Qualche giorno fa parlavamo dei
malware comuni che fanno da apripista ai ransomware. È esattamente quello che sta accadendo con la
botnet Phorpiex, che ha permesso la diffusione del
ransomware Avaddon. Quest'ultimo è una nuova variante di ransomware-as-a-Service (RaaS) che è arrivata alla ribalta delle cronache all'inizio di giugno, scalando la classifica dei malware più pericolosi dal 13mo fino al secondo posto.
Il suo impatto sulle organizzazioni di tutto il mondo è raddoppiato rispetto a maggio, per "merito" di quelle che vengono definite campagne di malspam. I dati sono contenuti nel Global Threat Index di 2020 di Check Point Software.
Phorpiex non è nuovo sulla scena criminale. È noto per essere un veicolo di diffusione efficiente e micidiale per campagne di malspam a tema sextortion. Nella sula escalation è arrivato ora a diffondere
ransomware. La tecnica è la solita ormai nota: mail di phishing invitano le potenziali vittime ad aprire un allegato .ZIP. Se il malcapitato abbocca, installa il ransomware Avaddon.
Avaddon è un prodotto classico nella modalità di operare: crittografa i dati sul computer della vittima e per restituirli chiede il pagamento di un riscatto. La sua nota originale è che è un
RaaS, quindi viene affittato da più gruppi criminali, che poi spartiscono i proventi dei riscatti con gli autori. Gli obiettivi sono le aziende.
Nella sua breve carriera, Avaddon ha all'attivo
oltre un milione di computer Windows infettati e l'avere generato un reddito per i cyber criminali che ammonta a circa 500.000 dollari.
Quelle indicate sopra non sono le uniche minacce in circolazione. Resta saldamente in prima posizione
Agent Tesla, il trojan di accesso remoto che ha imperversato per tutto il mese di giugno. Il criptominer XMRig occupa ola terza posizione per il secondo mese consecutivo.
Le vulnerabilità più sfruttate
Una parte interessante del report mensile di Check Point Software riguarda le
vulnerabilità più sfruttate nel periodo in esame. Come noto, i cyber criminali fanno breccia nei sistemi cercando sistematicamente le falle note di cui sono già state diffuse le patch, non installate prontamente.
Quella più gettonata a maggio è stata una vulnerabilità di divulgazione di informazioni in OpenSSL, che permette ai cyber criminali di accedere al contenuto della memoria di un client o un server connessi. Ha interessato il 45% delle aziende a livello globale.
Segue una vulnerabilità di esecuzione di codice remoto che interessa i dispositivi DVR MVPower. Sfruttandola è possibile
eseguire codice arbitrario nel router interessato. Resta, stazionaria al terzo posto, la falla "Web Server Exposed Git Repository Information Disclosure", una vulnerabilità di divulgazione delle informazioni segnalata in Git Repository. Consente la divulgazione involontaria delle informazioni dell'account.
Dato che per tutte esistono le patch, ne caldeggiamo nuovamente l'installazione.