Il team di Cyber Threat Intelligence di Leonardo ha emesso il report trimestrale sulle principali minacce rilevate dal Security Operation Center dell’azienda tra l’inizio di ottobre e la fine di dicembre 2022. L’analisi evidenzia alcuni tratti caratteristici del periodo:
- I ransomware, del tutto nuovi o aggiornati con nuove tattiche, tecniche e procedure, si confermano la modalità di attacco più diffusa
- Gli attacchi informatici continuano a sfruttare l’anello debole della catena della cyber security: l’essere umano
- Con il callback phishing la vittima dell’attacco diventa inconsapevolmente attore dell’attacco stesso.
I MUTANTI: I RANSOMWARE SI TRASFORMANO PER NON ESSERE RILEVATI
Confermato anche nell’ultimo trimestre del 2022 il trend che vede i ransomware come i protagonisti della minaccia cybercriminale. Il team di Cyber Threat Intelligence di Leonardo ha infatti osservato che ancora una volta i ransomware - del tutto nuovi rispetto a quelli utilizzati in periodi precedenti, o aggiornati nelle tattiche, tecniche e procedure - si sono rivelati i malware maggiormente diffusi.
Ma ci sono novità: il report sottolinea che anche i ransomware già noti rappresentano ancora una forte minaccia. Come i virus che attaccano il corpo umano, infatti, sono interessati a vere e proprie “mutazioni”.
Ed ecco che nel trimestre in esame sono state rilevate evoluzioni di malware già esistenti che utilizzano in particolare alcune tecniche per eludere i sistemi di identificazione della minaccia:
- La riprogrammazione in Rust, un linguaggio multipiattaforma che facilita l'adattamento del malware a diversi sistemi operativi come Windows e Linux, utilizzato nel caso di RansomExx2;
- La crittografia intermittente, nuovo metodo che non cifra tutti i dati, ma si limita solo ad alcune parti dei file, aumentando notevolmente la velocità dell’attacco senza ridurne l’efficacia, usato ad esempio da Agenda ransomware;
- il timestomping, usato in Punisher, una tecnica che fa apparire i file come creati al di fuori dell'arco temporale dell'incidente, spesso di anni, rendendo molto più difficile la rilevazione dell’attacco.
Inoltre alcuni dei nuovi ransomware individuati dal Team presentano caratteristiche peculiari che ne amplificano notevolmente facilità d’uso, efficacia e capacità distruttive. Tra questi:
- Azov è il nuovo ransomware che effettua la scansione delle unità presenti sul sistema e crittografa i file in modo irreversibile. La particolarità di Azov risiede nel fatto che non è possibile contattare in alcun modo gli operatori per il pagamento del riscatto, proprio come un wiper, ed è quindi impossibile per la vittima recuperare i file crittografati.
- Octocrypter e Alice sono due nuovi ransomware gestiti secondo un modello di Ransomware-as-a-Service (RaaS). Dispongono entrambi di una funzionalità di creazione che consente ai “clienti” di scegliere configurazioni personalizzate, tipi di crittografia, note di riscatto e comando e controllo per creare un vettore di attacco che risponda perfettamente alle proprie esigenze.
L’ANELLO DEBOLE: ANCORA GLI ESSERI UMANI
Indipendentemente dalla modalità di attacco utilizzata, l’anello debole della catena della cyber security è ancora una volta l’essere umano. Gli attacchi cyber continuano infatti a sfruttare le tecniche di social engineering, che mirano a ottenere con l’inganno informazioni e dati personali dalla potenziale vittima, spesso sfruttando la rete di relazioni sociali della persona. Il successo di queste tecniche dimostra come il livello di conoscenza dei rischi, purtroppo, non sia ancora sufficiente per poter reagire correttamente alle sempre nuove e diverse tecniche e modalità di distribuzione delle minacce.
In particolare, nel trimestre ottobre-dicembre 2022, il Cyber Threat Intelligence team di Leonardo ha rilevato numerose campagne di malspam (malware che viene inviato tramite messaggi di posta elettronica), principalmente impattanti utenti italiani, e di phishing, finalizzate a esfiltrare credenziali e sfruttare vulnerabilità note per violare i sistemi e successivamente installare software malevoli.
CALLBACK PHISHING: LA VITTIMA DIVENTA ATTORE DELL’ATTACCO STESSO
Una particolare tecnica di phishing osservata nel trimestre in esame è quella utilizzata dal threat actor Luna Moth e che rende l’utente protagonista dell’attacco ai propri danni. La tecnica si chiama “callback phishing”, o TOAD (Telephone-Oriented Attack Delivery). In questo caso, è la vittima stessa a essere indotta con l’inganno a installare un applicativo malevolo: riceve un’email, con allegata fattura, in cui si dice che l’abbonamento a un servizio (mai richiesto) è in scadenza con rinnovo automatico; nell’email trova un numero di telefono da contattare per disdire la sottoscrizione. Il call center è però gestito da cybercriminali che guidano l’inconsapevole utente nello scaricamento di un software che, viene detto loro, dovrebbe annullare l’abbonamento, e in realtà ruba loro dati e informazioni (utili anche per sottrarre denaro).
Questa tecnica è stata utilizzata negli ultimi mesi del 2022 anche nell’ambito di un’altra campagna malevola che ha colpito utenti italiani di banche online. Lo scopo della campagna è stato acquisire credenziali di accesso ai portali bancari e distribuire il trojan Android “Copybara”, con il quale poter eseguire una moltitudine di azioni intrusive e commettere frodi.
Con molta probabilità si assisterà a un incremento dell’utilizzo di questa tecnica che, a fronte di un costo di gestione minimo, assicura ai threat actor una notevole percentuale di successo degli attacchi.
Per maggiori informazioni: cyberandsecurity@leonardo.com
Segui i nostri canali social Twitter, LinkedIn e Instagram per rimanere aggiornati sulle iniziative Leonardo.