Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha pubblicato il Global Threat Index di febbraio 2020.
Durante il mese scorso è stato registrato un forte aumento degli exploit che mirano a colpire una vulnerabilità per diffondere la botnet Mirai, notoriamente nota per infettare i dispositivi IoT e condurre massicci attacchi DDoS.
La vulnerabilità, nota come exploit “PHP php-cgi Query String Parameter Code Execution”, si è classificata al 6° posto tra le principali vulnerabilità sfruttate e ha avuto un impatto sul 20% delle organizzazioni di tutto il mondo, contro appena il 2% di gennaio 2020.
Questa vulnerabilità è originata dall'analisi e dal filtraggio impropri delle stringhe di query da parte di PHP. Da remoto, quindi, un aggressore può sfruttare questo problema creando richieste http che - se hanno successo - gli consentirebbero di eseguire codici arbitrari sull'obiettivo e di diffondere Mirai.
Il pericolo numero uno in Italia: il malware Emotet
Il team di ricerca avverte anche le organizzazioni che Emotet - il secondo malware più diffuso a febbraio e, in generale, la botnet attualmente più diffusa - è stato diffuso utilizzando due nuovi vettori nel corso del mese appena trascorso.
Il primo vettore d’attacco è stato una campagna di SMS Phishing (smishing) rivolta agli utenti negli Stati Uniti: l'SMS impersona i messaggi delle banche più utilizzate, attirando le vittime a cliccare su un link maligno che scarica Emotet sul loro dispositivo.
Il secondo vettore proprio Emotet che sfrutta le reti Wi-Fi rilevate nelle vicinanze di un dispositivo attaccato per diffondersi tramite attacchi di forza bruta, provando ad introdursi nella rete tramite una serie di password Wi-Fi di uso comune. Emotet è utilizzato principalmente per diffondere ransomware o altre campagne dannose.
Emotet ha avuto un impatto sul 7% delle organizzazioni a livello globale a febbraio, in calo rispetto al 13% di gennaio, quando era diffuso attraverso campagne spam, come quelle a tema Coronavirus. Questo evidenzia la rapidità con cui i cyber-criminali cambiano i temi dei loro attacchi per cercare di massimizzare i tassi di infezione.
In Italia, Emotet rimane comunque al primo posto, con un impatto più alto rispetto alla media, coinvolgendo circa il 10% delle organizzazioni.
Come difendersi: formare i dipendenti
“Come abbiamo già visto a gennaio, anche nel mese di febbraio le minacce e gli exploit più impattanti sono stati i malware versatili come XMRig ed Emotet. I criminali sembrano puntare a costruire reti di dispositivi infetti più ampie possibile, per sfruttarle e riuscire a monetizzare in modi diversi, dalla consegna di ransomware al lancio di attacchi DDoS”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point.
“Poiché i principali vettori di infezione sono le e-mail e i messaggi SMS, le organizzazioni devono garantire che i loro dipendenti siano istruiti su come identificare i diversi tipi di spam dannoso e implementare una sicurezza che impedisca attivamente a queste minacce di infettare le loro reti", conclude Horowitz.
