L'anno scorso ESET ha pubblicato a post sul blog su AceCryptor – uno dei cryptors-as-a-service (CaaS) più popolari e diffusi, operativo dal 2016. Per il primo semestre del 1 abbiamo pubblicato statistiche dalla nostra telemetria, secondo la quale le tendenze dei periodi precedenti sono continuate senza cambiamenti drastici.
Tuttavia, nella seconda metà del 2 abbiamo registrato un cambiamento significativo nel modo in cui viene utilizzato AceCryptor. Non solo abbiamo visto e bloccato più del doppio degli attacchi nel secondo semestre del 2023 rispetto al primo semestre del 2, ma abbiamo anche notato che Rescoms (noto anche come Remcos) ha iniziato a utilizzare AceCryptor, cosa che prima non accadeva.
La stragrande maggioranza dei campioni RAT di Rescoms contenenti AceCryptor sono stati utilizzati come vettore di compromissione iniziale in molteplici campagne di spam rivolte a paesi europei tra cui Polonia, Slovacchia, Bulgaria e Serbia.
Punti chiave di questo post sul blog:
- AceCryptor ha continuato a fornire servizi di compressione a decine di famiglie di malware molto note nella seconda metà del 2.
- Anche se ben noto ai prodotti di sicurezza, la diffusione di AceCryptor non mostra segni di calo: al contrario, il numero degli attacchi è aumentato notevolmente a causa delle campagne Rescoms.
- AceCryptor è il criptovaluta preferito dagli autori di minacce che prendono di mira paesi e obiettivi specifici (ad esempio, aziende in un determinato paese).
- Nella seconda metà del 2, ESET ha rilevato numerose campagne AceCryptor+Rescoms nei paesi europei, principalmente Polonia, Bulgaria, Spagna e Serbia.
- L'autore delle minacce dietro queste campagne in alcuni casi ha abusato di account compromessi per inviare e-mail di spam al fine di farli apparire il più credibili possibile.
- L'obiettivo delle campagne di spam era ottenere credenziali memorizzate nei browser o nei client di posta elettronica che, in caso di compromissione riuscita, avrebbero aperto la possibilità di ulteriori attacchi.
AceCryptor nella seconda metà del 2
Nella prima metà del 2023 ESET ha protetto circa 13,000 utenti dal malware ricco di AceCryptor. Nella seconda metà dell’anno, si è verificato un massiccio aumento della diffusione di malware contenenti AceCryptor, con i nostri rilevamenti triplicati, con il risultato di oltre 42,000 utenti ESET protetti in tutto il mondo. Come si può osservare nella Figura 1, abbiamo rilevato diverse ondate improvvise di diffusione di malware. Questi picchi mostrano molteplici campagne di spam mirate ai paesi europei in cui AceCryptor ha confezionato un RAT di Rescoms (discusso più nel Campagne Rescom sezione).
Inoltre, se confrontiamo il numero grezzo di campioni: nella prima metà del 2023, ESET ha rilevato oltre 23,000 campioni dannosi univoci di AceCryptor; nella seconda metà del 2023 abbiamo visto e rilevato “solo” oltre 17,000 campioni unici. Anche se questo potrebbe essere inaspettato, dopo uno sguardo più attento ai dati c’è una spiegazione ragionevole. Le campagne di spam di Rescoms hanno utilizzato gli stessi file dannosi nelle campagne e-mail inviate a un numero maggiore di utenti, aumentando così il numero di persone che hanno riscontrato il malware, ma mantenendo comunque basso il numero di file diversi. Ciò non accadeva nei periodi precedenti poiché Rescoms non veniva quasi mai utilizzato in combinazione con AceCryptor. Un altro motivo per la diminuzione del numero di campioni univoci è perché alcune famiglie popolari apparentemente hanno smesso (o quasi) di utilizzare AceCryptor come CaaS di riferimento. Un esempio è il malware Danabot che ha smesso di utilizzare AceCryptor; inoltre, l'importante RedLine Stealer i cui utenti hanno smesso di utilizzare AceCryptor, sulla base di una diminuzione superiore al 60% dei campioni AceCryptor contenenti quel malware.
Come mostrato nella Figura 2, AceCryptor distribuisce ancora, oltre a Rescoms, campioni di molte famiglie di malware diverse, come SmokeLoader, STOP ransomware e Vidar stealer.
