ESET Threat Report: MOVEit è stato l’incubo di sicurezza del 2023

Dic 21, 2023 Approfondimenti, Attacchi, Campagne malware, Minacce, RSS

ESET, fornitore di servizi per la sicurezza IT, ha pubblicato il Threath Report per il secondo semestre del 2023 evidenziando le tendenze del cybercrimine della seconda parte dell’anno.

Tra le attività più degne di nota ci sono quelle del gruppo ransomware Cl0p, il quale ha sfruttato estensivamente la vulnerabilità di MOVEit per sferrare attacchi.

“L’attacco Cl0p ha colpito numerose organizzazioni, tra cui aziende globali e agenzie governative statunitensi. Un cambiamento chiave nella strategia di Cl0p è stato il passaggio alla divulgazione di informazioni rubate su siti web pubblici laddove il riscatto non veniva pagato, una tendenza riscontrata anche con la banda di ransomware ALPHV” ha spiegato Jiří Kropáč, direttore di Threat Detection di ESET.

I cybercriminali hanno colpito numerose vittime di alto profilo, come BBC, British Airways e Microsoft. La campagna è cominciata il 27 maggio e dopo sei mesi il numero di vittime ha superato le 2.600. Tra le realtà colpite ci sono anche agenzie governative degli Stati Uniti, scuole e università, organizzazioni sanitarie e grandi aziende come Sony ed EY.

“La storia che ci ha colpito di più è stata sicuramente l’hack di MOVEit” ha affermato Jakub Souček, ESET Senior Malware Researcher. “Non è stata solo la grandezza della campagna che l’ha resa così importante, ma anche l’abilità tecnica della gang dietro l’attacco. Questi cyberattaccanti hanno dimostrato di riuscire a trovare una nuova vulnerabilità zero-day, trasformarla in un’arma e aspettare il momento giusto per usarla“.

ESET Threat Report: codice malevolo JavaScript nelle pagine web

La seconda minaccia più diffusa dell’anno registrata da ESET è il codice malevolo JavaScript rilevato come JS/Agent e iniettato nei siti web compromessi. Secondo i dati della compagnia, questi attacchi hanno registrato un aumento del 111% rispetto all’anno precedente e si sono diffusi soprattutto da settembre in poi.

I cyberattaccanti hanno sfruttato le vulnerabilità dei siti web per ottenere l’accesso e iniettare il codice JavaScript malevolo nelle pagine web. Questo codice generalmente esegue una serie di script malevoli che consentono agli attaccanti di scaricare ed eseguire ulteriori script per ottenere i permessi di admin sul sito, installare plugin malevoli e backdoor. 

Tra questi attacchi spicca il malware Balada che a ottobre è tornato a colpire i siti WordPress sfruttando una vulnerabilità presente nei temi Newspaper e Newsmag.

Il report ha evidenziato inoltre la diffusione di numerosi attacchi volti ad abusare i domini di ChatGPT e le API di OpenAI per ingannare gli utenti ed estorcere dati sensibili. Tra le minacce più diffuse la compagnia ha rilevato estensioni Chrome malevole per ChatGPT (come ChatGPT for Search – Support GPT-4) che raccoglievano informazioni sulle altre estensioni installate e le inviavano ai server degli attaccanti.

Tra i cyberattacchi della seconda parte dell’anno spicca anche Android/Pandora, una nuova minaccia che compromette i dispositivi Android, incluse le smart TV e i device mobili, per utilizzarli negli attacchi DDoS.

La compagnia ha registrato infine un aumento significativo di spyware Android, attribuiti per la maggior parte allo spyware SpinOk. Il software veniva distribuito come SDK integrato in numerose applicazioni legittime per i dispositivi Android, molte di esse scaricabili dagli app store ufficiali.

Nel 2024 il mondo del cybercrimine evolverà ancora per colpire in maniera più precisa ed efficace organizzazioni e utenti. È necessario investire sulla cybersecurity e seguire le best practice di sicurezza, cominciando dal mantenere aggiornati software e dispositivi.

• Balada, Chatgpt, Cl0p, DDoS, ESET, MoveIT, SpinOk, spyware