Gli esperti di Libraesva, società italiana leader nello sviluppo e nella fornitura di soluzioni avanzate di email security, aveva individuato il primo attacco su larga scala. Una campagna di email phishing con all’interno un link che millantava approfondimenti sul Coronavirus, ma portava a una pagina di phising.È stata poi la volta di Check Point Research, che tramite il Global Threat Index di gennaio 2020 ha avvisato che il coronavirus era già diventato un veicolo per la diffusione di malware, e in particolare del temuto Emotet. SophosLabs ha evidenziato un massiccio attacco di spam la scorsa settimana, che diffondeva il malware Trickbot, che sottrae dati sensibili e password.
Il Ministero dell’Interno ha inoltre lanciato l’allarme su una email con allegato un file Excel compresso che scaricava sul computer dei malcapitati il malware RAT chiamato “Pallax”. Consentiva agli hacker di assumere il controllo del dispositivo.
Le precauzioni da prendere per non cadere in trappola sono le stesse in tutti i casi.
Se l’oggetto del messaggio tocca un problema che interessa molto o che preoccupa l’opinione pubblica, l’allerta dev’essere massima. I criminali informatici sanno che la componente emotiva aumenta la riuscita di un’operazione criminale.
Mittente: Mai dare per scontato che il mittente sia veritiero. Nel campo “da” delle email si può inserire qualunque nome in modo arbitrario.
Errori: Le email di spam sono spesso disseminate di errori grammaticali o ortografici. È un particolare da ricercare con attenzione ed è un segnale inequivocabile di truffa. Lo stesso vale per i loghi sfuocati o con qualche minima differenza rispetto all’originale.
Link: Non bisogna cliccare sui link contenuti nelle email. Se l’argomento in oggetto interessa davvero, meglio condurre ricerche in autonomia, senza cliccare alcunché dalla email. Spesso vengono usati URL sosia, ossia indirizzi web che assomigliano all’originale, tranne che per una lettera in più o in meno.
Dati personali: Mai inserire dati personali, soprattutto le password, in un sito. In generale, non è una mossa da fare, a meno che non ci sia collegati a una pagina di login ben nota.
Chi si è reso conto di aver inserito le credenziali in un sito non sicuro, si affretti a modificare tempestivamente la password, prima che i truffatori possano usarla
Fake news
Quanto detto sopra vale ancora di più quando le informazioni arrivano via social. In concomitanza con l’epidemia di COVID-19 si è registrato un proliferare di fake news tramite WhatsApp. Complice il fatto che una notizia condivisa di gruppo in gruppo diventa virale in poche ore, il social network è diventato un veicolo di infezione digitale. Oltre che di notizie del tutto inattendibili.Nel migliore dei casi, i messaggi falsi generano apprensione e panico del tutto ingiustificati, in un momento in cui mantenere la calma è imperativo.
Le uniche informazioni attendibili sono quelle pubblicate sui siti istituzionali. Quando un proprio contatto o un gruppo diffondono un’informazione, è quindi buona regola verificarla prima di darla per vera. In caso non lo sia, o che non sia possibile verificarla, è bene fare appello al proprio senso civico ed evitare di “farla girare”.
Smart Working
Un’altra potenziale fonte di guadagno per i cyber criminali è lo Smart Working. Il COVID-19 ha fatto scoprire a molte aziende italiane che i dipendenti possono lavorare da casa. Quelle che applicavano già politiche di smart working le hanno estese a tutta la settimana lavorativa, fino a data da destinarsi. È un’opportunità, ma è anche un rischio.
In mancanza degli strumenti adatti, si possono presentare problemi relativi alla cyber sicurezza. Ecco che cosa dovrebbero fare le aziende per abbassare il rischio di cyber attacchi.
- VPN: Fornire ai dipendenti che lavorano da casa una VPN che gli consenta di connettersi in modo sicuro alla rete aziendale. Questo dovrebbe abbassare la soglia di rischio per i computer che sono sempre stati connessi solo alla rete aziendale, e che ora vengono connessi alle reti domestiche.
- Software di Sicurezza: Dotare tutti i PC di software di sicurezza appropriati. Oltre alla protezione, devono dare la possibilità di cancellare i dati sensibili in caso di furto o smarrimento del dispositivo mobile.
- Aggiornamenti e accessi: Sistemi operativi e software devono essere aggiornati alla versione più recente. Gli aggiornamenti spesso chiudono falle nella sicurezza che possono rendere vulnerabile.