Nella prima metà del 2023, i paesi più colpiti dal malware confezionato da AceCryptor sono stati Perù, Messico, Egitto e Turchia, dove il Perù, con 4,700, ha subito il maggior numero di attacchi. Le campagne spam di Rescom hanno cambiato radicalmente queste statistiche nella seconda metà dell'anno. Come si può vedere nella Figura 3, il malware ricco di AceCryptor ha colpito soprattutto i paesi europei. Il paese di gran lunga più colpito è la Polonia, dove ESET ha impedito oltre 26,000 attacchi; seguono Ucraina, Spagna e Serbia. Inoltre, vale la pena ricordare che in ciascuno di questi paesi i prodotti ESET hanno impedito più attacchi rispetto al paese più colpito nel primo semestre del 1, il Perù.
I campioni di AceCryptor che abbiamo osservato nell'H2 spesso contenevano due famiglie di malware come payload: Rescoms e SmokeLoader. Un picco in Ucraina è stato causato da SmokeLoader. Questo fatto è già stato menzionato dal NSDC ucraino. D’altro canto in Polonia, Slovacchia, Bulgaria e Serbia l’aumento dell’attività è stato causato da AceCryptor contenente Rescoms come carico utile finale.
Campagne Rescom
Nella prima metà del 2023, abbiamo riscontrato nella nostra telemetria meno di un centinaio di casi di campioni di AceCryptor con Rescom all'interno. Durante la seconda metà dell'anno, Rescoms è diventata la famiglia di malware più diffusa confezionata da AceCryptor, con oltre 32,000 riscontri. Oltre la metà di questi tentativi è avvenuta in Polonia, seguita da Serbia, Spagna, Bulgaria e Slovacchia (Figura 4).
Campagne in Polonia
Grazie alla telemetria ESET siamo stati in grado di osservare otto significative campagne di spam rivolte alla Polonia nella seconda metà del 2. Come si può vedere nella Figura 2023, la maggior parte di esse si è verificata a settembre, ma ci sono state anche campagne in agosto e dicembre.
In totale, ESET ha registrato oltre 26,000 di questi attacchi in Polonia in questo periodo. Tutte le campagne di spam avevano come obiettivo le aziende polacche e tutte le e-mail avevano oggetti molto simili riguardo alle offerte B2B per le aziende vittime. Per sembrare il più credibili possibile, gli aggressori hanno incorporato i seguenti trucchi nelle e-mail di spam:
- Indirizzi e-mail a cui inviavano e-mail di spam da domini imitati di altre società. Gli aggressori hanno utilizzato un TLD diverso, modificato una lettera nel nome di un'azienda o l'ordine delle parole nel caso di un nome aziendale composto da più parole (questa tecnica è nota come typosquatting).
- La cosa più degna di nota è che sono coinvolte più campagne compromissione della posta elettronica aziendale – gli aggressori hanno abusato degli account di posta elettronica precedentemente compromessi di altri dipendenti dell’azienda per inviare e-mail di spam. In questo modo, anche se la potenziale vittima cercava i soliti segnali d'allarme, questi semplicemente non c'erano e l'e-mail sembrava legittima quanto avrebbe potuto.
Gli aggressori hanno effettuato le proprie ricerche e utilizzato nomi di società polacche esistenti e persino nomi di dipendenti/proprietari e informazioni di contatto esistenti per firmare tali e-mail. Ciò è stato fatto in modo che, nel caso in cui una vittima tentasse di cercare su Google il nome del mittente, la ricerca avesse esito positivo, il che potrebbe indurla ad aprire l'allegato dannoso.
- Il contenuto delle e-mail di spam era in alcuni casi più semplice ma in molti casi (come nell'esempio nella Figura 6) piuttosto elaborato. Soprattutto queste versioni più elaborate dovrebbero essere considerate pericolose poiché si discostano dallo schema standard del testo generico, che è spesso pieno di errori grammaticali.
L'e-mail mostrata in Figura 6 contiene un messaggio seguito dall'informativa sul trattamento dei dati personali effettuato dal presunto mittente e dalla possibilità di “accedere al contenuto dei propri dati e dal diritto di rettifica, cancellazione, limitazione delle limitazioni del trattamento, diritto al trasferimento dei dati , diritto di opposizione, nonché diritto di proporre reclamo all'autorità di controllo”. Il messaggio stesso può essere tradotto così:
Caro Signore,
Sono Sylwester [redatta] da [redatta]. La vostra azienda ci è stata consigliata da un partner commerciale. Si prega di citare l'elenco degli ordini allegato. Vi preghiamo di informarci anche sui termini di pagamento.
