Marco Lucchina di Cynet porta alla nostra attenzione l’insidioso stratagemma utilizzato dai criminali informatici per infiltrare i sistemi informatici aziendali tramite chiavette USB (e un pizzico di social engineering).
Il numero di attacchi informatici è in aumento, ma perché?
Il numero di attacchi informatici in Italia e nel mondo è in costante aumento. I dati del recente rapporto Clusit rivelano che nel 2023 si è assistito a una crescita del 65% delle intromissioni malevole rispetto all’anno precedente. Il fatto sconcertante è che oltre la metà degli attacchi, il 56%, è stato definito di gravità “critica” o “elevata”, e la maggior parte degli attacchi sferrati dai criminali informatici è andato a segno. Fortunatamente, le aziende italiane stanno cominciando a reagire proattivamente alle minacce, non solo tramite strumenti di cybersecurity, ma anche chiedendo il supporto di agenzie specializzate nella sicurezza informatica.
Naviga con NordVPN – Scopri la super offerta NordVPN – 65% di sconto
Dato che le compagnie stanno investendo così tanto nella sicurezza della loro infrastruttura IT, com’è possibile che il numero di attacchi rimanga così elevato? Il Data Breach Investigations Report condotto dalla compagnia americana Verizon nel 2023 ha evidenziato come il 73% dei cyber attacchi sia colpa del fattore umano. Con “fattore umano” s’intende dell’errore che il singolo dipendente fa inconsciamente, lasciando la “porta aperta” agli attaccanti.
Le operazioni del gruppo criminale UNC4990
Il team di ricerca di Cynet ha recentemente approfondito l’attività del gruppo di cybercriminali UNC4990, attivo dal 2020. Questo gruppo è protagonista di una modalità di attacco che sfrutta la propria vittima per entrare nel sistema di difesa.
Gli attacchi informatici sono divisi in diverse fasi. La prima è quella della “weaponization“, o “armare” in italiano, nella quale l’obiettivo è quello di creare od ottenere un codice malevolo da utilizzare in un attacco. La fase successiva, in cui il malware viene caricato su una chiavetta USB, è quella di “delivery” o “consegna” del payload (codice malevolo) al bersaglio. Il gruppo UNC4990 ha seguito questo schema per sferrare i loro recenti attacchi, facendo sì che sia la vittima stessa ad installare il codice che permetta ai criminali informatici l’accesso all’infrastruttura IT.
Come funziona l’infezione tramite chiavetta USB
Gli attacchi via chiavette USB non sono una novità: da anni gruppi di cybercriminali utilizzano le chiavette per infiltrare sistemi aziendali, e sono efficaci tutt’ora. Diversi studi sul comportamento umano hanno evidenziato come il gadget in sé sia appetibile, cosa che lo rende una modalità efficace di phishing.
Il primo passo dell’operazione è fare in modo che un dipendente di un’azienda trovi una chiavetta USB. Le modalità di social engineering adottate dagli attaccanti sono semplici ma efficaci: abbandonano le chiavette appositamente nel parcheggio di un’azienda, sul bancone della reception o di una sala d’attesa. La vittima, ignara del piano criminale, viene indotta a pensare che la chiavetta sia stata persa da un collega, e viene così innescato il desiderio di visionarne il contenuto per capire a chi appartenga.
Quando la vittima entra in possesso della chiavetta USB e la inserisce in un PC, scatta la fase successiva. L’iniezione del codice malevolo avviene cliccando su un collegamento, che attiva il payload contenuto sulla chiavetta. Nel caso in esame, il payload esegue alcuni comandi in Powershell per scaricare un programma per l’esecuzione di comandi da remoto, BrokerLoader. Il payload scarica questo malware da server utilizzati da servizi commerciali, come come ARS Technica, GitHub o GitLab per mascherare la connessione. Al termine dell’attacco, i criminali ottengono una backdoor attiva sulla macchina della vittima.
Chi casca nel tranello?
Cynet ha analizzato la dinamica dell’attacco, cercando di capire quali profili, in genere, sono più propensi a inserire una chiavetta nella loro workstation una volta ritrovata. L’80% delle 85 organizzazioni nelle quali è stato rilevato questo tipo di attacco appartiene alla pubblica amministrazione, mentre il rimanente sono aziende con una forte presenza di personale tecnico sul campo.
L’analisi è stata effettuata all’interno di un perimetro di macchine protette, quindi non si può escludere che le stesse persone abbiano utilizzato la chiavetta sui loro dispositivi domestici o l’abbiano passata a terzi. In questo caso, il payload contenuto nella chiavetta avrebbe scaricato malware per “minare” criptovalute.
L’errore umano, putroppo, è inevitabile. Per mitigarlo, bisogna formare e informare i propri dipendenti.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!