Un’offensiva di spear phishing, le e-mail malevole che contengono “allegati spia”, sta prendendo di mira le aziende. Dall’autunno 2017 gli hacker hanno dato vita a un’ondata di attacchi che proprio in questo periodo si sta manifestando in modo particolarmente virulento in alcuni paesi, tra i quali in primo piano c’è la Russia. Una volta che i dipendenti delle società prese di mira scaricano i file infetti, i criminali informatici potranno aprirsi un varco all’interno dei sistemi aziendali e accedere a informazioni riservate, fino a veri e propri segreti industriali, che poi potrebbero essere “rivenduti” o utilizzati per ottenere vantaggi economici.
A rilevare la minaccia sono i ricercatori di Kaspersky Lab, che evidenziano come la particolarità di questa offensiva sia il fatto che è rivolta principalmente al comparto delle imprese industriali – almeno 400 le organizzazioni colpite secondo i dati della società specializzata in cybersecurity – soprattutto nel campo dell’Oil&Gas, del metallurgico, dell’energia, dell’edilizia e della logistica.
Secondo i dati di Kaspersky Lab, questa ondata di email ha preso di mira circa 800 personal computer: i messaggi avevano le sembianze di comunicazioni legittime su appalti, acquisti e altre questioni contabili, con contenuti perfettamente credibili, che corrispondevano al profilo delle organizzazioni attaccate e che tenevano conto anche dell’identità del dipendente destinatario della comunicazione. “È interessante notare – sottolinea Kaspersky Lab – come gli attaccanti si siano persino rivolti alle vittime designate per nome. Questo suggerisce che gli attacchi sono stati preparati in modo accurato e che i cybercriminali hanno dedicato del tempo allo sviluppo di comunicazioni personalizzate per ciascun utente. Gli attaccanti erano alla ricerca di ulteriori modi per commettere frodi a scopo economico, come cambiare i requisiti nelle fatture di pagamento per ottenere denaro a loro vantaggio”.
Tra l’altro, una volta che i malware erano stati installati nei Pc delle vittime, ogni volta che i cybercriminali avevano bisogno di altri dati o funzionalità aggiuntive, come ottenere privilegi da amministratore locale o rubare dati di autenticazione di un utente o account Windows per diffondersi all’interno della rete aziendale, gli attaccanti caricavano set aggiuntivi di malware, preparati in modo individuale per colpire ciascuna vittima. Questo processo – prosegue la società di cybersecurity in una nota – poteva includere degli spyware, strumenti aggiuntivi di amministrazione da remoto che estendono le possibilità di controllo da parte dei cybercriminali sui sistemi infetti, e malware, per sfruttare le vulnerabilità nel sistema operativo, fino ad uno strumento come Mimikatz che consente agli utenti di ottenere dati dagli account Windows.
“Gli attaccanti hanno dimostrato un chiaro interesse nel prendere di mira realtà industriali in Russia – spiega Vyacheslav Kopeytsev, Security Expert di Kaspersky Lab – Sulla base della nostra esperienza, questo è probabilmente dovuto al fatto che il loro livello di consapevolezza in materia di cybersicurezza non è così alto come in altri settori, ad esempio in quello dei servizi finanziari. Questo fa sì che le organizzazioni industriali diventino un obiettivo potenzialmente redditizio per i cybercriminali, non solo in Russia, ma in tutto il mondo”.