TrueBot è tornato: individuate nuove e pericolose varianti

Le agenzie di sicurezza informatica di Stati Uniti e Canada hanno avvertito giovedì che si stanno rapidamente diffondendo online nuove varianti di TrueBot.

Il malware in questione, attivo dal 2017 e realizzato da un gruppo di hacker di lingua russa noto come Silence, è dunque un nome già noto nel settore. Dallo scorso 31 maggio, le attività legate a TrueBot sembrano essere aumentate in modo drastico.

A preoccupare gli addetti ai lavori sono delle nuove varianti, capaci di sfruttare una vulnerabilità di esecuzione di codice remoto (RCE) che colpisce l’applicazione Netwrix Auditor.

Se a prima vista ciò può sembrare limitante per il raggio d’azione della campagna malware, in realtà non è così: si parla, infatti, di più di 13.000 organizzazioni distribuite in circa 100 paesi che utilizzano in modo regolare il software.

TrueBot sfrutta una vulnerabilità di Netwrix Auditor e torna a fare paura

I ricercatori della sicurezza informatica hanno individuato l’aumento dell’attività di TrueBot poco dopo la divulgazione della vulnerabilità di Netwrix Auditor, dunque a metà del 2022.

Cisco Talos, poi, ha affermato che si è verificato un picco di casi durante il mese di dicembre dello stesso anno. Secondo i ricercatori di tale agenzia, comunque, è improbabile che il numero di vittime di tale vulnerabilità sia elevato.

L’avviso pubblicato giovedì non ha nominato vittime specifiche o indicato quante organizzazioni sono state prese di mira. Le agenzie hanno pubblicato dettagli su come rilevare il malware e mitigarne gli effetti, inclusa una specifica patch per correggere la vulnerabilità di Netwrix Auditor e l’adozione dell’autenticazione a più fattori per tutto il personale e i servizi delle aziende coinvolte.

Il ritorno in scena di TrueBot dimostra come la sicurezza informatica sia un aspetto estremamente delicato e che, una minaccia sconfitta, può facilmente tornare in auge causando ingenti danni a utenti e aziende.