha conquistato il primo posto. Ciò pone l'Infostealer davanti a Guloader, che rivendica il secondo posto. Qbot è ora sceso al terzo posto a luglio dal primo posto del mese precedente. Ciò fa apparire tre tipi di malware che hanno principalmente lo scopo di rubare informazioni.
“Questo periodo dell'anno è perfetto per gli hacker. Poiché molti traggono vantaggio dalle festività, le organizzazioni sono alle prese con la riduzione o il cambiamento del personale, che può influire sulla loro capacità di monitorare le minacce e mitigare i rischi", ha dichiarato Maya Horowitz, VP Research di Check Point Software Technologies. “L'introduzione di processi di sicurezza automatizzati e consolidati può aiutare le organizzazioni a mantenere i propri processi in esecuzione durante le festività natalizie. Si raccomanda inoltre una formazione approfondita dei dipendenti.
Top ranking di malware in Germania
Le frecce davanti si riferiscono alla variazione della classifica rispetto al mese precedente.
Formbook è stato il malware più diffuso il mese scorso con un impatto del 14% sulle organizzazioni tedesche, seguito da Guloader con un impatto nazionale del 10% e Qbot con il 5%.
1. ↑ Modulo – Formbook è un ladro di informazioni destinato al sistema operativo Windows ed è stato scoperto per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) sui forum di hacking sotterranei a causa delle sue forti tecniche di evasione e del prezzo relativamente basso. FormBook raccoglie le informazioni di accesso da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file quando richiesto dal suo C&C.
2. ↔ Caricatore – Guloader è un downloader ampiamente utilizzato da dicembre 2019. Quando è apparso per la prima volta, GuLoader è stato utilizzato per scaricare Parallax RAT, ma è stato utilizzato anche per altri trojan di accesso remoto e ladri di informazioni come Netwire, FormBook e Agent Tesla.
3. ↓ Qbot – Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È progettato per rubare le credenziali di accesso di un utente, registrare i tasti premuti, rubare i cookie dai browser, spiare l'attività bancaria e installare malware aggiuntivo. Comunemente distribuito tramite e-mail di spam, Qbot utilizza molteplici tecniche anti-VM, anti-debug e anti-sandbox per complicare l'analisi ed eludere il rilevamento. A partire dal 2022, è uno dei trojan più diffusi.
Le 3 principali vulnerabilità sfruttate
Il mese scorso, Web Server Malicious URL Directory Traversal è stata la principale vulnerabilità sfruttata a livello globale, colpendo il 49% delle organizzazioni in tutto il mondo, seguita da Apache Log4j Remote Code Execution con il 45% e HTTP Headers Remote Code Execution con un impatto globale del 42%.
1. ↔ Attraversamento della directory dell'URL dannoso del server Web - Esiste una vulnerabilità di directory traversal su vari server web. La vulnerabilità è dovuta a un errore di convalida dell'input in un server Web che non disinfetta correttamente l'URI per i modelli di attraversamento della directory. Lo sfruttamento riuscito consente agli aggressori non autenticati di esporre o accedere a file arbitrari sul server vulnerabile.
2. ↔ Esecuzione codice remoto Apache Log4j (CVE-2021-44228) - Esiste una vulnerabilità in Apache Log4j che consente l'esecuzione di codice in modalità remota. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
3. ↔ Intestazione HTTP per l'esecuzione di codice remoto (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Le intestazioni HTTP consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un'intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.
I primi 3 malware per dispositivi mobili
Il mese scorso, Anubis si è classificato al primo posto per il malware mobile più diffuso, seguito da SpinOk e AhMyth.
1. ↑ Anubis - Anubis è un malware Trojan bancario, sviluppato per i telefoni cellulari Android. Dal suo rilevamento iniziale, ha acquisito funzionalità aggiuntive tra cui Trojan di accesso remoto (RAT), keylogger, capacità di registrazione audio e varie funzioni ransomware. È stato individuato in centinaia di diverse applicazioni sul Google Store.
2. ↓ SpinOk – SpinOk è un modulo software Android, che funziona come un programma spia. Raccoglie informazioni sui file archiviati sui dispositivi ed è in grado di inoltrarle a malintenzionati. Il modulo dannoso è stato trovato in più di 100 app Android e scaricato più di 2023 di volte a maggio 421.000.000.
3. ↔ AhMyth – AhMyth è un trojan ad accesso remoto (RAT), scoperto nel 2017. È distribuito tramite app Android che si trovano negli app store e in vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, l'acquisizione di schermate, l'invio di messaggi SMS e l'attivazione della fotocamera, che in genere vengono utilizzate per rubare informazioni sensibili.
Top 3 dei settori e delle aree attaccate in Germania
1. ↑ Utilità
2. ↑ Trasporto
3. ↑ Fornitore di software
Il Global Threat Impact Index e la ThreatCloud Map di Check Point sono alimentati dalla ThreatCloud Intelligence di Check Point. ThreatCloud fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo su reti, endpoint e telefoni cellulari. Questa intelligenza è arricchita con motori basati sull'intelligenza artificiale e dati di ricerca esclusivi di Check Point Research, il dipartimento di ricerca e sviluppo di Check Point Software Technologies. L'elenco completo delle XNUMX principali famiglie di malware di luglio è disponibile sul blog di Check Point.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.