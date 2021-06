Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index relativo a maggio 2021. CPR segnala che Trickbot, entrato per la prima volta nella lista nell'aprile 2019, ora è al primo posto. Mentre il trojan Dridex è scivolato in classifica dopo essere stato uno dei malware più diffusi negli ultimi mesi; anche se non è ancora noto il motivo dello scivolone, gli ultimi report indicano che Evil Corp, ben nota per la distribuzione di Dridex, ha fatto un processo di rebranding per eludere le sanzioni del dipartimento del tesoro degli Stati Uniti.

Trickbot preoccupa anche l’Italia, non solo per il primo posto nella sepciale classifica, ma per averlo ottenuto con una percentuale (15%) praticamente doppia rispetto a tutto il mondo (8%). Come detto, Trickbot sta dominando il panorama ora e preoccupa per la sua natura: botnet e banking trojan che può rubare dettagli finanziari, credenziali di conto e informazioni di identificazione personale, oltre a diffondersi all'interno di una rete e rilasciare del ransomware, in particolare Ryuk. Viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione, il che gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

Dall'inizio del 2021, CPR ha visto un aumento significativo del volume di cyber attacchi verso le imprese. Confrontando con maggio 2020, ha visto un aumento del 70% nel numero di cyber attacchi nelle Americhe, mentre in EMEA l’aumento è del 97%, e infine APAC ha visto un impressionante aumento del 168%.

“Si è parlato molto del recente aumento degli attacchi ransomware, ma in realtà stiamo assistendo a un'enorme impennata dei cyber attacchi in generale. È un trend significativo e preoccupante”, ha detto Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Le organizzazioni devono essere consapevoli dei rischi e garantire soluzioni adeguate, ma anche ricordare che gli attacchi non possono solo essere rilevati, ma devono essere prevenuti, compresi gli attacchi zero-day e il malware ancora sconosciuto. Con le giuste tecnologie in atto, la maggior parte degli attacchi, anche quelli più avanzati, può essere prevenuta senza intaccare il business.”

I tre malware più diffusi di maggio sono stati

Questo mese, Trickbot diventa il malware più diffuso con un impatto globale dell'8% delle organizzazioni, seguito da XMRig e Formbook con il 3% delle organizzazioni in tutto il mondo ciascuno.

1. Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

2. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.

3. Formbook – info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.

Le tre vulnerabilità più sfruttate del mese di maggio

Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto sul 48% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution (CVE-2020-13756)” con il 47,5%. “MVPower DVR Remote Code Execution” occupa il terzo posto con un impatto globale del 46%.

1. Web Server Exposed Git Repository Information Disclosure – – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.

2. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

3. MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

I tre malware mobile più diffusi di maggio:

Anche a questo mese xHelper occupa il primo posto, seguito da Triada e Hiddad.

1. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.

2. Triada – Backdoor modulare per Android che garantisce i privilegi di superutente per scaricare malware.

3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell'intelligence ThreatCloud dell'azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull'andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di

ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.