Italia minacciata dal malware nordcoreano Blindingcan

Il malware nord coreano Blindingcan è attivo in Italia e ha già un impatto del 7,65% sulle aziende nostrane.

Autore: Redazione SecurityOpenLab

Gli utenti italiani sono minacciati da un nuovo malware che desta grandi preoccupazioni agli esperti di cyber security. Si chiama Blindingcan, proviene dalla Corea del Nord ed è un trojan ad accesso remoto (RAT). Si inserisce nella classifica delle cyber minacce direttamente al secondo posto, con il 7,65% di impatto sulle organizzazioni italiane.

La diffusione di questa minaccia è circoscritta al Belpaese perché il gruppo nordcoreano che lo ha creato ha utilizzato siti web italiani compromessi per comandare e controllare il malware. Marco Urciuoli, Country Manager Check Point Italia, spiega che "permette di prendere il controllo del computer delle vittime per eseguire varie attività come l'installazione di altri malware, modificare programmi, acquisire dati sensibili. La particolarità di Blindingcan sembrerebbe essere quella di potersi rimuovere dai sistemi e cancellare le proprie tracce in modo molto efficace, rendendolo quindi difficile da individuare una volta penetrato nel sistema, ecco perché è sempre più importante agire in modo preventivo”.

Il Global Threat Index del 2021 di Check Point relativo a gennaio ha inoltre denotato una presenza importante di Dridex, il ben noto trojan bancario che attualmente occupa la terza posizione fra le minacce maggiori. Minaccia esclusivamente i sistemi Windows, si diffonde tramite campagne di spam e Exploit Kits. I computer infettati inviano le credenziali bancarie a un server controllato dall’aggressore. Dridex può inoltre scaricare ed eseguire moduli aggiuntivi per il controllo remoto. 
La prima posizione in classifica resta per il momento e Emotet. Ricordiamo che è stato smantellato da un'azione coordinata da Europol ed Eurojust, quindi al momento costituisce una minaccia molto bassa. Probabilmente sarà del tutto innocuo ad aprile, quando dovrebbe essere disinstallato da tutti i sistemi infetti. Tuttavia l'azione è avvenuta il 27 gennaio, quindi per tutto il mese ha imperversato, colpendo il 14% delle aziende.

Vale la pena inoltre ricordare la diffusione ancora importante del banking trojan Trickbot. La sua diffusione è in calo, ma è comunque da ritenersi insidioso perché viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione.

Vulnerabilità note

Check Point non manca di segnalare le vulnerabilità note che sono state maggiormente sfruttate in Italia nel periodo in esame. La più minacciosa è stata la MVPower DVR Remote Code Execution, che ha registrato un impatto del 43%. È una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un attaccante può sfruttarla per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

Secondo posto per la CVE-2020-13756 (HTTP Headers Remote Code Execution) con il 42%. Consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante da remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima. 

L'ultima nota riguarda la CVE-2018-10561 (Dasan GPON Router Authentication Bypass), che ha avuto un impatto del 41%. È una vulnerabilità di bypass dell’autenticazione che esiste nei router Dasan GPON. Uno sfruttamento efficace permetterebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.