Nonostante gli sforzi per bloccare le campagne che stanno diffondendo Qbot, anche a maggio il ben noto malware continua a spopolare sia in Italia sia nel resto del mondo. Lo ritroviamo in cima alla classifica dei malware più diffusi, come a dicembre 2022, gennaio, marzo e aprile 2023. A seguire, in Italia ritroviamo altri due clienti abituali: Formbook e Blindingcan. Il principale veicolo di infezione sono le email di spam. Il provvedimento adottato da Microsoft disabilitando le macro di Office aveva inizialmente rallentato la diffusione dei malware, ma come sottolineano gli esperti di Check Point Research, gli operatori che gestiscono Qbot sono stati rapidi nell'adattare la loro distribuzione e somministrazione. Di recente è stato visto sfruttare una vulnerabilità della libreria di collegamento dinamico (DLL) nel programma WordPad di Windows 10 con l’obiettivo di infettare i computer.

Sono queste le indicazioni principali del Global Threat Impact Index di Check Point relativo allo scorso mese, che però allertano su una minaccia attualmente in quarta posizione, ma dal potenziale elevato. Si parla della nuova versione di GuLoader, un celebre downloader che originariamente veniva utilizzato per scaricare Parallax RAT, successivamente è stato veicolo per scaricare altri trojan di accesso remoto e infostealer, come Netwire, il sopraccitato Formbook e AgentTesla (attualmente al terzo posto della classifica, in diminuzione). Rispetto alle versioni in circolazione fino a poco tempo fa, la nuova release dispone di payload completamente crittografati e a tecniche anti-analisi e può anche essere archiviata in un cloud pubblico come per esempio Google Drive, senza essere individuata. L'elusione degli strumenti di monitoring è dovuta proprio alla miscela unica di crittografia, formato binario grezzo e separazione dal loader.

Riportiamo anche un paio di note significative sui settori e le vulnerabilità più sfruttati. A livello globale il settore Istruzione/Ricerca si è confermato quello più soggetto ad attacchi cyber, seguito da quello Governativo/Militare e da quello Sanitario. Come sempre l’Italia fa storia a sé e dopo la prima posizione, identica a quella internazionale, seguono il finance/bancario e gli ISP/MSP. La seconda posizione è data dal fatto che i cybercriminali alla ricerca di un profitto sono più propensi ad attaccare realtà con elevata capacità di spending.

Il vertical di ISP/MSP è spiegabile con il fatto che in Italia la stragrande maggioranza del tessuto produttivo è costituita da piccole e medie imprese che non si possono permettere un SOC interno e che affidano in numero sempre maggiore la gestione della propria sicurezza a esterni. Attaccare con successo un MSP può aprire le porte a decine di vittime-clienti. Quanto alle vulnerabilità sfruttate, attenzione al fatto che al secondo posto resta stabile lo sfruttamento di Apache Log4j.