Il buono, il brutto e il cattivo nell’ambito della sicurezza informatica – Settimana 28

Il buono

Questa settimana è stata sventata una truffa per la compromissione degli account di e-mail aziendali di Office 365. BEC o Email Account Compromises sono stati responsabili della maggior parte delle perdite dovute a crimini legati a internet lo scorso anno. Sfruttando la pandemia di COVID-19 come esca, i truffatori stavano indirizzando il traffico di phishing attraverso sei domini internet e stavano utilizzando app web malevole per ottenere le credenziali degli account di Office 365.

L’uso delle app web è nuovo. Anziché utilizzare una pagina di accesso clonata, i criminali hanno chiesto alle vittime di fornire all’app web il consenso per accedere ai loro account. Una volta acquisito un account, gli hacker lo hanno utilizzato per una truffa atta a convincere i leader aziendali ad autorizzare bonifici bancari a loro favore.

La truffa, che si dice fosse in atto in oltre 62 paesi, prevedeva l’utilizzo dei seguenti domini malevoli, ora sequestrati da Microsoft:

officeinventorys.com
officesuitesoft.com
officehnoc.com
officesuited.com
officemtr.com
mailitdaemon.com

Un’altra buona notizia di questa settimana riguarda la comunità di esperti di sicurezza di macOS, che ha smantellato un malware con caratteristiche di ransomware e info stealer che si nascondeva in un software pirata distribuito tramite torrent pubblici. Soprannominato “EvilQuest” o “ThiefQuest”, potrebbe essere stato creato nel tentativo di emulare l’analogo modello di successo dell’universo Windows basato sulla sottrazione di dati in background e la richiesta di riscatto per i file criptati in primo piano.

SentinelLabs ha decifrato la crittografia simmetrica utilizzata dal malware EvilQuest/ThiefQuest e ha rilasciato un software di decrittografia pubblico. Fa inoltre piacere constatare che l’indirizzo Bitcoin creato dagli autori della minaccia per raccogliere fondi non abbia registrato alcuna transazione. Il malware continua tuttavia a preoccupare le vittime, in quanto i componenti separati di furto di dati e backdoor potrebbero aver sottratto dati sensibili ed essere ancora attivi se il dispositivo non è stato adeguatamente sanificato.

Il cattivo

Da un report pubblicato questa settimana è emerso che le minacce informatiche dirette ai sistemi tecnologici operativi tramite dispositivi multimediali USB rimovibili sono quasi raddoppiate negli ultimi 12 mesi. Quasi la metà dei siti industriali inclusi nel report ha dichiarato di aver rilevato almeno una minaccia diretta alle proprie reti di controllo dei processi industriali. Il report sottolinea ancora una volta la prevalenza di dispositivi USB e il loro utilizzo come vettori di attacco, tanto che il 20% degli attacchi segnalati sembra provenisse da dispositivi di archiviazione rimovibili. Tra gli obiettivi, gli hacker si sarebbero concentrati soprattutto ad aprire backdoor, a stabilire un accesso remoto persistente e a introdurre ulteriori payload malevoli.

L’aumento delle minacce trasmesse tramite USB non è dovuto al trasferimento accidentale di malware da un dispositivo all’altro, si diceva, ma è piuttosto il risultato di attacchi “deliberati e coordinati”, come Disttrack, Duqu, Ekans, Industroyer e USBCulprit, tra gli altri, che sfruttano i dispositivi USB per prendere di mira i sistemi OT. Il report ricorda a tutti i team di sicurezza aziendali l’importanza di controllare i supporti rimovibili, tra cui i dispositivi USB basati su software.

Il brutto

Secondo le ultime stime, circa 7,8 miliardi di persone abitano il nostro piccolo pianeta, mentre sono circa il doppio le credenziali di account rubate che circolano sui forum degli hacker, 5 miliardi delle quali sono uniche, stando a un nuovo audit della darknet. L’enorme cache di dati esposti è il risultato di oltre 100.000 violazioni, una cifra che indica un numero altissimo di fallimenti in fatto di sicurezza di cui tenere conto.

Queste credenziali riguardano account di social media, streaming, VPN e siti di gioco, fino a servizi bancari, finanziari e persino gli account degli amministratori dei domini. I criminali che cercano di acquistare l’accesso al conto bancario online di qualcun altro, ad esempio, possono pagare circa 500 dollari o meno sulla darknet; l’account dell’amministratore di un dominio può essere messo all’asta al miglior offerente per un prezzo che va da poche migliaia di dollari a oltre 100.000 dollari, a seconda dell’account.

Il furto di credenziali online e gli acquisti di account rappresentano settori in piena espansione, in cui i criminali informatici lanciano campagne di phishing massive utilizzando botnet, introducono malware che sottrae le credenziali e si servono di tecniche come lo stuffing delle credenziali e il brute forcing per rubare le password. Come sottolinea il report, ora i criminali raccolgono e vendono l’accesso ai dati delle impronte digitali spacciandoli per cookie, indirizzi IP e fusi orari, in modo che le credenziali rubate possano essere utilizzate senza far scattare un avviso di accesso sospetto da parte del servizio. Alcuni mercati delle darknet, come Genesis Market, UnderWorld Market e Tenebris, sono stati segnalati come luoghi in cui altri criminali informatici possono ottenere in affitto per un periodo di tempo limitato l’accesso ad account compromessi. Tali account possono essere utilizzati per scopi specifici, come il riciclaggio di denaro, la ricezione di e-mail o l’acquisto di beni.

Secondo i ricercatori, la persona media utilizza quasi 200 servizi online che richiedono una password. Dato che molti utenti non hanno nozioni di base sulla sicurezza delle password e che numerose organizzazioni non riescono a bloccare le violazioni di dati, è possibile che la cifra odierna di 15 miliardi sembrerà un’inezia tra qualche anno.


Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.

Read more about Cyber Security