È un malware “di terza fase” quello che ha colpito il settore industriale nell’Europa dell’Est. L’allarme viene da Kaspersky che ha analizzato il software malevolo progettato per caricare file su Dropbox e coordinarsi con altri impianti di malware per esfiltrare i dati.
Come funziona il nuovo malware
Questa terza fase dell’attività di esfiltrazione dei dati prevede una catena di esecuzione del malware anch’essa in tre step. In primo luogo, la catena di esecuzione stabilisce la persistenza e gestisce il posizionamento e l’avvio del modulo malware della seconda fase che è responsabile del caricamento dei file raccolti su un server remoto con l’aiuto del modulo di terza fase.
La complessa architettura consente all’attore della minaccia di ricalibrare il flusso di esecuzione, sostituendo singoli moduli all’interno della catena. In alcuni casi, la catena potrebbe essere utilizzata per l’esfiltrazione dei dati da segmenti di rete isolati da Internet, creando un archivio intermedio/proxy per i dati rubati all’interno della rete delle vittime.
L’accesso ad Outlook
Nel panorama in evoluzione di questa campagna di cyberattacco, l’attore della minaccia ha distribuito una catena di malware per accedere ai file della casella di posta elettronica di Outlook, per eseguire comandi remoti e per effettuare il caricamento di file “.rar” locali o remoti su Dropbox.
Inoltre, la ricerca evidenzia l’uso di strumenti per il trasferimento manuale dei dati: uno di questi è stato progettato specificamente per spostare i file da e verso Yandex Disk, mentre un altro consente di caricare facilmente i file su 16 servizi di condivisione temporanea di file. Un terzo, scaricato da Yandex Disk, aveva la funzionalità di inviare i dati di log dell’esecuzione della catena di impianti agli account di posta elettronica Yandex.
“La nostra analisi – commenta Kirill Kruglov, Senior Security Researcher di Kaspersky Ics Cert – sottolinea la perseveranza e l’astuzia degli attori delle minacce nella loro ricerca di dati sensibili. Svelando i meccanismi di questi impianti avanzati, forniamo alla cybersecurity community conoscenze cruciali per rafforzare le difese contro attacchi sempre più sofisticati”.
Le 5 mosse per difendersi
Per proteggere i computer OT da varie minacce, gli esperti di Kaspersky consigliano di:
1) condurre regolari valutazioni di sicurezza sui sistemi di Operational technology per identificare ed eliminare possibili problemi di sicurezza informatica.
2) stabilire un sistema continuo di valutazione e gestione delle vulnerabilità come base per un processo efficace per la loro risoluzione. Le soluzioni dedicate, come Kaspersky Industrial Cybersecurity, possono diventare un aiuto efficiente e una fonte di informazioni esclusive, non completamente disponibili pubblicamente.
3) Aggiornare tempestivamente i componenti chiave della rete OT dell’azienda, applicare le correzioni e patch di sicurezza o implementare misure di compensazione non appena sia tecnicamente possibile sono azioni fondamentali per prevenire un incidente grave che potrebbe costare milioni, a causa dell’interruzione del processo produttivo.
4) Utilizzare soluzioni integrate di rilevamento e prevenzione degli attacchi, come Kaspersky Industrial Cybersecurity, per il rilevamento e la prevenzione tempestivi di minacce sofisticate, la ricerca e la correzione efficace degli incidenti.
5) Migliorare la risposta a nuove e avanzate tecniche dannose, costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Una formazione dedicata alla sicurezza OT per i team di sicurezza IT e per il personale OT è una delle misure chiave per raggiungere questo obiettivo.
