Sommario
Il malware bancario noto come Carbanak, attivo dal 2014, è stato recentemente osservato in attacchi ransomware con tattiche aggiornate. Secondo l’analisi di NCC Group sugli attacchi ransomware avvenuti nel novembre 2023, Carbanak è riemerso attraverso nuove catene di distribuzione, venendo diffuso tramite siti web compromessi per impersonare vari software aziendali. Tra gli strumenti impersonati figurano software popolari come HubSpot, Veeam e Xero.
Caratteristiche e evoluzione del Malware Carbanak
Carbanak è noto per le sue funzionalità di esfiltrazione dati e controllo remoto. Originariamente sviluppato come malware bancario, è stato utilizzato dal sindacato di cybercriminali FIN7. Nell’ultima catena di attacco documentata da NCC Group, i siti web compromessi ospitano file di installazione dannosi che si spacciano per utility legittime per innescare il dispiegamento di Carbanak.
Aumento degli Attacchi Ransomware
Il novembre 2023 ha visto un aumento degli attacchi ransomware, con 442 casi segnalati, rispetto ai 341 incidenti di ottobre. In totale, sono stati segnalati 4.276 casi quest’anno, meno di mille incidenti in meno rispetto al totale del 2021 e 2022 combinati (5.198). I settori più colpiti sono stati quelli industriali (33%), beni di consumo ciclici (18%) e sanità (11%), con la maggior parte degli attacchi concentrati in Nord America (50%), Europa (30%) e Asia (10%).
Famiglie di Ransomware più Comuni
Le famiglie di ransomware più comunemente osservate sono state LockBit, BlackCat e Play, che hanno contribuito al 47% (o 206 attacchi) dei 442 attacchi. Con il recente smantellamento di BlackCat da parte delle autorità, resta da vedere quale impatto avrà questa mossa sul panorama delle minacce nel prossimo futuro.
Sfide nella lotta dei Gruppi di Ransomware
Nonostante lo smantellamento dell’infrastruttura di QBot (noto anche come QakBot) da parte delle forze dell’ordine, Microsoft ha recentemente rivelato dettagli di una campagna di phishing a basso volume che distribuisce il malware, sottolineando le sfide nel smantellare completamente questi gruppi.
Misure di sicurezza di Akira Ransomware
Kaspersky ha rivelato che le misure di sicurezza del ransomware Akira impediscono che il suo sito di comunicazione venga analizzato sollevando eccezioni durante il tentativo di accedere al sito utilizzando un debugger nel browser web. Inoltre, gli operatori di ransomware stanno sfruttando diverse vulnerabilità di sicurezza nel driver del sistema di file di registro comune di Windows (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (punteggi CVSS: 7.8) – per l’escalation dei privilegi.
