Negli ultimi mesi, durante il periodo di lockdown per l’emergenza sanitaria, non sono mancate le sfide per la sicurezza IT aziendale e personale. Il cybercrime, sfruttando il momento critico, da una parte ha attivato importanti campagne di phishing sfruttando il nome del virus, dall’altra una serie di strategie per utilizzare l’intenso utilizzo dello smart working – e in alcuni casi la scarsa consapevolezza dei dipendenti – per riuscire a sottrarre credenziali, violare gli account e penetrare in azienda. I ricercatori di Proofpoint, solo nei primi sei mesi dell’anno, hanno identificato a livello globale 390 campagne di email malevoli legate alla pandemia.
In Italia, Proofpoint ha contato una media di 14 campagne di malware o di phishing al mese. Di queste il 20% ha utilizzato le tematiche legate alla pandemia per diffondersi. Un tratto che caratterizza il nostro Paese è quello di essere stato il primo, a febbraio, ad essere preso di mira da una campagna di phishing targettizzata e geolocalizzata che ha colpito i settori education e healthcare, utilizzando un allegato di Microsoft Word per sottrarre credenziali aziendali agli utenti. E ancora, alcune campagne mirate a sottrarre le credenziali di accesso ai servizi cloud come Office 365 puntavano a dirottare gli utenti con un link a una procedura di login su un sito non legittimo.
L’analisi dei ricercatori Proofpoint evidenzia l’utilizzo di differenti tipologie di malware per le campagne in Italia negli ultimi mesi. Banking Trojan e Downloader sono le principali categorie di malware identificate nei primi mesi dell’anno, con una netta prevalenza dei banking trojan. A titolo di esempio il malware più diffuso nel periodo è stato Ursnig, Agent Tesla tra i keylogger e FTCode il ransomware rilevato più spesso tra marzo ed aprile.
I ricercatori di Proofpoint hanno osservato un leggero incremento degli attacchi via email che utilizzano il ransomware come payload di primo livello. E’ un cambio di strategia perché nell’ultimo anno preferivano utilizzare nella prima fase i downloader, responsabili poi della distribuzione di ransomware nei passaggi successivi.
Questo leggero incremento della quantità di ransomware potrebbe annunciare il ritorno di campagne importanti, come accaduto nel 2018. Negli ultimi tempi quindi si segnala una campagna basata sulla nuova famiglia Avaddon e Sherrod DeGrippo, senior director of Threat Research di Proofpoint, segnala come gli attacchi, basati su diverse famiglie di ransomware, hanno preso di mira diversi settori negli Stati Uniti, in Francia, Germania, Grecia e Italia, usando spesso esche e messaggi in lingua madre.
I volumi giornalieri variano da uno a 350mila messaggi per ogni campagna, e più di un milione di messaggi tra il 4 e il 10 giugno 2020 ha incluso Avaddon. Tra i temi utilizzati ovviamente Covid-19, e come target diversi settori tra cui l’istruzione e il manifatturiero, seguiti da trasporti, intrattenimento, tecnologia, sanità e telecomunicazioni.
“Questo ritorno del ransomware come payload iniziale è inaspettato, dopo un periodo così lungo e relativamente tranquillo – spiega DeGrippo – e il cambiamento di tattica potrebbe essere un indicatore del fatto che i cyber criminali stanno tornando al ransomware, usandolo con nuove esche. Il significato di questo cambiamento non è ancora chiaro, ma è evidente che il panorama delle minacce sta cambiando rapidamente, e dovremmo continuare ad aspettare l’inaspettato”.
Altre campagne sono state rivolte nello specifico agli utenti italiani per distribuire forme specifiche di malware, tra queste Rat BackConnect, che come esca utilizzava una segnalazione sulla sospensione dei pagamenti e o ransomware F**kUnicorn, legato alla app Immuni, con una campagna mirata in modo specifico sulle farmacie.
© RIPRODUZIONE RISERVATA