L’analisi delle minacce cyber registrate nel secondo trimestre 2021 contenute nell’ultimo Cyber Threats Snapshot, il report realizzato dal Global Security Operation Center di Leonardo, ha messo in evidenza alcune macro-tendenze: l’utilizzo sempre più pervasivo dei cosiddetti malware as a service, la diffusione di backdoor e trojan con impatti sul settore bancario e un’intensa e costante attività di data breach.

Cos'è il malware as a service e quali sono state le novità nel trimestre

Si tratta di vere e proprie piattaforme e librerie software reperibili nel dark web che i cyber criminali possono utilizzare per condurre attacchi anche molto complessi. Solitamente chi sviluppa queste librerie ha due fonti di finanziamento: la vendita diretta del malware o una percentuale sui proventi dell’attività malevola. Scendendo più nel dettaglio vediamo che il trimestre tra aprile e giugno è stato caratterizzato dalla scoperta di nuovi malware e dall’individuazione di nuove versioni di piattaforme già note:

• Snip3, un crypter che esegue attacchi in più fasi ed è in grado di veicolare altri malware;
• Zeppelin (o Burn), un ransomware che esegue la crittografia dei dati sulle macchine infettate e richiede un riscatto alle vittime ed è anche in grado di rilevare l’area geografica del sistema sotto attacco terminando l’esecuzione quando questa avviene in regioni specifiche;
• Matanbuchus Loader, veicolato attraverso file excel e in grado di eseguire file, aggiungere o modificare attività pianificate o lanciare comandi customizzati.

Trojan bancari e backdoor

Nel secondo trimestre 2021 si è riscontrato un massiccio impiego di backdoor tramite cui infiltrare trojan nei sistemi bancari e altre tipologie di malware. Una backdoor è una componente utilizzata per aggirare le difese di un sistema e agire sullo stesso, infiltrando trojan che hanno come obiettivo la sottrazione di credenziali dei conti bancari online. Una di queste è SolarMarks che, una volta installata, permette l’esecuzione di una serie di comandi per avviare il download di malware aggiuntivi come i trojan bancari.

Alcuni dei trojan utilizzati in ambito bancario che sono stati rilevati nel periodo di riferimento sono:

• RM3, un aggiornamento di Ursnif, malware già noto ma che ha modificato le proprie Tattiche, Tecniche e Procedure;
• Bizarro, utilizzato su clienti di 70 diverse banche sudamericane ed europee e una nuova variante di GootKit, in grado di sottrarre dati dal browser, condurre attacchi man-in-the-browser o fare keylogging, cioè registrare segretamente tutto ciò che viene digitato sulla tastiera.

Data breach sfruttando l’home working

Il trimestre è stato, infine, caratterizzato da una significativa attività di pubblicazione di dati provenienti da attività di data breach, che hanno avuto prevalentemente come obiettivo grandi realtà che gestiscono quantità molto significative di dati personali. Su un noto forum underground è stato pubblicato un data breach che ha coinvolto 1200 siti web, italiani e stranieri. Dall’inizio della pandemia da COVID-19, la tendenza all’uso di tecniche di data breach è in costante crescita, visto che una percentuale significativa di aziende hanno attivato la modalità del lavoro agile con la conseguenza di essere maggiormente esposte ai danni da rischi cibernetici.
 

Consulta il report integrale

Per maggiori informazioni: cyberandsecurity@leonardo.com

Segui i nostri canali social Twitter, LinkedIn e Instagram per rimanere aggiornati sulle iniziative Leonardo nel campo della cyber security.