Si sono intensificate le campagne malevole a tema Covid-19: email di phishing con allegati mimetizzati da documenti che promettono misure di sicurezza per affrontare l’emergenza portano in realtà alla distribuzione di tool di accesso remoto per l’inoculazione di payload di ogni genere, o all’esecuzione di codice Vba per installare trojan come Trickbot, specializzato nella sottrazione di informazioni e credenziali riservate.
All’elenco non mancano neppure siti web falsificati, come per esempio un sito civetta che duplica l’aspetto di quello ufficiale dell’utility WiseCleaner, utilizzato invece per veicolare trojan e ransomware, e perfino false mappe di diffusione dell’epidemia, inviate ad aziende operanti in vari settori.
Banco di prova per la tenuta della sicurezza delle aziende
Anche i gruppi cyber criminali di alto profilo hanno incrementato la loro attività per sfruttare l’emergenza. Leonardo ha potuto osservare un notevole incremento dei tentativi di attività malevole più sofisticate nei confronti di bersagli specifici, sia a livello di singole personalità sia di aziende interessanti sotto il profilo economico o industriale.
I bersagli principali di queste attività comprendono gli Stati Uniti, a cui si aggiungono nazioni esposte a causa della loro posizione geografica o della situazione politica, come l’India, il Giappone o la Corea del Sud. Bersagli secondari si registrano anche in Europa tra Italia e Germania, in Sud America e in Asia tra Mongolia, Pakistan e Arabia Saudita.
Il periodo ha visto un’impennata degli attacchi ransomware che prende di mira i settori della sanità e della farmaceutica, in un momento in cui le sorti dell’intera collettività sono aggrappate agli sforzi dei loro operatori.
Gli obiettivi erano quelli consueti per un ransomware: cercare di interrompere la continuità aziendale, costringendo quindi a pagare il riscatto per poter riprendere a lavorare, e sempre più spesso minacciare la diffusione delle informazioni catturate, con la conseguenza di danneggiare l’immagine dell’azienda e rendendola anche oggetto di verifiche da parte degli organismi di vigilanza, per l’eventuale mancato rispetto delle normative vigenti nell’ambito della protezione dei dati sensibili.
Nel caso delle aziende farmaceutiche, la minaccia poteva riguardare anche la proprietà intellettuale: la divulgazione dei dati relativi alle ricerche, alle scoperte e ai brevetti possono causare danni incalcolabili.
La divulgazione dei dati recuperati è una tipologia di minaccia sempre più frequente ed è utilizzata da molti dei ransomware più recenti, come DoppelPaymer, Clop, Nemty, Sodinokibi, Sekhmet e Maze. Questa tattica mette naturalmente ulteriore pressione sulle vittime dell’attacco, poiché neppure un ripristino dei dati presi in ostaggio consente di neutralizzare la minaccia, al contrario di quanto avveniva nel caso dei ransomware crittografici di tipo tradizionale.