Connect with us

News

Cybersecurity 2021: Le previsioni secondo Trend Micro

Redazione

Pubblicato

il

I prossimi mesi saranno caratterizzati da una nuova ondata di attacchi che colpiranno i software utilizzati per il lavoro da remoto e i sistemi cloud. Le reti domestiche, in particolar modo, verranno utilizzate dai cybercriminali come teste di ponte per compromettere le infrastrutture aziendali e IoT.

Il dato emerge dal report Trend Micro, leader globale di cybersecurity, sulle minacce informatiche che caratterizzeranno l’anno in corso, dal titolo “Turning the tideLa marea è salita, è ora di invertire la tendenza

Stiamo muovendo i primi passi nel mondo post pandemia, ma molte aziende continueranno a mantere pratiche di lavoro da remoto che faranno aumentare gli attacchi alle reti e ai dati aziendali”. Ha affermato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “I team di security dovranno raddoppiare gli sforzi per quanto riguarda la formazione degli utenti e l’adozione di controlli estesi di rilevamento e risposta, oltre a una verifica degli accessi adattiva. Nel 2020 è stata gestita l’emergenza e l’urgenza, ora le aziende devono pensare a implementare una cloud security integrata come fondamento della propria strategia di difesa”.

 

Per affrontare con successo le minacce di quest’anno, Trend Micro raccomanda quindi di favorire la user education e i corsi di formazione, controllare severamente gli accessi alle reti corporate e all’home office, rafforzare le misure di security e i programmi di patch management e migliorare il rilevamento delle minacce, aumentando le competenze in materia di sicurezza così come adottando controlli estesi di rilevamento e risposta (XDR).

Nel dettaglio, queste le prevsioni

  • I cybercriminali utilizzeranno le postazioni di home office come nuovi hub criminali
  • La pandemia di COVID-19 ha dimostrato di essere un terreno fertile per le minacce e le campagne cybercriminali, per questo capovolgerà le priorità di cybersecurity. I principali rischi si registreranno nell’eCommerce, in tutti i settori dove viene impiegata la telemedicina, ma anche nelle strutture sanitarie in generale (furto dati e spionaggio). Le campagne di disinformazione cercheranno inoltre di far cadere gli utenti in truffe
  • Il lavoro da remoto costringerà le organizzazioni a ripensare le infrastrutture di security non più sostenibili e a considerare gli ambienti ibridi
  • L’utilizzo di tecnologie di contact tracing aumenterà l’attenzione dei cybercriminali nei confronti dei dati degli utenti
  • I cybercriminali sfrutteranno nuove vulnerabilità, rendendo il patching sempre più difficile
  • Le API’s saranno il nuovo vettore di attacco preferito dai cybercriminali per le violazioni aziendali
  • I software enterprise e le applicazioni cloud utilizzati per il lavoro da remoto saranno bersagliati da bug critici
[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

La minaccia del “quishing”

I cybercriminali stanno sfruttando i QR code allegati nei PDF inviati tramite email per sottrarre credenziali aziendali dai dispositivi mobili

Avatar

Pubblicato

il

Sophos ha rivelato i risultati di una ricerca condotta da Sophos X-Ops sul quishing, una nuova minaccia che sfrutta l’invio di QR code fraudolenti via email per aggirare le misure anti-phishing aziendali. I QR code, inseriti in documenti PDF allegati a messaggi email, appaiono come informazioni relative a stipendi, benefit o altre comunicazioni ufficiali. Poiché i QR code non sono leggibili dai computer, i dipendenti devono scansionarli con i loro telefoni cellulari, che poi li reindirizzano a pagine di phishing. Questo espone i dipendenti a rischi, poiché i telefoni sono generalmente meno protetti dei computer. Gli attaccanti mirano a ottenere password e token di autenticazione multifattore (MFA) per accedere ai sistemi aziendali, superando le protezioni esistenti.

