ESET THREAT RESEARCH


Ricerca e scoperte riconosciute nel campo della cybersecurity al servizio di clienti globali

0+
Ricercatori ed esperti di tecnologia specializzati in cybersecurity
1
Centri di Ricerca e Sviluppo distribuiti a livello globale
Oltre 300.000
Nuovi campioni unici di malware rilevati ogni giorno
Oltre 1 miliardo
Di individui e clienti protetti in tutto il mondo

La ricerca è sempre stata al centro della tecnologia ESET sin dalla sua fondazione. Il nostro percorso è iniziato nel 1987 con una scoperta significativa: i co-fondatori di ESET, Miroslav Trnka e Peter Paško, identificarono uno dei primi virus informatici al mondo, noto come Vienna.
 

Nel corso degli anni, ESET e i suoi ricercatori sono stati riconosciuti per numerose scoperte e hanno ricevuto importanti riconoscimenti per il loro lavoro.
Nel 2018, ESET ha effettuato una scoperta di rilievo con LoJax, il primo rootkit UEFI rilevato in ambienti reali, utilizzato dal famigerato gruppo APT Sednit.

I nostri ricercatori partecipano regolarmente a conferenze di settore di alto profilo, tra cui RSA, Black Hat, Virus Bulletin e CARO. Inoltre, si impegnano attivamente nella formazione delle future generazioni di ricercatori e professionisti della sicurezza, insegnando presso università.

Le ricerche più rilevanti di ESET Threat Research

Ottobre 2024

GoldenJackal e attacchi ad ambienti air-gapped

I ricercatori di ESET hanno scoperto una serie di attacchi avvenuti in Europa tra maggio 2022 e marzo 2024, in cui è stato utilizzato un set di strumenti in grado di colpire sistemi isolati (air-gapped) all’interno di un’organizzazione governativa di un Paese membro dell’UE. ESET attribuisce la campagna a GoldenJackal, un gruppo APT specializzato in cyber-spionaggio contro enti governativi e diplomatici.

Settembre 2024

Gamaredon
 

ESET Research ha analizzato le operazioni del gruppo APT Gamaredon, affiliato alla Russia e attivo almeno dal 2013. Attualmente, Gamaredon è il gruppo APT più attivo in Ucraina.

Agosto 2024

NGate
 

ESET ha individuato una campagna di crimeware rivolta ai clienti di tre banche ceche. Il malware utilizzato, che abbiamo chiamato NGate, è in grado di trasmettere i dati delle carte di pagamento delle vittime – tramite un’app malevola installata su dispositivi Android – direttamente al telefono Android compromesso dell’attaccante.

Luglio 2024

EvilVideo
 

I ricercatori di ESET hanno scoperto un exploit zero-day che prende di mira l’app Telegram per Android. L’exploit è stato messo in vendita in un forum underground nel giugno 2024, a un prezzo non specificato. Gli attaccanti hanno sfruttato questa vulnerabilità, denominata da ESET “EvilVideo”, per compromettere i dispositivi delle vittime.

Aprile 2024

Ebury investigation

Il team di ESET Research ha pubblicato un’approfondita analisi su una delle campagne malware lato server più sofisticate e in continua espansione: il gruppo Ebury, con il relativo malware e botnet. Nel corso degli anni, Ebury è stato utilizzato come backdoor per compromettere quasi 400.000 server Linux, FreeBSD e OpenBSD.

Febbraio 2024

Operation Texonto

Un attore minaccioso allineato con la Russia ha diffuso disinformazione legata alla guerra e operazioni psicologiche (PSYOPs) rivolte a lettori ucraini tramite email di spam. La campagna di spear phishing ha preso di mira un’azienda della difesa ucraina e un’agenzia dell’UE.

Gennaio 2024

Grandoreiro disruption

ESET ha collaborato con la Polizia Federale del Brasile per tentare di interrompere la botnet Grandoreiro. ESET ha contribuito al progetto fornendo analisi tecniche, dati statistici e informazioni su domini e indirizzi IP dei server di comando e controllo noti.

