Cisco Italia Blog

2020: l’anno del malware

4 min read



Niente è stato “normale” nel 2020: il lavoro negli uffici, le riunioni di persona, l’apprendimento in presenza, praticamente tutto è precipitato nel caos all’inizio dell’anno passato. Da allora, noi “difensori” abbiamo dovuto adattarci, così come è successo ai lavoratori di tutto il mondo e ai professionisti dell’IT e della sicurezza incaricati di mantenere sicure le informazioni delle aziende e organizzazioni.

I consulenti hanno colto tutti questi cambiamenti come un’opportunità per digitalizzare i sistemi sanitari in difficoltà, per aiutare le scuole ad adattarsi all’apprendimento online e per facilitare le aziende nel passaggio al remote working.

Questi repentini cambiamenti hanno portato a un enorme aumento degli attacchi di ransomware: per ricapitolare il 2020, abbiamo compilato una lista delle principali minacce informatiche, notizie sulla sicurezza e altro ancora di cui Talos si è occupata.

Gennaio
Gli aggressori hanno utilizzato diversi servizi di file-hosting popolari e ben noti per evitare di essere inseriti nella lista di blocco, la minaccia scoperta, che abbiamo chiamato “JhoneRAT“, è    stata indirizzata principalmente a obiettivi di lingua araba.

Febbraio
Un altro RAT, “ObliqueRAT”, ha usato documenti maligni di Microsoft Office per infettare le agenzie e le organizzazioni diplomatiche e governative nel sud-est asiatico. Cisco Talos ha anche scoperto un collegamento tra ObliqueRAT e un’altra campagna del dicembre 2019 che distribuiva CrimsonRAT.

Marzo
Quando la pandemia COVID-19 ha colpito gli Stati Uniti, i lavoratori di tutto il paese e del mondo hanno dovuto iniziare a lavorare a tempo pieno da casa. Poiché la pandemia è stata la più grande notizia dell’anno, raggiungendo il suo apice a metà marzo, gli aggressori hanno iniziato a utilizzare le notizie intorno a COVID-19 per diffondere malware. La pandemia ha anche rappresentato una piattaforma per gli avversari per diffondere la disinformazione intorno al virus e ai pacchetti di aiuti governativi associati.

Aprile
I ricercatori di Cisco Talos hanno evidenziato alcuni dei problemi legati all’utilizzo delle scansioni delle impronte digitali per proteggere i dispositivi. Abbiamo clonato le impronte digitali utilizzando alcuni metodi diversi e ne abbiamo testato la capacità di sbloccare determinati dispositivi, dimostrando che non si dovrebbero usare gli scanner biometrici come ultima linea di difesa per dati o dispositivi vitali.

PoetRAT, basato su Python, ha utilizzato esche a tema COVID-19 per colpire le agenzie governative e gli utenti quotidiani in Azerbaigian, sfruttando anche i conflitti militari e civili in corso nel paese.

La crescita in popolarità dei software per meeting virtuali hanno creato un nuovo bersaglio per gli aggressori che hanno cercato di diffondere malware o semplicemente creare disturbo. Un esempio di questo tipo è stata la vulnerabilità scoperta nel software per meeting di Zoom, anche se ci sono molti più exploit per ogni tipo di software per meeting.

La campagna Aggah malspam ha ampliato la sua portata, fornendo ora l’agente Tesla, njRAT
e Nanocore RAT.

Maggio
I dispositivi e gli utenti thailandesi Android sono stati presi di mira da una versione modificata di DenDroid che abbiamo chiamato “WolfRAT“, che ora si rivolge ad applicazioni di messaggistica come WhatsApp, Facebook Messenger e Line. Gli utenti brasiliani sono stati attaccati con la famiglia di malware Astaroth, che ha utilizzato YouTube come comando e controllo unico (C2) per aiutare a eludere il rilevamento.

Giugno
IndigoDrop utilizza maldoc maligni a tema militare per diffondere i fari Cobalt Strike contenenti funzionalità RAT a pieno titolo. Questi maldocs utilizzano macro maligne per diffondere un’infezione multistadio e altamente modulare.

PROMETHIUM amplia la sua portata e cerca di infettare nuovi bersagli in Colombia, India, Canada e Vietnam collaborando con StrongPity3.

Luglio
L’ondata di attacchi di riscatto raggiunge il culmine. In particolare, WastedLocker ha preso di mira alcune grandi aziende e organizzazioni.

Abbiamo pubblicato la nostra prima ricerca in una serie di articoli sulla sicurezza e la disinformazione in vista delle elezioni presidenziali americane di novembre.

La botnet di Prometei aggiunge molteplici modi di diffusione, dispiegando un “minatore” di criptovalute focalizzato su Monero.

Settembre
Una nuova campagna che abbiamo soprannominato “Salfram” diffonde vari payloads di malware tra cui Gozi ISFB, ZLoader, SmokeLoader e AveMaria, tra gli altri.

Con l’attivazione della didattica a distanza nel mese di settembre abbiamo notato un picco nelle truffe sui compiti online, con siti che promettono di scrivere compiti e completare attività a pagamento, anche se molti di loro si sono rivelati falsi o addirittura veicolatori di malware.

LodaRAT mostra che sta aggiungendo nuove funzionalità e tecniche di offuscamento.

Ottobre
La rete bot di Lemon Duck per l’estrazione della moneta criptata utilizza diverse nuove tecniche che potrebbero essere individuate dai difensori, ma che passerebbero in gran parte inosservate agli utenti finali mentre l’avversario ne ruberebbe la potenza di calcolo.

Il gruppo DoNot APT sperimenta nuovi metodi di consegna per i loro carichi utili. Hanno utilizzato un servizio legittimo all’interno dell’infrastruttura di Google che rende più difficile il rilevamento attraverso la rete di un utente.

L’FBI e la U.S. Cybersecurity and Infrastructure Security Agency hanno rilasciato un avviso di allerta per i sistemi sanitari per cercare un’ondata di attacchi ransomware, che corrisponde a un aumento dei casi COVID-19.

Novembre
Una nuova versione del malware CRAT si presenta all’improvviso con tecniche di evasione sandbox e un nuovo framework di plugin modulare.

Emotet completa il suo ritorno nel 2020 con un novembre e un ottobre di ampia diffusione, aumentando la sua attività in tutto il mondo dopo che in gran parte si era calmata durante l’estate.

Dicembre
Abbiamo scoperto il minatore di criptovalute Xanthe dopo che ha cercato di compromettere una delle honeypot di sicurezza Cisco per il tracciamento delle minacce legate a Docker.

_____________________________

Traduzione del post “2020: The year in malware”” di Jon Munshaw

Authors

Fabio Panada

Senior Security Consultant

Lascia un commento