Gli attacchi informatici sono sempre più
remunerativi, aumentano progressivamente di numero, e i criminali informatici hanno sempre più fondi per sviluppare
nuove armi. Lo testimoniano i dati collezionati da HP Wolf Security, che tiene traccia del malware all'interno di macchine micro-virtuali isolate per comprendere e catturare una catena di infezione completa.
In particolare, HP ha calcolato che fra la seconda metà del 2020 e la prima metà del 2021 il traffico dovuto al download di
strumenti di hacking dal dark web è aumentato del 65%. Oltre ai threat classici, stanno prendendo piede novità a cui è bene prestare attenzione.
In particolare, i ricercatori mettono l'accento su uno strumento che
sfrutta il riconoscimento ottico dei caratteri (OCR) per risolvere i Captcha. Viene impiegato per condurre attacchi di
credential stuffing contro i siti web.
I malware più usati
L'uscita di scena di Emotet ha fatto di
Dridex il malware più gettonato del 2021. Non è solo una
minaccia per l'Italia, ma per tutto il mondo. Da notare anche come viene sfruttato: i suoi autori lo impiegano per
campagne di phishing, ma anche come primo anello della una catena d'attacco
ransomware. In quest'ultimo caso, spesso gli affiliati vendono l'accesso alle aziende violate ad altri attaccanti.
Se Dridex è un'arma versatile, il malware CryptBot non è da meno. Storicamente è stato utilizzato come infostealer per esfiltrare le credenziali da
portafogli di criptovaluta e browser web. Di recente è stato
impiegato anche per la distribuzione del trojan bancario DanaBot.
Abbiamo segnalato più volte che gli attacchi sono sempre più mirati. Sono gli strumenti a consentirlo, e un esempio di questo è la campagna di downloader VBS
destinata ai dirigenti aziendali. Sfruttando script VBS condivide allegati ZIP dannosi che prendono il nome dal manager target. Una volta infiltrato,
sfrutta strumenti legittimi del sistema per assicurarsi la persistenza, scaricare nuovi malware e prelevare informazioni.
Il fatto che siano i manager l'obiettivo predestinato non è un caso: spesso è violando i loro account che si entra in possesso di
credenziali di alto livello con cui attaccare la rete, o che si possono avviare
attacchi BEC di successo.
L'ultima segnalazione degna di nota riguarda gli attacchi che sfruttano vulnerabilità di Microsoft Office per distribuire il
RAT Remcos, una minaccia particolarmente insidiosa perché difficile da individuare.
Come vengono distribuiti i malware
Il 75% del malware viene
distribuito via email. I download web sono responsabili del restante 25%.
Le esche di phishing più comuni sono le fatture e le transazioni commerciali (49%), e in periodo di piena pandemia quelle che
menzionavano il COVID-19.
Il tipo più comune di allegato dannoso è un file di Office. A questo proposito è bene prestare attenzione alla
vecchia vulnerabilità CVE-2017-11882: il malware che la sfrutta è cresciuto del 24% nel periodo in esame. Inoltre, stanno prendendo sempre più piede tipi di file insoliti, come JAR (Java Archive files), utilizzati per bypassare gli strumenti di rilevamento e scansione.