Ramnit: trojan bancario protagonista di una campagna su larga scala

Ramnit: trojan bancario protagonista di una campagna su larga scala
Il Global Threat Index di Check Point Software Technologies relativo al mese di agosto ha rivelato una significativa presenza del trojan bancario Ramnit, protagonista di una campagna su larga scala. Negli ultimi mesi Ramnit ha raddoppiato il proprio impatto globale, trasformando i computer delle vittime in server proxy malevoli.


Ramnit


Durante il mese di agosto, Ramnit, giunto al sesto posto nel Threat Index, è diventato così il trojan bancario più diffuso, ripetendo il trend di giugno, mese che aveva visto raddoppiare questa tipologia di attacchi.

“Questa è stata la seconda estate in cui abbiamo registrato un uso massiccio dei trojan bancari da parte dei criminali con lo scopo di ottenere un rapido profitto”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Non dobbiamo ignorare questi trend che ci fanno vedere come le abitudini di navigazione nel web degli utenti, durante i mesi estivi, li rendano più esposti ai trojan bancari: gli hacker, infatti, sanno bene quali sono i vettori d’attacco che hanno più probabilità di successo in un momento preciso. Questo fenomeno dimostra come i criminali siano sofisticati e tenaci nell’estorcere denaro.”

Horowitz ha poi aggiunto: “Per impedire il diffondersi dei trojan bancari e di altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello, che protegga sia da famiglie di malware già note, sia dalle nuove minacce.”

Per tutto agosto, Coinhive è rimasto il malware più diffuso, colpendo il 17% delle organizzazioni a livello globale. Dorkbot e Andromeda sono al secondo e terzo posto, ciascuno con un impatto globale del 6%.

Anche in Italia, Conhive si mantiene al primo posto per l’ottavo mese consecutivo con un impatto di quasi il 14% sulle imprese locali, seguito da Conficker e Cryptoloot.

I tre malware più diffusi ad agosto 2018 sono stati:

  1. Coinhive (stabile) – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. Dorkbot (in salita) – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
  3. Andromeda (in salita) – bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lotoor e Triada.

I tre malware per dispositivi mobili più diffusi ad agosto 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati
  3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.

I ricercatori di hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%. Al secondo posto troviamo OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%; mentre al terzo posto si posiziona, invece, la vulnerabilità CVE-2017-5638 che ha interessato il 36% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di agosto 2018 sono state:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269, stabile) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346, in salita) – si tratta di una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.
  3. D-Link DSL-2750B Remote Command Execution (in salita) – Una vulnerabilità legata all’esecuzione remota di un codice, segnalata nei router D-Link DSL-2750B. Lo sfruttamento di questa falla porterebbe all’esecuzione di un codice illegittimo sul dispositivo.