Emotet e Valak minano la security in Italia

Il nuovo Global Threat Index mensile, emesso da Check Point Software Technologies mostra le minacce del momento

La “classifica Top 10” degli attacchi a settembre è, per la prima volta, guidata da una variante dell’ info-stealer di Valak, secondo il Global Threat Index di Check Point Software .Technologies.

Tale variante si posiziona, però, solo quarta in Italia, dove permane al primo posto il trojan Emotet per il terzo mese consecutivo.

Ciononostante il malware Valak, secondo i ricercatori, mostra comunque un importante aumento degli attacchi piazzandosi al l nono posto fra i malware più diffusi nel mondo e al quarto in Italia, pur se con una quota bassa (3%) dovuta a una predominanza di Emotet .

Valak è una minaccia molto sofisticata, ci dicono gli esperti di Check Point spiegando che genera nuove varianti con cambiamenti considerevoli nel tempo (è stato visto per la prima volta a fine 2019). Di recente alcune derivazioni hanno permesso di

di trafugare informazioni sensibili dai sistemi di posta elettronica di Microsoft Exchange, nonché credenziali degli utenti e i certificati di dominio .In settembre Valak è stato utilizzato molto campagne malevole via spam, contenenti file .doc dannosi.

Altre rivelazioni riguardano l’impatto di Emotet, quantificabile in un effetto sul 14% delle organizzazioni a livello globale.

Il il trojan Qbot, invece, apparso nella Top10 la prima volta ad settembre, è stato molto sfruttato anche a settembre, passando dal decimo al sesto posto.

Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point ha commentato:« Queste nuove campagne di diffusione di Valak sono un altro esempio di come gli aggressori cercano di massimizzare i loro investimenti in forme consolidate e comprovate di malware. Insieme alle versioni aggiornate di Qbot, emerse in settembre, Valak ha lo scopo di consentire il furto di dati e credenziali su larga scala sia a organizzazioni che privati.

Le aziende dovrebbero cercare di implementare soluzioni anti-malware in grado di impedire che tali contenuti raggiungano gli utenti finali e consigliare ai propri dipendenti di essere prudenti nell’aprire le e-mail, anche quando sembrano provenire da una fonte affidabile»

Inoltre, aggiunge Horowitz: «: Queste nuove campagne di Valak sono un altro esempio di come i cyber criminali cerchino di ottenere il massimo dai i loro investimenti sfruttando tecnologie consolidate e di dimostrata efficacia».

Con le versioni aggiornate di Qbot, affiorate in settembre, Valak è usato per tentare il furto di dati e credenziali digitali su larga scala mirando sia ad aziende sia a privati.

 

I 3 malware più diffusi di settembre

 I 3 malware più diffusi di settembre sono stati:Emotet; Trickbot; Dridex.

Emotet è un avanzato, autopropagante e modulare, che è usato anche per distribuire altre minacce, infatti utilizza

molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.

Trickbot consiste in banking trojan che viene aggiornato costantemente con nuove funzioni. Questi fattori lo rendono un malware flessibile e personalizzabile che può essere diffuso tramite vari tipi di campagne.

Dridex è anch’esso- banking trojan il quale è specializzato per colpire la di piattaforma Windows. È usato attraverso campagne spam e kit di exploiter, intercettare e reindirizzare le credenziali bancarie a un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.

 

Le Vulnerabilità più sfruttate in settembre:

A settembre “MVPower DVR Remote Code Execution” è stata la più comune vulnerabilità sfruttata, con un impatto sul 46% delle organizzazioni a livello globale, seguita da “Dasan GPON Router Authentication Bypass” che ha avuto un impatto sul 42%. Poi, “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346” al terzo posto, con il 36%.

 

I tre malware mobile più diffusi di settembre

Malware mobile di settembre

Anche a settembre xHelper è il malware mobile più diffuso, seguito da Xafecopy e Hiddad.

xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È capace di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.

Xafekopy – trojan camuffato da app utili come Battery Master. Carica segretamente codice dannoso sul dispositivo; una volta attivata l’app, clicca sulle pagine web con la fatturazione del Wireless Application Protocol (WAP) – una forma di pagamento mobile che addebita i costi direttamente sulla bolletta del cellulare dell’utente.

Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

 

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud : la più grande organizzazione contro i cybercriminali che fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.

La lista completa sulle famiglie di maware e altre informazioni sono sul blog di

La lista completa delle 10 famiglie di malware più attive nel mese di settembre è disponibile sul blog di Check Point.

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.