Check Point Research, il braccio di Threat Intelligence di Check Point Software Technologies Ltd. (NASDAQ: CHKP), fornitore leader di soluzioni per la sicurezza informatica a livello globale, ha pubblicato il suo ultimo Global Threat Index per luglio 2020.  I ricercatori hanno scoperto che dopo un'assenza di cinque mesi, Emotet è tornato al 1° posto nell'Indice, con un impatto sul 5% delle organizzazioni a livello globale e con un’incidenza quasi doppia a livello italiano (9,67%).

Da febbraio 2020, le attività di Emotet - principalmente l'invio di ondate di campagne di malspam - hanno iniziato a rallentare e alla fine si sono fermate, per riemergere a luglio. Questo modello era stato osservato anche nel 2019, quando la botnet Emotet ha cessato l'attività durante i mesi estivi, per poi riprendere a settembre.

chech point software technlogies

A luglio, Emotet ha diffuso numerose campagne di malspam, infettando le sue vittime con TrickBot e Qbot, che vengono utilizzati per rubare le credenziali bancarie e diffondersi all'interno delle reti. Alcune delle campagne di malspam contenevano file doc dannosi con nomi come "form.doc" o "invoice.doc". Secondo i ricercatori, il documento maligno lancia un PowerShell per estrarre il codice Emotet da siti web remoti e infettare le macchine, aggiungendoli alla rete bot. La ripresa delle attività di Emotet evidenzia la portata e la potenza della rete bot a livello globale.

"È interessante che Emotet sia rimasto inattivo per diversi mesi all'inizio di quest'anno, ripetendo uno schema che abbiamo osservato per la prima volta nel 2019.  Possiamo supporre che gli sviluppatori dietro la rete bot stessero aggiornando le sue caratteristiche e capacità. Ma essendo di nuovo attiva, le organizzazioni dovrebbero educare i dipendenti su come identificare i tipi di malspam che portano queste minacce e avvertire sui rischi di aprire gli allegati di posta elettronica o di cliccare su link da fonti esterne. Le aziende dovrebbero anche cercare di implementare soluzioni anti-malware in grado di impedire che tali contenuti raggiungano gli utenti finali", ha dichiarato Maya Horowitz, Director Threat Intelligence & Research Products di Check Point

Il team di ricerca avverte anche che "MVPower DVR Remote Code Execution" è la vulnerabilità più comunemente sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da "OpenSSL TLS DTLS Heartbeat Information Disclosure" che ha un impatto sul 42% delle organizzazioni in tutto il mondo. "Command Injection Over HTTP Payload" è al terzo posto, con un impatto globale del 38%.

I malware più diffusi di luglio 2020

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese Emotet è il malware più popolare, con un impatto globale del 5% delle organizzazioni, seguito da vicino da Dridex e Agent Tesla, che colpisce il 4% delle organizzazioni. A luglio questa classifica è valida anche per l’Italia ma con percentuali di impatto maggiori rispetto alla media globale (Emotet 9,67% vs 5,45%, Dridex 5,54% vs 4%, Agent Tesla 5,54% vs 3,89% globale).

  • ↑ Emotet – Emotet è un Trojan avanzato, autopropagante e modulare. Emotet era originariamente un Trojan bancario, ma recentemente è utilizzato come distributore di altri malware o campagne dannose. Utilizza diversi metodi per mantenere la persistenza e le tecniche di evasione per evitare il rilevamento. Inoltre, può essere diffuso attraverso e-mail di phishing spam contenenti allegati o link dannosi.
  • ↑ Dridex – Dridex è un Trojan che si rivolge alla piattaforma Windows e che, a quanto pare, viene scaricato tramite un allegato e-mail di spam. Dridex contatta un server remoto e invia informazioni sul sistema infetto. Può anche scaricare ed eseguire moduli arbitrari ricevuti dal server remoto.
  • ↓ Agent Tesla – Agent Tesla è un RAT avanzato che funziona come keylogger e ruba informazioni in grado di monitorare e raccogliere l'input della tastiera della vittima, gli appunti del sistema, fare screenshot, ed estrarre le credenziali appartenenti a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook email client).

Le vulnerabilità più sfruttate del mese di luglio 2020:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente 

Questo mese "MVPower DVR Remote Code Execution" è la più comune vulnerabilità sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da "OpenSSL TLS DTLS Heartbeat Information Disclosure" che ha un impatto sul 42% delle organizzazioni in tutto il mondo. "Command Injection Over HTTP Payload" è al terzo posto, con un impatto globale del 38%.

  • ↑ MVPower DVR Remote Code Execution – Una vulnerabilità di esecuzione remota del codice che esiste nei dispositivi DVR MVPower DVR. Un aggressore remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta artigianale.
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Una vulnerabilità di divulgazione delle informazioni che esiste in OpenSSL. La vulnerabilità è dovuta ad un errore nella gestione dei pacchetti di battito cardiaco TLS/DTLS. Un aggressore può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o di un server connesso.

3.    ↑ Command Injection Over HTTP Payload – È stata segnalata un'iniezione di comando su una vulnerabilità del carico utile HTTP. Un aggressore remoto può sfruttare questo problema inviando una richiesta appositamente elaborata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sulla macchina bersaglio.

I tre malware mobile più diffusi di luglio 2020:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese xHelper è il malware più popolare, seguito da Necro e PreAMo.

  • xHelper – Un'applicazione dannosa vista per la prima volta nel marzo 2019, utilizzata per scaricare altre applicazioni dannose e visualizzare pubblicità. L'applicazione può nascondersi all'utente e reinstallarsi da sola nel caso in cui sia stata disinstallata.
  • Necro – Necro è un Trojan Dropper Android. Può scaricare altri malware, mostrando annunci intrusivi e rubando denaro addebitando abbonamenti a pagamento.
  • PreAMo – PreAmo è un Malware Android che imita l'utente cliccando sui banner recuperati da tre agenzie pubblicitarie - Presage, Admob e Mopub.

Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dall'intelligence ThreatCloud di Check Point, la più grande rete collaborativa per la lotta alla criminalità informatica che fornisce dati sulle minacce e tendenze di attacco da una rete globale di sensori di minacce. Il database ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file al giorno e identifica più di 250 milioni di attività malware ogni giorno. L'elenco completo delle prime 10 famiglie di malware di luglio è disponibile sul blog di Check Point a questa pagina.

Le risorse per la prevenzione delle minacce di Check Point sono disponibili all'indirizzo http://www.checkpoint.com/threat-prevention-resources/index.html.