Dicembre 2023

SpyLoan

I ricercatori di ESET hanno osservato una crescita allarmante di app Android ingannevoli per prestiti personali, che si presentano come servizi legittimi, promettendo accesso rapido e semplice a fondi. In realtà, queste app nascondono comportamenti malevoli e vengono rilevate dai prodotti ESET con il nome di SpyLoan.

Novembre 2023

Mozi kill switch

I ricercatori di ESET hanno osservato la scomparsa improvvisa di Mozi, una delle botnet IoT più prolifiche. Dal 2019, Mozi è stata responsabile dello sfruttamento di centinaia di migliaia di dispositivi ogni anno. ESET ha scoperto un kill switch che ha disattivato il malware, rendendo i bot Mozi completamente inoperativi.

Settembre 2023

Lazarus in Spagna

I ricercatori di ESET hanno scoperto un attacco del gruppo Lazarus contro un’azienda aerospaziale in Spagna, durante il quale sono stati utilizzati diversi strumenti malevoli. Gli operatori del gruppo Lazarus, legato alla Corea del Nord, hanno ottenuto l’accesso iniziale alla rete dell’azienda l’anno precedente, grazie a una campagna di spear phishing in cui si spacciavano per un recruiter di Meta.

2023–2024

Telekopye

I ricercatori di ESET hanno scoperto e analizzato Telekopye, un toolkit progettato per facilitare le truffe online anche da parte di utenti con competenze tecniche limitate. Secondo le stime di ESET, Telekopye è in uso almeno dal 2015. Le sue funzionalità includono la creazione di siti di phishing, l’invio di SMS ed email di phishing, e la generazione di screenshot falsi.

Agosto 2023

MoustachedBouncer

ESET Research ha scoperto un nuovo gruppo di cyberspionaggio denominato MoustachedBouncer. Il gruppo è allineato con gli interessi del governo della Bielorussia ed è attivo almeno dal 2014. Le sue attività sono rivolte esclusivamente contro ambasciate straniere presenti in Bielorussia, comprese quelle europee.

Maggio 2023

iRecorder
 

I ricercatori di ESET hanno scoperto un'app Android trojanizzata chiamata iRecorder – Screen Recorder. L'app era disponibile su Google Play come applicazione legittima a partire da settembre 2021, ma con ogni probabilità la funzionalità dannosa è stata aggiunta nell’agosto 2022. Durante il suo periodo di attività, l'app è stata installata su oltre 50.000 dispositivi. Il codice malevolo è stato inserito all'interno della versione pulita di iRecorder.

Marzo 2023

BlackLotus
 

I ricercatori di ESET hanno pubblicato un'analisi su un bootkit UEFI in grado di bypassare una funzionalità di sicurezza fondamentale della piattaforma: UEFI Secure Boot. Le caratteristiche del bootkit e le sue funzionalità specifiche hanno portato ESET Research a ritenere che si tratti della minaccia nota come BlackLotus, un bootkit UEFI venduto su forum di hacking.

Febbraio-Dicembre 2022

Attacchi wiper in Ucraina

L’Ucraina è stata colpita da attacchi informatici con malware distruttivi come HermeticWiper, IsaacWiper, CaddyWiper e altri, a partire dall’invasione russa.

Aprile 2022

Industroyer2
 

Il gruppo Sandworm ha tentato senza successo di colpire sottostazioni elettriche ad alta tensione in Ucraina con il malware Industroyer2. ESET ha collaborato con CERT-UA per l’analisi.

Aprile 2022

Interruzione di Zloader

In collaborazione con Microsoft, ESET ha contribuito a interrompere le botnet Zloader, inizialmente un trojan bancario poi evoluto in distributore di ransomware.

Aprile 2022

Vulnerabilità UEFI

Scoperte tre vulnerabilità che interessano diversi modelli di laptop Lenovo consumer.

 

Luglio 2022

CloudMensis spyware

Backdoor per macOS che spia gli utenti tramite servizi di cloud storage pubblici.

Settembre 2022

Operazioni Lazarus

Analisi di strumenti malevoli usati dal gruppo APT Lazarus, incluso uno che disattiva funzionalità di monitoraggio di Windows.

Ottobre 2022

Polonium
 

Analisi di backdoor personalizzate e strumenti di spionaggio usati in Israele dal gruppo APT POLONIUM.

