Gli esperti di Kaspersky hanno scoperto una nuova serie di campagne spyware in rapida evoluzione che prendono di mira oltre 2.000 aziende industriali in tutto il mondo, affermando: gli scenari di attacco di breve durata sono in aumento, i dati vengono messi in vendita sui marketplace, circa 7.000 account aziendali compromessi o rubati.
A differenza di molti attacchi spyware tradizionali, questi attacchi hanno un numero limitato di bersagli e una durata molto breve per ogni programma dannoso. I dati acquisiti sono stati messi in vendita su più di 25 mercati.
Dati aziendali su 25 marketplace in vendita
Nella prima metà del 2021, gli esperti di Kaspersky ICS CERT hanno notato un'insolita anomalia nelle statistiche delle minacce spyware bloccate sui computer ICS. Sebbene il malware utilizzato in questi attacchi appartenga a note famiglie di spyware come Agent Tesla/Origin Logger, HawkEye e altri [2], questi attacchi si distinguono dal mainstream perché il numero di bersagli in ogni attacco è molto limitato (si va da da una manciata a qualche dozzina) e la durata di ciascun programma dannoso è molto breve.
Un'analisi più dettagliata di 58.586 campioni di spyware bloccati sui computer ICS nella prima metà del 2021 ha mostrato che circa il 21,2% di essi apparteneva a questa nuova serie di attacchi con portata limitata e breve durata. Il loro ciclo di vita è limitato a circa 25 giorni, significativamente inferiore alla durata di una campagna spyware "convenzionale".
Sebbene ciascuno di questi campioni di spyware "anomali" sia di breve durata e poco diffuso, rappresenta una quota sproporzionata di tutti gli attacchi spyware. In Asia, ad esempio, è stato colpito un computer su sei attaccato con spyware (2,1% su 11,9%), in Europa lo 0,7% su 6,3%.
Email di phishing come punto di ingresso in azienda
La maggior parte di queste campagne viene distribuita da un'azienda industriale all'altra tramite e-mail di phishing ben congegnate. Una volta che l'aggressore è penetrato nel sistema della vittima, utilizza il dispositivo come server C2 (Command and Control) per l'attacco successivo. Con l'accesso alla mailing list della vittima, i criminali informatici possono abusare della posta elettronica aziendale e diffondere ulteriormente lo spyware.
Distribuzione di macchine ICS bloccate da spyware - H1 2021 per settore (Immagine: Kaspersky).
Secondo la telemetria ICS-CERT di Kaspersky, oltre 2.000 aziende industriali in tutto il mondo sono state incorporate nell'infrastruttura dannosa e sfruttate dai criminali informatici per eseguire l'attacco alle organizzazioni di contatto e ai partner commerciali. Kaspersky stima che il numero totale di account aziendali compromessi o rubati a seguito di questi attacchi sia superiore a 7.000.
Trading online vivace con dati dirottati
I dati sensibili acquisiti spesso finiscono su mercati diversi. Gli esperti di Kaspersky ne hanno identificati più di 25 diversi che vendono le credenziali rubate da queste campagne industriali. L'analisi di questi marketplace ha rivelato un'elevata domanda di dati di accesso per gli account aziendali, in particolare per gli account desktop remoti (RDP). Oltre il 46 percento di tutti gli account RDP venduti sui mercati esaminati appartengono a società negli Stati Uniti, mentre il resto proviene da Asia, Europa e America Latina. In Germania, questo era quasi il 4% (quasi 2.000 conti) di tutti i conti PSR venduti che interessavano le aziende industriali.
Spyware come servizio
Distribuzione dell'insolito spyware per regione e hosting C2 basato su SMTP (Immagine: Kaspersky).
Un altro mercato in crescita è lo Spyware-as-a-Service. Da quando sono stati rilasciati i codici sorgente di alcuni famosi programmi spyware, sono facilmente disponibili sotto forma di servizio nei negozi online. Gli sviluppatori non solo vendono malware come prodotto, ma concedono anche in licenza un creatore di malware e accedono all'infrastruttura preconfigurata per creare il malware.
“Nel 2021, i criminali informatici hanno fatto ampio uso di spyware per attaccare i computer industriali. Oggi stiamo osservando una nuova tendenza in rapida evoluzione nel panorama delle minacce industriali", commenta Kirill Kruglov, Security Expert di Kaspersky ICS CERT. “Per evitare il rilevamento, i criminali informatici riducono le dimensioni di ciascun attacco e limitano l'utilizzo di ciascun campione di malware, sostituendolo rapidamente con uno di nuova creazione. Altre tattiche includono un ampio abuso dell'infrastruttura di posta elettronica aziendale per diffondere malware. Questo è diverso da tutto ciò che abbiamo visto prima con lo spyware. Ci aspettiamo che tali attacchi diventino più diffusi quest'anno".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/
Previsioni Kaspersky ICS: https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/