Attendiamo con ansia la vostra risposta e ulteriori discussioni.
-
I migliori saluti,
Gli allegati in tutte le campagne sembravano abbastanza simili (Figura 7). Le e-mail contenevano un archivio allegato o un file ISO denominato offerta/richiesta (ovviamente in polacco), in alcuni casi accompagnato anche da un numero d'ordine. Quel file conteneva un eseguibile di AceCryptor che scompattava e lanciava Rescoms.
In base al comportamento del malware presumiamo che l'obiettivo di queste campagne fosse ottenere le credenziali di posta elettronica e del browser e quindi ottenere il primo accesso alle aziende prese di mira. Sebbene non sia noto se le credenziali siano state raccolte per il gruppo che ha effettuato questi attacchi o se quelle credenziali rubate siano state successivamente vendute ad altri autori di minacce, è certo che un compromesso riuscito apre la possibilità per ulteriori attacchi, soprattutto da parte di, attualmente popolari, attacchi ransomware.
È importante precisare che Rescoms RAT può essere acquistato; quindi molti autori di minacce lo utilizzano nelle loro operazioni. Queste campagne non sono collegate solo dalla somiglianza del target, dalla struttura degli allegati, dal testo dell'e-mail o da trucchi e tecniche utilizzati per ingannare le potenziali vittime, ma anche da alcune proprietà meno ovvie. Nel malware stesso, siamo riusciti a trovare artefatti (ad esempio, l'ID di licenza per Rescoms) che collegano insieme quelle campagne, rivelando che molti di questi attacchi sono stati sferrati da un unico attore della minaccia.
Campagne in Slovacchia, Bulgaria e Serbia
Negli stessi periodi di tempo delle campagne in Polonia, la telemetria ESET ha registrato anche campagne in corso in Slovacchia, Bulgaria e Serbia. Queste campagne hanno preso di mira principalmente aziende locali e possiamo persino trovare artefatti nel malware stesso che collegano queste campagne allo stesso autore di minacce che ha condotto le campagne in Polonia. L’unica cosa significativa che è cambiata è stata, ovviamente, la lingua utilizzata nelle e-mail di spam per essere adatta a quei paesi specifici.
Campagne in Spagna
Oltre alle campagne menzionate in precedenza, anche la Spagna ha registrato un’ondata di e-mail di spam con Rescoms come carico finale. Anche se possiamo confermare che almeno una delle campagne è stata condotta dallo stesso autore di minacce dei casi precedenti, le altre campagne hanno seguito uno schema leggermente diverso. Inoltre, anche i manufatti uguali nei casi precedenti differivano in questi e, per questo motivo, non possiamo concludere che le campagne in Spagna abbiano avuto origine dallo stesso luogo.
Conclusione
Durante la seconda metà del 2023 abbiamo rilevato un cambiamento nell’utilizzo di AceCryptor, un popolare sistema di crittografia utilizzato da più autori di minacce per comprimere molte famiglie di malware. Anche se la prevalenza di alcune famiglie di malware come RedLine Stealer è diminuita, altri autori di minacce hanno iniziato a usarlo o lo hanno utilizzato ancora di più per le loro attività e AceCryptor è ancora forte. In queste campagne AceCryptor è stato utilizzato per colpire più paesi europei e per estrarre informazioni o ottenere l'accesso iniziale a più società. Il malware in questi attacchi è stato distribuito tramite e-mail di spam, che in alcuni casi si sono rivelate piuttosto convincenti; a volte lo spam veniva inviato anche da account di posta elettronica legittimi, ma abusati. Poiché l'apertura degli allegati di tali e-mail può avere gravi conseguenze per te o la tua azienda, ti consigliamo di essere consapevole di ciò che stai aprendo e di utilizzare un software di sicurezza endpoint affidabile in grado di rilevare il malware.
Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo threatintel@eset.com.
ESET Research offre report di intelligence APT privati e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .
IOCS
Un elenco completo degli indicatori di compromesso (IoC) è disponibile nel nostro Repository GitHub.
