Come i cybercriminali stanno sfruttando la crisi del COVID-19
I criminali informatici stanno approfittando della crisi scatenata dal COVID-19 per diffondere malware, interrompere le operazioni, seminare dubbi e guadagnare rapidamente.
Mentre le organizzazioni possono compiere molti passi per garantire che i dipendenti siano ben attrezzati per lavorare in remoto in modo sicuro, i cybercriminali di ogni genere stanno già approfittando della difficile e drammatica situazione odierna dovuta alla pandemia di COVID19/coronavirus, con operazioni sempre più frequenti e subdole per diffondere malware tramite e-mail, app, siti Web e social media a tema Covid19
Ma esattamente in che modo gli aggressori sfruttano la crisi COVID-19?
Email di phishing
L’e-mail è e continuerà ad essere il più grande vettore di minacce per persone e organizzazioni. I criminali informatici hanno utilizzato a lungo gli eventi mondiali nelle campagne di phishing per aumentare il tasso di successo e il coronavirus non fa eccezione. Digital Shadows riferisce che sul dark web sono pubblicizzati kit di phishing COVID19 utilizzando un allegato di posta elettronica malevolo mascherato da una mappa di distribuzione dell’epidemia del virus con prezzi che vanno da 200 a 700 dollari.
I temi di queste e-mail vanno dai report degli analisti specifici di determinati settori e dettagli dei consigli ufficiali sulla salute del governo fino ai venditori che offrono mascherine o altre informazioni sulle operazioni e sulla logistica. I payload inclusi in queste e-mail vanno da ransomware e keylogger a trojan ad accesso remoto. Un report di VMware ha osservato un aumento del 148% degli attacchi di ransomware da febbraio a marzo 2020, con un forte aumento delle istituzioni finanziarie come vittime più colpite.
“I criminali hanno inviato ondate di e-mail che vanno da una dozzina a oltre 200.000 alla volta, e il numero di campagne è in aumento. Inizialmente stavamo assistendo a una campagna al giorno in tutto il mondo, ora ne stiamo osservando tre o quattro al giorno” ha dichiarato Sherrod DeGrippo, direttore senior della ricerca e del rilevamento delle minacce presso Proofpoint.
DeGrippo afferma che circa il 70% di queste e-mail include malware con lo scopo di rubare le credenziali delle vittime attraverso false pagine di destinazione come Gmail o Office 365. Proofpoint afferma che il volume cumulativo di esche legate al coronavirus ora rappresenta la più grande raccolta di tipi di attacchi uniti da un unico tema che l’azienda potrebbe aver mai visto.
Il rapporto 100 Days of Coronavirus di Mimecast ha rilevato che, in media a livello globale, i file RAR erano la forma più comune di consegna di minacce malware all’interno delle e-mail durante la pandemia, seguiti da file ZIP, macro e formati di file ISO. L’NCSC e l’Organizzazione mondiale della sanità (OMS), tra gli altri, hanno lanciato avvisi pubblici in merito a e-mail fraudolente che pretendono di provenire da organismi ufficiali come il Centro per il controllo e la prevenzione delle malattie (CDC).
App malevole
Sebbene Apple abbia posto limiti alle app relative a COVID19 nel suo App Store e Google abbia rimosso alcune app dal Play Store, le app dannose possono comunque rappresentare una minaccia per gli utenti. DomainTools ha scoperto un sito che ha invitato gli utenti a scaricare un’app per Android che fornisce informazioni di tracciamento e statistiche su COVID-19.
Tuttavia, l’app è effettivamente caricata con un ransomware di targeting per Android ora noto come COVIDLock. Il ransomware richiede 100 dollari in bitcoin in 48 ore e minaccia di cancellare contatti, immagini e video, nonché la memoria del telefono. Secondo quanto riferito, è stato scoperto un token di sblocco. Proofpoint ha poi scoperto una campagna che chiedeva agli utenti di donare la potenza di calcolo dei propri dispositivi alla SETI@Home ma dedicata alla ricerca COVID-19, con il vero intento però di distribuire malware che rubava informazioni.
