Questo avviso congiunto di sicurezza informatica (CSA) è stato redatto in collaborazione dall’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) e dal Centro australiano per la sicurezza informatica (ACSC). Questo avviso fornisce dettagli sui principali ceppi di malware osservati nel 2021. Il malware, abbreviazione di “software maligno”, può compromettere un sistema eseguendo una funzione o un processo non autorizzato. Gli attori informatici malintenzionati spesso utilizzano il malware per compromettere in modo occulto e poi ottenere l’accesso a un computer o a un dispositivo mobile. Alcuni esempi di malware sono virus, worm, trojan, ransomware, spyware e rootkit.[1]
Nel 2021, i principali ceppi di malware includevano trojan per l’accesso remoto (RAT), trojan bancari, ruba-informazioni e ransomware. La maggior parte dei principali ceppi di malware è in uso da più di cinque anni e le rispettive basi di codice si sono evolute in molteplici varianti. Gli utenti di malware più prolifici sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.
CISA e ACSC incoraggiano le organizzazioni ad applicare le raccomandazioni contenute nelle sezioni “Mitigazioni” di questo CSA congiunto. Tali mitigazioni includono l’applicazione di patch tempestive ai sistemi, l’implementazione della formazione degli utenti, la messa in sicurezza del Remote Desktop Protocol (RDP), l’applicazione di patch a tutti i sistemi, in particolare per le vulnerabilità note e sfruttate, l’esecuzione di backup offline dei dati e l’applicazione dell’autenticazione a più fattori (MFA).
I principali ceppi di malware del 2021 sono: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot e GootLoader.
I criminali informatici utilizzano Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos e TrickBot da almeno cinque anni.
Gli attori informatici malintenzionati utilizzano Qakbot e Ursnif da oltre un decennio.
Gli aggiornamenti apportati dagli sviluppatori di malware e il riutilizzo del codice di questi ceppi di malware contribuiscono alla longevità del malware e alla sua evoluzione in molteplici varianti. L’uso da parte degli attori maligni di ceppi di malware noti offre alle organizzazioni l’opportunità di prepararsi meglio, identificare e mitigare gli attacchi provenienti da questi ceppi di malware noti.
Gli utenti più prolifici dei principali ceppi di malware sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.
Qakbot e TrickBot sono utilizzati per formare botnet e sono sviluppati e gestiti da criminali informatici eurasiatici noti per l’utilizzo o l’intermediazione di accessi abilitati a botnet per facilitare attacchi ransomware altamente redditizi. I criminali informatici eurasiatici godono di ambienti operativi permissivi in Russia e in altre repubbliche ex sovietiche.
Secondo i rapporti del governo statunitense, il malware TrickBot spesso consente l’accesso iniziale al ransomware Conti, che è stato utilizzato in quasi 450 attacchi ransomware globali nella prima metà del 2021. A partire dal 2020, i criminali informatici hanno acquistato l’accesso ai sistemi compromessi dal malware TrickBot in diverse occasioni per condurre operazioni di criminalità informatica.
Nel 2021, i criminali informatici hanno condotto campagne di phishing di massa con i malware Formbook, Agent Tesla e Remcos che incorporavano i temi della pandemia COVID-19 per rubare dati personali e credenziali ad aziende e privati.
Nell’industria criminale del malware, compreso il malware come servizio (MaaS), gli sviluppatori creano malware che i distributori di malware spesso intermediano agli utenti finali del malware. Gli sviluppatori di questi ceppi di malware top 2021 continuano a supportare, migliorare e distribuire il loro malware per diversi anni. Gli sviluppatori di malware beneficiano di operazioni informatiche lucrative con un basso rischio di conseguenze negative. Molti sviluppatori di malware spesso operano da luoghi con poche proibizioni legali contro lo sviluppo e la distribuzione di malware. Alcuni sviluppatori commercializzano addirittura i loro prodotti malware come strumenti legittimi di sicurezza informatica. Ad esempio, gli sviluppatori di Remcos e Agent Tesla hanno commercializzato i software come strumenti legittimi per la gestione remota e i test di penetrazione. Gli attori informatici malintenzionati possono acquistare Remcos e Agent Tesla online a basso costo e sono stati osservati mentre utilizzavano entrambi gli strumenti per scopi malevoli.
Top Malware
Agent Tesla
Panoramica: Agent Tesla è in grado di rubare dati da client di posta, browser Web e server FTP (File Transfer Protocol). Questo malware può anche catturare schermate, video e dati degli appunti di Windows. Agent Tesla è disponibile online per l’acquisto con il pretesto di essere uno strumento legittimo per la gestione del computer personale. I suoi sviluppatori continuano ad aggiungere nuove funzionalità, tra cui le capacità di offuscamento e l’individuazione di ulteriori applicazioni per il furto di credenziali.
Attivo dal: 2014
Tipo di malware: RAT
Metodo di consegna: Spesso consegnato come allegato dannoso nelle e-mail di phishing.
AZORult
Panoramica: AZORult viene utilizzato per rubare informazioni da sistemi compromessi. È stato venduto su forum di hacker clandestini per rubare dati del browser, credenziali utente e informazioni sulle criptovalute. Gli sviluppatori di AZORult ne aggiornano costantemente le capacità.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Phishing, siti web infetti, exploit kit (toolkit automatizzati che sfruttano vulnerabilità software note) o tramite malware dropper che scarica e installa AZORult.