Abbiamo trascorso parecchio tempo a setacciare tutti gli esemplari di spam in nostro possesso per trovare tracce di quishing”, ha commentato Andrew Brandt, principal researcher di Sophos X-Ops. “La nostra ricerca ha scoperto che gli attacchi che sfruttano questo particolare vettore sono in via di intensificazione in termini sia di volume che di sofisticazione, specialmente per quanto riguarda l’aspetto del documento PDF accompagnatorio”.

Gli attacchi di quishing, che utilizzano QR code fraudolenti, stanno diventando sempre più sofisticati e organizzati. Oltre alle tattiche di social engineering e alla qualità dei messaggi email e dei QR code, alcuni criminali informatici offrono ora strumenti “as-a-service” per facilitare campagne di phishing. Questi servizi includono funzionalità avanzate come l’aggiramento dei controlli CAPTCHA e la generazione di indirizzi IP intermedi per eludere il rilevamento automatico delle minacce. Le piattaforme di phishing messe a disposizione da queste organizzazioni criminali sono in grado di catturare credenziali e token di autenticazione multifattore (MFA) delle vittime.

Per aiutare le aziende a proteggere meglio i propri sistemi da questo tipo di attacco, Sophos X-Ops propone una serie di utili consigli:

  • Fare attenzione ai messaggi email interni riguardanti comunicazioni HR, stipendi o benefit aziendali: la ricerca di Sophos X-Ops ha rilevato come le tattiche di social engineering sfruttino proprio questi argomenti per spingere i dipendenti a scannerizzare i QR code fraudolenti con i loro dispositivi mobili.

 

  • Installare Sophos Intercept X for Mobile: disponibile per Android, iOS e Chrome OS, questa soluzione comprende uno scanner di QR code che aiuta a identificare i siti di phishing conosciuti avvisando quando l’URL è considerato pericoloso.

 

  • Monitorare gli accessi sospetti: le aziende possono rilevare attività di accesso insolite utilizzando strumenti di identity management.

 

  • Attivare l’accesso condizionale: questa funzione aiuta a implementare controlli sull’accesso basati sulla posizione dell’utente, sullo stato del dispositivo e sul grado di rischio.

 

  • Attivare un monitoraggio efficace degli accessi per mezzo di log avanzati:questo tipo di monitoraggio avanzato permette di visualizzare meglio tutti gli accessi al sistema e rilevare questa tipologia di minaccia in tempo reale.

 

 

  • Utilizzare il recupero dei messaggi email on-demand: i clienti Sophos Central Email che usano Microsoft 365 dispongono di questa funzionalità per eliminare i messaggi di spam e phishing dalle email aziendali.

 

  • Invitare i dipendenti alla cautela e a segnalare gli incidenti: la tempestiva segnalazione di anomalie ai team responsabili è essenziale per poter proteggere i sistemi aziendali dal phishing.

 

  • Revocare le sessioni utente sospette: è essenziale disporre di un piano per poter revocare l’accesso agli utenti che mostrano segni di violazione.

 

 

*illustrazione articolo progettata da  Sophos

Continua a Leggere

Articoli

Maxi operazione contro lo streaming illegale

Smantellata una delle più grandi reti in Europa che distribuiva illegalmente film, serie TV e partite di calcio, lasciando oltre 22 milioni di abbonati senza accesso ai contenuti

Avatar

Pubblicato

il

Una vasta operazione contro lo streaming illegale, denominata “Taken Down“, ha smantellato una delle più grandi organizzazioni criminali transnazionali di pirateria audiovisiva in Europa. L’indagine è partita da una denuncia di Sky Italia e ha rivelato legami con la criminalità organizzata, che usava i proventi per finanziare altre attività illecite.
La rete pirata intercettava e rivendeva contenuti di piattaforme come Sky, Dazn, Mediaset, Amazon Prime, Netflix, Paramount e Disney+, violando i diritti televisivi.

