Nel mondo delle minacce online esistono, purtroppo, moltissimi pericoli e tantissime trappole da evitare per non incorrere in danni più e meno grandi per sé stessi e, eventualmente, anche per le proprie attività. Ogni azienda specializzata nella cybersecurity emette i suoi report, talvolta mensili e talvolta per periodi più ampi, per informare gli utenti di tutto il mondo su quali sono i principali veicoli di minaccia presenti in rete. Check Point Security, ad esempio, pubblica ogni mese i suoi report riferiti ai malware più presenti nel mondo e specificandone poi le maggiori rilevazioni anche secondo il tipo di minaccia. In questo breve approfondimento vediamo quali sono le minacce maggiormente rilevate nel report più recente e vediamo anche come operano questi malware.
Nell’approfondimento si parte raccontando di una recente campagna a più fasi creata dagli hacker per diffondere diversi virus, ovvero quelli attualmente più diffusi, che sarebbero AgentTesla, Remcos e XLoader, alcuni dei quali sono stati già trattati anche in queste pagine. Per far arrivare al bersaglio, le tecniche usate per far fare breccia a queste offensive sono particolarmente sofisticate e riescono spesso ad evitare i sistemi di rilevamento. Tutto questo, come capita spesso, viene veicolato tramite il phishing via email, con dei finti ordini confermati che celano in realtà archivi compressi con 7-zip contenenti codice malevolo. Senza scendere in dettagli tecnici, l’apertura e la decompressione dei file contenuti nell’archivio fa partire la catena d’infezione con malware che, sebbene siano tanto diffusi, sono anche di un livello piuttosto basso.
Passando alle minacce maggiormente rilevate si comincia appunto dai malware generici, per le cui famiglie Check Point fa una classifica segnalando anche l’andamento rispetto alle analisi precedenti. Al primissimo posto, che segna anche la minaccia più diffusa, troviamo FakeUpdates, che è in giro dal 2018 e che viene scaricato da siti web già compromessi invitando gli utenti a scaricare un finto aggiornamento del browser utilizzato. Al secondo posto troviamo Remcos, che abbiamo già visto, un trojan di tipo RAT che è stato scoperto nel 2016 e che, come anticipato, viene distribuito in allegati malevoli via email. Allo stesso modo, AgentTesla, al terzo posto, è sempre un RAT ma riesce anche ad effettuare il furto di informazioni e password. Minaccia molto persistente, visto che è stato rilevato per la prima volta nel 2014, registra anche la digitazione della tastiera e tutto ciò che finisce negli appunti degli utenti infettati. La particolarità di AgentTesla è che ha anche un prezziario ben noto, andando dai 15 ai 70 Euro circa per licenza.
Evitiamo di scendere maggiormente in questa top10, della quale nell’ordine fanno parte anche AndroXgh0st, AsyncRat, Formbook, Lumma (che conosciamo bene per la campagna via PEC diffusa in Italia), Phorphiex, Amadey e Raspberry Robin. Passiamo adesso invece ad un tipo specifico di malware, ovvero i ransomware, per i quali nell’ultimo report si è segnalata la salita veloce di SatanLock, i cui responsabili, solo in aprile, hanno dichiarato di aver mietuto quasi 70 vittime ma, a onor del vero, parlando anche di vittime già colpite da altre minacce. Questo potrebbe significare che s’è creato un clima anche di competizione tra gli stessi hacker, che per aumentare i loro numeri sfruttano il passaggio già avvenuto ed effettuato da altre “famiglie”. Fatta questa introduzione, specifichiamo che SatanLock si trova al secondo posto in un solo mese, ma al primo posto troviamo il già famoso Akira, salito agli onori della cronaca nel 2023 e che mette nel bersaglio tutti i tipi di sistema operativo, effettua la crittografia passando prima da allegati email infetti ed inserendo il .akira al termine del nome dei file per dimostrare di aver fatto breccia. Al terzo posto troviamo invece una minaccia della quale abbiamo già parlato, vale a dire Qilin (o Agenda), RaaS che trova collaboratori e fa esfiltrare loro i dati chiedendo come sempre un riscatto. Noto dal 2022, questo ransomware ha colpito, o perlomeno ha provato a farlo, principalmente grossi obiettivi con un occhio di riguardo per la sanità e l’istruzione, e lo ha fatto tramite campagne di phishing con link malevoli che portavano poi a movimenti laterali, esfiltrazione dei dati, criptazione di quest’ultimi e richiesta di riscatto con minaccia di divulgazione delle informazioni rubate.
Passando al mobile, i malware principalmente rilevati sono stati Anubis, AhMyth e Hydra. Il primo viene installato in app scaricabili da store non ufficiali e colpisce sistemi Android mirando poi a raggirare le autenticazioni a due fattori ed a rubare più informazioni possibili garantendosi la permanenza sui dispositivi. Il secondo invece è sempre un RAT ed è sempre per Android, ma viene riscontrato su app all’apparenza legittime per la registrazione dello schermo, giochi o strumenti inerenti le criptovalute. Ovviamente anche AhMyth punta alle informazioni personali ed al furto delle credenziali, anche superando i codici di autenticazione. L’ultimo della top3 è Hydra, un trojan che punta al furto di accessi all’home banking e quindi l’abilitazione di autorizzazioni e accessi quando ci si collega ad una delle app delle banche.
Passando rapidamente ai settori che nell’ultimo report risultano quelli maggiormente colpiti a livello mondiale, Check Point Security dice che al primo posto troviamo l’istruzione in tutte le sue sfaccettature ed a tutti i livelli, forse anche a causa di infrastrutture poco forti. A seguire troviamo i settori di tipo governativo, quindi enti pubblici e strutture varie, come ad esempio i nostri ministeri, che adesso sono saliti di livello anche a causa delle tensioni mondiali. Al terzo posto troviamo infine le TLC, ed anche in questo caso è possibile trovare la motivazione dicendo che è uno dei modi che gli hacker hanno per poter mettere in ginocchio, o perlomeno provarci, un sistema utilizzato da tutti i cittadini e che quindi è strategico.
Dopo aver visto le tante zone maggiormente a rischio in tutto il mondo, Check Point consiglia, per concludere la sua analisi, un approccio di tipo diverso visto il grande livello di sofisticazione delle campagne malware ormai maggiormente diffuse. Le aziende e tutte le organizzazioni dovrebbero prevenire innanzitutto le minacce con corsi di formazione di tutto il personale concentrandosi molto sul phishing, che costituisce ancora una minaccia importante. Passando a cose più tecniche si consiglia anche di avere programmi imponenti di installazione e verifica della presenza di patch e ricorso a strumenti aggiornati per la sicurezza.
