Barracuda full logo

Malware Brief: qualcosa di vecchio, qualcosa di nuovo…

Argomenti:
6 ago 2025
|
Tony Burgess

Oggi riassumeremo alcune delle tendenze più recente in fatto di malware, tra cui le minacce ai dati di Entra ID e lo spoofing delle aziende di IA. Inoltre, esamineremo il file way-back e controlleremo una variante classica di ransomware che sta ancora causando molti danni quasi 10 anni dopo la sua prima apparizione sulla scena.

Password spraying vs. Entra ID

Tipo: Variante di brute force

Strumenti: dafthack/DomainPasswordSpray, dafthack/MSOLSpray, iomoath/SharpSpray (tutti disponibili su GitHub)

Attori delle minacce: APT28 aka IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, APT29 aka IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Midnight Blizzard, APT33 aka HOLMIUM, Elfin, Peach Sandstorm, Play

Come suggerisce questo lungo elenco di attori di minacce, l'attacco di password spray sta diventando sempre più popolare come metodo per ottenere l'accesso alle reti di destinazione. Una volta all'interno, gli attaccanti possono spostarsi lateralmente, trovare ed esfiltrare dati di alto valore, inserire ransomware e altri malware, e così via.

A differenza dei tradizionali metodi brute force, che colpiscono gli account presi di mira con rapidi tentativi di accesso utilizzando password generate (più o meno) casualmente, l'attacco di password spray utilizza un elenco ridotto di password note per essere comuni (ad esempio, "password", "1234", ecc.), a bassa frequenza.

Gli attacchi di password spray contro i sistemi Entra ID sono sempre più comuni, con una recente campagna che ha preso di mira circa 80.000 account in tre continenti. Questo mette in evidenza l'importanza di imporre l'uso di password forti e uniche e di proteggere i dati di Entra ID con un sistema di backup robusto.

Falsi strumenti di GenAI

Tipo: Phishing, Trojan, malvertising

Strumenti: NoodlophileStealer, ransomware

Gli attori delle minacce hanno imparato a sfruttare il crescente interesse per tutto quello che riguarda l'IA per creare una nuova generazione di attacchi. Stanno creando falsi strumenti di intelligenza artificiale generativa (IA) che nascondono il malware e lo distribuiscono tramite malvertising e phishing.

Il malware nascosto spesso è costituito da uno stealer (NoodlophileStealer è particolarmente comune) ed è utilizzato per trovare ed esfiltrare dati finanziari e altri dati sensibili.

Come sempre, la consapevolezza della sicurezza e una grande dose di scetticismo sui nuovi strumenti che non sono già ampiamente conosciuti è la chiave per prevenire questi attacchi.

Un tuffo nel passato: WannaCry

Tipo: Ransomware, Worm

Primo avvistamento: maggio 2017

Exploit utilizzati: EternalBlue, DoublePulsar

Attori delle minacce: The Lazarus Group (legato alla Corea del Nord)

Nel 2017, WannaCry (alias WCry, WanaCryptor) ha preso d'assalto il mondo intero e ha inaugurato l'era del ransomware moderno, infettando circa 200.000 computer nei primi due giorni dell'attacco. Microsoft, in collaborazione con diverse società di sicurezza informatica, si è affrettata a fornire una patch per Windows che ha attivato un kill switch che gli analisti avevano scoperto all'interno del malware. Ciononostante, l'attacco ha fruttato miliardi di dollari in termini di pagamenti di riscatto al termine dell'attacco.

Una delle innovazioni chiave di WannaCry è che aveva delle funzionalità di worm. Non solo cercava e crittografava i dati critici all'interno dell'ambiente di destinazione, ma aveva anche la capacità di iniettare copie di se stesso in altri computer connessi, consentendone così la diffusione a una velocità senza precedenti.

Le nuove varianti di WannaCry continuano ad attaccare i sistemi di tutto il mondo e mancano del kill switch che gli interventi iniziali erano in grado di sfruttare. Sebbene non sia tra i principali tipi di malware in uso, Any.Run segnala 227 attività rilevate solo nel luglio 2025.

Si tratta di un promemoria utile del fatto che i vecchi malware non muoiono mai e non svaniscono mai del tutto. Mantieni aggiornati i tuoi sistemi e la tua sicurezza.

Programma una demo di Entra ID Backup
Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Post correlati:
Malware Brief: Crafty phishing, BYOVD and Android RATs
Malware Brief: Crafty phishing, BYOVD and Android RATs
 Survey sees global decline in data breach costs
Survey sees global decline in data breach costs
 WolfGPT: The “Upgraded” Dark AI for Malware
WolfGPT: The “Upgraded” Dark AI for Malware
 Minacce interne e turnover dei dipendenti: cosa c'è da sapere
Minacce interne e turnover dei dipendenti: cosa c'è da sapere
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.