I dati dell’operazione

La maxi operazione, coordinata dalla Procura di Catania e condotta dalla polizia postale con il supporto delle forze di polizia internazionali, ha coinvolto oltre 270 agenti e si è estesa anche ad alcuni Paesi europei, come Regno Unito, Romania, Svezia e Croazia. Sono state eseguite 89 perquisizioni in Italia e 14 all’estero, con 102 persone coinvolte. Nel nostro Paese i controlli effettuati da parte delle forse dell’ordine hanno toccato le seguenti città: Catania, Napoli, Bari, Palermo, Messina, Siracusa, Agrigento, Lecce, Taranto, Foggia, Brindisi, Frosinone, Roma, Latina, Cosenza, Salerno, Avellino, Caserta, Matera, Mantova, Milano, Monza-Brianza, Brescia, Torino, Alessandria, Firenze, Massa Carrara, Siena, Livorno, Pisa, Lucca, Reggio Emilia, Ferrara, Bologna, Rimini, Sud-Sardegna, Treviso, Genova, Chieti, Perugia, Macerata. In Croazia sono state emesse 11 ordinanze di custodia cautelare. Sono stati sequestrati criptovalute per oltre 1,65 milioni di euro e denaro contante per oltre 40 mila euro. Le indagini hanno individuato sedi estere in Romania e Hong Kong, dove sono stati disattivati nove server utilizzati per la diffusione del segnale piratato. L’organizzazione serviva oltre 22 milioni di utenti finali, offrendo illegalmente partite, film e serie TV, e generava profitti milionari.

 

Le tecniche usate dai pirati

L’inchiesta, durata oltre due anni, ha mostrato una struttura criminale complessa e ben organizzata. Gli indagati utilizzavano tecniche sofisticate per mantenere segreta l’attività, come messaggistica crittografata e documenti falsi. Grazie alla collaborazione internazionale, sono stati bloccati oltre 2.500 canali illegali e server, con un giro d’affari stimato in oltre 250 milioni di euro mensili, causando danni economici alle aziende del settore Pay TV per oltre 10 miliardi di euro l’anno.


I commenti di Sky e DAZN

Su questa maxi operazione, l’AD di Sky Italia ha rilasciato il seguente commento: “Voglio ringraziare la Procura e la Polizia Postale di Catania, Europol e l’Audiovisual Anti-Piracy Alliance per questa straordinaria operazione alla quale siamo orgogliosi di aver collaborato. I risultati raggiunti sono frutto di un grande lavoro sinergico che ha permesso di smantellare un’organizzazione criminale che operava su scala internazionale. Azioni come questa, insieme al contributo sistematico che dà Piracy Shield oscurando in tempo reale i siti pirata, rendono più efficace la lotta a un fenomeno che danneggia l’industria audiovisiva distruggendo migliaia di posti di lavoro”.


Secondo DAZN “Gli oltre 22 milioni di utenti oscurati in Europa che hanno comprato pirateria ci danno in parte l’idea di quanto questo fenomeno sia esteso e dilagante in Italia ma non solo. Oltre ai rischi in cui si incorre, come il furto della propria identità e informazioni bancarie, quanto annunciato oggi dalla Procura di Catania e dalla Polizia delle Comunicazioni in conferenza stampa conferma che chi vende e compra pirateria lascia tracce in rete indelebili; i clienti saranno quindi sanzionati oltre a poter diventare oggetto di azioni da parte dei titolari dei diritti. Siamo contenti che il supporto che ci è stato richiesto e che abbiamo dato, abbia contributo al buon esito della collaborazione”.

 

Leggi anche: “I migliori siti e app streaming per lo sport

*illustrazione articolo progettata da  Freepik


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Black Friday: occhio alle truffe

Ecco alcuni consigli per proteggersi dalle minacce informatiche durante i periodi di maggiore attività negli acquisti online

Avatar

Pubblicato

il

Il Black Friday e il Cyber Monday offrono ottime opportunità di acquisto, ma sono anche tra i periodi più rischiosi per la sicurezza informatica, sia per gli utenti che per le aziende. Un rapporto di Sophos evidenzia che le e-mail fraudolente sono la seconda causa più comune di attacchi ransomware nei settori critici, rappresentando il 25% dei casi. Durante i giorni di punta dello shopping, questa minaccia aumenta, poiché molti dipendenti effettuano acquisti online utilizzando i PC aziendali, aumentando il rischio di accesso a siti fraudolenti e attacchi di phishing. Per proteggere i dati e i sistemi aziendali, è fondamentale che gli utenti comprendano l’importanza di un uso consapevole del Web e adottino semplici accorgimenti di sicurezza.

