Nel mese di maggio la minaccia cyber che ha maggiormente colpito l'Italia è stata Trickbot, che nel Belpaese ha avuto una presenza del 15%, contro l'8 percento del resto del mondo. Dridex, il malware più pericoloso in Italia nel mese di aprile, è invece scivolato in fondo alla classifica per motivi ad oggi sconosciuti. I ricercatori suppongono che Evil Corp, gruppo a cui fa capo la distribuzione di Dridex, sia in fase di rebranding per eludere le sanzioni del Dipartimento del Tesoro degli Stati Uniti e questo ne abbia rallentato le attività.

Quanto a TrickBot, c'è poco di nuovo. È nella top 10 delle minacce informatiche dall'aprile 2019 e nelle sue varie evoluzioni ha ormai assunto il ruolo di botnet, di banking trojan e di malware. Può essere impiegato per rubare dati finanziari, credenziali e informazioni personali. L'aspetto più preoccupante è che spesso viene impiegato come veicolo per l'avvio di campagne ransomware, in particolare con Ryuk.

Viene costantemente aggiornato con nuove caratteristiche e vettori di distribuzione, il che gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.  Qualche tempo fa la botnet di TrickBot fu messa sotto assedio da un'azione congiunta di ESET, Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT e altre aziende. Tuttavia non fu possibile smantellare del tutto l'infrastruttura e, come la Fenice, TrickBot è risorta dalle proprie ceneri, ossia dai pochi server scampati alla rappresaglia, fino a tornare una minaccia di primo piano.   
Secondo e terzo posto della classifica dei malware più diffusi, stilata dai ricercatori di Check Point Research, sono XMRig e Formbook. Entrambe sono vecchie conoscenze e presenze pressoché fisse nel panorama delle minacce globali. XMRig è un software utilizzato per il mining della valuta criptata Monero, che è in circolazione da maggio 2017.

Formbook è un info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base agli ordini impartiti dai server di Comando e Controllo.

Più che le minacce singole, tuttavia, a preoccupare gli esperti di CPR è l'andamento degli attacchi contro le aziende. Dall'inizio del 2021 si è rilevato un aumento significativo del volume di cyber attacchi verso le imprese. Rispetto a maggio 2020 il numero di cyber attacchi conto le aziende statunitensi è aumentato del 70%; quello contro aziende nell'area EMEA è lievitato del 97%. La situazione peggiore è nell'area APAC, dovesi registra un picco  del 168%.

Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point, comment ache “Si è parlato molto del recente aumento degli attacchi ransomware, ma in realtà stiamo assistendo a un'enorme impennata dei cyber attacchi in generale. È un trend significativo e preoccupante. Le organizzazioni devono essere consapevoli dei rischi e garantire soluzioni adeguate, ma anche ricordare che gli attacchi non possono solo essere rilevati, ma devono essere prevenuti, compresi gli attacchi zero-day e il malware ancora sconosciuto. Con le giuste tecnologie in atto, la maggior parte degli attacchi, anche quelli più avanzati, può essere prevenuta senza intaccare il business”.
Chiude l'appuntamento mensile con le classifiche di Check Point Research quella delle vulnerabilità più sfruttate del mese, a ricordare che il patching è un'attività di cruciale importanza nell'ottica della prevenzione. La più sfruttata è stata la Web Server Exposed Git Repository Information Disclosure, una vulnerabilità riguardante la divulgazione di informazioni in Git Repository che se sfruttata può consentire una diffusione involontaria delle informazioni di un account. Ha avuto un impatto sul 48% delle organizzazioni a livello globale.

Secondo posto per HTTP Headers Remote Code Execution (CVE-2020-13756) con un impatto del 47,5%. consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante da remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

Ultima in classifica è la ben nota MVPower DVR Remote Code Execution, con un impatto globale del 46%. Si tratta di una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR, che può essere sfruttata da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.