Analisi di un attacco “Fearware”: come gli hacker sfruttano la paura della pandemia

redazione

I cybercriminali che orchestrano gli attacchi via email sono ben preparati, e anche molto attenti ai comportamenti e alle emozioni umane. Spesso si approfittano di queste ultime facendo leva sulle informazioni e le notizie di attualità. Non sorprende quindi che gli aggressori oggi sfruttino anche l’emergenza COVID-19 per convincere gli utenti ad aprire i messaggi di posta elettronica e a cliccare su link apparentemente innocui.

 

Osservando le minacce più recenti ricevute via mail, abbiamo notato come gli aggressori si presentino sempre più spesso come membri di organizzazioni sanitarie con la pretesa di comunicare informazioni riguardo l’emergenza COVID-19. Si tratta di una particolare strategia, messa in atto sfruttando alcune minacce specifiche che abbiamo chiamato “fearware“, cioè attacchi che sfruttano la paura e il panico collettivo a scopo criminoso. I cybercriminali fanno leva sul timore e il senso di urgenza dilaganti, convincendo gli utenti a cliccare su un allegato o un link dannoso.
La tattica è abbastanza consolidata, ma le minacce che abbiamo analizzato contengono termini e contenuti nuovi. Abbiamo identificato schemi ricorrenti, già incontrati in passato, ma, a causa della terminologia inedita delle email, nessuno era abbastanza prevedibile da poter creare delle regole per bloccarle.

 

Ad esempio, cercare la keyword “CDC” (Centro per la prevenzione e il controllo delle malattie) all’interno del mittente della mail per rilevare la minaccia è un metodo che non funziona molto e rischia di fallire appena le nuove email dannose si trasformano e iniziano a utilizzare parole diverse, come “OMS” (Organizzazione mondiale della sanità). Si è anche osservata una frequente discrepanza tra i link e la loro visualizzazione: quando il testo viene visualizzato “https://cdc.gov/[random-path]“, il link vero e proprio è in realtà un URL completamente arbitrario.

 

Perché le gateway non bastano

La maggior parte delle organizzazioni utilizzano i Secure Email Gateway (SEG) che fungono da intermediari tra il mittente e il provider di posta elettronica del destinatario. I SEG si sono oggi trasformati in motori di rilevamento spam, in quanto le email dannose sono facili da individuare, se viste in scala.

Figure 2Figure 1: A high-level diagram depicting an Email Secure Gateway’s inline

 

Un SEG può ricorrere anche a una tecnica nota come sandboxing, creando cioè un ambiente isolato per testare i link e gli allegati rilevati nelle email. Tuttavia, molte delle minacce più avanzate si servono oggi di tecniche di evasione specifiche, come sistemi di attivazione che attendono un momento prestabilito prima dell’esecuzione della minaccia. Quando è in esecuzione, il sandbox rileva un file innocuo, non riconoscendo così l’attacco “dormiente” nascosto all’interno.

Figura 2: Il dominio email raffigurato è stato registrato solo 2 ore prima che l’email fosse processata da Antigena Email.

Analizzando, ad esempio, un’email a tema “COVID-19” inviata a un cliente Darktrace, abbiamo osservato un tentativo di raggirare i sistemi di rilevamento tramite pattern. In questo caso sarebbe stato praticamente impossibile identificare i domini utilizzati dall’aggressore nella blacklist di quelli già conosciuti, dal momento che la prima email era stata inviata appena due ore dopo la registrazione del dominio stesso.

 

Figura 3: Antigena Email ha immediatamente contrassegnato le email come 100% dannose.

I cybercriminali cambiano rapidamente le proprie tecniche per raggirare i security team e bypassare le difese aziendali. Riconoscendo la posta elettronica come l’ingresso più semplice per arrivare al cuore di un’organizzazione, sfruttano il rilevamento inadeguato degli strumenti esistenti producendo e inviando in massa attraverso sistemi automatizzati email personalizzate.

I domini sono economici, i proxy altrettanto e anche cambiare il fingerprint di un file lo è, con la conseguenza di rendere obsoleta qualsiasi blacklist in pochi attimi.

 

Per questo, è necessario un nuovo approccio che si basi sulla comprensione globale del contesto aziendale piuttosto che sull’analisi isolata delle singole email. Per identificare gli attacchi, l’IA è in grado di comprendere i modelli di comportamento al di là della sola rete. Questo approccio è cruciale per raggiungere la piena comprensione aziendale. C’è infatti una chiara connessione, ad esempio, tra l’attività svolta in un’applicazione SaaS e un corrispondente evento di rete, o un evento nel cloud e un corrispondente evento verificatosi altrove all’interno dell’azienda.