 

Le dieci regole per acquisti sicuri

  • Utilizzare un ad blocker: gli annunci pubblicitari non solo tracciano ogni movimento dell’utente raccogliendo informazioni sulle sue abitudini, ma sono anche una delle principali fonti di link dannosi e contenuti ingannevoli su Internet. Utilizzando un ad blocker, la navigazione non solo è più sicura, ma è anche più veloce e consuma meno banda. Tra quelli disponibili, sono molto efficaci uBlock Origin eGhostery.

 

  • Utilizzare la navigazione privata o la modalità in incognito– Per evitare che le proprie abitudini di acquisto e interessi vengano tracciati e memorizzati da un sito all’altro (e potenzialmente rivelino quali regali state acquistando ad altri che utilizzano il vostro dispositivo, quindi… attenzione!), sarebbe utile attivare la navigazione privata (Firefox) o la modalità in incognito (Chrome). In questo modo si bloccheranno i cookie di tracciamento, cancellando le proprie “trace digitali”.

 

  • Rendere il proprio browser a prova di privacy– La Electronic Frontier Foundation (EFF) fornisce un’estensione del browser chiamata Privacy Badger, progettata per fare automaticamente tutte le scelte giuste durante la navigazione, mantenendo la nostra privacy e bloccando i tracker invisibili.

 

  • Evitare di utilizzare un account per accedere a più servizi – Quando si accede a un sito di e-commerce si è spesso tentati di utilizzare il pulsante “Accedi con Facebook” o “Accedi con Google”. Anche se ci vuole qualche minuto in più per creare un nuovo login, si otterrà una maggiore privacy in quanto non si condividono tutti i siti in cui si fanno acquisti con questi giganti tecnologici.

 

  • Usare il login ospite quando è disponibile– Oltre a consentire l’uso di un account da altri siti web, molti hanno l’opzione di usare un login ospite invece di creare un nuovo account. Si tratta di un’ottima opzione se non si prevede di avere bisogno di assistenza tecnica o di fare affari su base ricorrente. Meno password, meno dati personali, meno problemi se vengono violati.

 

  • Non salvare i dati della carta di credito– Molti siti di e-commerce memorizzano di default i dati della carta di credito nel profilo utente per “comodità” (o per sperare che facciate di nuovo acquisti) ma più dati vengono forniti più dati possono essere persi o rubati quindi è più prudente non memorizzare la propria carta di credito a meno che non sia assolutamente necessario.

 

  • Utilizzare numeri di carta temporanei – Molte banche offrono oggi numeri di carta di credito temporanei o monouso. È possibile aprire l’applicazione sul telefono o sul browser e ottenere un numero di carta di credito monouso che impedisce le frodi e la tracciabilità quando i commercianti condividono i processori delle carte. A volte è anche possibile specificare un limite di carta per ogni numero temporaneo per proteggere ulteriormente il proprio conto.

 

  • Usare carte di credito e non di debito – Le carte di credito offrono una protezione molto più elevata contro le frodi online e in caso di controversia siete in una posizione di forza. Potete semplicemente non pagare il conto e contestare l’addebito, piuttosto che lasciare che i criminali prosciughino direttamente il vostro conto corrente dai soldi guadagnati con fatica.

 

  • Attenzione ai messaggi diretti via social media/applicazioni di chat – Con la moderna tecnologia di intelligenza artificiale generativa è quasi banale creare un intero negozio online falso e attirare le persone e portarle a condividere le loro informazioni personali e i dati di pagamento. È più sicuro fare acquisti su siti noti e affidabili.

