Un nuovo malware ha preso di mira più di 35mila computer in 195 Paesi: un attacco spyware su larga scala. Ce lo spiegano bene gli esperti di cybersecurity di Kaspersky.
Cybersecurity: Kaspersky ci mette in guardia su una nuova campagna spyware
Sono passati solo pochi giorni da quando abbiamo saputo di un attacco phishing che avrebbe coinvolto addirittura l’ultimo film di Spider-Man. Oggi la notizia riguarda una campagna indiscriminata su larga scala. Dal 20 gennaio al 10 novembre 2021, infatti, gli esperti di cybersecurity di Kaspersky hanno scoperto un nuovo malware che ha preso di mira più di 35.000 computer in 195 Paesi. Soprannominato “PseudoManuscrypt” per le similitudini con il malware Manuscrypt del gruppo APT Lazarus, questo nuovo malware possiede capacità di spionaggio avanzate e ha preso di mira sia le organizzazioni governative che i sistemi di controllo industriale (ICS) in diversi settori. Tra gli obiettivi rilevati anche organizzazioni militari e i laboratori di ricerca. Il 7,2% dei computer attaccati dalla campagna spyware faceva parte di sistemi di controllo industriale (ICS), e le industrie più colpite sono state quelle di ingegneria e domotica.
Inizialmente, il download di PseudoManuscrypt avveniva sui sistemi delle vittime tramite falsi installer di software pirata, alcuni dei quali sono specifici per software ICS. È probabile che questi falsi programmi di installazione vengano offerti tramite una piattaforma Malware-as-a-Service (MaaS). In alcuni casi, PseudoManuscrypt è stato installato tramite la già nota botnet Glupteba. Dopo l’infezione iniziale, veniva avviata una complicata catena di infezioni che conduceva al download del modulo dannoso principale. Gli esperti di Kaspersky hanno identificato due varianti di questo modulo.
Entrambe sono in grado di offrire funzionalità avanzate di spyware, tra cui la registrazione delle sequenze di tasti, la copia delle informazioni dagli appunti, il furto di credenziali di autenticazione VPN (e potenzialmente RDP), credenziali di accesso, screenshot, e altro ancora. Gli attacchi non mostrano particolari preferenze per specifici settori, tuttavia, il gran numero di computer attaccati nel settore ingegneristico, compresi i sistemi utilizzati per la modellazione 3D e fisica e i digital twin, suggerisce che lo spionaggio industriale potrebbe essere uno degli obiettivi.
Una campagna spyware atipica secondo gli esperti
Stranamente, alcune delle vittime sono legate agli obiettivi della campagna Lazarus come rilevato precedentemente da ICS CERT . I dati sono inviati al server degli attaccanti su un protocollo raro che utilizza una libreria utilizzata precedentemente solo con il malware di APT41. Tuttavia, tenendo conto del gran numero di vittime e della mancanza di un focus esplicito, Kaspersky non collega la campagna a Lazarus o ad altri threat actor APT conosciuti.
“Si tratta di una campagna molto insolita. Stiamo ancora raccogliendo le varie informazioni che abbiamo a disposizione. Tuttavia, una cosa è chiara: questa è una minaccia a cui gli esperti devono prestare attenzione. È stata in grado di arrivare a migliaia di computer ICS, incluse molte organizzazioni di alto profilo. Continueremo le nostre indagini, tenendo informata la comunità di sicurezza su eventuali nuove scoperte”,ha commentato Vyacheslav Kopeytsev, security expert di Kaspersky.
I consigli di Kaspersky per proteggersi
Per proteggersi da PseudoManuscrypt, gli esperti di cybersecurity raccomandano di:
- Installare software di protezione degli endpoint su tutti i server e le workstation.
- Verificare che tutti i componenti di protezione dell’endpoint siano abilitati su tutti i sistemi e che sia in atto una policy che richieda l’immissione della password dell’amministratore nel caso in cui qualcuno tenti di disabilitare il software.
- Verificare che le policy di Active Directory includano restrizioni per i tentativi degli utenti di accedere ai sistemi. Gli utenti dovrebbero essere autorizzati ad accedere solo ai sistemi di cui hanno bisogno per svolgere le loro mansioni lavorative.
- Limitare le connessioni di rete, inclusa la VPN, tra i sistemi sulla rete OT; bloccare le connessioni su tutte le porte che non sono necessarie per la continuità e la sicurezza delle operazioni.
- Utilizzare smart card (token) o codici monouso come autenticazione a due fattori quando si stabilisce una connessione VPN. Quando possibile, utilizzare la tecnologia Access Control List (ACL) per limitare l’elenco di indirizzi IP da cui è possibile avviare una connessione VPN.
- Formare i dipendenti dell’azienda sulla sicurezza informatica quando si lavora con internet, e-mail e altri canali di comunicazione.
- Utilizzare gli account con privilegi di amministratore locale e di amministratore di dominio solo quando è necessario a svolgere le proprie mansioni di lavoro.
- Prendere in considerazione l’utilizzo di servizi come Managed Detection and Response per ottenere un rapido accesso a conoscenze di alto livello e all’esperienza di professionisti della sicurezza.
- Utilizzare una protezione dedicata per i sistemi di controllo dell’officina.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
