Unit 42, il team Threat Intelligence di Palo Alto Networks, azienda statunitense di cybersicurezza, ha stilato la top 3 dei malware più rilevanti del 2022. Secondo il team, fare un “bilancio” dell’anno scorso può essere molto utile nell’ambito della sicurezza informatica, poiché gli hacker tendono a riciclare e riutilizzare le vecchie tecniche, fintanto che queste continuino ad avere un tasso di rendimento elevato: alcune tecniche, infatti possono essere utili per anni, se non si applicano patch e mitigazioni adeguate.

Ecco dunque la classifica stilata dall’Unit 42 di Palo Alto Networks:

Ransomware BlackCat

BlackCat (alias ALPHV) è una famiglia di ransomware emersa a metà novembre 2021 che ha guadagnato popolarità in tempi brevi grazie ad alcune sue caratteristiche particolarmente sofisticate e innovative. Operando secondo il modello di business ransomware-as-a-service (RaaS), BlackCat si rivolgeva ai partecipanti di popolari forum di cybercriminali, offrendo loro una provvigione dell’80%-90% sul pagamento del riscatto, mentre il resto sarebbe stato destinato all’autore. BlackCat ha adottato un approccio aggressivo nel nominare e umiliare le vittime, elencandone, in un’occasione, oltre una dozzina sul proprio sito di leak, in poco più di un mese.

GALLIUM e il trojan PingPull

A giugno 2022, Unit 42 ha identificato un trojan di accesso remoto (o RAT) difficile da rilevare, denominato PingPull, utilizzato da GALLIUM, un noto gruppo APT. GALLIUM (alias Softcell) si è fatto conoscere prendendo di mira società di telecomunicazioni operanti nel Sud-Est asiatico, in Europa e Africa. Le valutazioni del settore hanno stabilito che GALLIUM è probabilmente un gruppo con sponsorizzazione cinese, sulla base dell’orientamento geografico del gruppo, della sua focalizzazione settoriale e della sua competenza tecnica, nonché per via dell’uso di malware e tattiche, tecniche e procedure note soprattutto agli hacker cinesi.

PingPull è in grado di sfruttare tre protocolli (ICMP, HTTP/S e Raw TCP) per il comando e il controllo (C2) e utilizza ICMP per rendere più difficile il rilevamento delle sue comunicazioni C2, poiché non molte organizzazioni implementano l’ispezione del traffico ICMP sulle loro reti.

Tool di Red Teaming, sfruttato dagli hacker

A maggio 2022, un campione contenente un payload pericoloso associato a Brute Ratel C4 (BRc4) è stato caricato su VirusTotal, dove ha ricevuto un riscontro positivo da tutti i 56 fornitori che lo hanno valutato. Brute Ratel C4 è il più recente strumento di simulazione di Red Teaming e di attacco di tipo adversary, particolarmente pericoloso. È stato progettato specificamente per evitare il rilevamento da parte delle funzionalità di detection e response di endpoint e antivirus e la sua efficacia è stata chiaramente testimoniata dall’assenza di rilevamento da parte di tutti i provider attivi su VirusTotal.

Il campione iniziale è stato inoltre confezionato in modo coerente con le tecniche note dell’APT29, il che significa che questa nuova capacità di Red Team (con una base di utenti in crescita) viene sfruttata con tecniche di distribuzione di stato nazionale. Unit 42 ha identificato un totale di 41 indirizzi IP pericolosi, nove campioni BRc4 e tre ulteriori organizzazioni in Nord e Sud America colpite da questo strumento.

A fronte dell’emergere di minacce sempre nuove, Unit 42 ha riscontrato due fenomeni ricorrenti: innanzitutto, un numero sempre maggiore di autori di malware offre i propri prodotti come servizi in abbonamento, con tecniche sempre più complesse e potenzialmente dannose. In secondo luogo, utenti con ogni livello di competenza possono ora accedere a strumenti pericolosi che competono con i software aziendali.

I ricercatori di Unit 42 continueranno a monitorare l’intero panorama della sicurezza e a segnalare le minacce a impatto maggiore, ovunque e comunque si verifichino, per contribuire a migliorare il livello di protezione degli utenti contro le minacce più recenti.