Il malware nord coreano Blindingcan è attivo in Italia e ha già un impatto del 7,65% sulle aziende nostrane.
Gli utenti italiani sono minacciati da un nuovo
malware che desta grandi preoccupazioni agli esperti di cyber security. Si chiama
Blindingcan, proviene dalla Corea del Nord ed è un trojan ad accesso remoto (RAT). Si inserisce nella classifica delle cyber minacce direttamente al secondo posto, con il
7,65% di impatto sulle organizzazioni italiane.
La diffusione di questa minaccia è circoscritta al Belpaese perché il gruppo nordcoreano che lo ha creato ha
utilizzato siti web italiani compromessi per comandare e controllare il malware.
Marco Urciuoli, Country Manager Check Point Italia, spiega che "
permette di prendere il controllo del computer delle vittime per eseguire varie attività come l'installazione di altri malware, modificare programmi, acquisire dati sensibili. La particolarità di Blindingcan sembrerebbe essere quella di potersi rimuovere dai sistemi e cancellare le proprie tracce in modo molto efficace, rendendolo quindi difficile da individuare una volta penetrato nel sistema, ecco perché è sempre più importante agire in modo preventivo”.
Il Global Threat Index del 2021 di Check Point relativo a gennaio ha inoltre denotato una presenza importante di
Dridex, il ben noto trojan bancario che attualmente occupa la terza posizione fra le minacce maggiori. Minaccia esclusivamente i sistemi Windows, si diffonde tramite campagne di spam e Exploit Kits. I computer infettati inviano le credenziali bancarie a un server controllato dall’aggressore. Dridex può inoltre scaricare ed eseguire moduli aggiuntivi per il controllo remoto.
La prima posizione in classifica resta per il momento e
Emotet. Ricordiamo che è stato smantellato da un'azione coordinata da Europol ed Eurojust, quindi al momento costituisce una minaccia molto bassa. Probabilmente sarà del tutto innocuo ad aprile, quando dovrebbe essere disinstallato da tutti i sistemi infetti. Tuttavia l'azione è avvenuta il 27 gennaio, quindi per tutto il mese ha imperversato, colpendo il 14% delle aziende.
Vale la pena inoltre ricordare la diffusione ancora importante del
banking trojan Trickbot. La sua diffusione è in calo, ma è comunque da ritenersi insidioso perché
viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione.
Vulnerabilità note
Check Point non manca di segnalare le
vulnerabilità note che sono state maggiormente sfruttate in Italia nel periodo in esame. La più minacciosa è stata la
MVPower DVR Remote Code Execution, che ha registrato un impatto del 43%. È una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un attaccante può sfruttarla per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
Secondo posto per la CVE-2020-13756 (
HTTP Headers Remote Code Execution) con il 42%. Consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante da remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
L'ultima nota riguarda la CVE-2018-10561 (
Dasan GPON Router Authentication Bypass), che ha avuto un impatto del 41%. È una vulnerabilità di bypass dell’autenticazione che esiste nei router
Dasan GPON. Uno sfruttamento efficace permetterebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici