Caccia alle credenziali aziendali: i criminali informatici utilizzano nuove tattiche di attacco alle organizzazioni industriali
Il sito "il Centro Tirreno.it" utilizza cookie tecnici o assimiliati e cookie di profilazione di terze parti in forma aggregata a scopi pubblicitari e per rendere più agevole la navigazione, garantire la fruizione dei servizi, se vuoi saperne di più leggi l'informativa estesa, se decidi di continuare la navigazione consideriamo che accetti il loro uso.
28
Gio, Mar

Caccia alle credenziali aziendali: i criminali informatici utilizzano nuove tattiche di attacco alle organizzazioni industriali

Immediapress
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Milano, 19 gennaio 2022. Gli esperti di Kaspersky hanno scoperto una nuova serie di campagne spyware in rapida evoluzione, che ha già attaccato più di 2.000 enterprise nel settore industriale in tutto il mondo. A differenza di molte campagne spyware tradizionali, questi attacchi si distinguono per il numero limitato di obiettivi e

la durata breve deis ample dannosi. Lo studio ha individuato più di 25 mercati in cui vengono rivenduti i dati rubati. Questi e altri dati sono stati pubblicati nel nuovo report Kaspersky ICS CERT.  

Durante la prima metà del 2021, gli esperti di Kaspersky ICS CERT hanno notato una strana anomalia nelle statistiche relative alle minacce spyware bloccate sui computer ICS. I malware utilizzati in questi attacchi appartengono a famiglie di spyware già note come Agent Tesla/Origin Logger, HawkEye e altri. Tuttavia, questi attacchi si distinguono per il numero limitato di vittime a cui puntano (da un paio di vittime fino a qualche decina) e per la durata breve di ogni campione dannoso.  

Un'analisi più approfondita di 58.586 campioni di spyware bloccati sui computer ICS nel primo semestre del 2021 ha rivelato che circa il 21,2% di essi faceva parte di questa nuova serie di attacchi caratterizzati da una portata limitata e da una breve durata. Il loro ciclo di vita è limitato a circa 25 giorni, molto meno della durata di una campagna spyware "tradizionale". 

Sebbene ognuno di questi sample di spyware "anomali" abbia vita breve e non sia ampiamente diffuso, rappresentano una quota sproporzionatamente elevata di tutti gli attacchi spyware. In Asia, ad esempio, 1 computer su 6 attaccato da spyware è stato colpito proprio da uno di questi sample "anomali" (il 2,1% su 11,9%). 

In particolare, la maggior parte di queste campagne viene diffusa da un'impresa industriale all’altra tramite email di phishing. Una volta penetrato nel sistema della vittima, l'attaccante utilizza il dispositivo come server C2 (command and control) per l’attacco successivo. Con l'accesso alla mailing list della vittima, i criminali possono sfruttare i contatti di posta elettronica aziendale e diffondere ulteriormente lo spyware. 

Secondo la telemetria di Kaspersky ICS CERT, più di 2.000 organizzazioni industriali in tutto il mondo sono state incorporate in questo sistema fraudolento, e sfruttate dai gruppi di criminali informatici per diffondere l'attacco verso altre aziende e partner commerciali. Si stima che il numero totale di account aziendali compromessi o rubati a seguito di questi attacchi sia superiore a 7.000. 

I dati sensibili ottenuti dai computer ICS spesso finiscono in vari market online. Gli esperti di Kaspersky hanno identificato più di 25 diversi mercati in cui venivano vendute le credenziali rubate da queste campagne rivolte alle organizzazioni industriali. L'analisi di questi mercati ha rivelato la presenza di un'elevata domanda di credenziali di account aziendali, in particolare di account RDP (Remote Desktop Protocol). Oltre il 46% di tutti gli account RDP venduti nei market analizzati sono di proprietà di società con sede negli Stati Uniti, mentre i restanti provengono da Asia, Europa e America Latina. Quasi il 4% di tutti gli account RDP venduti(circa 2.000 account) apparteneva a imprese industriali. 