Dicembre 2022

MirrorFace
 

Campagna di spearphishing contro entità politiche giapponesi prima delle elezioni, con furto di credenziali.

 

Dicembre 2021

Attacchi ad ambienti air-gapped

Analisi di tutti i framework malevoli noti per colpire reti isolate.

Agosto 2019- Dicembre 2021

Trojan bancari in America Latina

Serie di articoli dedicati ai trojan bancari che colpiscono principalmente Brasile, Spagna e Messico.

Novembre 2021

Spyware Candiru

Attacchi a siti web di alto profilo in Medio Oriente, con focus sullo Yemen, collegati alla società produttrice di spyware Candiru.

Ottobre 2021

UEFI bootkit ESPecter

Bootkit reale che persiste nella partizione EFI e può caricare driver non firmati per attività di spionaggio.

Agosto 2021

IIS threat research

Scoperti 10 malware sconosciuti implementati come estensioni malevole per i server web IIS.

Maggio 2021

Stalkerware Android

Analisi approfondita di 58 app stalkerware con 158 vulnerabilità gravi.

Marzo 2021

ProxyLogon

Almeno 10 gruppi APT hanno sfruttato vulnerabilità di Microsoft Exchange prima e dopo la patch.

Febbraio 2021

Kobalos

Malware complesso per Linux che prende di mira supercomputer. ESET ha collaborato con il CERN per mitigare gli attacchi.

Giugno 2020

InvisiMole

Nuova campagna del gruppo InvisiMole con strumenti aggiornati e tecniche di evasione avanzate.

Febbraio 2020

Vulnerabilità KrØØk

Flaw che consente di decifrare pacchetti di rete wireless trasmessi da dispositivi vulnerabili.

Giugno 2020

Operazione In(ter)ception

Attacchi mirati contro aziende aerospaziali e militari in Europa e Medio Oriente.

Ottobre 2020

Disruption di TrickBot
 

Collaborazione con Microsoft per smantellare la botnet TrickBot, fornendo analisi tecniche e dati di rete.

Ottobre 2018

GreyEnergy
 

Successore del gruppo BlackEnergy, mirato alle infrastrutture critiche.

Ottobre 2019

Operazione Ghost
 

Nuove attività del gruppo di spionaggio Dukes, con tre nuove famiglie malware.

Ottobre 2019

Gruppo Winnti
 

Aggiornamenti sugli strumenti e le campagne del gruppo APT Winnti.

Ottobre 2019

Piattaforma di spionaggio Attor

Scoperta di una piattaforma usata in attacchi mirati contro missioni diplomatiche e utenti attenti alla privacy.

Novembre 2018

Disruption di 3ve
 

Contributo all’operazione internazionale contro 3ve, una delle più grandi frodi pubblicitarie online.

ESET Threat Report
 

Rapporto sulle attività APT di ESET

Tutti i Threat Report di ESET su WeLiveSecurity (in inglese)

Le ultime novità dalla ricerca ESET

Articoli e pubblicazioni tecniche di ESET

Repository di ricerca ESET

Vulnerabilità software

Sebbene ESET Research si concentri principalmente sull’analisi del malware, alcune indagini portano alla scoperta di vulnerabilità nei software.

Nel rispetto degli interessi legittimi dei fornitori di hardware, software e servizi, il nostro obiettivo è proteggere l’intera comunità di utenti di prodotti e servizi legati a internet e all’IT.

Quando riteniamo di aver individuato una vulnerabilità in un prodotto o servizio di terze parti, seguiamo i principi della responsible disclosure. Ci impegniamo a contattare il fornitore per informarlo delle nostre scoperte. Tuttavia, ci riserviamo la possibilità di condividere la scoperta con terze parti fidate, come ad esempio un CSIRT nazionale.

Politica di divulgazione coordinata delle vulnerabilità di ESET

Centri di Ricerca e Sviluppo ESET

  • Bratislava, Košice e Žilina, Slovacchia
  • Praga, Brno e Jablonec nad Nisou, Repubblica Ceca
  • Cracovia, Polonia
  • Montreal, Canada
  • San Diego, Stati Uniti
  • Singapore
  • Iasi, Romania
  • Taunton, Regno Unito