ICT Security ai tempi del CoronaVirus

La situazione della sicurezza informatica è grave, dice il Rapporto Clusit 2020, presentato lo scorso 17 marzo. “L’emergenza CoronaVirus è un nuovo fattore di rischio per la Cybersecurity”, dichiara il presidente di Clusit Gabriele Faggioli. “Sarà necessario ripensare il modo di difendere le aziende dagli attacchi”.

Lo studio si basa su un campione che al 31 dicembre 2019 è costituito da 10.087 attacchi noti di particolare gravità (di cui 1.670 nel 2019), ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (personali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti nel mondo (inclusa l’Italia) dal primo gennaio 2011.

Rispetto al 2018, in termini assoluti nel 2019 il numero maggiore di attacchi gravi si osserva verso le categorie “Multiple Targets” (+29,9%), “Online Services / Cloud” (+91,5%) ed “Healthcare” (+17,0%), seguite da “GDO/Retail” (+28,2%), “Others” (+76,7%), “Telco” (+54,5%) e “Security Industry” (+325%).

Gli attacchi informatici aumentano, con ritmi preoccupanti, e l’emergenza CoronaVirus può diventare un ulteriore fattore di rischio per la Cybersecurity. “Avere decine di milioni di persone connesse con qualsiasi dispositivo digitale è una tentazione per chi vuole provare a fare il furbo. Anche se finora non sono emersi casi particolarmente gravi, tentativi di phishing collegati al CoronaVirus ci sono”, diceva Gabriele Faggioli, presidente del Clusit, l’Associazione Italia per la Sicurezza Informatica alla vigilia della presentazione del Rapporto Clusit 2020.

Purtroppo anche i gli sciacalli digitali fanno smartworking 🙁

Il principale attacco di questo periodo è stato generato dal recapito di una e-mail fasulla con incluso un link a un presunto documento informativo dedicato alle precauzioni da adottare per prevenire l’infezione. Ma il collegamento contiene il malware Trickbot.

Di qualche giorno fa, invece, l’alert diffuso dalla Polizia Postale in merito ad un attacco phishing ai danni di utenti degli istituti bancari Intesa San Paolo e Monte dei Paschi, sempre per rubare dati bancari. In particolare, in questo caso, i criminal hacker stanno diffondendo e-mail con una falsa informativa e una comunicazione urgente in merito all’emergenza sanitaria.

Scoperto anche l’eseguibile CoronaVirusSafetyMeasures_pdf.exe il cui metodo più probabile di diffusione sembra essere una campagna di phishing che lo consegnerebbe come allegato. L’eseguibile, un dropper RAT Remcos, dopo aver assicurato la propria persistenza sul sistema colpito inizia a registrare le sequenze di tasti e quindi a rubare password, dati di accesso ai servizi online e altri dati riservati dell’utente esfiltrandoli poi su un server C2 in ascolto all’indirizzo 66[.]154[.]98[.]108.

All’inizio del mese di febbraio, invece, i ricercatori di IBM X-Force Threat Intelligence hanno scoperto un’altra campagna di phishing che distribuiva il malware info stealer Lokibot tramite e-mail progettate per sembrare come se fossero state inviate dal Ministero della Salute della Repubblica Popolare Cinese.

Alla fine del mese di gennaio è stata osservata anche un’ennesima distribuzione di payload di Emotet mentre si avvertivano segnalazioni di infezione da CoronaVirus in varie prefetture giapponesi.

Circa una settimana fa, il collettivo di ricerca sulla sicurezza MalwareHunterTeam ha trovato invece un documento di Microsoft Office sempre a tema coronavirus contenente macro dannose, fingendo di provenire dal Center for Public Health del Ministero della Salute dell’Ucraina.

Maggiore attenzione durante il telelavoro

Vengono ovviamente sfruttate le modalità con cui le aziende lavorano da remoto. Circolano infatti in questi giorni e-mail e PEC che, facendo leva sull’emergenza CoronaVirus, promuovono prodotti dalle dubbie funzionalità. In alcuni casi si tratta di veri e propri malware, come è accaduto appunto con Trickbot, in altri casi vengono pubblicizzati strumenti per il telelavoro di fornitori sospetti.

È bene ricordare che con l’occasione del telelavoro è necessaria, da parte dei singoli utenti, una maggiore responsabilità per la sicurezza del proprio computer.

Mirko Severi
VM Sistemi – Sales Account

cfr. economyup.it, clusit.it, corrierecomunicazioni.it, assolombarda.it, cybersecurity360.it

Related Posts

Pin It on Pinterest