cyberattacchi

Un hacker ha cercato di imbrogliarmi inviandomi una mail “trappola” e, dato che ci troviamo di fronte ad un tipo di minaccia particolarmente diffusa in questo periodo, mi sembra giusto parlarne per sensibilizzare i lettori di questa testata.

Parliamo di “Emotet”, e non si tratta del nome di un film di Cristopher Nolan, ma di un pericoloso malware creato in Russia nel 2014 che tra la fine del 2020 e l’inizio del 2021 sta vivendo un periodo di fortissima diffusione.

Il modus operandi degli hacker è quello di attaccare la vittima (solitamente una azienda), inviando una mail con annessa la richiesta di spiegazioni circa una fattura/pagamento il cui file di riferimento si trova in allegato.

In allegato però invece del solito pdf o file di word troveremo un file con al suo interno un malware pronto ad installarsi automaticamente sui vostri pc in seguito all’apertura.

Sostanzialmente si tratta sempre della solita tattica utilizzata dagli hacker i quali però, una volta eseguito con successo l’attacco ad un utente, inviano a cascata mail (e quindi attacchi) a tutti i contatti presenti nella rubrica della vittima, questa volta però scrivendo dall’indirizzo email della prima vittima e quindi aumentando la propria credibilità e possibilità di successo.

A differenza di altri virus o ransomware utilizzati negli ultimi anni, Emotet consente agli hacker di effettuare un periodo di “monitoraggio” della vittima, supportandoli nell’acquisizione di più dati possibili, puntando principalmente alle password per i servizi bancari digitali tipo home banking o simili. I danni possono essere irreparabili, soprattutto a livello aziendale.

Nel mio caso specifico è stato curioso osservare come la mail in questione, apparentemente spedita da un conosciuto hotel di Milano con il quale la nostra agenzia investigativa ha effettivamente avuto per molti anni un rapporto consolidato di lavoro, provenisse in realtà da un altro indirizzo, ovvero quello di una società brasiliana a me del tutto sconosciuta.

Effettuata l’analisi del file ed accertatomi subito della presenza del malware, ho effettuato alcuni approfondimenti ed ho scoperto che la vittima dell’attacco (del tutto inconsapevole fino al momento del mio contatto) si era effettivamente recata a Milano in vacanza qualche anno prima dove aveva soggiornato proprio presso quel famoso hotel.

Come siano poi giunti a me resta un mistero che per motivi di tempo non ho intenzione di approfondire, ma non posso fare altro che consigliare a tutti i lettori di diffidare sempre da mail (conosciute o meno) che richiedono di aprire documenti in allegato senza fornire troppe spiegazioni.

Gli hacker puntano sempre sull’effetto sorpresa e sulla paura, perciò nella mail faranno riferimento a pagamenti urgenti, multe o chiarimenti circa fatture affinché venga subito aperto il file in allegato. Perciò verificate sempre che il mittente sia conosciuto (condizione però che non può garantire l’attendibilità della mail) e che corrisponda al nome dell’intestatario della mail, che il tono, lo stile della scrittura sia quello utilizzato solitamente dal vostro interlocutore (spesso, per evitare di farsi scoprire, gli hacker scrivono poche frasi standard evitando di dilungarsi), ma soprattutto non aprite mai documenti in allegato contenenti file .zip o .exe . ed evitate di cliccare su link presenti all’interno della mail.

Infine, avere un buon antivirus è sempre utile, qualora un hacker dovesse colpirvi durante una giornata nella quale per mille motivi siete meno attenti del solito nella maggior parte dei casi sarà l’antivirus ad individuare il malware e ad avvertirvi in tempo.

Per domande e consigli di natura investigativa e/o di sicurezza, scrivetemi e vi risponderò direttamente su questa rubrica: d.castro@vigilargroup.com

La Commissione di Bruxelles lavora alla realizzazione di un ‘cyber-scudo’ per rafforzare la risposta agli attacchi informatici e alle interferenze straniere su infrastrutture critiche. “Soggetti statali e non statali usano le tecnologie per infrangere lo stato di diritto per obiettivi politici, la minaccia è reale e ogni giorno diventa più importante”, ha detto l’Alto rappresentante Ue per la politica estera Josep Borrell presentando la nuova strategia Ue per la sicurezza informatica. “Nel 2019 si sono registrati 450 incidenti che hanno coinvolto infrastrutture critiche, come il settore energetico e finanziario”, ha spiegato. Nel corso della presentazione è stato citato anche il recente attacco contro l’Ema, l’agenzia europea per i farmaci, che sta lavorando per dare il via libera ai vaccini anti-Covid.

La Commissione propone quindi di avviare un network di centri per la sicurezza informatica, supportati dall’intelligenza artificiale, per creare uno scudo di sicurezza in grado di prevenire e rispondere tempestivamente agli attacchi. Inoltre a febbraio la Commissione presenterà una nuova Unità per la sicurezza informatica per la condivisione di dati tra più istituzioni.

