Global Threat Index: torna Emotet e minaccia ancora l’Italia

Le minacce e le vulnerabilità rilevate in dicembre dai ricercatori di Check Point Software Technologies

Secondo i dati raccolti a dicembre dagli esperti di Check Point software Technologies, è tornato il malware Emotet, già protagonista di varie attività malevole nei mesi scorsi. In particolare, attraverso una recente campagna sferrata con questo trojan sono stati coinvolti oltre centomila utenti al giorno, colpendo i 15% delle aziende italiane.

Sotto accusa la botnet Phorpiex, che ha portato il suddetto malware alla testa della classifica mensile, con un impatto, rilevante sul 4% delle aziende a livello mondiale.

Complessivamente, i ricercatori ritengono che Emotet sia tornato al vertice della classifica con un impatto, valutato pari al 7% a livello planetario, determinato da una campagna spam che ha preso di mira oltre centomila utenti al giorno durante le festività natalizie. In Italia, come già accennato, l’impatto (15%) di Emotet è stato più devastante, cioè la a minaccia più preoccupante.

Del resto gli analisti sostengono che Emotet, nei mesi tra ottobre e dicembre 2020 è stato costantemente in cima alla classifica, scendendo al quinto posto a novembre.

I ricercatori di Checkpoint Software Technologies affermano che il malware Emotet è stato stato aggiornato con nuovi payload dannosi e migliori capacità di elusione della . in particolare, l’ultima versione crea una finestra di dialogo, che lo aiuta a evitare di essere scovato da parte degli utenti, ci spiegano da Chek Point. La nuova campagna spam malevola usa varie tecniche di consegna per la diffusione di Emotet, tra cui link incorporati, allegati di documenti o file Zip protetti da password.

Emotet Malware del mese

Emotet Malware del mese

Il costante aggiornamento , la prima versione risale al 2014,gli ha permesso di mantenere la propriaefficacia ed è un palese esempio dell’industrializzazione dello sviluppo software malevole.

In sostanza EMotet  è un trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.

Identificato per la prima volta nel 2014, Emotet è stato regolarmente aggiornato dai suoi sviluppatori per mantenere la sua efficacia criminale nel corso degli anni. Il Dipartimento Homeland Security ha stimato che ogni evento che coinvolge Emotet costa alle organizzazioni oltre 1 milione di dollari per la rettifica.

«Emotet è stato originariamente sviluppato come banking malware che si insinuava nei computer degli utenti per rubare informazioni private e sensibili. Tuttavia, si è evoluto nel tempo ed è ora considerato una delle varianti di malware più dannose e distruttive», come ha spiegato ha Maya Horowitz, Direttore, Threat Intelligence & Research, Products di Check Point.

Maya continua « Éfondamentale che le organizzazioni siano consapevoli della minaccia che Emotet rappresenta, e che dispongano di solidi sistemi di sicurezza per prevenire una significativa violazione dei loro dati. Dovrebbero anche fornire una formazione completa per i dipendenti, in modo da poter identificare i tipi di e-mail dannose che diffondono Emotet.».

I primi tre malware

I tre malware più diffusi di dicembre sono stati:Emotet, Trickbot e Formboo , questi ultimi praticamente a pari “merito”.

EMotet – trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.

Trickbot – è un banking trojan dominante che è costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Ciò gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

Formbook consiste in un info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.

Global Threat Index

 

Le vulnerabilità di dicembre

 

Le vulnerabilità più sfruttate a:dicembre sono risultate le seguenti, a cominciare da MVPower DVR Remote Code Execution usata, con un impatto sul 42% delle aziende a livello mondiale.

A seguire “HTTP Headers Remote Code Execution (CVE-2020-13756)” , anch’essa con un impattp del 42%. “Web Server Exposed Git Repository Information Disclosure” è al terzo posto con un impatto globale del 41%.

MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

HTTP Headers Remote Code Execution (CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

Web Server Exposed Git Repository Information Disclosure – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.

I Malware Mobile del mese

I tre malware mobile più diffusi di dicembre vedono al primo posto  Hiddad, che conferma il primato, seguito da da xHelper e Triada al terzo posto.

Hiddad – malware Android che confeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.

Triada – Backdoor modulare per Android che garantisce i privilegi di superutente per scaricare malware.

La lista completa delle 10 famiglie di malware più attive nel mese di dicembre è disponibile sul blog di Check Point.

 

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.