Check Point: il numero di attacchi ransomware è aumentato del 107% ad aprile.


Gli esperti di Check Point Research hanno elaborato un rapporto sul trend dei malware di Aprile 2021 riscontrando che la minaccia del ransomware è aumentata del 107%.


I ricercatori riferiscono che AgentTesla Trojan, si è classificato secondo nell'indice, mentre il noto trojan Dridex è ancora il malware più diffuso, essendo salito al primo posto a marzo dopo essere stato settimo a febbraio.



Dridex viene spesso utilizzato nella fase iniziale dell'infezione nelle operazioni di ransomware, che stanno diventando sempre più numerose. Ad esempio, a marzo, i ricercatori hanno avvertito che all'inizio del 2021 il numero di attacchi ransomware è aumentato del 57%.


Purtroppo, questa tendenza continua a svilupparsi: in generale, ha già registrato un aumento del 107% rispetto allo stesso periodo dello scorso anno. Nel 2020, secondo gli esperti, il danno da ransomware in tutto il mondo è stato di circa 20 miliardi di dollari, quasi il 75% in più rispetto al 2019.


Per la prima volta AgentTesla si è classificato al secondo posto nel rating dell'azienda. È un RAT (Remote Access Trojan) avanzato che infetta i computer dal 2014, agendo come keylogger e password stealer. Il malware è in grado di monitorare e raccogliere i dati inseriti dalla tastiera della vittima, acquisire screenshot ed estrarre credenziali relative a vari programmi installati sulla macchina infetta (inclusi Google Chrome, Mozilla Firefox e Microsoft Outlook).



"Stiamo assistendo a un enorme aumento degli attacchi ransomware in tutto il mondo, quindi non sorprende che il malware più popolare ad aprile sia associato a questa tendenza. In media, ogni 10 secondi, un'organizzazione nel mondo diventa vittima di ransomware"

afferma Vasily Diaghilev, capo di Check Point Software Technologies in Russia e nella CSI.

"Gli hacker usano spesso i nomi di organizzazioni ben note per i loro attacchi. Questa volta hanno imitato il marchio QuickBooks"

un pacchetto software di contabilità diffuso negli Stati Uniti che si trova anche in Russia.

"Le e-mail dannose contenevano notifiche di pagamento e fatture false. Le organizzazioni devono essere consapevoli di questi rischi e fornire non solo soluzioni di sicurezza adeguate, ma anche formazione dei dipendenti. Il fattore umano è ancora l'anello più vulnerabile, quindi è molto importante fare in modo che i dipendenti possano riconoscere le email di phishing. È attraverso di loro che spesso si verificano infezioni da ransomware ".

Di seguito viene riportata la classifica dei TOP10 malware più popolari nel mese di aprile 2021.

  1. ↔ Dridex - Dridex è un Trojan che prende di mira la piattaforma Windows, distribuito principalmente tramite allegati di spam dannosi. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli arbitrari. Le infezioni da Dridex spesso fungono da punto d'appoggio iniziale negli attacchi Ransomware a livello aziendale.

  2. ↑ Agente Tesla - Si tratta di un RAT avanzato che funziona come keylogger, che è in grado di monitorare e raccogliere l'input da tastiera della vittima, la tastiera di sistema, acquisire schermate ed esfiltrare credenziali a una varietà di software installato sulla macchina della vittima, inclusi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook.

  3. ↑ Trickbot - Trickbot è un botnet modulare e un trojan bancario costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Ciò consente a Trickbot di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

  4. ↑ XMRig - XMRig è un software di mining open source utilizzato per il processo di mining della criptovaluta Monero e visto per la prima volta a maggio 2017.

  5. ↔ Qbot - Qbot è un trojan bancario apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti degli utenti. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debugging e anti-sandbox, per ostacolare l'analisi ed eludere il rilevamento.

  6. ↑ Formbook - Formbook è un malware che ruba le credenziali da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base ai suoi ordini dal C&C.

  7. ↑ Nanocore - NanoCore è un Trojan di accesso remoto, che include plug-in di base e funzionalità come l'acquisizione di schermate, mining di criptovalute, controllo remoto del desktop e furto di sessioni webcam.