“Abbiamo un regime di sanzioni già attivo – ha ricordato Borrell – e utilizzato a luglio e ottobre, contro quattro organizzazioni supportate da Russia, Cina e Nord Corea”. Borrell ha inoltre rivolto un inviato al Consiglio Ue affinché si possano prendere decisioni sulle sanzioni a maggioranza qualificata per accelerare e rendere più efficace il sistema.

All’interno del piano per la lotta contro gli hacker, la Commissione Ue propone di riformare la direttiva Nis, sulla sicurezza della rete, per rafforzare i requisiti a cui devono attenersi imprese e fornitori di servizi e anche misure di controllo più rigorose per le autorità nazionali.

“Sappiamo di essere un obiettivo per attacchi informatici e stiamo lavorando a delle risposte, ad esempio con un sistema di solidarietà Ue per rispondere quando uno stato membro viene colpito” ha detto il vicepresidente della Commissione Ue, Margaritis Schinas durante la conferenza stampa. Inoltre, Bruxelles sta lavorando ad una nuova normativa per aumentare il livello di resilienza delle infrastrutture critiche: ospedali, reti energetiche, ferrovie, banche, pubbliche amministrazioni, laboratori di ricerca e produzione di dispositivi medici e medicinali.

L’esecutivo Ue intende poi rafforzare la cooperazione con organizzazioni internazionali e Paesi terzi per assicurare uno spazio internet sicuro a livello globale. Il costo annuo del crimine informatico per l’economia globale è stimato arrivare a 5.500 miliardi di euro entro la fine del 2020, il doppio rispetto al 2015. A causa della pandemia, il 40% dei lavoratori è passato allo smart working e due quinti degli utenti ha riscontrato problemi di sicurezza, un’azienda su 8 è stata colpita da attacchi informatici.

Lo smartworking non può che accrescere il rischio cyber. Che già prima dell’emergenza coronavirus, e di tutte le sue implicazioni, si espandeva a “doppia cifra”. Un trend che prosegue così già da una decina d’anni e che ora di certo non potrà rallentare, continuando a macinare rialzi “intorno al 25%”. Ciò è vero in Italia come in tutto il resto del mondo. Ma in un’economia come quella tricolore, caratterizzata da un tessuto imprenditoriale frammentato, balza agli occhi come solo meno del 10% delle Pmi possa contare su una copertura assicurativa. Percentuale che sale al 50% per le grandi aziende. Rispetto a quel che accade oltre confine il limite assicurabile è poi decisamente inferiore. Questo è quanto emerge dall’osservatorio di Marsh, multinazionale attiva nel settore del brokeraggio assicurativo.

Che la minaccia sia sempre più presente non può stupire. Quello che prima veniva discusso nella sala riunioni più riservata dall’azienda adesso viene condiviso via web. E specie durante il lockdown “sono state molteplici le violazioni dei sistemi”, spiega Corrado Zana, che di Marsh è Head of Cyber Risk Consulting. Ora, se “la grande azienda scopre che un malware è stato iniettato nel proprio sistema 150-200 giorni dopo l’attacco, nella piccola e media impresa non se ne accorgono proprio, se non dopo anni”, racconta il responsabile di Marsh. Ne acquisisce la consapevolezza quando scopre che sul mercato viene venduto un suo prodotto a un prezzo stracciato. Spesso dietro c’è lo zampino di un hacker che, entrando nel sistema informatico della Pmi di turno, sottrae know-how, disegni, liste di fornitori e clienti. In poche parole, riassume Zana, “anni e anni di lavoro”.

È facile capire che perdita ciò possa rappresentare per un’economia come quella italiana. Oggi la domanda di polizze sta in effetti crescendo tanto e il loro costo si sta adeguando sia alla richiesta che ai sinistri. Tanto per fare un esempio, oggi l’attacco più temuto è il ransomware, che condiziona il ripristino del sistema al pagamento del riscatto. Ebbene, le notifiche che rispondono a questo tipo di tecnica sono raddoppiate nel solo 2019, come certifica la stessa Marsh nel report ‘The Changing Face of Cyber Claims’, basato su quanto accaduto in Europa continentale.

In Italia il rischio ransomware è molto sentito. C’è la somma da corrispondere: che può andare dai 250-300 euro quando la vittima è un privato cittadino ai 10-20 mila euro per una piccola azienda, fino ad arrivare a milioni nel caso di grossi gruppi. Ma spesso c’è pure la beffa, nel senso che poi l’hacker non riattiva il sistema, generando così un’interruzione dell’attività d’impresa e quindi una perdita conseguente di profitto.

