Il Global Threat Index di Check Point per settembre 2024 ha evidenziato nuove tendenze nel panorama della sicurezza informatica. Una delle principali novità riguarda l’uso crescente di malware basati sull’intelligenza artificiale (AI), oltre al continuo predominio delle minacce ransomware.

I ricercatori hanno rilevato che gli attori delle minacce hanno probabilmente impiegato l’intelligenza artificiale per creare uno script che distribuisce il malware AsyncRAT, ora posizionato al 10° posto tra i malware più diffusi. Il malware viene diffuso attraverso un file ZIP protetto da password, contenente codice VBScript dannoso, che sfrutta il metodo dello smuggling HTML per avviare una catena di infezione. Il codice, ben strutturato e commentato, suggerisce l’intervento dell’AI nella sua creazione. Una volta installato, AsyncRAT permette agli aggressori di registrare le sequenze di tasti, controllare da remoto i dispositivi infetti e distribuire altri malware. Questo segnala una crescente tendenza tra i criminali informatici con scarse competenze tecniche che utilizzano l’intelligenza artificiale per sviluppare minacce più sofisticate.

L’impiego dell’AI generativa da parte dei criminali per ottimizzare le loro operazioni riflette un’evoluzione delle tattiche di attacco, rendendo cruciale per le organizzazioni adottare strategie di sicurezza proattive, come metodi avanzati di prevenzione e una formazione adeguata dei team.

Questo mese, nel panorama dei malware mobile, Joker continua a essere il più diffuso, mentre il gruppo ransomware RansomHub rimane il leader, entrambi in linea con i risultati del mese precedente. Questi dati evidenziano la persistenza di minacce consolidate nel mondo della sicurezza informatica.

Principali famiglie di malware

FakeUpdates è il malware più diffuso questo mese, con un impatto del 7% sulle organizzazioni in tutto il mondo, seguito da Androxgh0st con un impatto globale del 6% e da Formbook con un impatto globale del 4%.

  1. FakeUpdates (AKA SocGholish) – Un downloader scritto in JavaScript. Scrive i payload sul disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromessi tramite molti malware aggiuntivi, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. Androxgh0st – Una botnet che prende di mira le piattaforme Windows, Mac e Linux. Per l’infezione iniziale, Androxgh0st sfrutta molteplici vulnerabilità, prendendo di mira in modo specifico PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come informazioni sull’account Twilio, credenziali SMTP, chiave AWS, ecc. Utilizza file Laravel per raccogliere le informazioni richieste. Ha diverse varianti che eseguono la scansione per informazioni diverse.
  3. Formbook – Un Infostealer che prende di mira il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. Viene commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie credenziali da vari browser Web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
  4. Qbot – Un malware multiuso apparso per la prima volta nel 2008. È stato progettato per rubare le credenziali di un utente, registrare le sequenze di tasti, rubare i cookie dai browser, spiare le attività bancarie e distribuire malware aggiuntivo. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei trojan più diffusi.
  5. AgentTesla – Un RAT avanzato che funziona come keylogger e info stealer, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera di sistema, acquisire schermate ed esfiltrare le credenziali su una varietà di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
  6. Phorpiex – Una botnet nota per la distribuzione di altre famiglie di malware tramite campagne di spam e per alimentare campagne di sextortion su larga scala.
  7. Vidar – Un malware infostealer che opera come malware-as-a-service ed è stato scoperto per la prima volta in natura alla fine del 2018. Il malware funziona su Windows e può raccogliere un’ampia gamma di dati sensibili da browser e portafogli digitali. Inoltre, il malware viene utilizzato come downloader per ransomware.
  8. NJRat – Un Trojan di accesso remoto, che prende di mira principalmente agenzie governative e organizzazioni in Medio Oriente. Il Trojan è emerso per la prima volta nel 2012 e ha molteplici capacità: cattura le sequenze di tasti, accesso alla fotocamera della vittima, furto di credenziali archiviate nei browser, caricamento e download di file, esecuzione di manipolazioni di processi e file e visualizzazione del desktop della vittima. NJRat infetta le vittime tramite attacchi di phishing e download drive-by e si propaga tramite chiavi USB infette o unità di rete, con il supporto del software del server Command & Control.
  9. Glupteba – Noto dal 2011, Glupteba è una backdoor che è gradualmente maturata in una botnet. Entro il 2019 includeva un meccanismo di aggiornamento degli indirizzi C&C tramite elenchi pubblici di BitCoin, una capacità integrale di stealer del browser e un router exploiter.
  10. AsyncRat – Un Trojan che prende di mira la piattaforma Windows. Questo malware invia informazioni di sistema sul sistema preso di mira a un server remoto. Riceve comandi dal server per scaricare ed eseguire plugin, terminare processi, disinstallare/aggiornare sé stesso e catturare screenshot del sistema infetto.

