Kaspersky Lab: l’evoluzione delle APT nel Q2, dagli exploit zero-day all’uso distruttivo dei ransomware

redazione

 

Da aprile a giugno sono state registrate importanti evoluzioni negli attacchi mirati, principalmente condotti da gruppi criminali di lingua russa, inglese, coreana e cinese. Questi sviluppi hanno significative conseguenze sulla sicurezza informatica delle aziende: gli attacchi sofisticati avvengono costantemente in quasi ogni regione del mondo, accrescendo il rischio che imprese ed enti non commerciali subiscano i danni collaterali di questa guerra informatica. Le campagne nocive WannaCry ed ExPetr, presumibilmente finanziate da uno stato-nazione, hanno colpito numerose aziende e organizzazioni in tutto il mondo, diventando il primo esempio – e probabilmente non l’ultimo – di un nuovo pericoloso trend.

Il report relativo al secondo trimestre del 2017 si concentra sui seguenti avvenimenti:

 

  • Tre exploit zero-day per Windows sono stati utilizzati in-the-wild dai gruppi criminali di lingua russa Sofacy e Turla. Sofacy, anche noto come APT28 o FancyBear, ha sfruttato gli exploit ai danni di diversi obiettivi europei, tra cui organizzazioni governative e politiche. Il gruppo criminale ha inoltre testato dei tool sperimentali, in particolare contro un membro di un partito politico francese prima delle elezioni.
  • Gray Lambert – Kaspersky Lab ha studiato il toolkit più avanzato attualmente disponibile di proprietà del gruppo di cyber spionaggio di lingua inglese Lamberts. Sono state identificate due nuove famiglie di malware ad esso collegate.
  • Gli attacchi WannaCry (12 maggio) ed ExPetr (27 giugno). Sebbene molto diversi per caratteristiche e obiettivi, in entrambi i casi si è trattato di “ransomware” sorprendentemente inefficaci. Ad esempio, nel caso di WannaCry, la sua rapida diffusione globale e l’altro profilo hanno richiamato l’attenzione sull’account Bitcoin dei criminali complicando loro la riscossione. Questa caratteristica suggerisce che il vero obiettivo di WannaCry fosse la distruzione dei dati. Gli esperti di Kaspersky Lab hanno scoperto ulteriori legami tra il gruppo Lazarus e WannaCry.
  • Anche ExPetr, che ha preso di mira organizzazioni in Ucraina, Russia e altri stati europei, sembrava un ransomware ma si è rivelato puramente distruttivo. La ragione degli attacchi ExPetr rimane tuttora ignota. Gli esperti di Kaspersky Lab hanno ipotizzato un possibile collegamento con il gruppo criminale Black Energy.

“Da molto tempo sottolineiamo l’importanza di una threat intelligence veramente globale, che aiuti a difendere i network critici e sensibili. Continuiamo ad assistere allo sviluppo di gruppi criminali estremamente aggressivi, che non si preoccupano delle condizioni di Internet e di quelle aziende e istituzioni fondamentali che si basano sulla rete. Con la crescente diffusione di cyber spionaggio, sabotaggio e crimine informatico, è sempre più importante unirsi e condividere le proprie tecnologie all’avanguardia per contrastare tutte le minacce”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.

Il report relativo ai trend delle APT nel secondo trimestre riassume i contenuti del report di threat intelligence di Kaspersky Lab riservato agli abbonati. Durante il secondo trimestre del 2017, il Global Research and Analysis Team di Kaspersky Lab ha realizzato 23 report privati dedicati agli abbonati, con informazioni sugli Indicatori di Compromissione (IOC) e le YARA rule per supportare le analisi forensi e la caccia ai malware.