Domini dannosi
Nuovi siti Web vengono rapidamente creati per diffondere informazioni relative alla pandemia. Tuttavia, molti di questi sono trappole per vittime ignare. Secondo Record Future centinaia di domini relativi a COVID-19 sono stati registrati ogni giorno nelle ultime settimane. Checkpoint suggerisce che i domini correlati a COVID-19 abbiano il 50% in più di probabilità di essere dannosi rispetto ad altri domini registrati nello stesso periodo. Ulteriori ricerche condotte dai ricercatori della Unit 42 di Palo Alto hanno rilevato che tra 1,2 milioni di nuovi domini registrati contenenti parole chiave correlate a COVID tra marzo e aprile 2020, almeno 86.600 domini sono stati classificati come rischiosi o dannosi.
L’NCSC ha riferito che siti falsi stanno impersonando il CDC e creando nomi di dominio simili all’indirizzo web di CDC per richiedere “password e donazioni di bitcoin per finanziare un falso vaccino”.
Reason Security e Malwarebytes hanno entrambi segnalato un sito con la localizzazione di zone fortemente contaminate da COVID-19 utilizzato per diffondere malware. Il sito è caricato con il malware AZORult che ruba credenziali, numeri di carte di pagamento, cookie e altri dati sensibili basati su browser e li filtra in un server command-and-control. Questo malware cerca anche portafogli di criptovaluta, può catturare schermate non autorizzate e raccogliere informazioni sui dispositivi da macchine infette.
Endpoint e utenti finali non sicuri
Con un numero elevato di dipendenti o addirittura di intere aziende che lavorano in remoto per un periodo di tempo prolungato, i rischi relativi agli endpoint e alle persone che li utilizzano aumentano. I dispositivi che il personale utilizza a casa potrebbero diventare più vulnerabili se i dipendenti non aggiornano regolarmente i loro sistemi.
Lavorare da casa per lunghi periodi di tempo può anche incoraggiare gli utenti a scaricare applicazioni shadow su dispositivi o disattendere a policy che normalmente seguirebbero in ufficio. Un minor numero di viaggi di lavoro potrebbe, di contro, ridurre la possibilità che i dipendenti abbiano problemi di sicurezza alle frontiere, ma riduce anche la minaccia di connettersi a reti Wi-Fi non sicure o di perdere dispositivi durante gli spostamenti.
L’Associazione internazionale dei gestori di risorse informatiche raccomanda che tutte le risorse IT che vengono portate a casa vengano disconnesse e monitorate, che le aziende forniscano politiche e consigli su come utilizzare le risorse a casa (soprattutto se le persone sono abituate a condividere dispositivi con la famiglia) e ricorda agli utenti di continuare ad aggiornare il loro software secondo necessità.
Vulnerabilità presso fornitori e terze parti
Ogni partner, cliente e fornitore di servizi nel vostro ecosistema sta probabilmente attraversando tutti gli stessi problemi della vostra organizzazione. Assicuratevi quindi che stiano adottando misure per proteggere la loro forza lavoro remota.
App di comunicazione e lavoro da casa
Nuovi modi di lavorare presentano nuove opportunità per gli aggressori. L’enorme aumento degli strumenti di collaborazione e lavoro a distanza significa che la loro sicurezza è ora al centro dell’attenzione. Il rapido aumento della popolarità di Zoom ha portato la società a bloccare lo sviluppo del prodotto per risolvere prima di tutto i problemi relativi alla sicurezza, anche perché con una simile e rapida popolarità Zoom è diventata una piattaforma molto esposta ad attacchi di ogni tipo.
La società di sicurezza Cyble è stata in grado di acquistare oltre 500.000 account Zoom nel dark web per meno di un centesimo ciascuno e, in alcuni casi, gratuitamente. Ciò apre il rischio di attacchi per il furto di credenziali e la possibilità che gli attaccanti si uniscano alle riunioni virtuali su Zoom (ed ecco spiegato il fenomeno dello zoombombing).
