Security Notes

Spear-phishing: come si diffondono malware?

phishing

I ransomware continuano ad essere una delle minacce più insidiose per gli utenti in rete, siano essi privati cittadini che aziende. L’FBI ha di recente inviato un messaggio confidenziale, classificato come “urgente,” alle imprese ed organizzazioni operanti nel Paese circa la diffusione del ransomware Samsam.

Le società di sicurezza stanno osservando un rapido aumento del numero delle infezioni causate da ransomware, i governi di Stati Uniti e Canada hanno emesso un avviso comune sulla recente ondata di questa tipologia di attacchi. L’aspetto più preoccupante è il continuo miglioramento di questo tipo di malware e le tecniche adottate dalle organizzazioni criminali per diffondere la minaccia

Oggi parleremo proprio di una nuova tecnica in uso per diffondere i ransomware e che prende di mira proprio le aziende. La singolare strategia si basa su attacchi di spear-phishing per compromettere le macchine degli utenti, ovvero attacchi di phishing specializzati grazie alla profonda conoscenza della vittima e quindi dei suoi interessi.

In un attacco spear-phishing, gli attaccanti utilizzano una profonda conoscenza delle potenziali vittime per ottimizzare la tecnica di offesa. Per farvi un esempio, qualora si voglia attaccare un’azienda si inviano mail “malevole” che appaiono come provenienti da un loro partner in modo da aumentare la probabilità che vengano aperte.

Secondo gli esperti dell’azienda di sicurezza Proofpoint, un gruppo criminale denominato TA530 sta colpendo dirigenti e dipendenti di alto livello di molte aziende nel mondo allo scopo di compromettere le loro macchine con malware di vario genere, tra cui ovviamente il popolare ransomware CryptoWall.

sec1

Tra i codici malevoli utilizzati dal gruppo TA530 vi sono:

  • Ursnif ISFB – banking Trojan
  • Fileless Ursnif/RecoLoad – Point of Sale (PoS) malware.
  • Tiny Loader
  • TeamSpy/TVSpy – RAT
  • CryptoWall – File encrypting ransomware
  • Nymaim – utilizzato per installare banking Trojan
  • Dridex Botnet 222 – botnet do banking Trojan

Gli attaccanti sono riusciti, grazie all’utilizzo di tecniche di spear-phishing, a compromettere vittime di alto profilo, e a specificare la propria azione per settori ed aree geografiche aumentandone sensibilmente l’efficacia.

L’approccio è semplice, il gruppo TA530 attacca dirigenti e figure di rilievo in quanto vi è un’alta probabilità che le vittime pagheranno per ripristinare le informazioni di alto valore che di solito accedono. Inoltre questi professionisti ricoprono spesso posizioni che consentono loro di avere accesso ai conti bancari online delle aziende per cui lavorano ed ad altri servizi online.

Il gruppo TA530 ha già colpito decine di migliaia di utenti negli USA, Regno Unito, ed Australia, riuscendo a verticalizzare la propria azione in settori come il retail ed il settore ospedaliero, vista la presenza in questi settori di dati relativi alle carte di pagamento e dati sanitari, merce preziosa nell’underground criminale.

sec2

Non vi è dubbio, il gruppo TA530 intensificherà le sue campagne di spear-phishing nei prossimi mesi, molto probabilmente aggiungendo nuove armi al proprio arsenale ed adottando nuove tecniche di diffusione dei malware, ransomware inclusi.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This