File
SHA-1 |
Nome del file |
rivelazione |
Descrizione |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Allegato dannoso derivante dalla campagna di spam condotta in Serbia nel dicembre 2023. |
7DB6780A1E09AEC6146E |
zapytanie.7z |
Win32/Kryptik.HUNX |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Allegato dannoso derivante da una campagna di spam condotta in Polonia e Bulgaria nel settembre 2023. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Allegato dannoso derivante da una campagna di spam condotta in Serbia nel settembre 2023. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nel settembre 2023. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nell'agosto 2023. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Allegato dannoso derivante dalla campagna di spam condotta in Serbia nell'agosto 2023. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nell'agosto 2023. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Allegato dannoso derivante da una campagna di spam condotta in Slovacchia nell'agosto 2023. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nel dicembre 2023. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Allegato dannoso derivante da una campagna di spam condotta in Serbia nel settembre 2023. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel dicembre 2023. |
FAD97EC6447A699179B0 |
lista zamówień e szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Allegato dannoso derivante da una campagna di spam condotta in Spagna nell'agosto 2023. |
Tecniche MITRE ATT&CK
Questa tabella è stata creata utilizzando Versione 14 del framework MITRE ATT&CK.
tattica |
ID |
Nome |
Descrizione |
Ricognizione |
Raccogliere informazioni sull'identità della vittima: indirizzi e-mail |
Indirizzi e-mail e informazioni di contatto (acquistati o raccolti da fonti disponibili al pubblico) sono stati utilizzati nelle campagne di phishing per prendere di mira aziende in più paesi. |
|
Sviluppo delle risorse |
Account compromessi: account di posta elettronica |
Gli aggressori hanno utilizzato account e-mail compromessi per inviare e-mail di phishing in campagne di spam per aumentare la credibilità delle e-mail di spam. |
|
Ottieni funzionalità: malware |
Gli aggressori hanno acquistato e utilizzato AceCryptor e Rescoms per campagne di phishing. |
||
Accesso iniziale |
Phishing |
Gli aggressori hanno utilizzato messaggi di phishing con allegati dannosi per compromettere i computer e rubare informazioni ad aziende in diversi paesi europei. |
|
Phishing: allegato spearphishing |
Gli aggressori hanno utilizzato messaggi di spearphishing per compromettere i computer e rubare informazioni da aziende in diversi paesi europei. |
||
|
Esecuzione utente: file dannoso |
Gli aggressori facevano affidamento sugli utenti che aprivano e lanciavano file dannosi con malware confezionato da AceCryptor. |
|
Accesso alle credenziali |
Credenziali da archivi password: Credenziali da browser web |
Gli aggressori hanno tentato di rubare informazioni sulle credenziali da browser e client di posta elettronica. |
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :È
- :non
- :Dove
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- capace
- Chi siamo
- abusato
- accesso
- accompagnati
- Secondo
- conti
- operanti in
- attività
- attività
- attori
- indirizzi
- aiutarti
- influenzato
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- presunta
- quasi
- già
- anche
- am
- an
- ed
- andre
- Un altro
- in qualsiasi
- a parte
- APT
- Archivio
- SONO
- in giro
- AS
- assumere
- At
- attacchi
- Tentativi
- AGOSTO
- disponibile
- media
- consapevole
- B2B
- basato
- BE
- è diventato
- perché
- stato
- comportamento
- dietro
- bloccato
- comprato
- del browser
- browser
- costruito
- Bulgaria
- affari
- aziende
- ma
- by
- caas
- Campagna
- Responsabile Campagne
- Materiale
- non può
- funzionalità
- svolta
- Custodie
- casi
- ha causato
- certo
- catena
- il cambiamento
- cambiato
- Modifiche
- scegliere
- clienti
- più vicino
- COM
- combinazione
- Aziende
- azienda
- confrontare
- confronto
- denuncia
- globale
- compromesso
- Compromissione
- computer
- concludere
- Confermare
- collegato
- Conseguenze
- considerato
- contatti
- contenute
- contiene
