Prosegue il boom degli exploit di Office, Emotet torna pesantemente, i malware calano nel complesso, ma i primi 10 sono micidiali. È questa in estrema sintesi la fotografia dello stato della cyber security del secondo trimestre 2022 scattata dall’Internet Security Report di WatchGuard Technologies, ad opera dei ricercatori di WatchGuard Threat Lab.

Una lettura in chiaroscuro, dato che il calo degli attacchi malware ai massimi storici osservati nei trimestri precedenti sembra essere di buon auspicio. L’entusiasmo, tuttavia, si sgonfia quando si scopre che oltre l'81% dei rilevamenti è stato registrato tramite connessioni crittografate TLS, che potrebbe essere un campanello di allarme circa la tendenza degli attaccanti a spostarsi verso tattiche che fanno affidamento su malware più elusivi.

Inoltre c’è da fare la tara sui parziali: se da una parte c’è stata una diminuzione del 20% dei rilevamenti totali di malware che prendono di mira gli endpoint, quelli che sfruttano i browser sono cresciuti collettivamente del 23%, con Chrome che ha visto un aumento del 50%. Inoltre, gli script hanno continuato a fare la parte del leone nei rilevamenti su endpoint (87%) nel periodo in esame, dando concretezza ai sospetti sugli attacchi elusivi.

Sempre restando sui malware, le prime 10 firme da sole hanno rappresentato oltre il 75% dei rilevamenti di attacchi di rete. E sono aumentati sensibilmente gli attacchi contro sistemi ICS e SCADA che controllano apparecchiature e processi industriali, con due nuove firme (WEB Directory Traversal -7 e WEB Directory Traversal -8). Le due firme sono molto simili: la prima sfrutta una vulnerabilità scoperta per la prima volta nel 2012 in uno specifico software di interfaccia SCADA, mentre la seconda è più ampiamente rilevata in Germania.

Emotet e Office

Restringendo il campo a Microsoft Office la situazione non fa che peggiorare. Secondo il report, gli exploit di Office continuano a diffondersi più di qualsiasi altra categoria di malware. L'incidente principale del trimestre è stato l'exploit Follina Office (CVE-2022-30190), che è stato segnalato per la prima volta ad aprile e non è stato risolto con patch fino alla fine di maggio. Consegnato tramite un documento malevolo, Follina è stato in grado di aggirare Windows Protected View e Windows Defender ed è stato attivamente sfruttato dagli attori delle minacce, inclusi gli attaccanti sponsorizzati dagli stati. Altri tre exploit di Office (CVE-2018-0802, RTF-ObfsObjDat.Gen e CVE-2017-11882) sono stati ampiamente rilevati in Germania e Grecia.

Ultimo capitolo è quello di Emotet, il cui volume è diminuito dallo scorso trimestre, ma senza intaccare il fatto che rimane una delle maggiori minacce alla sicurezza della rete. Un iniettore Win Code che diffonde la botnet Emotet - XLM.Trojan.abracadabra – è risultato tra i primi 10 rilevamenti di malware in assoluto e tra i primi 5 rilevamenti di malware crittografato del trimestre, ed è stato ampiamente osservato in Giappone.