IL RAPPORTO

Trojan, ransomware, phishing: così i virus usano il paziente zero per colpire banche e industrie coi “DarkTeams”

Anche i virus informatici usano il paziente zero per colpire banche e industrie italiane con i “dark teams”, unità operative che i gruppi criminali informatici utilizzano per colpire direttamente target di alto valore nelle aziende italiane. Ecco cosa emerge dal Report annuale 2019 di Yoroi

09 Apr 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Sempre più spesso i grandi gruppi criminali informatici hanno sviluppato una sorta di unità operative, denominate “DarkTeams” in grado di coinvolgere direttamente target di alto valore nelle aziende private, ottenendo l’accesso al loro core business installando strumenti ransomware su tutta la rete subito dopo aver cancellato le proprie tracce, dimostrando di conoscere bene i loro target e di essere in grado di sviluppare “movimenti laterali” sia dentro che fuori l’azienda colpita.

L’evidenza principale di questa nuova tecnica d’attacco è data dal fatto che se nel 2018 occorrevano 71 ore prima che un arbitrario “paziente zero” contagiasse gli altri, nel 2019 questo lasso temporale è sceso a sole 3 ore.

È questa la principale tendenza del crimine informatico che emerge dal Report annuale 2019 di Yoroi sulle cyber minacce che colpiscono il nostro Paese, da cui si evince pure che sono stati il manifatturiero (19,4%), il finanziario (17,9%) e il bancario (12,7%) i settori più colpiti in Italia da attacchi informatici condotti soprattutto mediante trojan del calibro di Emotet e Ursnif.

“Uno scenario che notiamo ripetersi con maggiore virulenza nei primi tre mesi dell’anno con attacchi che sfruttano il tema Covid-19”, dice Marco Ramilli, a.d. di Yoroi.

Attacchi mirati per produrre profitto

L’analisi degli attacchi condotta dal Defence Center di Yoroi mette inoltre in evidenza una parziale sovrapposizione di metodi e strumenti tipici del crimine informatico con quelli tipicamente in dotazione ad attori statuali provenienti da paesi che si sono già fatti notare per le loro attività di cyber spionaggio mirate al furto di proprietà intellettuale e ai ricatti economici.

Attacchi informatici che, inoltre, sempre più spesso sono condotti mediante campagne organizzate e orientate a produrre un profitto, oltre che attraverso il pagamento di un riscatto (mediante ransomware, come dicevamo prima), anche mediante le frodi finanziarie, la “truffa del CEO” o BEC (Business Email Compromise) e le truffe opportunistiche (rivolte a tutti) attraverso il phishing delle e-mail.

Anche i siti creati ad hoc dai malviventi si sono dimostrati un pericoloso vettore di infezione. Il rapporto Yoroi ha individuato che nel 59% degli attacchi i malfattori hanno usato siti malevoli per veicolare contenuti dannosi: dalla pubblicità indesiderata ai clickbait e altri software pericolosi.

Phishing, il preferito dai criminal hacker

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

Il rapporto Yoroi conferma, quindi, che i vettori più usati negli attacchi informatici risultano essere proprio le e-mail. Nel 2018 i messaggi di posta elettronica malevoli costituivano il 68,8% delle minacce complessive, mentre nel 2019 questo vettore di attacco è cresciuto fino all’89%.

I ricercatori Yoroi hanno identificato gli argomenti prevalenti sfruttati dagli aggressori per far cadere in trappola gli utenti nelle campagne di phishing:

  • fatture e ordinativi;
  • consegna e tracciabilità dei pacchi;
  • moduli fiscali (es. F24 italiano);
  • certificati medici;
  • curriculum vitae;
  • documentare scansioni, messaggi “per l’attenzione di” e altri relativi alle pratiche comuni di pratiche burocratiche in ufficio.

Sempre più spesso, inoltre, accade che molti dei malware distribuiti sia sotto forma di e-mail che di file download sono parte di una catena di infezione più complessa utilizzata per installare più tipologie di codici malevoli tra cui dropper e trojan che, a loro volta, consentono l’accesso a una gamma più ampia di minacce: una tecnica tipica delle intrusione degli hacker APT (Advanced Persistent Threat, minacce avanzate persistenti) verso settori aziendali privati tradizionalmente non preparati per affrontare questo tipo di minacce.

Consigli per mitigare il rischio di cyber attacchi

Vista la complessità sempre maggiore degli attacchi informatici e la differenziazione dei bersagli, non esiste una strategia unica di difesa.

Per questo motivo, i ricercatori Yoroi consigliano strategie diversificate alle aziende. Ad esempio, se per difendere le aziende che offrono “servizi idrici” bisogna impedire il download di artefatti nocivi, nel campo della “vendita al dettaglio di prodotti alimentari e farmaci”, la protezione della posta elettronica ha ovviamente la priorità assoluta.

E come sempre, infine, il consiglio a tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5