Il malware bancario noto come Carbanak si è visto essere utilizzato in attacchi ransomware con tattiche aggiornate per criptare i dati.
Come si è evoluto il malware bancario Carbanak
“Il malware si è adattato per incorporare fornitori di attacchi e tecniche per diversificare la sua efficacia“, ha dichiarato la società di sicurezza informatica NCC Group in un’analisi degli attacchi ransomware avvenuti nel novembre 2023, aggiungendo “Carbanak è tornato il mese scorso attraverso nuove catene di distribuzione ed è stato distribuito attraverso siti compromessi per far finta di essere vari software legati alle attività commerciali“.
Alcuni degli strumenti imitati includono software popolari legati alle attività commerciali come HubSpot, Veeam e Xero.
Carbanak, la cui esistenza è stata rivelata nel grande mare di internet almeno dal 2014, è noto per le sue funzionalità di esfiltrazione dati e di controllo da remoto; nato come malware bancario, è stato utilizzato dal sindacato criminale FIN7.
Nell’ultima catena di attacchi documentata da NCC Group, i siti web compromessi sono progettati per ospitare file di installazione dannosi mascherati da utility legittime per avviare la distribuzione di Carbanak.
Lo sviluppo avviene mentre sono stati segnalati 442 attacchi ransomware il mese scorso, rispetto ai 341 incidenti nell’ottobre 2023; in totale, sono stati segnalati 4.276 casi fino ad ora quest’anno, “meno di 1000 incidenti in meno rispetto al totale del 2021 e 2022 combinati (5.198)”.
I dati dell’azienda mostrano che settori industriali (33%), ciclici dei consumi (18%) e sanità (11%) sono emersi come i settori più bersagliati, con Nord America (50%), Europa (30%) e Asia (10%) che rappresentano la maggior parte degli attacchi.
Per quanto riguarda le famiglie di ransomware più comunemente individuate, LockBit, BlackCat e Play hanno contribuito al 47% (o 206 attacchi per la precisione) dei 442 attacchi; con BlackCat smantellato dalle autorità questo mese, resta da vedere quale impatto avrà questa mossa sul panorama delle minacce nel prossimo futuro.
“Con ancora un mese da trascorrere nell’anno, il numero totale di attacchi ha superato i 4.000, il che segna un enorme aumento rispetto al 2021 e al 2022, quindi sarà interessante vedere se i livelli di ransomware continueranno a salire l’anno prossimo“, ha dichiarato Matt Hull, responsabile globale dell’intelligence sulle minacce presso NCC Group.
L’aumento degli attacchi ransomware a novembre è stato confermato anche dalla società di assicurazioni cibernetiche Corvus, che ha affermato di aver identificato 484 nuove vittime di ransomware pubblicate su siti di leak.
“L’ecosistema del ransomware nel suo complesso si è spostato con successo lontano da QBot“, ha dichiarato l’azienda. “L’inclusione di exploit software e famiglie di malware alternative nel loro repertorio sta dando risultati positivi per i gruppi di ransomware“.
Mentre il cambiamento è il risultato di una chiusura dell’infrastruttura di QBot (alias QakBot) da parte delle forze dell’ordine, Microsoft, la scorsa settimana, ha rivelato dei dettagli su una campagna di phishing di basso profilo che distribuisce il malware, sottolineando le sfide nel smantellare completamente questi gruppi.
Un ulteriore sviluppo avviene mentre Kaspersky ha rivelato che le misure di sicurezza del ransomware Akira impediscono l’analisi del sito di comunicazione alzando eccezioni nel tentativo di accedere al sito utilizzando un debugger nel browser web.
La società di sicurezza informatica russa ha inoltre evidenziato lo sfruttamento da parte degli operatori di ransomware di diverse vulnerabilità di sicurezza nel driver Windows Common Log File System (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (punteggi CVSS: 7.8) – per l’elevazione dei privilegi (si intende i privilegi a livello di amministratore di sistema).
