Nel corso del 2015, il Data Breach Investigations Report (DBIR) di Verizon riferisce di un aumento del 25% del cosiddetto crimeware, ovvero di tutti quegli strumenti software utilizzati nel crimine informatico che vengono utilizzati per compiere un attacco mirato alle reti delle aziende o a utenti privati.
In questo articolo parleremo dello stato attuale del crimeware e del motivo per cui è importante monitorare gli attacchi che possono avvenire, per scoprire quali applicazioni dannose cercano di entrare in un ambiente di rete.
Attacchi crimeware per rubare denaro
Le informazioni finanziarie sensibili sono uno degli obiettivi chiave per i criminali informatici, in quanto permettono di accedere direttamente a conti bancari e quindi di trasferire denaro su altri conti correnti gestiti dai pirati informatici, all’insaputa dell’ignaro utente.
Per questo motivo i cybercriminali si sono resi conto che l’attacco mirato ai computer e ai dispositivi di singoli utenti, è molto redditizio anche perché è più facile da attuare, potendo contare sull’inesperienza di molti utenti per quanto riguarda la sicurezza informatica e la protezione dei propri dati sensibili.
Le tecniche usate per accedere ai conti bancari degli utenti sono diverse. La più usata prevede il monitoraggio dei siti
bancari e il reindirizzamento fraudolento versi altri siti dannosi, creati appositamente dai criminali informatici per rubare le credenziali di accesso ai conti bancari tramite la tecnica del server command-and-control, o l’installazione di ransomware (famoso il caso TeslaCrypt). Il ransomware è un malware progettato per il sequestro dei dati, un exploit in cui l’attaccante crittografa i dati della vittima ed esige il pagamento per la chiave di de-crittografia. Il ransomware si diffonde attraverso allegati di posta elettronica, programmi infetti e siti web compromessi. Il crimeware basato sulla tecnica del command-and-control è la più utilizzata dai pirati informatici, ma nell’ultimo anno, secondo il rapporto di Verizon, pare che ci sia un’inversione di tendenza, un utilizzo sempre più massiccio della tecnica del denial of service (DDoS) come vettore degli attacchi. Un attacco di tipo DoS prevede che un utente o un’azienda vengano privati di un servizio o di una risorsa che abitualmente usano. Per poter tornare ad utilizzare tale risorsa, i pirati informatici, anche in questo caso, chiedono un riscatto in denaro.
Dyre, una tecnica di attacco in evoluzione
Un recente esempio di crimeware è Dyre, un tecnica di attacco che utilizza il reindirizzamento verso un sito malevoli per rubare le credenziali di accesso a siti bancari. Il software maligno che si installa sul pc della vittima attende che questa tenti di collegarsi al sito web della propria banca, ma viene reindirizzata dal browser su un sito clone, ospitata da un dominio controllato dai pirati informatici.
Quando la vittima entra sul sito clonato, digitando le credenziali di accesso normalmente utilizzate per accedere al sito bancario reale, queste vengono immediatamente inviate a un server command-and-control per essere elaborate e utilizzate per accedere in maniera anonima al conto bancario della vittima.
Il metodo di consegna più comune di questo malware è tramite un allegato di una e-mail di phishing. Dyre è un esempio emblematico ci come il crimeware sia in continua evoluzione, in quanto utilizza un indirizzo generato in modo casuale per contattare il server command-and-control in modo da eludere i metodi di rilevamento basati su una lista nera di URL che ne bloccano l’accesso.
Indagare per non ricadere in trappola
Il rapporto di Verizon mostra che i casi di crimeware hanno meno probabilità di subire un’indagine approfondita rispetto ad altri incidenti che possono capitare a livello informatico. Tuttavia, quando in azienda si verificano questi tipi di problemi, essa dovrebbe attuare le stesse procedure di indagine per capire cosa e come è successo un determinato evento, al pari di quando, ad esempio si interrompe improvvisamente un servizio importante sulla rete aziendale.
Questo spesso non avviene a livello di utenti consumer che sicuramene sono i più esposti ad attacchi informatici. Quando però un malware viene introdotto nella rete aziendale, il team IT deve attuare un’indagine per capire se tale malware può essere di nuovo reintrodotto, e se quello intercettato poteva rubare dati aziendali sensibili, anche se questo non ero il suo scopo originale.
Alcune tecniche di crimeware infatti prevedono l’utilizzo di diversi malware che sono parte di un kit exploit (ad esempio Angler o Nuclear) e quindi la scoperta di alcuni ceppi di tali malware possono essere l’indicatore delle presenza di ulteriori infezioni all’interno dell’ambiente di rete. Il team IT deve assolutamente capire come questi malware sono riusciti ad installarsi sulla rete, e quindi individuare il punto debole del sistema di sicurezza. Senza una profonda indagine su ogni singolo caso di attacco non si impara nulla su come difendersi, e il sistema rimane vulnerabile.
I più costosi ed efficaci software di sicurezza sono in grado di rilevare le intrusioni, ma non sono capaci di redigere un report su come questi malware siano entrati nella rete. Anche a livello business, la maggior parte degli attacchi alle aziende avviene tramite la tecnica del server command-and-control.
Ma recentemente i pirati informatici stanno utilizzando la tecnica degli attacchi distribuiti in stile denial-of-service, che si può definire in crimeware as a service quando uno specifico malware viene progettato e consegnato a un’azienda che si vuole attaccare. Per mitigare in parte questo rischio è necessaria una strategia di difesa profonda ed efficace.
Aumentare i controlli tecnici, in combinazione con un programma di sensibilizzazione possono prevenire la maggior parte degli attacchi crimeware. Investire in sistemi di monitoraggio ed indagare quando viene rilevato un virus, per scoprire come si verificata tale infezione al sistema, può prevenire un prossimo attacco.
