Il numero di cyber attacchi che stanno colpendo il mondo intero e soprattutto il nostro Paese è in aumento costante. La conferma arriva anche dai nuovi dati del Clusit 2024 che riportano nel 2023 una crescita del 65% delle intromissioni malevole rispetto all’anno precedente. Oltre la metà degli attacchi, il 56%, ha avuto conseguenze di gravità “critica” o “elevata”, quindi si può affermare che la maggior parte dei tentativi sono andati a buon fine. Allo stesso tempo, tuttavia, la consapevolezza per una maggiore cura della cybersecurity cresce sempre di più all’interno delle aziende italiane, ma non quanto basta per evitare problematiche varie che oggi prendono cammini sempre più impensabili, per esempio quello delle chiavette USB.
Qual è il fattore discriminante che definisce l’alto numero di attacchi contro le aziende?
Il Data Breach Investigations Report di Verizon 2023 ha evidenziato come il 73% dei cyber attacchi sia colpa del fattore umano, ovvero dell’errore che il singolo dipendente fa inconsciamente, lasciando la “porta aperta” agli attaccanti.
Recentemente il team di research di Cynet ha approfondito l’attività del treat actor UNC4990, attivo dal 2020. e protagonista di una modalità di attacco che sfrutta la propria vittima per entrare nel sistema di difesa.
“Weaponization” o “armare” in italiano è una fase specifica di un attacco informatico, il suo obiettivo è quello di creare od ottenere un codice malevolo da utilizzare in un attacco. Caricarlo su una chiavetta USB è una delle modalità per passare al livello successivo, quello della “Delivery” o “consegna” del payload (codice malevolo)al bersaglio. Questo è esattamente quello che ha fatto UNC4990, facendo sì che sia la vittima stessa ad istallare il codice che permetta al gruppo l’accesso al sistema informatico.
Come funziona l’infezione tramite chiavetta USB
Utilizzare delle chiavette USB come vettore per ottenere questo risultato è sempre stato possibile; inoltre ci sono diversi studi che hanno evidenziato come il gadget in sé sia appetibile; cosa che lo rende una modalità efficace di phishing. Raccontarlo e teorizzarlo è una cosa, poterne valutare l’efficacia un’altra.
- Il primo step è far sì che il dipendente di un’azienda trovi una chiavetta USB. Gli stratagemmi degli attaccanti sono semplici ma efficaci: abbandonano le chiavette appositamente nel parcheggio di un’azienda, sul bancone della reception o di una sala d’attesa, così da indurre il dipendente a pensare che la chiavetta sia stata persa da un collega, innescando così il desiderio di aprirne il contenuto per capire a chi appartenga.
- Una volta che la vittima entra in possesso della chiavetta USB, l’iniezione avviene a seguito di un doppio-click su un collegamento. Nel caso in esame si eseguono alcuni comandi Powershell per scaricare BrokerLoader da un server remoto, tipicamente servizi commerciali come ARS Technica, GitHub o GitLab per mascherare la connessione. La compromissione è servita con una backdoor attiva sulla macchina della vittima.
Chi casca nel tranello?
Attraverso una sessione di threat hunting si è cercato di capire quale profilo in genere, una volta trovata la chiavetta, la inserisce nel computer con cui lavora e procede anche con il doppio click. Questo metodo di indagine si basa su una sessione di ricerca attiva di una minaccia attraverso l’algoritmo di uno specifico allarme o avendo a disposizione gli indicatori di compromissione dell’attaccante (quella successione di azioni, comandi, stringhe di memoria e altro che permettono di identificare univocamente una tipologia di attacco). La cosa interessante è che in 85 clienti italiani è stato rintracciato il tentativo di attacco (rilevato e bloccato). Altro fatto interessante, l’80% di questi clienti è pubblica amministrazione mentre il rimanente sono aziende con una forte presenza di personale tecnico sul campo.
L’analisi è stata effettuata all’interno di un perimetro di macchine protette, non si può escludere che le stesse persone abbiano utilizzato la chiavetta sui loro dispositivi domestici o l’abbiano passata a terzi. In questo caso il Cryptojacking Malware avrebbe infettato la macchina e le sue risorse utilizzate in cluster con tutte le altre infette per “minare” criptovalute, ossia risolvere la complesse operazioni per creare nuove monete virtuali.
In conclusione, l’errore umano è purtroppo inevitabile e gli attaccanti lo sanno meglio di tutti. La formazione per i dipendenti rimane la via più giusta e praticabile, ma anche “non accettare chiavette USB dagli sconosciuti” dovrebbe essere un messaggio piuttosto chiaro.
di Marco Lucchina, Country Manager Italy, Spain and Portugal
