Una campagna di attacco che colpisce le pmi in diversi paesi dimostra di aver successo nonostante si basi su un malware che non tenta di coprire le proprie tracce. La società di sicurezza IT Kaspersky Lab ha recentemente scoperto una campagna di cyberspionaggio nota come Grabit che ha sottratto almeno 10mila file da aziende e piccole medie imprese presenti in Thailandia, India e Stati Uniti. La lista dei settori obiettivo della campagna di cyberspionaggio comprende tra le altre chimico, nanotecnologia, istruzione, agricoltura, mass media ed edilizia. Grabit ha colpito altri paesi quali Emirati Arabi Uniti, Germania, Israele, Canada, Francia, Austria, Sri Lanka, Cile e Belgio.
“Abbiamo osservato molte campagne di cyberspionaggio concentrate su grandi aziende, enti governativi e altre realtà di alto profilo dalle quali erano però escluse le piccole e medie imprese. Grabit, invece, ci ha dimostrato che il cybercrimine non è un gioco che include solo i cosiddetti “pesci grossi” - nel mondo informatico ogni singola organizzazione che gestisce soldi, informazioni o potere politico è potenzialmente interessante per i criminali informatici. Grabit è ancora attivo per cui è davvero importante controllare la propria rete per accertarsi che sia sicura”, ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia.
“Il 15 maggio scorso un semplice keylogger noto come Grabit è stato scoperto mentre tentava di impossessarsi delle credenziali di migliaia di account sfruttando diversi sistemi infetti. Questa minaccia non deve essere sottovalutata”. L’infezione comincia quando un dipendente di un’azienda riceve una email con un allegato che sembra un file Word Microsoft Office (.doc). Nel momento in cui l’utente clicca sul documento per procedere con il download, il programma spia viene inviato al PC da un server remoto che è stato precedentemente violato dai criminali per essere sfruttato come hub malware.
Il cybercriminale controlla le sue vittime utilizzando il keylogger HawkEye, un tool di spionaggio commerciale di HawkEyeProducts e un modulo di configurazione contenente un numero RAT (Remote Administration Tools). Il keylogger ha sottratto 2.887 password, 1053 email e 3.023 username da 4.928 host diversi in un solo server di comando e controllo, internamente ed esternamente, incluso Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn e Twitter, così come conti bancari e altro. Secondo i ricercatori di Kaspersky, il malware fa ben poco per nascondere la sua presenza, anche se ha un notevole grado di protezione da analisi.
 |
| Distribuzione malware per paese - fonte: Kaspersky Lab |
Un imprevedibile gruppo di criminali informatici
Da un lato, il gruppo criminale Grabit non ha fatto molto per nascondere la propria attività: alcuni sample dannosi usano lo stesso server di hosting e addirittura le stesse credenziali, mettendo a rischio la sua stessa sicurezza. Dall’altro, i criminali utilizzano potenti tecniche per tenere il codice nascosto agli occhi degli analisti. Questo ha portato gli esperti di Kaspersky Lab a credere che dietro all’operazione di “intercettazione” (o sniffing) si nasconde un gruppo di criminali con competenze tecniche di diverso livello: alcuni membri sono infatti più tecnici e attenti a rendere le proprie operazioni non rintracciabili rispetto ad altri.
L’analisi degli esperti suggerisce che chiunque abbia programmato il malware non ha trascritto tutto il codice dallo scratch. Per tutelarsi da Grabit, Kaspersky Lab raccomanda di seguire alcune semplici regole: controllare se la collocazione C:\Users\\AppData\Roaming\Microsoft contiene file eseguibili. In questo caso è possibile che ci sia stata l’infezione malware. Questo avvertimento non va ignorato; le configurazioni Windows System non devono contenere grabit1.exe nella schermata di avvio. Avviare “msconfig” ed assicurarsi che sia pulito da record grabit1.exe.
Non aprire allegati o link inviati da persone che non si conoscono. Se non è possibile non aprili, non inoltrarli ad altri e chiamare un amministratore IT che sia in grado di aiutarvi; usare una soluzione anti-malware avanzata e aggiornata e seguire sempre l’elenco AV indicato per processi sospetti. I prodotti Kaspersky Lab sono in grado di rilevare tutti i sample Grabit e proteggere gli utenti dalle minacce. C'è stato un tempo in cui la maggior parte degli attacchi prendevano di mira sistemi di pagamento direttamente legati ai servizi finanziari delle imprese, nel tentativo di acquisire immediatamente le informazioni finanziarie preziose.
Ma le società hanno migliorato le loro difese e gli attaccanti si sono spostati verso obiettivi più morbidi. L'obiettivo finale è lo stesso: la compromissione degli account aziendali e il furto delle loro informazioni sensibili. Ciò che è cambiato è lo sforzo e le tattiche necessarie per raggiungere questo obiettivo. E’ possibile trovare maggiori informazioni a proposito dell’operazione “Grabit” al post pubblicato su Securelist.com. Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. Per ulteriori informazioni: www.kaspersky.com/it. Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Nessun commento:
Posta un commento