Attenti a Trickbot, il botnet-malware che attacca le aziende

Il ransomware è diventato un problema tanto grave ed esteso da essere inserito nell’agenda del summit G7 tenutosi la settimana scorsa in Cornovaglia, riunendo intorno a un tavolo i governi di Italia, Francia, Germania, Regno Unito, Stati Uniti, Canada e Giappone. Nel comunicato ufficiale del “gruppo dei sette” si fa appello affinché la Russia si prenda carico di chi “all’interno dei suoi confini, conduce attacchi ransomware” e abusa della valute virtuali per riscuotere i riscatti. Oltre alla neanche tanto velata accusa diretta al Cremlino, dal G7 è uscito anche un invito “a tutti gli Stati a identificare e smantellare urgentemente le reti criminali ransomware che operano all’interno dei propri confini”.

Il fenomeno è in continua espansione e negli ultimissimi anni ha cambiato faccia, diventando più pericoloso. Ai ransomware generici, diretti verso la massa, si sono affiancati attacchi mirati che utilizzano questo strumento software. Nemmeno le società tecnologiche sono immuni dal rischio, come dimostrano il recente attacco a Fujifilm e quello del mese scorso a Toshiba. E il ransomware continua a trovare nuovi canali e strategie di diffusione. Prendiamo il caso di Trickbot, un programma malware personalizzabile, in circolazione da anni. 

Si tratta di un programma che associa una botnet modulare e un banking trojan che viene “costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione”, spiega Check Point. “Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso”. Già nell’aprile del 2019 Trickbot era per la prima volta finito nella classifica mensile delle dieci minacce più attive negli attacchi rivolti alle aziende, secondo i monitoraggi di Check Point. Nel mese di maggio di quest’anno era al primo posto, avendo rappresentato l’8% del totale delle minacce rilevate. E non è tutto: considerando solo l’Italia, la percentuale sale al 15%. 

Trickbot preoccupa non solo per la sua massiccia diffusione, ma per la sua natura: può rubare dettagli finanziari, credenziali di conti bancari e informazioni di identificazione personale. Inoltre può diffondersi all'interno di una rete e installare programmi ransomware, come in particolare Ryuk. Quest’ultimo è un nome familiare, che identifica sia il gruppo hacker sia il ransomware da lui prodotto: l’anno scorso ha colpito la catena ospedaliera statunitense Universal Health Services e nel maggio di quest’anno un’organizzazione europea di ricerca biotecnologica di cui non è stato fatto il nome, ma sarebbe coinvolta anche nello sviluppo di vaccini contro il covid-19.