Lavorare da casa comporta comunque atri tipi di minacce. Secondo ICS, il 23% delle organizzazioni ha visto un aumento degli incidenti di cybersicurezza dalla transizione al lavoro remoto, con un monitoraggio fino al doppio del numero di incidenti. Oltre all’aumento del rischio che dispositivi personali vecchi e non sicuri accedano alla vostra rete, aumenta il rischio che coinquilini, partner o bambini utilizzino dispositivi aziendali o vedano/ascoltino dettagli sensibili se il lavoratore non ha spazi dedicati a casa per la propria attività da remoto. Absolute Software riporta che, oltre ai dispositivi spesso non aggiornati da mesi, c’è stato un aumento del 46% del numero di elementi di dati sensibili sugli endpoint aziendali rispetto ai livelli pre-COVID-19.
Colpire le organizzazioni sanitarie
Nonostante ci siano gruppi di hacking che promettono di non farlo, le organizzazioni sanitarie hanno subito attacchi crescenti. Nella prima fase della pandemia il sito Web dell’Illinois Public Health è stato colpito da un ransomware, mentre il Dipartimento della sanità e dei servizi umani (HHS) ha subito un tentativo di attacco DDoS.
I criminali opportunisti o coloro che desiderano interrompere le operazioni delle potenziali vittime potrebbero avere maggiori probabilità di colpire il settore. La NCSC britannica e la CISA americana hanno pubblicato un documento in cui si informa su come i gruppi APT si rivolgano a enti sanitari, aziende farmaceutiche, università, organizzazioni di ricerca medica e governi locali per raccogliere informazioni personali in blocco, proprietà intellettuale e intelligence in linea con le priorità nazionali.
Le organizzazioni sanitarie di ogni forma e dimensione rischiano di essere più stressate del solito, il che può rendere il personale più rilassato su ciò su cui fanno clic. I CISO operanti nel settore dei servizi sanitari dovrebbero ricordare al personale di vigilare su collegamenti e documenti sospetti e garantire che le loro operazioni siano resistenti agli attacchi DDoS.
Allo stesso modo, più una regione è gravemente colpita dalla crisi, più è probabile che venga presa di mira dai cybercriminali. Una ricerca di Bitdefender suggerisce che i criminali informatici abbiano seguito le tendenze delle infezioni concentrandosi inizialmente sull’Europa per gran parte di marzo, prima di spostare l’attenzione sugli Stati Uniti ad aprile con l’aumento del numero di nuovi casi.
Sfruttare le ricadute future
Mimecast prevede che, con l’economia globale che probabilmente continuerà ad arrancare e a soffrire anche dopo il lockdown e la fine del pericolo immediato, aumenteranno campagne criminali in merito a salvataggi finanziari, aiuti del governo per l’industria e attacchi personali incentrati su licenziamenti o riduzioni salariali.
Priorità di sicurezza per il lavoro a distanza su vasta scala
Liviu Arsene, ricercatore globale di sicurezza informatica presso Bitdefender, raccomanda alle organizzazioni di adottare le seguenti misure per garantire un funzionamento remoto sicuro e stabile.
- Aumentare il numero di connessioni VPN simultanee per includere tutti i dipendenti remoti
- Installare e supportare software per conferenze che garantisce una connessione vocale e video stabile
- Assicurarsi che tutti i dipendenti dispongano di credenziali valide che non scadano entro meno di 30 giorni poiché la modifica delle credenziali di Active Directory scadute può essere difficile se eseguita da remoto
- Inviare regole e linee guida relative alle applicazioni accettate e alle piattaforme collaborative in modo che i dipendenti siano consapevoli di ciò che è sanzionato e supportato e di ciò che non lo è
- Attuare procedure di implementazione graduale per la distribuzione degli aggiornamenti, in quanto consegnarli tutti in una volta ai dipendenti connessi alla VPN potrebbe creare congestioni della larghezza di banda e influire sul traffico in entrata e in uscita.
- Abilitare la crittografia del disco per tutti gli endpoint per ridurre il rischio di perdita di dati su dispositivi compromessi.
Fonte: ComputerWorld
About Author
