La scena del cyber crime italiano del 2020 si chiude con il dominio di Formbook, un malware che ruba le informazioni agli utenti Windows. A livello globale invece la botnet Phorpiex continua a distribuire il ransomware Avaddon. È lo scenario tratteggiato da Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, nel Global Threat Index per il mese di novembre 2020.

Le differenze rispetto al mese precedente di rilevazione sono minime, a conferma del fatto che le minacce indicate sono persistenti e quindi costituiscono un pericolo concreto da cui guardarsi. Formbook non è una novità: a ottobre il Csirt aveva già lanciato l'allarme per una campagna di diffusione che faceva capo a email di phishing contenenti riferimenti a società finanziarie realmente esistenti.   

In Italia risulta al momento colpito quasi il 5% delle aziende. L'azione principale dell’infostealer Formbook è la raccolta di credenziali da vari browser web. È inoltre in grado di prendere screenshot, monitorare e registrare l’attività della tastiera, scaricare ed eseguire i file in base agli ordini provenienti dai suoi server di comando e controllo. 

Per quanto riguarda Phorpiex, a novembre si è confermato il malware più diffuso del mese, con un impatto sul 4% delle organizzazioni a livello globale. Dal suo primo rilevamento, nel corso del 2020, Phorpiex ha fatto registrare un picco di oltre un milione di host infetti. 

È un veicolo di diffusione per altre famiglie di malware tramite spam su larga scala e continua ad essere usato per distribuire il ransomware Avaddon. Quest'ultima è una variante relativamente nuova di Ransomware-as-a-Service (RaaS), distribuita tramite file JS ed Excel come parte delle campagne malspam. È in grado di criptare una vasta gamma di tipi di file. 

Le caratteristiche di Phorpiex la rendono una delle botnet più longeve e persistenti.  Prima di Avaddon è stata usata per diffondere GandCrab e per truffe di sextortion. La migliore difesa è un'azione di formazione continua di tutti i dipendenti affinché imparino a identificare potenziali malspam e a diffidare dagli allegati email, anche se sembrano provenire da una fonte affidabile. 

Phorpiex non è l'unica minaccia da cui guardarsi. Il secondo malware più diffuso a novembre a livello globale è stato il ben noto Dridex, un trojan che si diffonde tramite allegati e-mail infetti. Ad aprile è stato il malware con maggiore impatto in Italia e tuttora la sua azione è presente. 

Check Point Research non manca di ricordare anche le vulnerabilità più sfruttate del mese di novembre. Quella di cui i cyber criminali hanno approfittato maggiormente è stata la CVE-2020-13756, nota che come HTTP Headers Remote Code Execution. Ha colpito il 54% delle organizzazioni a livello globale e consente l'esecuzione di codice arbitrario sulla macchina della vittima. Seguono MVPower DVR Remote Code Execution e Dasan GPON Router Authentication Bypass (CVE-2018-10561), entrambe indirizzate contro i router. Permettono di eseguire codice da remote e rubare informazioni sensibili. 

Sono fra le tante minacce che hanno preso piede con lo smart working forzato e i conseguenti tentativi di attaccare le reti domestiche, meno sicure di quelle aziendali.