In questo particolare momento dove l’attenzione è concentrata su questa situazione che ha creato moltissimi problemi in tutto il mondo, i criminali informatici non si sono fermati nelle loro attività illecite, anzi.
Da un articolo pubblicato da una autorevole rivista come BleepingComputer[1] pubblicato il 18 marzo 2020[2] si evince l’attuale posizione di queste aziende criminali. In questo articolo Maze, DoppelPaymer, Ryuk, Sodinokibi/Refill, PwndLocker, e Ako Ransomware hanno risposto alla domanda se vogliono continuare ad effettuare attacchi mirati verso le infrastrutture sanitarie impegnate a far fronte a questa crisi mondiale. La loro risposta non si è fatta aspettare e la sintesi è stata molto semplice: se una azienda che opera nel settore sanitario o simili viene colpita verrà supportata in modalità gratuita dopo averci dimostrato che è realmente impegnata nella lotta al Covid-19. Per il resto nessuno scrupolo nello sfruttare l’attuale situazione al fine di perseguire il massimo guadagno.
TEKAPP ha deciso di mettere a disposizione GRATUITA delle aziende
delle soluzioni software evolute in grado di proteggerle da questi nuovi rischi
e dal picco di attacchi che stiamo rilevando in questo periodo di Covid-19
La situazione attuale
In tempi recenti avevamo lavorato per creare la cultura della CyberSecurity, rimarcando che non è più un aspetto che può essere procrastinato o sminuito con “tanto non succederà a noi”. In questo mese TEKAPP è stata più volte coinvolta come unità di crisi su diversi fronti, anche molto critici, per rispondere ad attacchi effettuati ed andati a buon fine. In questo momento ci sentiamo di ribadire il messaggio: la cybersecurity non può essere rimandata.
Cosa è successo durante Marzo
All’inizio del mese uscì un report del Cisa (National Cyber Awareness System) sull’analisi di una variante del malware HOPLIGHT, dietro al quale vi è una azienda nord coreana denominata Hidden Cobra. In quel momento la Korea è in piena crisi Covid ma gli attacchi proseguono verso il resto del mondo.
Successivamente una autorevole fonte indica che il Trojan Emotet è in grado di diffondersi da una azienda all’altra attraverso la rete wifi. Sì, avete capito bene. Una volta che si è infettati da questo Trojan vengono scaricati ed installati diversi moduli per permettere di muoversi lateralmente sulle reti wifi. Per alcuni anni questi “movimenti laterali” erano limitati alla stessa rete. La nuova versione di Emotet “WiFi spreader” è in grado di diffondersi fra reti wifi confinanti. Essendo la rete wifi un vettore di attacco inusuale desta moltissima attenzione nel mondo della cybersecurity.
Microsoft inizia a parlare di una devastante campagna di attacchi definita “Human-operated ransomware attack tactics” che mira particolari tipi di vittime. Microsoft evidenzia che gli attaccanti sfruttano leve come cattive configurazioni delle reti ed accessi esterni. In questo momento sta esplodendo la necessità di fare smart working. Già in tempi non sospetti avevamo indicato che l’utilizzo sconsiderato di soluzioni sviluppate moltissimi anni fa basate su VPN non erano sufficientemente sicure a far fronte alla attuale situazione. Abbiamo deciso di pubblicare sul blog TEKAPP il nostro punto di vista ed il nostro approccio Zero Trust a questa specifica esigenza. Quello che non dice pubblicamente Microsoft, ma che altre fonti presumibilmente attendibili riferiscono, è che sono state trovate vecchie versioni di malware su sistemi PAX.
Successivamente CheckPoint (azienda israeliana) indica una importante campagna di attacchi provenienti dalla Cina che sfrutta il momento Covid ed attacca specificatamente le pubbliche amministrazioni in Mongolia attraverso malware totalmente sconosciuti e che costringe il Ministro degli Affari Esteri a pubblicare un articolo a riguardo. La Cina era in lockdown.
Siamo solo nei primi giorni del mese ed inizia una campagna di attacchi attraverso l’utilizzo di Ransomware come REvil, Samas, Bitpaymer, e Ryuk in tutta Europa.
In data 17 Marzo si viene a conoscenza una campagna di mailspam basata su una nuova versione di Ursnif che ha nel mirino l’Italia e che sfrutta la leva emozionale del Covid-19. In quel particolare momento VirusTotal dava un punteggio pari a ZERO. Se non fosse chiaro, in quel particolare momento gran parte delle soluzioni non erano in grado di bloccare l’attacco.
In data 19 Marzo il Cert-PA pubblica un articolo con il titolo: “Trickbot e Emotet utilizzano news su CoronaVirus nei metadati per eludere il rilevamento”. Citando dall’articolo : “…si ha evidenza di una campagna per veicolare i malware Trickbot ed Emotet aggiungendo testi di notizie riguardanti il virus Covid-19 per tentare di eludere i software che si basano su AI e ML per il rilevamento dei malware.” La fonte è BleepingComputer.
Da quel momento inizia una escalation di articoli come quello di Routers (24 marzo 2020) che indica che la World Health Organization è fra le prime aziende colpite da attacchi che sfruttano la situazione critica. WHO dice: “The criminals behind the Maze ransomware attacks apparently managed to exfiltrate a slew of patient records, and have subsequently published some of the files on the dark web, demanding ransom payment.”
25 Marzo 2020: l’autorevole newsletter ITPro pubblica l’articolo “Hackers target hospital computer systems” ed entra nello specifico menzionando sia il governo Spagnolo che quello Ceco obbligati a diffondere una informativa governativa segnalando attacchi in atto verso strutture sanitarie coinvolte nella lotta Covid-19.
26 Marzo 2020: mettiamo a conoscenza di lista di domini appena registrati dove la parola chiave è Covid. Tutti domini che presumibilmente verranno utilizzati in campagne di attacchi che sfrutteranno questa situazione.
27 Marzo 2020: Google pubblica l’articolo “Google Confirms 40,000 Nation-State Cyber Attack Warnings Issued”
Cosa sta facendo ora TEKAPP: soluzioni gratuite per proteggere la tua azienda subito!
TEKAPP continua la sua attività nel promuovere conoscenza e consapevolezza, effettuato seminari-webinar settimanalmente. Inoltre, abbiamo messo a disposizione GRATUITA delle aziende delle soluzioni evolute per lo smartWorking e per la difesa informatica aziendale, in grado di proteggere da questi nuovi rischi e dal picco di attacchi che stiamo rilevando: negli ultimi 7 giorni tre importanti realtà industriali tra Spilamberto, Vignola e Formigine sono state fortemente attaccati con diverse forme di malware e ransomware. Quando le soluzioni corrette di cybersecurity sono pronte allora i dati sono protetti e l’azienda non viene bloccata. In caso contrario si ferma produzione, amministrazione, email ecc. per diversi e l’azienda è costretta a pagare un riscatto, a volte ricorsivo, sia per ottenere la chiave di de-cryptazione sia per garantirsi che informazioni sensibili non siano pubblicate su internet oppure vendute nel DEEPWEB o DARKWEB.
Ci sentiamo coinvolti nel fare al meglio il nostro lavoro e supportare quanto più possibile qualunque azienda impegnata direttamente o indirettamente nel far fronte a questa emergenza sanitaria, mettendo a disposizione tutte le competenze e tecnologie, in questo momento anche gratuite, a nostra disposizione.
Stay at home. Stay safe.
[1] https://en.wikipedia.org/wiki/Bleeping_Computer
[2] https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/