I principali malware per dispositivi mobili

Questo mese Joker è al 1 ° posto tra i malware per dispositivi mobili più diffusi, seguito da Anubis e Hiddad.

  1. Joker – Uno Spyware Android su Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sui dispositivi. Inoltre, il malware firma silenziosamente la vittima per servizi premium nei siti web pubblicitari.
  2. Anubis – Un malware Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato inizialmente rilevato, ha acquisito funzioni aggiuntive, tra cui la funzionalità Remote Access Trojan (RAT), keylogger, capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato su centinaia di diverse applicazioni disponibili nel Google Store.
  3. Hiddad – Un malware Android che riconfeziona app legittime e poi le rilascia su uno store di terze parti. La sua funzione principale è quella di mostrare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli di sicurezza chiave integrati nel sistema operativo. 

I settori più attaccati a livello globale

Questo mese, Istruzione/Ricerca è rimasta al primo posto tra i settori attaccati a livello mondiale, seguita da Governo/Militare e Sanità.

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. Assistenza sanitaria

I principali gruppi di ransomware

I dati si basano su informazioni provenienti da “shame sites” di ransomware gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo di ransomware più diffuso questo mese, responsabile dell’1,7 % degli attacchi pubblicati, seguito da Play con il 10% e Qilin con il 5%.

  1. RansomHub – Un’operazione Ransomware-as-a-Service (RaaS) emersa come una versione rinominata del ransomware Knight precedentemente noto. Emerso in modo evidente all’inizio del 2024 nei forum underground sulla criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive che prendono di mira vari sistemi, tra cui Windows, macOS, Linux e in particolare gli ambienti VMware ESXi. Questo malware è noto per l’impiego di metodi di crittografia sofisticati.
  2. Play – Noto anche come PlayCrypt, è un ransomware emerso per la prima volta a giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità entro ottobre 2023. Play Ransomware in genere ottiene l’accesso alle reti tramite account validi compromessi o sfruttando vulnerabilità non corrette, come quelle nelle VPN SSL di Fortinet. Una volta all’interno, impiega tecniche come l’utilizzo di binari living-off-the-land (LOLBins) per attività come l’esfiltrazione di dati e il furto di credenziali.
  3. Qilin – Noto anche come Agenda, è un’operazione criminale ransomware-as-a-service che collabora con affiliati per crittografare ed esfiltrare dati da organizzazioni compromesse, chiedendo successivamente un riscatto. Questa variante ransomware è stata rilevata per la prima volta nel luglio 2022 ed è sviluppata in Golang. Agenda è nota per aver preso di mira grandi aziende e organizzazioni di alto valore, con particolare attenzione ai settori sanitario e dell’istruzione. Qilin in genere si infiltra nelle vittime tramite e-mail di phishing contenenti link dannosi per stabilire l’accesso alle loro reti ed esfiltrare informazioni sensibili. Una volta all’interno, Qilin di solito si sposta lateralmente attraverso l’infrastruttura della vittima, cercando dati critici da crittografare.

Leggi il Global Threat Index completo al seguente link:

https://blog.checkpoint.com/research/september-2024s-most-wanted-malware-notable-ai-driven-techniques-and-persistent-ransomhub-threats/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: