Il nuovo Cyber Threats Snapshot Report analizza i principali attori malevoli (threat actor), le vulnerabilità e le attività di cybercrime più significative del secondo trimestre 2022. Il rapporto, diramato dagli esperti di Cyber Threat Intelligence di Leonardo, mette in evidenza alcune tendenze che hanno caratterizzato il periodo:
- Intensa attività tra threat actor filorussi e filoucraini
- Nuove tecniche di attacco
- Nuovi malware
Threat actor filorussi e filoucraini: il confronto nel cyber space continua
Tra aprile e giugno 2022, come accade dall’inizio del conflitto, i threat actor filorussi hanno continuato a perpetrare attività malevole contro i Paesi che sostengono l’Ucraina. La modalità di azione più usata si conferma l’attacco DDoS (Distributed Denial of Service), che mira a interrompere il normale funzionamento di un sito web o di un sistema attraverso l’invio di richieste continue che ne saturano le risorse. Attacchi rivolti a infrastrutture critiche e organizzazioni operanti nel settore aeroportuale, bancario, militare, governativo e della pubblica amministrazione, che hanno avuto come bersaglio anche aziende italiane, pubbliche e private. L’attività dei threat actor filorussi è contrastata da gruppi filoucraini, che agiscono con azioni simili e obiettivi del tutto analoghi.
In questa guerra ibrida si segnala una novità per quel che riguarda gli artefatti progettati ad hoc, come il nuovo wiper Acid Rain. Si tratta di un software malevolo (malware) che ha l'obiettivo di cancellare dati e programmi sui dispositivi, rendendoli così inutilizzabili, e che ha interessato, in questo caso, un servizio di comunicazione satellitare, lasciando per vari giorni senza servizi Internet utenti in Ucraina e in altri Paesi europei. Numerose inoltre le violazioni ai danni di sistemi ICS e SCADA utilizzati per il controllo e la supervisione degli impianti industriali.
Carpire la fiducia per perpetrare la truffa
Nel secondo trimestre del 2022 è stata identificata la nuova tecnica di attacco Browsing‑in‑the‑browser. Rientra nella categoria del phishing - tecnica attraverso cui un malintenzionato cerca di truffare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso fingendosi un ente affidabile in una comunicazione digitale – e viene impiegato per simulare finestre di autenticazione unica (single sign-on access) e per replicare domini legittimi nel tentativo di ottenere le credenziali di accesso.
Si rileva inoltre un utilizzo particolarmente intenso di tecniche già conosciute come web skimming e Hertzbleed. La prima consiste in un’attività malevola finalizzata alla raccolta delle informazioni di pagamento dei visitatori di un sito web durante le fasi di check-out. Sfruttando le vulnerabilità presenti nelle piattaforme di e-commerce, gli attaccanti riescono a esfiltrare credenziali e dati relativi al conto corrente o alle carte di credito delle vittime.
La seconda tecnica consiste invece in un attacco di tipo side-channel, ovvero rivolto contro un dispositivo con la finalità di raccogliere informazioni utili poi a violarlo, che permette a un utente malintenzionato di ottenere chiavi crittografiche complete da server remoti ritenuti affidabili.
Nuovi malware: dalla fase embrionale all’offerta modulare
Diversi i nuovi malware individuati dal report trimestrale:
- ll Malware-as-a-Service (MaaS) Eternity Project, un toolkit venduto su Telegram in sei diversi moduli, in base al tipo di attacco che si intende effettuare: Stealer, Miner, Clipper, Ransomware, Worm e DDoS Bot.
- Quantum LNK Builder, commercializzato all’interno di comunità underground e utilizzato per la creazione di file (formato LNK) che, una volta aperti, avviano il download di ulteriori pacchetti software dannosi.
- Il nuovo strumento di Traffic Direction System (TDS) denominato Parrot TDS. Il TDS viene utilizzato dagli aggressori per offuscare la distribuzione di contenuti malevoli, facendo in modo che i software che analizzano i contenuti del web, i web crawler, e i fornitori di sicurezza non rilevino attività dannose, mentre in realtà l’utente viene reindirizzato verso vulnerabilità e malware
ZingoStealer, una nuova minaccia osservata per la prima volta a marzo e ancora in fase di sviluppo. La sua diffusione avviene attraverso i canali YouTube - con il pretesto di installare software come key generator e chat per videogiochi - o tramite l’utilizzo di canali appositi di Telegram e Discord.
Per maggiori informazioni: cyberandsecurity@leonardo.com
Segui i nostri canali social Twitter, LinkedIn e Instagram per rimanere aggiornati sulle iniziative Leonardo.