- contenuto
- continua
- contrario
- potuto
- paesi
- nazione
- Portata
- CREDENZIALI
- Credenziali
- Credibilità
- credibile
- Attualmente
- alle lezioni
- Pericoloso
- dati
- Dicembre
- Rifiuta
- diminuire
- individuare
- rilevato
- deviare
- DID
- diverso
- discusso
- discussione
- distribuito
- domini
- fatto
- doppio
- drammaticamente
- caduto
- dovuto
- durante
- e
- ogni
- Egitto
- otto
- o
- Elaborare
- dipendenti
- endpoint
- sicurezza degli endpoint
- particolarmente
- europeo
- Paesi europei
- Anche
- esempio
- esecuzione
- esistente
- esperto
- spiegazione
- estratto
- fatto
- famiglie
- famiglia
- lontano
- meno
- figura
- Compila il
- File
- finale
- Trovare
- Nome
- bandiere
- seguito
- i seguenti
- Nel
- Avanti
- essere trovato
- Contesto
- da
- ulteriormente
- Inoltre
- Guadagno
- raccolto
- scopo
- andando
- maggiore
- maggiore
- Gruppo
- ha avuto
- Metà
- cura
- accadere
- successo
- Avere
- Visualizzazioni
- Come
- HTTPS
- misura di peso di 5.8 chili
- i
- ID
- Identità
- if
- Immagine
- importante
- in
- Compreso
- Incorporated
- Aumento
- è aumentato
- crescente
- indicazioni
- far sapere
- informazioni
- inizialmente
- Richieste
- interno
- Intelligence
- ai miglioramenti
- coinvolto
- ISO
- IT
- stessa
- jpeg
- ad appena
- conservazione
- conosciuto
- Lingua
- dopo
- lanciato
- lancio
- portare
- meno
- legittimo
- meno
- lettera
- Licenza
- piace
- LIMITE
- Linee
- Lista
- locale
- Guarda
- guardò
- Basso
- principalmente
- Maggioranza
- make
- maligno
- il malware
- molti
- massiccio
- menzionato
- menzionare
- messaggio
- messaggi
- Messico
- forza
- errori
- Scopri di più
- maggior parte
- Più popolare
- soprattutto
- in movimento
- media mobile
- molti
- multiplo
- Nome
- Detto
- nomi
- mai
- degno di nota
- numero
- osservare
- ottenere
- ovvio
- of
- Offerte
- di frequente
- on
- ONE
- in corso
- esclusivamente
- aprire
- apertura
- apre
- operativo
- Operazioni
- or
- minimo
- originato
- Altro
- nostro
- su
- ancora
- PACK
- imballato
- pagina
- particolare
- partner
- Password
- Cartamodello
- Pagamento
- Persone
- periodo
- periodi
- cronologia
- tacchino
- phishing
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- punti
- Polonia
- Polacco
- Popolare
- possibilità
- possibilità
- possibile
- potenziale
- prevalenza
- atleta
- impedito
- precedente
- in precedenza
- un bagno
- lavorazione
- Prodotti
- prominente
- proprietà
- protetta
- fornire
- pubblicamente
- pubblicato
- abbastanza
- citare
- aumentare
- ransomware
- Attacchi ransomware
- RAT
- Crudo
- ragione
- ragionevole
- raccomandato
- Rosso
- Bandiere rosse
- redatto
- Saluti
- registrato
- affidabile
- Report
- riparazioni
- risposta
- restrizioni
- risultante
- rivelando
- crivellato
- corse
- destra
- s
- stesso
- sega
- Cerca
- Secondo
- problemi di
- visto
- inviare
- trasmettitore
- invio
- inviato
- Settembre
- Serbia
- servizio
- Servizi
- grave
- spostamento
- dovrebbero
- mostrare attraverso le sue creazioni
- mostra
- mostrato
- significativa
- significativamente
- firma
- simile
- semplice
- da
- Dal 2016
- Signore
- So
- Software
- venduto
- alcuni
- a volte
- piuttosto
- fonti
- Spagna
- carne in scatola
- specifico
- spuntone
- picchi
- Diffondere
- Standard
- iniziato
- Regione / Stato
- statistica
- Ancora
- rubare
- Fermare
- fermato
- memorizzati
- negozi
- forte
- La struttura
- soggetto
- di successo
- tale
- improvviso
- adatto
- ondata
- tavolo
- Target
- mirata
- mira
- obiettivi
- per l'esame
- tecniche
- decine
- condizioni
- testo
- di
- che
- I
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- questo
- quelli
- anche se?
- minaccia
- attori della minaccia
- così
- TIE
- tempo
- time line
- a
- insieme
- Totale
- trasferimento
- tendenze
- provato
- triplicando
- Turchia
- seconda
- Ucraina
- Ucraine
- Inaspettato
- unico
- Sconosciuto
- us
- Impiego
- uso
- utilizzato
- utenti
- utilizzando
- solito
- Fisso
- versioni
- molto
- Vittima
- vittime
- Visita
- Prima
- onde
- Modo..
- we
- sito web
- WELL
- noto
- sono stati
- Che
- quando
- se
- quale
- while
- OMS
- di chi
- larghezza
- Selvaggio
- con
- senza
- Word
- In tutto il mondo
- valore
- sarebbe
- anno
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro