dridex minacce informatiche

La minaccia informatica aziendale del momento
Dridex è stato aggiornato e diffuso attraverso molteplici campagne spam, diventando un pericolo per le organizzazioni italiane

3 min


Check Point Research, la divisione di soluzioni di sicurezza aziendale di Check Point Software Technologies Ltd., il principale fornitore di soluzioni di cybersicurezza a livello globale, ha pubblicato il Global Threat Index di marzo 2020. E le notizie sulla continua espansione di alcune minacce informatiche pericolose, come Dridex, non fanno ben sperare.

Dridex: una delle minacce informatiche più pericolose del momento

Il noto banking trojan Dridex, apparso per la prima volta nel 2011, è entrato per la prima volta nella top10 della lista dei malware più diffusi, piazzandosi al terzo posto, ma diventando subito il malware con il maggiore impatto in Italia. Dridex è stato aggiornato e viene ora utilizzato nelle prime fasi di attacco per scaricare ransomware mirati, come BitPaymer e DoppelPaymer.

I banking trojan (Cavalli di Troia Bancari) sono una categoria di malware che mira a rubare le credenziali bancarie delle vittime, per effettuare frodi online.

Il forte aumento dell’utilizzo di Dridex è stato determinato da diverse campagne spam contenenti un file Excel dannoso che scarica il malware nel computer della vittima. Il riacutizzarsi del malware Dridex, una delle minacce informatiche più pericolose, evidenzia la rapidità con cui i cyber-criminali modificano i temi dei propri attacchi per cercare di massimizzare i tassi di infezione. Dridex è un banking malware sofisticato che prende di mira la piattaforma Windows. Esso invia campagne spam ai computer, per infettarli e rubare le credenziali bancarie e altre informazioni personali. In modo da facilitare il trasferimento fraudolento di denaro. Il malware è stato sistematicamente aggiornato e sviluppato nell’ultimo decennio.

Un effetto 4 volte superiore rispetto al solito

In Italia Dridex, nel mese di marzo, ha avuto un effetto 4 volte superiore sulle organizzazioni, conquistando il primo posto e diventano il pericolo numero uno, con il 12% di impatto. XMRig, fuori dal podio in Italia, rimane al 1° posto in questa speciale classifica globale stilata da Check Point, con un impatto sul 5% delle organizzazioni. Seguito da Jsecoin e Dridex che hanno avuto un impatto rispettivamente del 4% e del 3%.

“Dridex appare per la prima volta tra le principali famiglie di malware mostrando quanto velocemente i criminali informatici possano cambiare i loro metodi.”, ha dichiarato Maya Horowitz, Direttore, Threat Intelligence & Research, Products di Check Point. “Questo tipo di malware può essere molto redditizio per i criminali, data la sua sofisticazione. E viene ora utilizzato per scaricare ransomware, il che lo rende ancora più pericoloso rispetto alle varianti precedenti. Quindi, le persone devono diffidare delle e-mail con allegati, anche se sembrano provenire da una fonte affidabile. Soprattutto visto l’ampio utilizzo dello smart working nelle ultime settimane. Le organizzazioni devono educare i dipendenti su come identificare lo spam dannoso e implementare misure di sicurezza che aiutino a proteggere i loro team e le loro reti da tali minacce.”

I tre malware più diffusi di marzo

Questo mese XMRig rimane al 1° posto, con un impatto sul 5% delle organizzazioni a livello globale, seguito dalle minacce informatiche Jsecoin e Dridex con un impatto rispettivamente del 4% e del 3%.

La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente:

  1. XMRig – mining software open-source CPU utilizzato per la creazione della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  2. ↑ Jsecoin – un cryptominer web-based progettato per eseguire il mining online della criptovaluta Monero quando un utente visita una particolare pagina web. Il JavaScript impiantato utilizza una grande quantità di risorse di calcolo delle macchine dell’utente finale per estrarre i coin, influenzando così le prestazioni del sistema.
  3. ↑ Dridex – Dridex è un banking trojan che prende di mira la piattaforma Windows, distribuito da campagne spam, che si affidano a WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.

Le vulnerabilità più sfruttate del mese di marzo

Questo mese MVPower DVR Remote Code Execution rimane la vulnerabilità sfruttata più diffusa, con un impatto sul 30% delle organizzazioni a livello globale, seguita da vicino da PHP php-cgi Query String Parameter Code Execution con un impatto globale del 29%.  Al terzo posto OpenSSL TLS DTLS Heartbeat Information Disclosure, con il 27%.

La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente:

  1. ↔ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  2. ↑ PHP php-cgi Query String String Parameter Code Execution – vulnerabilità di esecuzione remota del codice è dovuta all’analisi e al filtraggio improprio delle stringhe di query da parte di PHP. Sfruttandola, un aggressore remoto può inviare richieste HTTP ad hoc. Uno sfruttamento riuscito consente a un aggressore di eseguire codice arbitrario sul bersaglio.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

I tre malware mobile più diffusi in marzo

Questo mese xHelper ha mantenuto il 1° posto tra i malware mobile più diffusi, seguito da AndroidBauts e Lotoor.

La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente:

  1. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  2. AndroidBauts – adware rivolto agli utenti Android che esfiltra le informazioni IMEI, IMSI, posizione GPS e altre informazioni sul dispositivo e consente l’installazione di applicazioni e scorciatoie di terze parti sui dispositivi mobile.
  3. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.

La lista completa delle 10 famiglie di malware più attive nel mese di marzo è disponibile sul blog di Check Point.


Sara Grigolin

author-publish-post-icon
Amo le serie tv, i libri, la musica e sono malata di tecnologia. Soprattutto se è dotata di led RGB.
                  Vuoi rimanere sempre aggiornato?

           Iscriviti alla nostra             Newsletter!

                                  Tranquillo, ti disturberemo solo
                                     una volta al mese...per ora! 👹
Mi iscrivo!
close-link









 




 

Sì, iscrivimi alla newsletter!
close-link