Nuova ricerca di Netskope Threat Labs. Il settore Retail minacciato da botnet IoT e Infostealer

redazione

 Netskope Threat Labs ha rilasciato il suo ultimo report di ricerca sulle minacce cloud nel settore Retail. Dalla ricerca emerge che nel corso dell’ultimo anno (dal 1 marzo 2023 al 29 febbraio 2024) le botnet IoT, gli strumenti di accesso remoto (RAT) e gli infostealer sono state le principali famiglie di malware utilizzate dagli attaccanti per colpire chi opera nel mondo della vendita al dettaglio. Per quanto riguarda le tendenze nell’utilizzo di applicazioni cloud, anche questo settore, come altri, ha visto uno spostamento da applicazioni prevalentemente basate su Google Workspace alle applicazioni Microsoft come Outlook.

Di seguito, i principali risultati emersi:

  • Gli attaccanti utilizzano infostealer per prendere di mira il settore Retail: gli infostealer sono una famiglia di malware importante per il settore della vendita al dettaglio perché consentono agli attaccanti di sottrarre informazioni preziose come i dati di pagamento da organizzazioni e clienti.
    • Gli infostealer alimentano anche il più ampio ecosistema del crimine informatico, poiché gli attaccanti vendono le credenziali raccolte e i dettagli finanziari personali.
  • Botnet e trojan prendono di mira i dispositivi di rete: la famiglia di botnet Mirai prende di mira i dispositivi di rete esposti basati su Linux, come router, fotocamere e altri dispositivi IoT nell’ambiente della vendita al dettaglio.
    • I dispositivi IoT vengono spesso trascurati e non considerati come rischio per la sicurezza, ma in realtà possono fornire informazioni visive o sensoriali utili ai criminali o possono essere anche sfruttati per lanciare attacchi DDoS contro altri obiettivi.
    • Allo stesso modo, i trojan di accesso remoto (RAT) sono risultati popolari poiché consentono l’accesso alle credenziali del browser, la cattura dell’input della tastiera, o del contenuto della clipboard, inviando queste informazioni agli attaccanti o anche ricevendo comandi dagli stessi.
    • Dopo la fuga del codice sorgente del malware Mirai, il numero di varianti è aumentato considerevolmente e rappresenta un rischio per il commercio al dettaglio in quanto settore con molteplici endpoint vulnerabili.
  • Microsoft Suite sempre più nel mirino: nel report dell’anno scorso sul mondo Retail le applicazioni Google erano molto più apprezzate nel settore del commercio al dettaglio rispetto ad altri settori, ma nell’ultimo anno i ricercatori hanno notato una ripresa della popolarità di Microsoft. Ciò è particolarmente evidente per le applicazioni di cloud storage, con il divario tra OneDrive e Google Drive che si è ampliato nell’ultimo anno, con una percentuale media di utenti che passa dal 43% al 51% per OneDrive e scende dal 34% al 23% per Google Drive. Si osservano tendenze simili con Outlook (21%) che sostituisce Gmail (13%) come applicazione di posta elettronica più popolare.
    • Microsoft OneDrive rimane l’applicazione cloud più popolare per la distribuzione di malware in tutti i settori, compreso il commercio al dettaglio. Gli attaccanti utilizzano tattiche che sfruttano la fiducia e la familiarità degli utenti con OneDrive, aumentando la probabilità che facciano clic sui collegamenti e scarichino il malware.
    • Nel commercio al dettaglio, gli attacchi tramite Outlook hanno più successo che in altri settori: il commercio al dettaglio registra il doppio dei download di malware tramite Outlook (10%) rispetto alle medie di altri settori (5%).
  • Popolarità di WhatsApp nel Retail: questa applicazione è risultata tre volte più popolare nel commercio al dettaglio (14%) rispetto ad altri settori (5,8%), sia per l’utilizzo medio che per i download. Tuttavia, WhatsApp non è stata elencata tra le applicazioni attualmente più sfruttate per i download di malware. Ciò potrebbe cambiare poiché gli autori delle minacce iniziano a considerare la sua popolarità per dirigere più attacchi tramite questa applicazione.
    • Le applicazioni di social media come X (12%), Facebook (10%) e Instagram (1,5% per i caricamenti) sono risultate tutte più popolari nel commercio al dettaglio rispetto alle altre medie del settore.

