Quali sono state le minacce informatiche protagoniste dei primi 8 mesi del 2024? Ce lo rivela l’agenzia di intelligence per la cybersecurity Cisco Talos, che ci riporta mese per mese gli eventi di sicurezza più rilevanti.
In generale, le principali minacce che stanno caratterizzando l’anno in corso sono quattro, e si tratta di furto di dati sensibili con conseguente richiesta di denaro alle vittime, attacchi “state-sponsored”, campagne di spionaggio e ransomware “as a service” gestiti da gruppi di criminali informatici. Ma vediamo ogni avvenimento nel dettaglio.
L’abuso di driver Windows continua a essere una minaccia diffusa
I driver di Windows sono ancora molto utilizzati come metodo di attacco da parte dei criminali informatici, non solo quelli con delle vulnerabilità, ma anche quelli creati da zero con l’obiettivo di entrare nei sistemi informativi. Purtroppo, i driver dannosi sono molto difficili da rilevare, e sfruttarne uno può dare a un utente malintenzionato l’accesso completo a un sistema.
Nuove backdoor e campagne di phishing attaccano organizzazioni benefiche e servizi bancari
Nel mese di febbraio, Cisco Talos ha scoperto una nuova campagna di spionaggio a lungo termine che ha colpito una Onlus islamica a partire da marzo 2021. La campagna ha visto come protagonista informatico la backdoor Zardoor, un nuovo tipo di malware.
Sempre a febbraio, un’altra backdoor, TinyTurla, ha invece preso di mira un’organizzazione non governativa (ONG) polacca che lavorava per migliorare la democrazia in Polonia e sostenere l’Ucraina durante l’invasione russa.
Spostandoci all’America Latina, Cisco Talos ha individuato tre nuovi malware, Astaroth, Mekotio e Ousaban, che sfruttano il servizio Google Cloud Run per infettare potenziali vittime attraverso trojan bancari.
Inoltre, una campagna di phishing spam, chiamata TimbreStealer e attiva almeno da novembre 2023, ha preso di mira numerosi utenti messicani utilizzando messaggi legati al pagamento delle tasse.
Il temibile ransomware GhostSec torna a minacciare i Paesi dell’Asia e dell’America Meridionale
Nell’ultimo anno, Cisco Talos ha assistito a un’impennata delle attività malevole legate al gruppo ransomware denominato GhostSec. Numerosi Paesi sono stati presi di mira, tra questi Cuba, Argentina, Polonia, Cina, Libano, Israele, India, Sudafrica, Brasile, Marocco, Qatar, Turchia, Egitto, Vietnam, Tailandia e Indonesia.
Starry Addax colpisce attivisti per i diritti umani in Nord Africa, e aumentano le attività malevole rivolte a VPN e servizi SSH
Ad aprile, Cisco Talos ha scoperto un nuovo gruppo di criminali informatici chiamato “Starry Addax” che ha preso di mira principalmente un gruppo di attivisti per i diritti umani attraverso un malware per dispositivi mobili.
Inoltre, sempre nello stesso mese, l’organizzazione di intelligence ha rilevato un aumento a livello globale di attacchi contro i servizi di rete privata virtuale (VPN), le interfacce di autenticazione delle applicazioni web e i servizi SSH.
I malware OfflRouter e CoralRaider continuano a mietere vittime
Cisco Talos ha rilevato, sempre nel mese di aprile, documenti con informazioni riservate provenienti dall’Ucraina. I documenti, caricati tramite il malware OfflRouter, contenevano codice dannoso e venivano utilizzati come esche per infettare le organizzazioni.
E ritorna sul palco CoralRaider che, ora evoluto in una nuova versione, è in grado di bypassare i prodotti antivirus e scaricare codice dannoso nell’host delle vittime.
ArcaneDoor prende di mira i dispositivi di rete perimetrale
Arcane Door, identificato da Cisco Talos come attacco tipo state-sponsored, ossia operazioni offensive condotte da governi o da realtà sponsorizzate che utilizzano risorse e capacità tecniche, ha colpito, nel mese di aprile, i dispositivi di rete perimetrale di più fornitori.
l trojan bancario “CarnavalHeist” colpisce il Brasile
Nel mese di maggio, Cisco Talos ha osservato una campagna malevola rivolta agli utenti brasiliani che ha utilizzato un nuovo trojan bancario chiamato “CarnavalHeist“, in grado di sottrarre dati sensibili grazie a metodi di cattura degli input e delle schermate.
Agosto: un mese proficuo per i criminali informatici
Il mese di agosto ha visto la comparsa del gruppo criminale APT41, che ha compromesso l’istituto di ricerca affiliato al governo taiwanese utilizzando il trojan ShadowPad. ShadowPad è un trojan ad accesso remoto modulare (RAT) utilizzato esclusivamente da gruppi hacker cinesi.
Inoltre, sempre ad agosto, Cisco Talos ha osservato il gruppo ransomware BlackByte utilizzare nuove tecniche di attacco, come l’abuso di vulnerabilità appena divulgate.
Per maggiori informazioni, vi invitiamo a guardare il video “How’s it all going? 2024 Threat Update“, che raccoglie e approfondisce le principali criticità informatiche riscontrate da Cisco Talos nel 2024.