 

  • Non cliccare su offerte che sembrano “troppo belle per essere vere”: potrebbero essere e-mail di phishing che sperano di indurre l’utente a cliccare su link a siti web fasulli e dannosi.

 

*illustrazione articolo progettata da  Freepik

Continua a Leggere

News

Stop alla violenza online

Kaspersky presenta la Digital Security Guide, una guida pensata per sensibilizzare sulla crescente minaccia dello stalking digitale e aiutare a prevenire i casi di violenza

Avatar

Pubblicato

il

In occasione della Giornata Internazionale per l’Eliminazione della Violenza sulle Donne, Kaspersky ribadisce il proprio impegno contro la violenza digitale presentando la Digital Security Guide. Questa guida è pensata per sensibilizzare il pubblico sul crescente fenomeno dello stalking digitale e per prevenire casi di violenza. Nel mondo digitale attuale, social media e app di incontri offrono connessioni ma anche significativi rischi. Lo stalking, una forma di violenza psicologica, sfrutta le vulnerabilità emotive delle persone e può diventare pericoloso quando si passa dal digitale al reale. Lo stalking digitale si manifesta attraverso l’uso di stalkerware, software che permettono di monitorare segretamente le comunicazioni e i movimenti delle vittime, spesso mascherati da app di sicurezza o parental control, consentendo agli aggressori di controllare ogni dettaglio della vita della vittima senza che questa ne sia consapevole.

 

Fenomeno in aumento

Nel 2023, lo State of Stalkerware Report di Kaspersky ha rilevato oltre 31.000 utenti unici globali vittime di stalkerware, con un aumento del 6% rispetto all’anno precedente. In Italia, la situazione è preoccupante: il 27% degli italiani ha ammesso di essere stato monitorato o di sospettare di esserlo, mentre il 14% ha vissuto episodi di stalking online da parte di un partner o ex partner. Inoltre, l’8% ha ammesso di aver installato software di controllo sul telefono del partner.

Per contrastare questa minaccia, Kaspersky ha sviluppato una Digital Security Guide, in cui Anna Larkina, Privacy Expert di Kaspersky, offre strategie per proteggere le informazioni personali, migliorare le impostazioni della privacy e ridurre i rischi che possono rendere le persone vulnerabili alla minaccia dello stalking online.

 

I consigli degli esperti

Tra le principali strategie, Kaspersky suggerisce di:

  • Bloccare e segnalare utenti sospetti: proteggere la propria sicurezza eliminando i contatti con account pericolosi.
  • Evitare la condivisione di informazioni personali sensibili come indirizzi, numeri di telefono o dettagli che possono rivelare la propria posizione.
  • Abilitare l’autenticazione a due fattori (2FA) per aggiungere una barriera di sicurezza agli account online.
  • Utilizzare software anti-stalking: soluzioni come quelle di Kaspersky rilevano stalkerware e dispositivi di tracciamento.
  • Rivedere regolarmente la privacy sui social media: assicurarsi che solo persone fidate possano accedere ai contenuti personali.

 Questi consigli fanno parte dell’iniziativa di Kaspersky Anti-Stalking Awareness Guide, che combina competenze tecniche, testimonianze di vittime e consigli di esperti internazionali per aiutare le persone colpite da stalking, i loro cari e la community a contrastare lo stalking in tutte le sue forme. Attraverso questa iniziativa Kaspersky intende fornire informazioni complete sul problema dello stalking, sfatando i miti comuni e scoprendo le tattiche tipicamente utilizzate dagli stalker.

