Nel corso dei primi tre mesi del 2019 i ricercatori di Kaspersky Lab hanno avuto modo di osservare un panorama piuttosto attivo per quanto riguarda l’attività delle minacce APT che ha visto il suo epicentro nel Sud-Est asiatico; un’attività sempre più influenzata dalle tendenze geopolitiche e caratterizzata sia da attacchi di tipo spyware – commerciali e relativi al mondo delle criptovalute -, ma anche da un caso di attacco ad una supply chain. Queste e altre tendenze emergono dall’ultimo report di Kaspersky Lab dedicato all’intelligence delle minacce informatiche nel primo trimestre del 2019.
Il report di Kaspersky Lab dedicato ai principali trend del mondo delle APT nel primo trimestre del 2019 si basa sulla ricerca privata a livello di intelligence delle minacce, ma anche su altre fonti; lo studio mette in luce i principali sviluppi che dovrebbero essere al centro dell’attenzione dei ricercatori nei prossimi mesi.
Nel primo trimestre del 2019, i ricercatori di Kaspersky Lab hanno osservato una serie di nuovi sviluppi, tutti molto interessanti.
La campagna APT che ha caratterizzato l’intero trimestre è stata di sicuro l’operazione ShadowHammer: una campagna avanzata e mirata che ha utilizzato la supply chain per una distribuzione su scala incredibilmente ampia, combinando questo tipo di azione con tecniche implementate in maniera davvero meticolosa, per colpire con estrema precisione le vittime designate.
Tra gli altri aspetti rilevanti del report di Kaspersky Lab dedicato alle campagne e agli attacchi APT nel Q1 del 2019 troviamo:
La geopolitica, e le tensioni ad essa collegate, considerate come uno dei principali motori di attività delle APT; spesso la correlazione tra sviluppi di carattere politico e attività cybercriminale mirata è stata più che chiara.
L’Asia sudorientale è rimasta la regione più freneticamente attiva al mondo in fatto di APT, con più gruppi, più “rumore” e più attività mirate all’interno della stessa regione rispetto a quanto registrato in altre aree geografiche.
I gruppi di cybercriminali che usano la lingua russa hanno mantenuto un profilo basso rispetto agli ultimi anni. Questa tendenza potrebbe essere stata determinata da diversi fattori, come, ad esempio, delle riorganizzazioni interne. Nonostante questo, è rimasta costante una certa attività di fondo, come ad esempio, quella relativa alla distribuzione di malware da parte di Sofacy e Turla.
Gli autori di cyberminacce che usano, invece, la lingua cinese, hanno continuato a portare avanti le loro attività, mescolando livelli alti e bassi di sofisticazione a seconda della campagna da realizzare. Il gruppo noto ai ricercatori di Kaspersky Lab come CactusPete, ad esempio, attivo dal 2012, è stato sotto osservazione nel corso del primo trimestre del 2019: per questo gruppo è stato registrato l’impiego di strumenti nuovi e aggiornati, tra i quali recenti varianti di downloader e di backdoor, insieme a VBScript zero-day del gruppo DarkHotel. CactusPete se ne è appropriato, per poi “riconfezionarlo”.
Un’attività piuttosto fiorente dei fornitori di malware “commerciali” a disposizione dei governi e di altre entità; i ricercatori di Kaspersky Lab hanno osservato una nuova variante di FinSpy “in the wild”, così come un’operazione di LuckyMouse che implementava strumenti trapelati da HackingTeam.
“Dare uno sguardo a quello che è successo nel corso del trimestre appena passato è sempre sorprendente. Anche quando abbiamo la sensazione che non si sia verificato nulla di davvero rivoluzionario, ci troviamo davanti ad un panorama di cyberminacce pieno di storie interessanti e di evoluzioni su tanti fronti diversi. Nel primo trimestre, ad esempio, abbiamo rilevato attacchi sofisticati alla supply chain, così come al mondo delle criptovalute o a driver geopolitici. Sappiamo che la nostra visibilità non è completa e che ci saranno attività che non siamo ancora in grado di rilevare o di comprendere, così come siamo coscienti del fatto che, se una regione o un settore ad oggi non appare sul nostro radar di intelligence delle minacce, questo non significa che non lo sarà in futuro. La protezione da cyberminacce note o ancora sconosciute resta una priorità di vitale importanza per tutti noi”, ha commentato Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Il nuovo studio sulle tendenze APT del primo trimestre del 2019 riassume le scoperte di Kaspersky Lab a partire dai report sull’intelligence delle minacce informatiche, condivisi con gli abbonati al servizio Kaspersky APT Intelligence Reporting. Tra questi ci sono vari dati, come gli Indicatori di Compromissione (IOC) e regole YARA, per supportare le attività di analisi forense e di “malware-hunting”.
Per non diventare vittime di un attacco mirato da parte di autori di minacce, conosciuti o sconosciuti, i ricercatori di Kaspersky Lab raccomandano di:
Fornire ai propri team SOC l’accesso alla Threat Intelligence più recente, perché possano essere sempre aggiornati sugli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli autori delle minacce e dai cybercriminali.
Per il rilevamento a livello degli endpoint, l’analisi e la messa in atto di una strategia di remediation tempestiva, si consiglia di adottare soluzioni EDR come Kaspersky Endpoint Detection and Response.
Oltre ad adottare una forma di protezione essenziale per gli endpoint, è importante implementare una soluzione di sicurezza aziendale, in grado di rilevare minacce avanzate a livello di rete in una fase iniziale, come ad esempio Kaspersky Anti Targeted Attack Platform.
Poiché molti attacchi mirati iniziano con un caso di phishing o con la messa in atto di altre tecniche di “social engineering”, è fondamentale introdurre occasioni di formazione dedicate alla “security awareness” ed insegnare alcune abilità pratiche, ad esempio, attraverso uno strumento come Kaspersky Automated Security Awareness Platform.
