In questo particolare momento dove l’attenzione è concentrata su questa situazione che ha creato moltissimi problemi in tutto il mondo, i criminali informatici non si sono fermati nelle loro attività illecite, anzi.
by Simone Fratus | www.linkedin.com/in/simonefratus
Da un articolo pubblicato da una autorevole rivista come BleepingComputer[1] pubblicato il 18 marzo 2020[2] si evince l’attuale posizione di queste aziende criminali. In questo articolo Maze, DoppelPaymer, Ryuk, Sodinokibi/Refill, PwndLocker, e Ako Ransomware hanno risposto alla domanda se vogliono continuare ad effettuare attacchi mirati verso le infrastrutture sanitarie impegnate a far fronte a questa crisi mondiale. La loro risposta non si è fatta aspettare e la sintesi è stata molto semplice: se una azienda che opera nel settore sanitario o simili viene colpita verrà supportata in modalità gratuita dopo averci dimostrato che è realmente impegnata nella lotta al Covid-19. Per il resto nessuno scrupolo nello sfruttare l’attuale situazione al fine di perseguire il massimo guadagno.
Facciamo il punto della situazione
In tempi recenti avevamo lavorato per creare la cultura della CyberSecurity, rimarcando che non è più un aspetto che può essere procrastinato o sminuito con “tanto non succederà a noi”. In questo mese TAG Company è stata più volte coinvolta come unità di crisi su diversi fronti, anche molto critici, per rispondere ad attacchi effettuati ed andati a buon fine. In questo momento ci sentiamo di ribadire il messaggio: la cybersecurity non può essere rimandata.
Vediamo cosa è successo nel mese di Marzo.
All’inizio del mese pubblichiamo sui nostri profili social un report del Cisa (National Cyber Awareness System) sull’analisi di una variante del malware HOPLIGHT, dietro al quale vi è una azienda nord coreana denominata Hidden Cobra. In quel momento la Korea è in piena crisi Covid ma gli attacchi proseguono verso il resto del mondo.
In ordine cronologico pubblichiamo un articolo dove una autorevole fonte indica che il Trojan Emotet è in grado di diffondersi da una azienda all’altra attraverso la rete wifi. Sì, avete capito bene. Una volta che si è infettati da questo Trojan vengono scaricati ed installati diversi moduli per permettere di muoversi lateralmente sulle reti wifi. Per alcuni anni questi “movimenti laterali” erano limitati alla stessa rete. La nuova versione di Emotet “WiFi spreader” è in grado di diffondersi fra reti wifi confinanti. Essendo la rete wifi un vettore di attacco inusuale desta moltissima attenzione nel mondo della cybersecurity.
Microsoft inizia a parlare di una devastante campagna di attacchi definita “Human-operated ransomware attack tactics” che mira particolari tipi di vittime. Microsoft evidenzia che gli attaccanti sfruttano leve come cattive configurazioni delle reti ed accessi esterni. In questo momento sta esplodendo la necessità di fare smart working. Già in tempi non sospetti avevamo indicato che l’utilizzo sconsiderato di soluzioni sviluppate moltissimi anni fa basate su VPN non erano sufficientemente sicure a far fronte alla attuale situazione. Abbiamo deciso di pubblicare sul blog TAG il nostro punto di vista ed il nostro approccio Zero Trust a questa specifica esigenza. Quello che non dice pubblicamente Microsoft, ma che altre fonti presumibilmente attendibili riferiscono, è che sono state trovate vecchie versioni di malware su sistemi PAX.
Successivamente CheckPoint indica una importante campagna di attacchi provenienti dalla Cina che sfrutta il momento Covid ed attacca specificatamente le pubbliche amministrazioni in Mongolia attraverso malware totalmente sconosciuti e che costringe il Ministro degli Affari Esteri a pubblicare un articolo a riguardo. La Cina era in lockdown.
Siamo solo nei primi giorni del mese ed inizia una campagna di attacchi attraverso l’utilizzo di Ransomware come REvil, Samas, Bitpaymer, e Ryuk in tutta Europa.
In data 17 Marzo pubblichiamo un articolo su una campagna di mailspam basata su una nuova versione di Ursnif che ha nel mirino l’Italia e che sfrutta la leva emozionale del Covid-19. In quel particolare momento VirusTotal dava un punteggio pari a ZERO. Se non fosse chiaro, in quel particolare momento gran parte delle soluzioni non erano in grado di bloccare l’attacco.
In data 19 Marzo il Cert-PA pubblica un articolo con il titolo: “Trickbot e Emotet utilizzano news su CoronaVirus nei metadati per eludere il rilevamento”. Citando dall’articolo : “…si ha evidenza di una campagna per veicolare i malware Trickbot ed Emotet aggiungendo testi di notizie riguardanti il virus Covid-19 per tentare di eludere i software che si basano su AI e ML per il rilevamento dei malware.” La fonte è BleepingComputer.
Da quel momento inizia una escalation di articoli come quello di Routers (24 marzo 2020) che indica che la World Health Organization è fra le prime aziende colpite da attacchi che sfruttano la situazione critica. WHO dice: “The criminals behind the Maze ransomware attacks apparently managed to exfiltrate a slew of patient records, and have subsequently published some of the files on the dark web, demanding ransom payment.”
25 Marzo 2020: l’autorevole newsletter ITPro pubblica l’articolo “Hackers target hospital computer systems” ed entra nello specifico menzionando sia il governo Spagnolo che quello Ceco obbligati a diffondere una informativa governativa segnalando attacchi in atto verso strutture sanitarie coinvolte nella lotta Covid-19.
26 Marzo 2020: pubblichiamo attraverso i nostri profili social una lista di domini appena registrati dove la parola chiave è Covid. Tutti domini che presumibilmente verranno utilizzati in campagne di attacchi che sfrutteranno questa situazione.
27 Marzo 2020: Google pubblica l’articolo “Google Confirms 40,000 Nation-State Cyber Attack Warnings Issued”
Cosa stiamo facendo ora
TAG Company continua la sua attività nel promuovere conoscenza e consapevolezza, effettuato seminari, riunioni e tutto il possibile per aiutare le aziende e le persone in questo particolare momento di crisi. Ci sentiamo coinvolti nel fare al meglio il nostro lavoro e supportare quanto più possibile qualunque azienda impegnata direttamente o indirettamente nel far fronte a questa emergenza sanitaria, mettendo a disposizione tutte le competenze, relazioni e tecnologie a nostra disposizione.
Stay at home. Stay safe.
Comments