 

Leggi anche: “Hacker bloccano Stalker 2


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Ricevitori satellitari vulnerabili

Scoperti 4.000 ricevitori GNSS vulnerabili ad attacchi via Internet, mettendo a rischio aziende e utenti

Avatar

Pubblicato

il

Kaspersky GReAT ha analizzato i sistemi di navigazione satellitare globale (GNSS) e ha scoperto che circa 4.000 ricevitori GNSS sono vulnerabili ad attacchi via Internet, mettendo a rischio aziende e utenti. Per raccogliere le informazioni su queste vulnerabilità non sono state utilizzate le soluzioni Kaspersky, ma motori di ricerca di terze parti progettati per mappare e raccogliere informazioni su dispositivi e sistemi connessi a Internet. Per mitigare questo pericolo, è necessario rendere i ricevitori GNSS inaccessibili dalle reti esterne e adottare robusti meccanismi di autenticazione. I GNSS includono sistemi come GPS, GLONASS, Galileo, BDS, NavIC e QZSS, utilizzati in vari settori come agricoltura, finanza, trasporti e comunicazioni. Gli attacchi a questi sistemi possono causare gravi danni operativi e finanziari, compromettere la fiducia dei clienti e, nel caso di infrastrutture critiche, portare a conseguenze legali. Una ricerca del 2023 ha rilevato che quasi 10.000 ricevitori di 5 fornitori erano esposti online. Nel 2024, Kaspersky ha trovato quasi 4.000 ricevitori accessibili via Internet in diverse regioni globali.

 

 LE SOLUZIONI 

Per proteggere i sistemi GNSS dai cyberattacchi, Kaspersky consiglia di:

Effettuare un audit di cybersecurity di reti e asset per identificare eventuali falle e sistemi vulnerabili, intervenendo su eventuali punti deboli individuati nel perimetro o all’interno della rete;

Mantenere i ricevitori GNSS offline, quando possibile;

Se è necessario l’accesso a Internet da parte dei ricevitori, proteggerli con meccanismi di autenticazione robusti;

Adottare strumenti specializzati per fronteggiare le minacce, come la matrice SPARTA (Space Attack Research and Tactic Analysis), che fornisce indicazioni su contromisure e strategie di difesa contro le minacce legate allo spazio;

Utilizzare soluzioni centralizzate e automatizzate, come Kaspersky Next XDR Expert, per garantire una protezione completa di tutti gli asset;

Fornire al team SOC (Security Operations Center) l’accesso alle informazioni più aggiornate sulle minacce. Kaspersky Threat Intelligence rappresenta un unico punto di accesso alla TI aziendale, che fornisce dati e analisi su attacchi informatici raccolti da Kaspersky in oltre 20 anni di attività.

 

 

Leggi anche: “Il ransomware invisibile

 

*illustrazione articolo progettata da  SECURELIST


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Il ransomware invisibile

Scoperto da Kaspersky, la nuova minaccia utilizza metodi avanzati di occultamento e crittografia eludendo il rilevamento

Avatar

Pubblicato

il

Il Global Emergency Response Team di Kaspersky ha identificato una nuova variante di ransomware chiamata Ymir, utilizzata per rubare le credenziali dei dipendenti. Ymir impiega metodi avanzati di occultamento e crittografia, seleziona i file in modo mirato ed elude il rilevamento. Si distingue per tecniche non convenzionali di modifica della memoria che lo rendono invisibile e flessibile, permettendo agli aggressori di specificare quali directory e file crittografare o ignorare.

Nell’attacco scoperto in Colombia, gli aggressori hanno utilizzato RustyStealer per rubare le credenziali aziendali dei dipendenti, che poi hanno sfruttato per ottenere l’accesso ai sistemi aziendali e distribuire il ransomware. Questo attacco esemplifica il brokeraggio dell’accesso iniziale, in cui gli aggressori mantengono il controllo del sistema abbastanza a lungo da installare il ransomware, invece di vendere l’accesso ad altri cybercriminali sul dark web. Questo potrebbe rappresentare un nuovo trend, con i broker che eseguono direttamente gli attacchi ransomware, bypassando i tradizionali gruppi Ransomware-as-a-Service (RaaS).

