Home Technologia Più di 2.000 organizzazioni industriali sono state subordinate e utilizzate dagli hacker...

Più di 2.000 organizzazioni industriali sono state subordinate e utilizzate dagli hacker per diffondere nuovi attacchi

140
0

A differenza di molte campagne spyware convenzionali, questi attacchi si distinguono per il numero limitato di bersagli in ogni attacco e la durata molto breve di ogni campione dannoso.

Nella prima metà del 2021, gli esperti di Kaspersky ICS CERT hanno notato una curiosa anomalia nelle statistiche sulle minacce spyware bloccate sui computer ICS. Sebbene il malware utilizzato in questi attacchi appartenga a ben note famiglie di spyware, come Agent Tesla/Origin Logger, HawkEye e altri, questi attacchi si distinguono da quelli convenzionali per il numero molto limitato di bersagli presi di mira in ogni attacco (da un numero molto piccolo a poche dozzine di bersagli) e la durata molto breve di ogni campione dannoso.

Uno sguardo più da vicino a 58.586 campioni di spyware bloccati sui computer ICS nella prima metà del 2021 ha mostrato che circa il 21,2% di essi faceva parte di questa nuova serie di attacchi di breve e breve durata. La loro durata è di circa 25 giorni, molto più breve della durata di una campagna di spyware “tradizionale”.

Sebbene ciascuno di questi campioni di spyware “anomali” scompaia rapidamente e non sia ampiamente distribuito, rappresentano una quota sproporzionatamente ampia di tutti gli attacchi spyware. In Asia, ad esempio, un computer su sei con spyware è stato colpito da uno dei campioni di spyware “anormali” (2,1% dell’11,9%).

Tieni presente che la maggior parte di queste campagne viene diffusa da un’azienda industriale all’altra tramite e-mail di phishing ben progettate. Una volta all’interno del sistema della vittima, l’attaccante utilizza il dispositivo come server C2 (comando e controllo) per l’attacco successivo. Con l’accesso alla mailing list della vittima, i criminali possono abusare della posta elettronica aziendale e diffondere ulteriormente lo spyware.

Read:   Laptop MSI: ideali per uno stile di vita dinamico

Secondo Kaspersky ICS CERT Telemetry, più di 2.000 organizzazioni industriali in tutto il mondo sono state integrate in infrastrutture dannose e utilizzate dalle gang informatiche per diffondere i loro attacchi ad altre organizzazioni e partner commerciali. Il numero totale di account aziendali compromessi o rubati a seguito di questi attacchi è stimato in oltre 7.000.

I dati importanti dei computer ICS raggiungono spesso vari mercati. Gli esperti di Kaspersky hanno identificato più di 25 diversi mercati in cui le credenziali rubate sono state vendute a queste organizzazioni industriali. L’analisi di mercato ha evidenziato una forte richiesta di credenziali per gli account aziendali, in particolare per gli account desktop remoti (RDP). Oltre il 46% di tutti gli account RDP venduti nei mercati analizzati sono detenuti da società statunitensi, mentre il resto proviene da Asia, Europa e America Latina. Quasi il 4% (quasi 2.000 conti) di tutti i conti PSR venduti apparteneva a società industriali.

Un altro mercato in crescita è lo Spyware-as-a-Service. Poiché i codici sorgente di alcuni popolari programmi spyware sono stati resi pubblici, sono diventati ampiamente disponibili nei negozi online come servizio: gli sviluppatori vendono non solo malware come prodotto, ma anche una licenza per un generatore di malware e l’accesso all’infrastruttura preconfigurata per la creazione malware.

Read:   La ricerca di Microsoft Digital Futures Index, nell'area ECE, mostra come è la Romania in termini di digitalizzazione

Al fine di garantire un’adeguata protezione di un’azienda del settore, nonché delle operazioni dei suoi partner, gli esperti di Kaspersky raccomandano:

  • Implementare l’autenticazione a due fattori per l’accesso alla posta elettronica aziendale e ad altri servizi (inclusi gateway RDP, VPN-SSL e così via) che potrebbero essere utilizzati da un utente malintenzionato per ottenere l’accesso all’infrastruttura interna dell’azienda e ai dati critici.

  • Assicurati che l’intero livello dell’endpoint, sia le reti IT che quelle OT, sia protetto con una moderna soluzione di sicurezza a livello di endpoint, configurata correttamente e aggiornata.

  • Forma regolarmente il tuo personale per gestire in modo sicuro le e-mail in arrivo e proteggere i propri sistemi da malware che potrebbero essere nascosti nei documenti e nei collegamenti ricevuti nelle e-mail.

  • Controlla regolarmente le tue cartelle spam invece di svuotarle.

  • Monitora l’esposizione degli account della tua organizzazione sul Web.

  • Utilizza soluzioni sandbox progettate per testare automaticamente i documenti nel traffico e-mail in entrata. Tuttavia, assicurati che la soluzione sandbox sia configurata in modo da non ignorare le e-mail da fonti “fidate”, inclusi partner e organizzazioni di contatto, poiché nessuno è protetto al 100% dalla compromissione della sicurezza.

  • Verifica gli allegati nelle e-mail inviate dalla tua organizzazione per assicurarti che i dati in essi contenuti non siano compromessi.

Se ti piace questo articolo, non vediamo l’ora di entrare a far parte della community di lettori sulla nostra pagina Facebook, con un Like qui sotto:

Articolo precedenteLei è la principessa Ingrid Alexandra, la futura regina di Norvegia. A febbraio compirà 18 anni
Articolo successivoLa regina Letizia come non la vediamo spesso. Ha lasciato gli abiti eleganti per i pantaloni di pelle modellata