Trojan e ransomware: anche i virus informatici ‘usano’ il Covid per colpire

Articolo pubblicato su Agi il 11/04/2020

Yoroi ha pubblicato il rapporto annuale 2019. L’ad Ramilli: “Notiamo il ripetersi, con maggiore virulenza nei primi tre mesi dell’anno, di attacchi che sfruttano il tema Covid-19”

I settori più colpiti dagli attacchi informatici in Italia sono quelle manifatturiero (19,4%), finanziario (17,9%) e bancario (12,7%) e lo strumento più diffuso per questi attacchi sono virus trojan come Emotet e Ursnif. Questo è il primo dato che emerge dal Report annuale 2019 di Yoroi sulle minacce informatiche che colpiscono il nostro paese.

“Uno scenario che notiamo ripetersi con maggiore virulenza nei primi tre mesi dell’anno con attacchi che sfruttano il tema Covid-19”, dice Marco Ramilli, a.d. di Yoroi.

Il rapporto 2019 sottolinea la parziale sovrapposizione di metodi e strumenti tipici del cybercrime con quelli in dotazione ad attori statuali che agiscono con fini di spionaggio provenienti da paesi che si sono già fatti notare per il furto di proprietà intellettuale e ricatti economici.

Frutto di un’attenta analisi originata dalla gestione di numerosi eventi di sicurezza da parte del Defence Center di Yoroi, i dati, normalizzati e rappresentativi anche dell’Europa, raccontano un panorama in evoluzione dove la ricorsività degli attacchi, i vettori usati e l’area geografica di provenienza evidenziano due fatti. Il primo è che si tratta di campagne organizzate, il secondo è che sono orientate a produrre un profitto, attraverso il pagamento di un riscatto (ransomware), le frodi finanziarie, la “truffa del Ceo” o Bec (Business email compromise), le truffe opportunistiche (rivolte a tutti) attraverso il Phishing delle email.

E infatti i vettori più usati negli attacchi risultano essere proprio le email. Nel 2018 l’e-mail costituiva il 68,8% delle minacce complessive, mentre nel 2019 questo vettore di attacco è cresciuto fino all’89%.

Anche l’utilizzo di siti creati ad hoc dai malviventi si sono dimostrati un pericoloso vettore di infenzione. Il rapporto Yoroi ha individuato che nel 59% degli attacchi i malfattori hanno usato siti malevoli per veicolare contenuti dannosi: dalla pubblicità indesiderata ai clickbait e altri software pericolosi.

Molti dei software nocivi appartengono alla categoria ransomware e provengono soprattutto da Cina, Russia, Brasile e sfruttano, nell’80% dei casi, allegati e file di Microsoft Office divisi tra documenti World (47,9%) e foglio di calcolo Excel (33,1%).

I malware inoltre non sono facilmente rilevati dagli antivirus. Esaminando i cluster di dati estratti, Yoroi ha identificato gli argomenti prevalenti sfruttati dagli aggressori per far cadere in trappola gli utenti nelle campagne di phishing:

• fatture e ordinativi;

• consegna e tracciabilità dei pacchi;

• moduli fiscali (es. F24 italiano);

• certificati medici;

• curriculum vitae;

• documentare scansioni, messaggi “per l’attenzione di” e altri relativi alle pratiche comuni di pratiche burocratiche in ufficio.

Tra le osservazioni più rilevanti il rapporto sottolinea come molti dei malware distribuiti sia sotto forma di email che di file download sono parte di una catena di infezione più complessa. Una catena in grado di installare anche più tipi di malware, partendo da semplici pezzi di codice che si comportano come dropper e trojan horse per consentire l’accesso a una gamma più ampia di minacce. Tipiche tecniche di intrusione degli hacker APT (le Minacce avanzate persistenti) verso settori aziendali privati tradizionalmente non preparati per affrontare questo tipo di minacce.

Una tendenza evidente nel set di dati sono malware Zero-Day ancora sconosciuti alla comunità di Information security. Solo l’8% di questi malware viene rilevato da pochi motori Antivirus e appena il 33% è ben identificato al momento dell’attacco. Secondo i rilevamenti di Yoroi la minaccia ransomware è scesa dal 29% al 7% e quella dei Trojan è aumentata dal 28% al 52% dei casi.

Yoroi ha inoltre rilevato che molti grandi gruppi criminali informatici hanno sviluppato una sorta di “unità criminali”, denominate “DarkTeams” in grado di coinvolgere direttamente target di alto valore nelle aziende private, ottenendo l’accesso al loro core business installando strumenti ransomware su tutta la rete subito dopo aver cancellato le proprie tracce, dimostrando di conoscere bene i loro target e di essere in grado di sviluppare “movimenti laterali” sia dentro che fuori l’azienda colpita.

E infatti se nel 2018 occorrevano 71 ore prima che un arbitrario paziente zero contagiasse gli altri, nel 2019 questo lasso temporale è sceso a sole 3 ore.

Vista la differenziazione dei bersagli Yoroi consiglia strategie diversificate alle aziende. Ad esempio, se per difendere le aziende che offrono “servizi idrici” bisogna impedire il download di artefatti nocivi, nel campo della “vendita al dettaglio di prodotti alimentari e farmaci”, la protezione della posta elettronica ha la priorità assoluta.