 

La richiesta di riscatto di Ymir

 

 Il ransomware impiega ChaCha20, un moderno stream cipher noto per la sua velocità e sicurezza, addirittura superiore all’Advanced Encryption Standard (AES). Per cercare di trovare un nome alla nuova minaccia, gli esperti di Kaspersky hanno pensato alla luna di Saturno chiamata Ymir: si tratta, infatti, di una luna “irregolare” che viaggia nella direzione opposta rispetto alla rotazione del pianeta, una caratteristica che assomiglia alla combinazione non convenzionale di funzioni di gestione della memoria utilizzate dal nuovo ransomware. L’analisi dettagliata è disponibile su Securelist.

 

Leggi anche: “Gamer sotto attacco hacker

*illustrazione articolo progettata da  Securelist

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Classifica delle minacce informatiche di Ottobre

In Italia, FakeUpdates e Androxgh0st rimangono le principali minacce, mentre Formbook scende al settimo posto e Lumma Stealer sale al terzo. A livello globale, i ricercatori hanno rilevato un significativo aumento degli infostealer. Il malware Necro è in crescita tra le minacce per dispositivi mobili

Avatar

Pubblicato

il

Check Point® Software Technologies Ltd. ha pubblicato l’Indice delle minacce globali per ottobre 2024, evidenziando un aumento preoccupante degli attacchi da infostealer e la crescente sofisticazione dei metodi di attacco. In Italia, le minacce principali rimangono FakeUpdate al primo posto e Androxgh0st al secondo, con Lumma al terzo posto, sostituendo Formbook che scende al settimo. FakeUpdate, un downloader JavaScript, è la minaccia più significativa con un impatto dell’8,36%, seguita da Androxgh0st, una botnet che ruba informazioni sensibili, con un impatto del 6,7%. Lumma Stealer, un malware russo che sottrae informazioni e opera come Malware-as-a-Service, si posiziona al terzo posto con un impatto del 3,75%. I ricercatori hanno scoperto una nuova catena di infezione che utilizza false pagine CAPTCHA per distribuire Lumma Stealer, diffuso tramite URL di download di giochi craccati e email di phishing indirizzate agli utenti di GitHub. Questo metodo di infezione evidenzia l’efficacia crescente degli infostealer nel rubare credenziali e dati sensibili.

 

Il malware che colpisce Android

Nel settore del malware per dispositivi mobili, la nuova versione di Necro è diventata una minaccia significativa, classificandosi al secondo posto tra i malware più diffusi. Necro ha infettato numerose applicazioni popolari, inclusi mod di gioco su Google Play, compromettendo oltre 11 milioni di dispositivi Android. Utilizza tecniche di offuscamento e steganografia per eludere il rilevamento e nascondere i suoi payload. Una volta attivato, può visualizzare annunci in finestre invisibili, interagire con essi e abbonare le vittime a servizi a pagamento, dimostrando l’evoluzione delle tattiche degli aggressori per monetizzare le loro operazioni.

 

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è il malware più diffuso questo mese con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 4%.

  1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. ↔ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
  3. ↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
  4. ↑ Lumma Stealer, noto anche come LummaC2, è un malware legato alla Russia che ruba informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Questo malware, scoperto a metà del 2022, è in continua evoluzione e viene distribuito attivamente sui forum in lingua russa. LummaC2 si concentra sulla raccolta di vari dati dai sistemi infetti, tra cui le credenziali del browser e le informazioni sui conti delle criptovalute.
  5. ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttate

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
  2. Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086 – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
  3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.

Principali malware per dispositivi mobili

Questo mese Joker è al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Necro e Anubis.

  1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
  2. ↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
  3. ↓ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

I settori più attaccati a livello globale

Questo mese l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori attaccati a livello globale, seguita da governo/militare e comunicazioni.

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. Comunicazioni

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Meow con il 5%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
  3. Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto. Meow Ransomware si diffonde attraverso vari vettori, tra cui configurazioni RDP non protette, spam via e-mail e download dannosi.

 

 

*illustrazione articolo progettata da  Securelist

Continua a Leggere

Trending