 

Una valida difesa contro i fearware

Esiste sempre una relazione esplicita tra ciò che le persone fanno sul loro computer e le email che inviano e ricevono. Sapere che un utente ha visitato un sito web prima di ricevere un’email dallo stesso dominio dà credibilità a quella email: è molto comune visitare un sito web, iscriversi a una mailing list e poi ricevere un’email in pochi minuti. Al contrario, ricevere un’email da un mittente sconosciuto, contenente un link a un sito dove nessuno nell’organizzazione è mai stato, ci conduce a pensare che quest’ultimo probabilmente non sia benigno e che l’email debba essere rimossa dalla casella di posta dell’utente.

 

L’unico approccio valido per contrastare i fearware è estendere l’interazione tra le differenti origini di dati alla casella di posta in arrivo, sfruttando l’intero contesto aziendale. Un sistema che, posizionandosi passivamente e “assimilando” i dati che gli vengono continuamente trasmessi, possa elaborare la stessa email milioni di volte consente di bloccare le minacce anche oltre la consegna del messaggio. Ad esempio, un’email apparentemente benigna con link molto comuni può diventare col tempo degna di attenzione se ad esempio, un sito di fiducia viene compromesso. Il nostro approccio in questo contesto è duplice, perché, mentre Antigena Network mitiga la nuova minaccia sulla rete, Antigena Email neutralizza le email che contengono i link associati a quelli presenti nell’email originale.

 

 

Figura 4: Antigena Email si colloca al di fuori dei provider di posta elettronica, intraprendendo costantemente nuove azioni man mano che nuovi dati sono introdotti.

Estraendo i dati grezzi, quando viene inviata una email, ed elaborandoli più volte ad una velocità elevatissima e milioni di volte in seguito mano a mano che vengono introdotte nuove evidenze basate sugli eventi in corso, il sistema avvalora ciò che sta osservando con ciò che in precedenza aveva ritenuto essere normale in tutto l’ambiente aziendale. Ad esempio, quando si estraggono, i domini presenti nella email o nei link nel corpo della email vengono confrontati con la popolarità del dominio stesso sulla rete aziendale.

 

Figure 5: Il link rappresentato è stato contrassegnato come 100% anomalo per l’azienda.

 

Prendendo come esempio le email dannose che sfruttano l’emergenza COVID-19 di cui sopra, possiamo osservare che il dominio del mittente è raro, e rappresenta una informazione preziosa, resa possibile dall’analisi dai dati dell’intero ambiente digitale del cliente e non limitata alla sola email, ma estesa alla rete. Inoltre, in passato non era avvenuta alcuna corrispondenza tra mittente e destinatario.

 

Figura 6: I punteggi KCE, KCD e RCE indicano che non ci sono stati scambi precedenti tra mittente e organizzazione.

In questo modo le email sono state considerate al 100% anomale per l’azienda e immediatamente rimosse dalle caselle di posta dei destinatari. Questa azione è stata intrapresa per la prima email e per tutte le successive.

 

Conclusione

 

Contrastare il fearware non significa distinguere il “bene” dal “male” e non sarà possibile fermare questi attacchi affidandosi semplicemente a una tecnologia che confronta solo i dati con i modelli di attività appresi dall’ambiente, incorporando le nuove email (così come lo scoring assegnato loro) nella sua comprensione del contesto quotidiano dell’organizzazione.

 

Se si mettono per un attimo da parte i concetti di bene e di male e ci si pone domande come: “Questa e-mail appartiene al contesto?” o “Esiste una relazione esistente tra il mittente e il destinatario?”, è possibile, tramite l’intelligenza artificiale, discernere accuratamente le possibili minacce contenute da una email e incorporare i risultati nel proprio sistema di rilevamento.

 

La casella di posta in arrivo è tradizionalmente il punto di ingresso più facile per penetrare all’interno di un’organizzazione. Tuttavia, l’approccio offerto dall’intelligenza artificiale aumenta enormemente le capacità di rilevamento rispetto agli strumenti gateway tradizionali. Grazie a questa tecnologia, i clienti – con o senza gateway – hanno osservato un notevole contenimento dei problemi di sicurezza relativi alla posta elettronica. Nel continuo gioco del gatto e del topo con i loro avversari le aziende saranno finalmente in grado di riguadagnare il proprio vantaggio.

 

A cura di Mariana Pereira, Director of Email Security Products di Darktrace