Qualche giorno fa parlavamo dei malware comuni che fanno da apripista ai ransomware. È esattamente quello che sta accadendo con la botnet Phorpiex, che ha permesso la diffusione del ransomware Avaddon. Quest'ultimo è una nuova variante di ransomware-as-a-Service (RaaS) che è arrivata alla ribalta delle cronache all'inizio di giugno, scalando la classifica dei malware più pericolosi dal 13mo fino al secondo posto.

Il suo impatto sulle organizzazioni di tutto il mondo è raddoppiato rispetto a maggio, per "merito" di quelle che vengono definite campagne di malspam. I dati sono contenuti nel Global Threat Index di 2020 di Check Point Software.

Phorpiex non è nuovo sulla scena criminale. È noto per essere un veicolo di diffusione efficiente e micidiale per campagne di malspam a tema sextortion. Nella sula escalation è arrivato ora a diffondere ransomware. La tecnica è la solita ormai nota: mail di phishing invitano le potenziali vittime ad aprire un allegato .ZIP. Se il malcapitato abbocca, installa il ransomware Avaddon.


Avaddon è un prodotto classico nella modalità di operare: crittografa i dati sul computer della vittima e per restituirli chiede il pagamento di un riscatto. La sua nota originale è che è un RaaS, quindi viene affittato da più gruppi criminali, che poi spartiscono i proventi dei riscatti con gli autori. Gli obiettivi sono le aziende.

Nella sua breve carriera, Avaddon ha all'attivo oltre un milione di computer Windows infettati e l'avere generato un reddito per i cyber criminali che ammonta a circa 500.000 dollari.

Quelle indicate sopra non sono le uniche minacce in circolazione. Resta saldamente in prima posizione Agent Tesla, il trojan di accesso remoto che ha imperversato per tutto il mese di giugno. Il criptominer XMRig occupa ola terza posizione per il secondo mese consecutivo.

Le vulnerabilità più sfruttate

Una parte interessante del report mensile di Check Point Software riguarda le vulnerabilità più sfruttate nel periodo in esame. Come noto, i cyber criminali fanno breccia nei sistemi cercando sistematicamente le falle note di cui sono già state diffuse le patch, non installate prontamente.

Quella più gettonata a maggio è stata una vulnerabilità di divulgazione di informazioni in OpenSSL, che permette ai cyber criminali di accedere al contenuto della memoria di un client o un server connessi. Ha interessato il 45% delle aziende a livello globale. 
Segue una vulnerabilità di esecuzione di codice remoto che interessa i dispositivi DVR MVPower. Sfruttandola è possibile eseguire codice arbitrario nel router interessato. Resta, stazionaria al terzo posto, la falla "Web Server Exposed Git Repository Information Disclosure", una vulnerabilità di divulgazione delle informazioni segnalata in Git Repository. Consente la divulgazione involontaria delle informazioni dell'account.

Dato che per tutte esistono le patch, ne caldeggiamo nuovamente l'installazione.