Blindingcan: il trojan nordcoreano prende di mira l'Italia

Blindingcan: il trojan nordcoreano prende di mira l’Italia

Lug 14, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, Hacking, In evidenza, Minacce, RSS, Vulnerabilità 0

Blindingcan, un trojan nordcoreano, continua a tormentare l’Italia: a dirlo sono i risultati del Global Threat Index di Check Point per il mese di giugno.

L’indagine ha confermato che è Qbot il malware più diffuso del primo semestre dell’anno, affermatosi in cima alla classifica per ben 5 mesi su 6. Conosciuto anche come Qakbot, il trojan è apparso per la prima volta nel 2008 come malware bancario e, nel corso degli anni, è stato arricchito con funzionalità per sottrarre password, email e carte di credito.

La diffusione del trojan avviene per lo più tramite messaggi di spam con metodi anti-VM, anti-debug e anti-sandbox per aggirare i rilevamenti dei tool di sicurezza. Oggi il suo scopo principale è agire da loader per altri malware e ottenere la persistenza nei sistemi presi di mira, aprendo la strada ai ransomware.

Blindingcan predilige l’Italia

Anche in Italia la minaccia principale di giugno è stata Qbot, mentre al secondo posto troviamo Blindingcan, un nuovo trojan ad accesso remoto di origine nord coreana. Sorprende l’impatto notevolmente più elevato del trojan nel Paese rispetto alla media mondiale: se nel resto del mondo si è rilevata un’incidenza dello 0,22%, in Italia questo valore arriva al 5,25%.

Credits: AndreyPopov- Depositphotos

Il trojan è opera del gruppo Lazarus Group della Corea del Nord ed è considerato molto pericoloso per via di diverse funzioni che gli permettono di manipolare file e processi e di auto-aggiornarsi. Non è la prima volta che Blindingcan spopola in Italia: anche a febbraio scorso e negli ultimi mesi del 2022 il trojan aveva avuto impatti molto più importanti nel nostro Paese rispetto al resto del mondo.

A livello mondiale, l’infostealer Formbook detiene il secondo posto come malware più diffuso, con un’incidenza del 3,52% (3,10% in Italia). A seguire sul podio troviamo Emotet, un trojan modulare in grado di autopropagarsi: l’impatto mondiale è stato del 2,65% (3,04% in Italia).

I ransomware continuano a far tremare il mondo

I ransomware rimangono una delle minacce più significative del 2023. Le vulnerabilità presenti in MOVEit Transfer e MOVEit Cloud rese note a maggio hanno permesso al gruppo russo Cl0p di lanciare un attacco supply chain contro gli utenti del software.

Credits: Pixabay

Nonostante Progress Software, l’azienda proprietaria del prodotto, abbia rilasciato una patch entro 48 ore dalla scoperta della vulnerabilità, il gruppo è riuscito a colpire centinata di vittime, comprese sette università statunitensi, sottraendo centinaia di migliaia di record di informazioni.

“L’exploit di MOVEit dimostra come il 2023 sia già un anno significativo nella storia del ransomware. Gruppi di spicco come Clop non agiscono tatticamente per infettare un singolo obiettivo, ma aumentano l’efficienza delle loro azioni sfruttando software ampiamente diffusi all’interno degli ambienti aziendali. Questo approccio permette loro di colpire centinaia di vittime con un solo attacco” ha affermato Maya Horowitz, VP Research di Check Point Software. “Questo schema di attacco evidenzia l’importanza per le aziende di implementare una strategia di cybersicurezza stratificata e di prioritizzare la rapida applicazione delle patch non appena vengono annunciate delle vulnerabilità”.

Condividi l'articolo