  8. ↑ Glupteba - Glupteba è una backdoor che è gradualmente diventata una botnet. Entro il 2019 includeva un meccanismo di aggiornamento degli indirizzi C&C tramite elenchi di BitCoin pubblici

  9. ↑ Ramnit - Ramnit è un trojan bancario che ruba credenziali bancarie, password FTP, cookie di sessione e dati personali.

  10. ↑ Phorpiex - Phorpiex è una botnet nota per la distribuzione di altre famiglie di malware tramite campagne di spam e per alimentare campagne di Sextortion su larga scala.



Invece nella analisi, vengono anche riportate le principali vulnerabilità sfruttate, dove la "Web Server Exposed Git Repository Information Disclosure" è la vulnerabilità più sfruttata che colpisce il 46% delle organizzazioni a livello globale, seguita da "HTTP Headers Remote Code Execution (CVE-2020-13756)" che colpisce il 45,5% delle organizzazioni in tutto il mondo. "MVPower DVR Remote Code Execution" è al terzo posto nell'elenco delle principali vulnerabilità sfruttate, con un impatto globale del 44%.


Di seguito la lista delle TOP10:

  1. ↑ Web Server Exposed Git Repository Information Disclosure è stata segnalata una vulnerabilità di divulgazione di informazioni. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire la divulgazione involontaria delle informazioni sull'account.

  2. Esecuzione di codice in modalità remota delle intestazioni HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Le intestazioni HTTP consentono al client e al server di trasmettere ulteriori informazioni con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un'intestazione HTTP vulnerabile per eseguire codice arbitrario sulla macchina vittima.

  3. MVPower DVR Remote Code Execution - esiste una vulnerabilità legata all'esecuzione di codice remoto nei dispositivi MVPower DVR. Un utente malintenzionato remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta predisposta.

  4. Bypass di autenticazione del router Dasan GPON (CVE-2018-10561) : esiste una vulnerabilità di bypass dell'autenticazione nei router Dasan GPON. Lo sfruttamento efficace di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere l'accesso non autorizzato al sistema interessato.

  5. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638, CVE-2017-5638, CVE-2019-0230) - esiste una vulnerabilità legata all'esecuzione di codice in modalità remota in Apache Struts2 utilizzando il parser multipart Jakarta. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento di file. Lo sfruttamento riuscito potrebbe comportare l'esecuzione di codice arbitrario sul sistema interessato.

  6. Iniezione di comandi su payload HTTP (CVE-2013-6719, CVE-2013-6720) - È stata segnalata una vulnerabilità di iniezione di comandi su payload HTTP. Un utente malintenzionato remoto può sfruttare questo problema inviando una richiesta appositamente predisposta alla vittima. Lo sfruttamento riuscito consentirebbe a un utente malintenzionato di eseguire codice arbitrario sulla macchina di destinazione.

  7. ↔ SQL Injection (tecniche diverse) - Inserimento di un'iniezione di query SQL in input dal client all'applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un'applicazione.

  8. ↑ Divulgazione di informazioni sui file di sistema Linux (CVE-2015-2746, CVE-2018-10093, CVE-2018-3948, CVE-2018-3948) - Il sistema operativo Linux contiene file di sistema con informazioni sensibili. Se non configurati correttamente, gli aggressori remoti possono visualizzare le informazioni su tali file.

  9. ↑ ThinkPHP Remote Code Execution - Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nel framework NoneCMS ThinkPHP. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.

  10. ↑ Bypass dell'autenticazione del plug-in Portable-phpMyAdmin di WordPress (CVE-2012-5469) - Esiste una vulnerabilità di bypass dell'autenticazione nel plug-in Portable-phpMyAdmin di WordPress. Lo sfruttamento efficace di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere l'accesso non autorizzato al sistema interessato.



Fonte

https://blog.checkpoint.com/2021/05/13/april-2021s-most-wanted-malware-dridex-remains-in-top-position-amidst-global-surge-in-ransomware-attacks/