Commentando i risultati, Paolo Passeri, Cyber Intelligence Principal di Netskope ha dichiarato;

“È sorprendente che il settore della vendita al dettaglio si trovi ancora preso di mira da botnet come Mirai: gli attaccanti cercano di compromettere dispositivi IoT vulnerabili o mal configurati nei punti vendita e ne abusano per amplificare notevolmente l’effetto di un attacco DDoS (Distributed Denial of Service). Mirai non è una minaccia particolarmente recente e, dalla sua scoperta nel 2016, oggi sono utilizzate molteplici varianti. Il fatto che gli attaccanti continuino a utilizzarla per prendere di mira i dispositivi IoT dimostra che troppe organizzazioni continuano a trascurare pericolosamente il livello di sicurezza dei propri dispositivi connessi a Internet. Ciò rappresenta un rischio significativo non solo per gli obiettivi degli attacchi lanciati dalla botnet IoT, ma anche per l’organizzazione i cui dispositivi IoT sono asserviti alla botnet, poiché il loro sfruttamento può facilmente portare a interruzioni che influiscono sul funzionamento dell’azienda.

“Questa vulnerabilità, unita all’uso di infostealer e malware ad accesso remoto per esfiltrare credenziali e dati finanziari dei clienti, rende il settore della vendita al dettaglio un obiettivo potenzialmente redditizio.

“È stato interessante notare che Qakbot è tra le principali minacce per il settore Retail, anche se questa operazione è stata sventata dall’FBI alla fine di agosto 2023. La sua infrastruttura è stata rapidamente riadattata dagli attaccanti per distribuire ulteriori payload di malware, fornendo ulteriori opportunità per i criminali informatici; e alcune campagne Qakbot isolate sono state rilevate anche dopo la sua interruzione.

“Il fatto che botnet come Mirai e infostealer come Quakbot continuino a essere tra i principali metodi utilizzati dagli attaccanti per colpire le organizzazioni di vendita al dettaglio dimostra che i leader della sicurezza hanno ancora molto da fare per rafforzare la propria infrastruttura ed endpoint. Seguire le migliori pratiche fondamentali di igiene informatica, come ispezionare il traffico web e cloud e garantire di poter bloccare il traffico malevolo e isolare endpoint o domini compromessi, ridurrà il rischio di diventare vittima di questi attaccanti”.

Netskope Threat Labs consiglia alle aziende del settore della vendita al dettaglio di rivedere il proprio livello di sicurezza e offre diverse raccomandazioni sulle migliori pratiche per contrastare queste minacce:

  • Ispezionare tutti i download HTTP e HTTPS, incluso tutto il traffico web e cloud, per impedire l’ingresso di malware nella rete.
  • Assicurarsi che i tipi di file ad alto rischio, come gli eseguibili e gli archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati.
  • Configurare policy per bloccare download e caricamenti da applicazioni e istanze che non vengono utilizzate nell’organizzazione per limitare la superficie di rischio alle sole applicazioni e istanze necessarie per l’azienda e ridurre al minimo il rischio di esposizione accidentale o intenzionale dei dati da parte di addetti interni o abusi dagli attaccanti.
  • Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare modelli di traffico malevolo, come il traffico di comando e controllo associato al malware più diffuso. Bloccare questo tipo di comunicazione può prevenire ulteriori danni limitando la capacità dell’attaccante di eseguire azioni aggiuntive.
  • Utilizzare la tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva quando è necessario visitare siti Web che rientrano in categorie che possono presentare un rischio più elevato, come i domini appena osservati e appena registrati.

Il report si basa su dati di utilizzo resi anonimi, raccolti su un sottoinsieme del settore vendita al dettaglio degli oltre 2.500 clienti di Netskope, che forniscono autorizzazione preventiva affinché i loro dati vengano analizzati.