Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT.
Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico
- Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
- AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
- Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO.
- Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
- Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
- Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
- anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti.