Dall’inizio dell’epidemia di Covid-19 che ha segnato una battuta d’arresto enorme per tutto il globo, si sono moltiplicate le segnalazioni di cyber attacchi contro aziende e reti finanziarie. A oggi, si è registrato un aumento di oltre il 300% delle frodi fiscali e dei tentativi di hacking da parte di gruppi organizzati. Sembra che i gruppi criminali si stiano concentrando prevalentemente sulle grandi compagnie, sebbene anche gli utenti comuni siano ancora tra i bersagli.
Cyber attacchi: le motivazioni e i casi
La quarantena, imposta dai governi di tutto il mondo per prevenire ulteriori contagi, ha lasciato scoperte o poco controllate le sedi di tutte le grandi aziende più note, impedendo gli aggiornamenti delle misure difensive in sede ed esponendole a una serie di aggressioni. Gli attacchi condotti contro queste ultime hanno visto un ampio utilizzo del ransomware noto come Ekans, un malware avanzato studiato appositamente per colpire le industrie.
Dopo i casi della Enel e della Honda, rimaste entrambe vittime di questo attacco, anche la Geox ha segnalato di essere stata attaccata. Già diversi mesi fa la nota azienda di abbigliamento aveva subito una truffa enorme a causa di un sito che portava il suo nome ma che raccoglieva soldi per dei criminali. L’attacco alla Geox è stato condotto in Italia e ha bersagliato la sede di Treviso, bloccandone tutte le comunicazioni interne. Il danno è stato tale da costringere la compagnia a sospendere il lavoro per molti dipendenti, in quanto tutte le piattaforme e-commerce risultavano inutilizzabili.
Come abbiamo anticipato, anche Enel e Honda sono rimaste duramente danneggiate da Ekans. Gli attacchi si sono tenuti a giugno 2020, durante il transito tra la Fase 1 e la Fase 2. Anche in questo caso, l’obbiettivo degli hacker è stata la rete interna alle aziende, che è rimasta bloccata per diversi giorni. Tutti i servizi per i clienti e le prenotazioni online sono state sospese fino alla risoluzione del problema.
Ekans/Snake
Il ransomware utilizzato per questi assalti è decisamente anomalo. Tutti i virus di questa classe operano come una sorta di lucchetto digitale, infiltrandosi in un terminale e bloccando tutte le applicazioni dietro un paywall difficilmente rimovibile. Ekans, pur avendo una stringa di codice più semplice, opera in maniera diversa. Gli attacchi condotti contro le industrie hanno avuto origine dalla posta elettronica dei dipendenti e dei manager, come semplici messaggi di phishing. Il ransomware, allegato a tali email, ha potuto infiltrarsi nei vari computer, bloccando le reti interne.
Le analisi condotte dagli esperti su questo malware hanno ricostruito tutto il processo di infezione. Dopo essersi insediato, Ekans inizia ad avviare finestre nascoste, dalle quali partono protocolli HTTP non riconosciuti da Windows, ai quali segue una serie di comandi per la creazione e la successiva rimozione di file sconosciuti. L’ultimo step consiste nel settare se stesso come programma di esecuzione automatica all’avvio del sistema operativo, in modo da “chiudere” fuori l’utente.
Fortunatamente, diversi utenti hanno fiutato la minaccia e hanno prontamente segnalato le anomalie all’assistenza tecnica, ma pare che il ransomware sia comunque riuscito a passare i pesanti firewall aziendali mascherandosi come app innocua, causando diversi danni.
Difesa e prevenzione contro i ransomware
In passato, abbiamo ampiamente analizzato questi malware e le loro funzionalità. Si tratta, come spiegato, di vere e proprie catene elettroniche capaci di bloccare un sistema operativo nella sua interezza. Gli unici modi validi per rimuoverli sono l’utilizzo dei punti di ripristino o, nel peggiore dei casi, la formattazione di un disco. Queste tecniche potrebbero comunque non essere sufficienti, pertanto il nostro consiglio è di rivolgersi a un esperto per una pulizia completa e capillare del sistema.
La maggior parte dei malware, di qualsiasi classe, sfrutta i nostri accessi alla rete per infiltrarsi. Si parla quindi di porte non protette, siti senza protocollo HTTPS e, come negli ultimi casi, di spam e phishing. Alcune caselle di posta elettronica come Gmail segnalano automaticamente le email sospette, inserendole nelle appropriate cartelle, ma talvolta non è sufficiente. Fortunatamente, è abbastanza semplice riconoscere una email ingannevole.
Qualora non siate sicuri della esatta provenienza di un messaggio, evitate di aprirlo per leggerlo. Molto spesso, il phishing consiste in messaggi accattivanti come “Hai vinto!” per indurre la vittima a un falso senso di sicurezza. Sono comuni anche gli errori di spelling nel corpo del testo. Infine, sono rari i casi in cui una email risulti completamente identica a quella che invierebbe un reparto tecnico. In questo caso, occorre ricordare che le richieste di soldi, password in chiaro e dati sensibili tramite posta elettronica sono quasi sempre parte di una operazione criminosa.
Cyber attacchi e Coronavirus
I casi delle tre aziende colpite durante l’emergenza Covid-19 sono un chiaro segnale di come i cyber-criminali abbiano approfittato della quarantena per intensificare le loro operazioni. Oggi, più di prima, tutte le grandi compagnie dovrebbero investire parte del proprio denaro in sistemi di difesa e aggiornamento più avanzati, per fronteggiare la crescente minaccia di violenti cyber attacchi.
A cura di
Francesco Antoniozzi
FONTI:
CREDITS: