Carbanak: Malware Bancario Risorge con Nuove Tattiche di Ransomware
Il malware bancario noto come Carbanak è stato osservato essere utilizzato in attacchi ransomware con tattiche aggiornate. Secondo un’analisi condotta dalla società di cybersecurity NCC Group sugli attacchi ransomware avvenuti nel novembre 2023, il malware ha adattato le sue strategie per diversificare la sua efficacia, incorporando nuovi venditori e tecniche di attacco.
L’analisi ha rivelato che Carbanak è riemerso attraverso nuove catene di distribuzione, diffondendosi attraverso siti compromessi che fingono di essere software aziendali legittimi. Tra gli strumenti imitati ci sono software popolari legati alle attività commerciali, come HubSpot, Veeam e Xero.
Questo malware, individuato nell’ambiente operativo dal 2014, è noto per le sue funzionalità di esfiltrazione dati e controllo remoto. Originariamente un malware bancario, è stato successivamente utilizzato dal sindacato criminale FIN7.
Secondo i dati della NCC Group, si è verificato un incremento degli attacchi ransomware, con 442 segnalati il mese scorso, rispetto ai 341 incidenti di ottobre 2023. Complessivamente, nel corso dell’anno sono stati riportati 4.276 casi, inferiore di quasi 1000 incidenti al totale del 2021 e del 2022 combinati (5.198).
Le industrie (33%), i ciclici consumer (18%) e il settore sanitario (11%) risultano essere i più bersagliati, con Nord America (50%), Europa (30%) e Asia (10%) al centro della maggior parte degli attacchi.
Tra i ransomware più frequentemente individuati ci sono LockBit, BlackCat e Play, responsabili del 47% (206 attacchi) dei 442 segnalati. Con lo smantellamento di BlackCat da parte delle autorità questo mese, è ancora da vedere l’impatto di questa mossa sul panorama delle minacce nel prossimo futuro.
Matt Hull, responsabile globale dell’intelligence sulle minacce presso NCC Group, ha dichiarato: “Con ancora un mese da trascorrere quest’anno, il numero totale di attacchi ha superato i 4.000, segnando un enorme aumento rispetto al 2021 e al 2022, quindi sarà interessante vedere se i livelli di ransomware continueranno a salire l’anno prossimo.”
L’aumento degli attacchi ransomware a novembre è stato confermato anche dalla società di assicurazioni cibernetiche Corvus, che ha individuato 484 nuove vittime di ransomware pubblicate su siti di leak.
L’ecosistema del ransomware, afferma Corvus, si è spostato lontano da QBot, favorendo exploit software e altre famiglie di malware alternative, generando profitti per i gruppi di ransomware.
Questa evoluzione del panorama delle minacce informatiche sottolinea le sfide nel contrastare questi attacchi, anche a seguito delle azioni delle forze dell’ordine contro l’infrastruttura di QBot e i nuovi dettagli rivelati da Microsoft su campagne di phishing che distribuiscono il malware.
La sicurezza offerta dal ransomware Akira, che impedisce l’analisi del sito di comunicazione, e lo sfruttamento di varie vulnerabilità del sistema Windows evidenziano la complessità delle minacce attuali.