Minacce sull'Italia: il tramonto di Emotet e l'ascesa di Blindigcan

Un nuovo malware incombe sull'Italia, oltre che nel resto del mondo: Blindingcan, un trojan ad accesso remoto creato in Corea Del Nord, è al secondo posto nella classifica di Check Point Reseach sulle minacce che nel mese di gennaio hanno avuto un maggior impatto sulle aziende private e pubbliche italiane. La sua presenza è stata rilevata nel 7,65% delle reti dei clienti di Check Point, monitorare dal ThreatCloud del vendor (un database che ispeziona oltre tre miliardi di siti web e 600 milioni di file, e che mediamente identifica ogni giorno più di 250 milioni di attività malware). Oltre a Blindingcan, molto presente nel mese di gennaio è stata una sua variante chiamata Hidden Cobra, anch'essa un trojan ad accesso remoto (remote access trojan, Rat).

Come agisce questo trojan? Il software malevolo contiene delle funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima. “Le nostre ricerche”, spiega Marco Urciuoli, country manager di Check Point Italia, “confermano che il gruppo nordcoreano creatore di Blindingcan ha utilizzato siti Web italiani compromessi per comandare e controllare il malware. Essendo un malware di tipo Rat, permette di prendere il controllo del computer delle vittime per eseguire varie attività come installare altri malware, modificare programmi, acquisire dati sensibili”. Questo trojan ha una caratteristica particolare: può essere eliminato dai sistemi che ha infettato senza lasciare tracce di sé, così da risultare molto difficile da individuare.

Nella classifica mondiale dei malware più diffusi a gennaio 2021, il primo posto spetta a Emotet, altro trojan di cui molto si è parlato negli ultimi mesi. La sua presenza è stata rilevata nel 6% analizzati dal Threat Cloud, a dimostrazione della longevità di questa minaccia. Identificato per la prima volta nel 2014, Emotet è stato regolarmente aggiornato dai suoi sviluppatori per mantenere nel tempo la sua efficacia dannosa, utilizzando tecniche di diffusione varie (per esempio la consegna di link, allegati di documenti o file Zip protetti da password). C'è una buona notizia: la rete d'attacco sottostante a Emotet è stata smantellata da un'operazione di polizia internazionale, fatto che ha ridotto notevolmente l'incidenza di qusta minaccia. Ciononostante, a gennaio svettava ancora in testa alla classifica.

“Emotet è una delle varianti malware più costose e distruttive per le organizzazioni, quindi lo sforzo congiunto fatto dalle forze dell'ordine per abbattere la botnet è stato essenziale, oltre ad essere un risultato enorme”, commenta Maya Horowitz, director, Threat Intelligence & Research products di Check Point. “Tuttavia, e inevitabilmente, nasceranno nuove minacce che sostituiranno Emotet, quindi le organizzazioni non devono abbassare la guardia e devono garantire forti sistemi di sicurezza per evitare che le loro reti vengano compromesse. Come sempre, i training per i dipendenti sono fondamentali, per consentire sin da subito di identificare le e-mail dannose che diffondono trojan e bot per rubare dati aziendali sensibili”.

Fra le altre minacce in pole position all'inizio del 2021, Check Point segnala Phorpiex e Trickbot: la prima è una botnet nota per la distribuzione di famiglie di malware tramite campagne di spam e campagne di sextortion su larga scala; il secondo è un trojan bancario che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione.