BSI mette in guardia dagli attacchi mirati di ransomware
L'Ufficio federale tedesco per la sicurezza informatica (BSI) ha registrato un numero crescente di compromissioni di rete presso le aziende che si concludono con l'esecuzione manuale e mirata di un trojan di crittografia (ransomware).
Con il loro approccio, gli aggressori utilizzano campagne di spam ad ampio spettro come Emotet prima ottenere l'accesso alle singole reti aziendali e poi esplorare manualmente la rete e i sistemi dei soggetti colpiti. Nel corso del processo, gli aggressori cercano di manipolare o cancellare eventuali backup e poi distribuiscono selettivamente il ransomware coordinato sui sistemi informatici di obiettivi promettenti, come sottolinea il BSI nella sua lettera. Ciò comporta talvolta notevoli interruzioni dei processi operativi. Secondo il BSI, questa procedura elaborata consente agli aggressori di chiedere alle aziende un riscatto significativamente più alto rispetto alle precedenti campagne ransomware non mirate. Oltre alle singole aziende, sono sempre più colpiti anche i fornitori di servizi IT, attraverso le cui reti gli aggressori riescono ad accedere ai loro clienti. Il BSI ha emesso un avviso di sicurezza informatica con dettagli tecnici e raccomandazioni di intervento tramite il CERT-Bund e l'Alliance for Cyber Security.
Prendete sul serio anche i piccoli incidenti di sicurezza informatica
"Attualmente stiamo assistendo alla diffusione di massa di metodi di attacco sofisticati da parte della criminalità organizzata, che fino a pochi mesi fa erano riservati agli attori dell'intelligence. Le aziende devono prendere sul serio anche i piccoli incidenti di sicurezza informatica e affrontarli con coerenza, perché potrebbero essere attacchi preparatori. Solo se comprendiamo la sicurezza delle informazioni come un prerequisito per la digitalizzazione, saremo in grado di trarne vantaggio a lungo termine. Il BSI può supportare le aziende in questo, ad esempio nell'ambito dell'Alliance for Cyber Security", afferma il presidente del BSI Arne Schönbohm.
Situazione di minaccia
La procedura descritta può essere attualmente osservata con diverse varianti di ransomware. Negli ultimi mesi, ad esempio, il BSI è stato in grado di analizzare campagne di malware su larga scala in cui gli allegati dannosi o i link a siti web falsi contenuti nelle e-mail di spam inviate in massa costituivano il principale vettore di ingresso. Dopo un'infezione riuscita, spesso veniva scaricato un ulteriore malware (ad esempio "Trickbot") per diffondersi nella rete, acquisire i dati di accesso e valutare la rete o i sistemi. Dopo un'infezione ransomware andata a buon fine, a volte sono state avanzate richieste di Bitcoin molto elevate. Secondo la BSI, non ci sono state ripetutamente richieste generiche, ma sono stati negoziati pagamenti individuali.
Accesso tramite strumenti di manutenzione remota
In particolare in Germania, questo approccio è stato osservato sempre più spesso con il ransomware GandCrab. Nei casi noti, gli aggressori hanno dapprima ottenuto l'accesso alla rete tramite strumenti di manutenzione remota (ad esempio RDP, RescueAssist, LogMeIn), hanno installato una backdoor su vari sistemi della rete delle vittime, hanno spiato altre potenziali vittime e infine hanno eseguito il ransomware. Gli uffici statali per le indagini penali avevano già emesso avvisi corrispondenti.
Qualsiasi incidente in Svizzera può essere segnalato al Centro di segnalazione e analisi per la sicurezza delle informazioni. MELANI essere comunicate.