Limitare i diritti di accesso delle persone che si collegano alla rete aziendale. In assenza di una configurazione preesistente, questo richiede un grande lavoro extra al personale IT. Però implementando queste tecniche si limitano i danni in caso di violazione.
- Spam: Rendere partecipe tutto il personale dei rischi derivanti dalla risposta a messaggi non richiesti. Il riferimento è allo spam mirato e al phishing, quindi alle mail con allegati o link malevoli.
Campagne di phishing con ransomware
Gli esperti di sicurezza di RiskIQ evidenziano campagne di ransomware mirato ai danni delle aziende con sede nelle aree interessate dall’epidemia di coronavirus. I cyber criminali starebbero attuando una tecnica ben nota: campagne di phishing che sfruttano il COVID-19 per contagiare le vittime. In questo caso il malware impiegato è AZORult.
Gli attacchi interessano principalmente grandi aziende, che lavorano in mercati o con catene di approvvigionamento delle aree colpite dal coronavirus. AZORult potrebbe essere usato per distribuire ransomware. I criminali informatici puntano sulle persone stanche o sovraccariche di lavoro, che possono cliccare sui link in maniera distratta. Si rinnova quindi l’invito alla prudenza e alla diffidenza.
Campagne di Spear Phishing e di disinformazione
Gli esperti di sicurezza di FireEye hanno rilevato attacchi di spear phishing a livello globale a tema COVID-19. Sono mirati sia ad effettuare operazioni di spionaggio condotte da Cina, Russia e Corea del Nord contro una serie di obiettivi, sia a fare campagne di disinformazione. FireEye ritiene che si continuerà a vedere un utilizzo di esche a tema Coronavirus da parte di aggressori opportunistici e finanziariamente motivati a causa della rilevanza globale della tematica.
FireEye ha invece rilevato campagne che utilizzano l’invio di allegati email che promettono informazioni sanitarie sul coronavirus. Peccato che i file nascondano malware come Sogu e Cobalt Strike.
Proofpoint segnala invece email di phishing che diffondono il keylogger AgentTesla e il RAT NanoCore. Entrambi possono rubare informazioni personali, tra cui quelle finanziarie.
Fortinet indica infine “un aumento significativo dell’attività sia legittima che dannosa basata sul Coronavirus”. L’attività dannosa comprende e-mail che sembrano dare aggiornamenti sul Coronavirus provenienti da fonti attendibili, tra cui governi, agenzie di stampa e altro.
il ransomware Android che cavalca il coronavirus
La pandemia di COVID-19 è un’occasione che i cyber criminali stanno sfruttando per colpire anche gli utenti Android. Complice la ricerca continua e spasmodica di informazioni sulla pandemia, e il fatto che molti consultano le notizie tramite smartphone. Quello da cui bisogna guardarsi è l’app Covid 19 Tracker, che promette aggiornamenti continui sulla diffusione del virus nell’area in cui ci si trova. Invece di informare, installa nello smartphone il ransomware CovidLock, una minaccia nota che attiva un attacco di tipo screen-lock. Il risultato è che lo smartphone viene bloccato e per potervi di nuovo accedere è richiesto il pagamento di un riscatto pari a 100 dollari in Bitcoin.
I ricercatori consigliano di diffidare delle app a tema coronavirus, e a titolo preventivo di impostare una password per il blocco dello schermo. Ricordano inoltre di affidarsi solo a fonti di informazione ufficiali per le notizie sulla pandemia.
il ransomware “CoronaVirus”
Il malware “CoronaVirus” è un nuovo tipo di ransomware scoperto dai ricercatori di CyberArk. Si diffonde attraverso il sito malevolo Web WiseCleaner. Best, che scarica automaticamente il downloader WSHSetup.exe. E’ programmato per scaricare e avviare altri file dannosi, fra cui Kpot e il ransomware CoronaVirus. Quest’ultimo crittografa i dati della vittima e richiede un riscatto di 0,008 Bitcoin, circa 45 dollari. È un valore insolitamente basso per un ransomware.
I consigli generali per prevenire brutte situazioni sono:
- Non cliccare su link di cui non si è sicuri della provenienza
- Non immettere i propri dati su siti di cui non si è sicuri
- Cambiare password spesso
In ogni caso, le uniche informazioni ufficiali arrivano dai siti istituzionali, diffidate di tutti gli altri.