Dagli exploit zero-day all'uso distruttivo dei ransomware

Il secondo trimestre del 2017 ha visto la comparsa di numerosi nuovi tool, sempre più avanzati, utilizzati dai gruppi criminali per lanciare attacchi sofisticati, tra cui tre exploit zero-day e due attacchi inediti: WannaCry ed ExPetr.

L'analisi condotta dagli esperti su queste due campagne nocive suggerisce che il codice sia stato utilizzato prima che fosse completamente pronto, una situazione insolita nel caso di criminali dotati di ampie risorse.

Da aprile a giugno sono state registrate importanti evoluzioni negli attacchi mirati, principalmente condotti da gruppi criminali di lingua russa, inglese, coreana e cinese. Questi sviluppi hanno significative conseguenze sulla sicurezza informatica delle aziende: gli attacchi sofisticati avvengono costantemente in quasi ogni regione del mondo, accrescendo il rischio che imprese ed enti non commerciali subiscano i danni collaterali di questa guerra informatica.

Le campagne nocive WannaCry ed ExPetr, presumibilmente finanziate da uno stato-nazione, hanno colpito numerose aziende e organizzazioni in tutto il mondo, diventando il primo esempio - e probabilmente non l'ultimo - di un nuovo pericoloso trend.

Nel secondo trimestre del 2017 sono da segnalare i seguenti avvenimenti:

1) Tre exploit zero-day per Windows sono stati utilizzati in-the-wild dai gruppi criminali di lingua russa Sofacy e Turla. Sofacy, anche noto come APT28 o FancyBear, ha sfruttato gli exploit ai danni di diversi obiettivi europei, tra cui organizzazioni governative e politiche. Il gruppo criminale ha inoltre testato dei tool sperimentali, in particolare contro un membro di un partito politico francese prima delle elezioni.

2) Gray Lambert. Kaspersky Lab ha studiato il toolkit più avanzato attualmente disponibile di proprietà del gruppo di cyber spionaggio di lingua inglese Lamberts. Sono state identificate due nuove famiglie di malware a esso collegate.

3) Gli attacchi WannaCry (12 maggio) ed ExPetr (27 giugno). Sebbene molto diversi per caratteristiche e obiettivi, in entrambi i casi si è trattato di "ransomware" sorprendentemente inefficaci. Ad esempio, nel caso di WannaCry, la sua rapida diffusione globale e l'altro profilo hanno richiamato l'attenzione sull'account Bitcoin dei criminali complicando loro la riscossione. Questa caratteristica suggerisce che il vero obiettivo di WannaCry fosse la distruzione dei dati. Sono stati scoperti ulteriori legami tra il gruppo Lazarus e WannaCry.

4) Anche ExPetr, che ha preso di mira organizzazioni in Ucraina, Russia e altri stati europei, sembrava un ransomware ma si è rivelato puramente distruttivo. La ragione degli attacchi ExPetr rimane tuttora ignota. Gli esperti hanno ipotizzato un possibile collegamento con il gruppo criminale Black Energy.

"Da molto tempo sottolineiamo l'importanza di una threat intelligence veramente globale, che aiuti a difendere i network critici e sensibili. Continuiamo ad assistere allo sviluppo di gruppi criminali estremamente aggressivi, che non si preoccupano delle condizioni di Internet e di quelle aziende e istituzioni fondamentali che si basano sulla rete. Con la crescente diffusione di cyber spionaggio, sabotaggio e crimine informatico, è sempre più importante unirsi e condividere le proprie tecnologie all'avanguardia per contrastare tutte le minacce", ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.