I tre malware più diffusi del 2022

Due APT e un ransomware sono state le minacce più diffuse nel 2022, a indicazione di quanto sono cambiati gli equilibri con la guerra in Ucraina e la crisi economica.

Tecnologie/Scenari

Difensori e potenziali vittime si chiedono in continuazione quali sono le minacce più attive e come fare a riconoscerle. Una indicazione chiara la fornisce Unit 42, il Threat Intelligence Team di Palo Alto Networks, che ha stilato la Top 3 dei malware più rilevanti del 2022, che vede al primo posto il Ransomware BlackCat, al secondo il gruppo APT Gallium e al terzo Brute Ratel C4.

Andando per ordine, BlackCat è una famiglia di malware emersa a novembre 2021 che ha rapidamente guadagnato notorietà per la sua sofisticatezza e innovazione. Operando con un modello di business ransomware-as-a-service (RaaS), BlackCat ha reclutato affiliati nei forum più popolari del darkweb promettendo loro l'80%-90% dei riscatti, riservando agli autori solo una minima parte dei proventi. Questo ha permesso di aumentare velocemente le fila degli affiliati e di conseguenza di moltiplicare il numero degli attacchi. Inoltre, BlackCat si contraddistingue per l’approccio aggressivo nei confronti delle vittime, che vengono spesso derise pubblicamente.

Passiamo alla seconda posizione: gallium. È un noto gruppo APT che si è fatto conoscere prendendo di mira società di telecomunicazioni operanti nel Sud-Est asiatico, in Europa e Africa. Sulla base dell'orientamento geografico del gruppo, del suo focus settoriale e della sua competenza tecnica, combinata con l'uso di malware e TTP tipiche soprattutto degli attori cinesi, si ritiene che questo APT sia sponsorizzato dallo Stato cinese, anche se non ci sono certezze. Ricordiamo che l’attribuzione certa degli attacchi è difficilissima e per questo molto rara.


In terza posizione c'è Brute Ratel C4, un tool di simulazione di red teaming e di attacco particolarmente pericoloso. È stato progettato specificamente per evitare il rilevamento da parte delle soluzioni di detection e response e la sua efficacia è chiaramente testimoniata dall'assenza di rilevamenti da parte di tutti i fornitori presenti su VirusTotal. Il campione iniziale è stato inoltre confezionato in modo coerente con le tecniche note di APT29, il gruppo sponsorizzato dal Cremlino noto anche come The Dukes o Cozy Bear.

Il fatto che due minacce su tre della top 3 siano costituite da APT fa comprendere come siano cambiati gli equilibri delle minacce cyber in concomitanza con il conflitto ucraino e la crisi economica. L’altro aspetto preoccupante è il fatto che i gruppi sponsorizzati dagli stati nazionali usano sempre più spesso armi proprie del cybercrime, come i ransomware, e viceversa: attaccanti con ogni livello di competenza possono ora accedere a strumenti pericolosi.

Anche se il cybercrime figura in un solo gruppo su tre, molti esperti evidenziano la tendenza a non costituire più grandi e potenti gruppi del cybercrime. Per aggirare più facilmente i controlli delle Forze dell’Ordine stanno prendendo piede moltissimi gruppi piccoli, molto agili e difficili da tracciare. Per i difensori questa non è una buona notizia.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter