fbpx
malware Kaspersky

Coronavirus: cresce lo spam per diffondere il malware Emotet


Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index di gennaio 2020. Il team di ricerca ha evidenziato che Emotet si è riconfermata la principale minaccia malware per il quarto mese consecutivo, diffuso inoltre tramite una campagna spam a tema Coronavirus.

Emotet e Coronavirus: impatto del malware sulle aziende

Le e-mail sembrano segnalare dove il Coronavirus si stia diffondendo, o sembrano offrire maggiori informazioni, incoraggiando la vittima ad aprire gli allegati o a cliccare su link che, se aperti, tentano di scaricare il malware Emotet. In Italia nel mese di gennaio ha avuto un impatto sul 18% delle aziende, un valore di rilievo se comparato all’impatto dell’11% che lo stesso malware ha avuto nel report precedente. Il software dannoso è utilizzato principalmente per diffondere ransomware o altre campagne dannose. 

Cos’è un ransomware?

Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema. Altri invece criptano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora in tutto il mondo.

Nel giugno 2013, la casa software McAfee ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250000 diversi tipi di ransomware. Più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.

A gennaio sono aumentati anche i tentativi per sfruttare la vulnerabilità MVPower DVR Remote Code Execution, con un impatto sul 45% delle aziende a livello globale. Questa è passata dall’essere la terza vulnerabilità più sfruttata a dicembre, al diventare il vertice della classifica nel mese appena concluso. Se sfruttata con successo, un aggressore può sfruttare questa debolezza per eseguire codice arbitrario sul dispositivo bersagliato.

I malware più diffusi di gennaio per la psicosi da Coronavirus

“Come il mese scorso, le minacce dannose più ricercate continuano a essere malware versatili come Emotet, XMRig e Trickbot, che collettivamente colpiscono oltre il 30% delle organizzazioni in tutto il mondo.” ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point.

Nella classifica dei malware più diffusi nel mese di gennaio, anche a causa del Coronavirus, Emotet detiene il primo posto con un impatto sul 13% delle aziende a livello globale. Al secondo e terzo posto ci sono XMRig e Trickbot con un impatto, rispettivamente, sul 10% e 7%. La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.

  1. ↔ Emotet – Trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi. 
  2. ↔ XMRig – Mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3. ↔ Trickbot – Trojan del mondo banking e viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.

malware coronavirus

I malware mobile più diffusi in gennaio

xHelper mantiene il primo posto tra i malware più diffusi per i dispositivi mobile, seguito da Guerilla e AndroidBauts.

  1. ↔ xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  2. ↔ Guerrilla – Un trojan Android incorporato in molteplici applicazioni legittime, in grado di scaricare ulteriori payload dannosi. Genera entrate pubblicitarie fraudolente per gli sviluppatori di app.
  3. ↑ AndroidBauts – Adware rivolto agli utenti Android che esfiltra le informazioni IMEI, IMSI, posizione GPS e altre informazioni sul dispositivo e consente l’installazione di applicazioni e scorciatoie di terze parti sui dispositivi mobile.

Le vulnerabilità più sfruttate del mese di gennaio

MVPower DVR Remote Code Execution è stata la vulnerabilità più sfruttata, con un impatto sul 45% delle aziende a livello globale, seguita da Web Server Exposed Git Repository Information Disclosure (44%) e dalla vulnerabilità PHP DIESCAN information disclosure con un impatto del 42%.

  1. ↑ MVPower DVR Remote Code Execution – Vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  2. ↑ Web Server Exposed Git Repository Information Disclosure – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.  
  3. ↑ PHP DIESCAN information disclosure – Una vulnerabilità di divulgazione delle informazioni segnalata nelle pagine PHP. Il successo dello sfruttamento potrebbe portare alla divulgazione di informazioni sensibili dal server.

Il report completo sulle minacce nel mese di gennaio è disponibile visitando questa pagina.


Sara Grigolin

author-publish-post-icon
Amo le serie tv, i libri, la musica e sono malata di tecnologia. Soprattutto se è dotata di led RGB.
                   










 
Sì, iscrivimi alla newsletter!
close-link