Un altro mercato in crescita è lo spyware-as-a-Service. Da quando i codici sorgente di alcuni noti programmi spyware sono stati resi pubblici, è cresciuta la loro disponibilità negli store online sotto forma di servizio: gli sviluppatori vendono non solo il malware come prodotto, ma anche una licenza per sviluppare malware e avere accesso all'infrastruttura preconfigurata.  

"Nel corso del 2021, i criminali informatici hanno fatto largo uso di spyware per attaccare i computer industriali. Oggi stiamo assistendo ad una nuova tendenza in rapida evoluzione nel panorama delle minacce industriali. Per evitare il rilevamento, i criminali riducono le dimensioni di ogni attacco e limitano l'uso di sample, sostituendoli rapidamente. Un’altra tattica è lo sfruttamento dell'infrastruttura di posta elettronica aziendale per diffondere il malware. Tutte queste tecniche sono diverse da tutto ciò che abbiamo osservato in passato nel mondo degli spyware e prevediamo che questo tipo diattacchi acquisirà terreno nel prossimo anno", ha commentato Kirill Kruglov, security expert di Kaspersky ICS CERT.  

È possibile approfondire ulteriormente la campagna di spyware "anomala" su ICSCERT. 

Per saperne di più sulle minacce alle imprese industriali nel 2022, è possibile consultare le previsioni sulle minacce ICS per il 2022. 

Per un'adeguata protezione di un'impresa industriale, delle operazioni di rete e del business in generale, gli esperti di Kaspersky consigliano di: 

• Implementare l'autenticazione a due fattori per l'accesso alla posta elettronica aziendale e per altri servizi connessi a internet (inclusi gateway RDP, VPN-SSL, etc) che potrebbero essere utilizzati dai criminali informatici per ottenere l'accesso all'infrastruttura interna dell’azienda e ai dati business-critical. 

• Garantire che tutti gli endpoint, sia su reti IT che OT, siano protetti con un’efficace soluzione di sicurezza degli endpoint, opportunamente configurata e mantenuta aggiornata. 

• Formare regolarmente il personale sulla gestione sicura delle email, per proteggere i propri sistemi dai malware che possono essere allegati alla posta elettronica. 

• Controllare regolarmente le cartelle spam prima di svuotarle. 

• Monitorare l'esposizione web degli account della propria organizzazione. 

• Utilizzare soluzioni sandbox progettate per controllare automaticamente gli allegati delle mail in entrata. Assicurarsi che la soluzione sandbox sia configurata in modo da controllare anche le email provenienti da fonti "fidate", inclusi partner commerciali e contatti aziendali, in quanto nessuno è protetto al 100% da falle di sicurezza. 

• Controllare gli allegati delle email in uscita per assicurarsi che il proprio account non sia stato compromesso. 

Informazioni su Kaspersky ICS CERT  

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) è un progetto globale lanciato da Kaspersky nel 2016 per coordinare gli sforzi di fornitori di sistemi di automazione, proprietari e operatori di impianti industriali e ricercatori di sicurezza IT per proteggere le imprese industriali dagli attacchi informatici. Kaspersky ICS CERT dedica i propri sforzi principalmente all'identificazione delle minacce potenziali ed esistenti che prendono di mira i sistemi di automazione industriale e l'Industrial Internet of Things. Kaspersky ICS CERT è membro attivo e partner di importanti organizzazioni internazionali che sviluppano raccomandazioni sulla protezione delle imprese industriali dalle minacce informatiche ics-cert.kaspersky.com/ 

Informazioni su Kaspersky  

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/  

Seguici su: 

https://twitter.com/KasperskyLabIT  

http://www.facebook.com/kasperskylabitalia  

https://www.linkedin.com/company/kaspersky-lab-italia  

https://www.instagram.com/kasperskylabitalia/  

https://t.me/KasperskyItalia  

Contatto di redazione: 

Noesis  

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.  

Ho scritto e condiviso questo articolo
Author: Red AdnkronosWebsite: http://ilcentrotirreno.it/Email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.