FormBook
Panoramica: FormBook è un ruba-informazioni pubblicizzato nei forum di hacking. FormBook è in grado di registrare le chiavi e catturare le password dei browser o dei client di posta elettronica, ma i suoi sviluppatori continuano ad aggiornare il malware per sfruttare le più recenti Vulnerabilità ed esposizioni comuni (CVS), come la vulnerabilità CVE-2021-40444 Microsoft MSHTML Remote Code Execution.
Attivo almeno dal 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato nelle e-mail di phishing.
Ursnif
Panoramica: Ursnif è un Trojan bancario che ruba informazioni finanziarie. Conosciuto anche come Gozi, Ursnif si è evoluto nel corso degli anni per includere un meccanismo di persistenza, metodi per evitare sandbox e macchine virtuali e capacità di ricerca di software di crittografia del disco per tentare di estrarre la chiave per decodificare i file. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di Ursnif è ancora attiva a luglio 2022.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Solitamente viene consegnato come allegato dannoso alle e-mail di phishing.
LokiBot
Panoramica: LokiBot è un malware Trojan per il furto di informazioni sensibili, tra cui credenziali utente, portafogli di criptovalute e altre credenziali. Una variante di LokiBot del 2020 è stata camuffata da launcher per il videogioco multiplayer Fortnite.
Attivo dal: 2015
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato di e-mail dannose.
MOUSEISLAND
Panoramica: MOUSEISLAND si trova solitamente all’interno delle macro incorporate di un documento Microsoft Word e può scaricare altri payload. MOUSEISLAND può essere la fase iniziale di un attacco ransomware.
Attivo da: almeno dal 2019
Tipo di malware: Scaricatore di macro
Metodo di consegna: Solitamente distribuito come allegato di posta elettronica.
Risorse: Vedere il blog di Mandiant che parla di MOUSEISLAND.
NanoCore
Panoramica: NanoCore viene utilizzato per rubare le informazioni delle vittime, tra cui password ed e-mail. NanoCore può anche consentire agli utenti malintenzionati di attivare le webcam dei computer per spiare le vittime. Gli sviluppatori di malware continuano a sviluppare funzionalità aggiuntive come plug-in disponibili per l’acquisto o come kit di malware o condivisi tra i cyber-attori malintenzionati.
Attivo dal: 2013
Tipo di malware: RAT
Metodo di consegna: È stato consegnato in un’e-mail come immagine ISO del disco all’interno di file ZIP dannosi; è stato trovato anche in documenti PDF dannosi ospitati su servizi di cloud storage.
Qakbot
Panoramica: originariamente osservato come trojan bancario, Qakbot ha evoluto le sue capacità includendo l’esecuzione di ricognizioni, lo spostamento laterale, la raccolta e l’esfiltrazione di dati e la consegna di payload. Conosciuto anche come QBot o Pinksliplot, Qakbot è di natura modulare e consente ai criminali informatici di configurarlo in base alle proprie esigenze. Qakbot può anche essere utilizzato per formare botnet.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Può essere consegnato via e-mail sotto forma di allegati dannosi, collegamenti ipertestuali o immagini incorporate.
Remcos
Panoramica: Remcos è commercializzato come uno strumento software legittimo per la gestione remota e i test di penetrazione. Remcos, acronimo di Remote Control and Surveillance (controllo e sorveglianza remoti), è stato sfruttato da cyber-attori malintenzionati che hanno condotto campagne di phishing di massa durante la pandemia COVID-19 per rubare dati personali e credenziali. Remcos installa una backdoor in un sistema bersaglio. I cyber-attori malintenzionati utilizzano quindi la backdoor Remcos per impartire comandi e ottenere privilegi di amministratore, aggirando i prodotti antivirus, mantenendo la persistenza ed eseguendo processi legittimi iniettandosi nei processi di Windows.
Attivo dal: 2016
Tipo di malware: RAT
Metodo di consegna: Solitamente viene consegnato nelle e-mail di phishing come allegato dannoso.
TrickBot
Panoramica: Il malware TrickBot è spesso utilizzato per formare botnet o per consentire l’accesso iniziale al ransomware Conti o al trojan bancario Ryuk. TrickBot è sviluppato e gestito da un gruppo sofisticato di criminali informatici e si è evoluto in un malware altamente modulare e multi-stadio. Nel 2020, i criminali informatici hanno utilizzato TrickBot per colpire il settore sanitario e della salute pubblica (HPH) e quindi lanciare attacchi ransomware, esfiltrare dati o interrompere i servizi sanitari. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di TrickBot è ancora attiva nel luglio 2022.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato via e-mail come collegamento ipertestuale.
GootLoader
Panoramica: GootLoader è un payload di malware storicamente associato al malware GootKit. Con l’aggiornamento delle sue capacità da parte degli sviluppatori, GootLoader si è evoluto da caricatore che scarica un payload dannoso a piattaforma malware multi-payload. Come malware loader, GootLoader è solitamente il primo stadio di una compromissione del sistema. Sfruttando l’avvelenamento dei motori di ricerca, gli sviluppatori di GootLoader possono compromettere o creare siti web che si posizionano in alto nei risultati dei motori di ricerca, come quelli di Google.
Attivo da: almeno dal 2020
Tipo di malware: Payload
Metodo di consegna: File dannosi disponibili per il download su siti web compromessi che si posizionano in alto nei risultati dei motori di ricerca.
