Netskope Threat Labs ha recentemente rilasciato uno studio riguardante le minacce che colpiscono gli ambienti cloud, concentrandosi sul settore retail. Dalla ricerca, riguardante il periodo dal 1 marzo 2023 al 29 febbraio 2024, emerge uno scenario di sicurezza complesso, dominato dalle botnet IoT, dagli strumenti di accesso remoto e dagli infostealer. I criminali informatici diffondono questo malware tramite piattaforme largamente utilizzate, come OneDrive e Outlook.
I malware più diffusi nel settore retail
Malware in agguato: gli infostealer
Il settore retail sta venendo minacciato da malware in grado di sottrarre informazioni come i dati di pagamento e anagrafiche da organizzazioni e clienti: questo tipo di malware è detto infostealer. Gli infostealer si mascherano da pagine web lecite, nella quale i malcapitati digitano i loro dati personali. Leggono ciò che gli utenti digitano da tastiera innestandosi nei dispositivi, e inviano i dati così raccolti direttamente ai criminali informatici. Inoltre, gli infostealer alimentano il più ampio ecosistema del crimine informatico, poiché gli attaccanti vendono le credenziali raccolte e i dettagli finanziari personali.
Secondo i dati emersi dal report, gli infostealer più diffusi sono AgentTesla, Azorult e QakBot. Quest’ultimo è stato individuato per la prima volta nel 2007, ed è in grado di rubare dati sensibili dai sistemi infetti. A proposito di QakBot, Paolo Passeri, Cyber Intelligence Principal di Netskope, ha commentato dicendo che, nonostante l’operazione criminale dietro al malware fosse stata sventata a fine agosto 2023, la sua infrastruttura è stata rapidamente riadattata dagli attaccanti per distribuire ulteriori payload di malware, fornendo ulteriori opportunità per i criminali informatici.
Botnet: un esercito di dispositivi IoT al servizio dei cyber criminali
Stando ai dati dello studio, la botnet più diffusa è Mirai. Scoperto nel 2016, questo malware è in grado di infettare dispositivi di rete esposti basati su Linux, come come router, fotocamere e altri dispositivi IoT. Dopo la fuga del codice sorgente del malware Mirai, il numero di varianti è aumentato considerevolmente e rappresenta un rischio per il commercio al dettaglio in quanto settore con molteplici endpoint vulnerabili.
Mirai ha molto successo perché le organizzazioni spesso trascurano i dispositivi IoT e non li considerano come un rischio per la sicurezza. In realtà, possono fornire informazioni visive o sensoriali utili ai criminali o possono essere anche sfruttati per lanciare attacchi DDoS contro altri obiettivi.
Per sventare queste minacce, i leader nel settore retail devono impegnarsi a rafforzare le proprie difese. Nelle parole di Paolo Passeri: “Il fatto che botnet come Mirai e infostealer come Quakbot continuino a essere tra i principali metodi utilizzati dagli attaccanti per colpire le organizzazioni di vendita al dettaglio dimostra che i leader della sicurezza hanno ancora molto da fare per rafforzare la propria infrastruttura ed endpoint. Seguire le migliori pratiche fondamentali di igiene informatica, come ispezionare il traffico web e cloud e garantire di poter bloccare il traffico malevolo e isolare endpoint o domini compromessi, ridurrà il rischio di diventare vittima di questi attaccanti”.
Come difendersi?
Lo studio evidenzia un aumento nel malware distribuito tramite applicazioni cloud, come la Suite di Microsoft. A tal proposito, Netskope fornisce i seguenti consigli per aiutare le organizzazioni nel settore retail a proteggersi dalle minacce infomatiche.
Ispezionare traffico e file a rischio
Per prevenire l’infiltrazione di malware, Netskope consiglia di ispezionare tutti i download HTTP e HTTPS, incluso il traffico web e cloud. Inoltre, consiglia di ispezionare con attenzione i file a rischio, come eseguibili e archivi, tramite una combinazione di analisi statica e dinamica prima di essere scaricati. Netskope consiglia anche la configurazione di policy per bloccare download e caricamenti da applicazioni e istanze che non vengono utilizzate nell’organizzazione, in modo da ridurre la superficie di attacco.
Utilizzare strumenti anti-intrusione
Infine, Netskope raccomanda l’utilizzo di un sistema di prevenzione delle intrusioni in grado di identificare e bloccare modelli di traffico malevolo, quello associato al malware più diffuso. Raccomanda anche l’utilizzo della tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva quando è necessario visitare siti Web che rientrano in categorie che possono presentare un rischio più elevato.
- The Reign Of Botnets: Defending Against Abuses, Bots And Fraud On The Internet Tech Today
- Product Type: Abis Book
- Language: English
- Senecal, David (Autore)