“La frontiera che preoccupa tutti è l’intelligenza artificiale ‘cattiva’. I computer – fa presente Zana – sono comandati da hacker, o meglio da comunità criminali, ma sono le macchine le esecutrici dell’attacco. Oggi si sta quindi investendo in sistemi che siano in grado di costruirsi da soli nuove strategie per colpire. Chiaramente, a ciò si può opporre l’intelligenza artificiale ‘buona’ per reagire a minacce automatizzate”. Di sicuro, al momento, in cima alle preoccupazioni delle aziende, ma anche degli Stati, c’è quindi proprio il rischio cyber legato all’intelligenza artificiale e sferrato contro il sistema industriale con un attacco mirato ‘zero day’, ovvero per cui non sono disponibili già soluzioni tecnologiche di contrasto. Insomma, quello che si potrebbe definire un ‘delitto perfetto’.

Negli ultimi anni gruppi APT (Advanced Persistent Threat) hanno cominciato a utilizzare le proprie capacità, affinate in anni di “servizio” agli ordini di Paesi come la Corea del Nord, per “vendersi” al miglior offerente e cominciare ad attaccare anche piccole e medie imprese. L’ultimo esempio è un recente attacco contro uno studio di architettura australiano con clienti in tutto il mondo.

Ci sono sempre stati criminal hacker “a pagamento” e Stati come la Cina e la Russia li reclutano per le loro operazioni di intelligence consentendo loro di imparare tecniche, tattiche e procedure sofisticate che possono poi essere utilizzate anche per il cybercrime e grazie alle quali possono costituire gruppi di mercenari a disposizione di privati che vogliano spiare i loro concorrenti o manipolare i mercati finanziari. Lo hanno confermato anche gli USA ad aprile con un rapporto sulle minacce nord coreane alla cyber security in cui si denunciava che attori di Pyongyang erano stati pagati per hackerare siti web per conto terzi. Nell’ultimo decennio, il numero di stati con capacità offensive a livello cyber è cresciuto da una mezza dozzina di paesi a oltre 30. Inoltre, la proliferazione di conoscenze e capacità continua a superare il modo in cui i singoli Paesi (e le organizzazioni) possono proteggersi efficacemente.

Le Pmi, da bersaglio secondario negli attacchi alla supply chain, stanno diventando il target primario e questo solleva un serio problema, in quanto spesso le Pmi non hanno i budget o il personale qualificato necessari per rilevare e rispondere a tali attacchi.

Negli ultimi anni abbiamo potuto osservare un aumento vertiginoso di truffe e raggiri avvenuti tramite internet. I malintenzionati possono contare su nuove metodologie “operative” estremamente vantaggiose, difatti, protetti dall’anonimato della rete e senza la necessità di esporsi “fisicamente”, possono truffare indisturbatamente più persone contemporaneamente e con rischi minori.

Quello della “truffa romantica” è una tipologia di frode tipica del web particolarmente  diffusa negli ultimi anni (soprattutto nell’ultimo periodo di confinamento domestico forzato), ed il cui successo dipende completamente dall’acquisizione della fiducia della vittima, alla quale viene chiesto di anticipare cifre di denaro piuttosto consistenti,  a fronte di situazioni di “estrema urgenza”o “motivi di salute”.

Nei casi peggiori, le richieste di denaro avvengono in seguito allo scambio di immagini private/personali, inviate dalla vittima (inconsapevole) al truffatore, il quale minaccerà la malcapitata di diffondere queste tra tutti i suoi contatti/follower qualora non venisse pagata una determinata cifra.

E’ evidente come abbiamo a che fare con una tipologia di truffatori estremamente organizzata. Non si tratta di persone improvvisate che agiscono da uno sgabuzzino, bensì di vere e proprie organizzazioni criminali votate alla truffa e che dispongono di soggetti spesso poliglotti, dotati di un discreto livello culturale, abili nel conversare, nel circuire e che conoscono bene la tipologia di persona che potrebbe essere gradita alla vittima.

Ma come agiscono questi truffatori?

In primis il truffatore seleziona il profilo di un soggetto dotato di bell’aspetto, identifica tutti suoi profili social e ne estrapola solo alcune fotografie, solitamente dalle 10 alle 20 sono sufficienti, dopodichè utilizzando un altro nome, inizia ad interagire con altri profili per generare traffico ed ottenere un velo di credibilità. Solitamente, se il truffatore vuole circuire una donna, la maggior parte dei contatti presenti sul suo profilo social saranno femminili (ovviamente non avrà nessun interesse nell’intrattenere rapporti social con altri uomini).

Sulla base della nazionalità della vittima, il truffatore fornirà un profilo “credibile” ma sempre con un velo di mistero, restando vago e senza dare troppe spiegazioni. Ad esempio se la lingua madre del truffatore fosse il francese, dirà alla vittima di essere italiano ma di vivere in Francia da tantissimi anni, questo per giustificare l’eventuale accento.

Ma quali sono le vittime?

Statisticamente i truffatori prediligono le donne, per lo più persone sole tra i 40 ed i 65 anni di età  con un buon livello culturale, una buona posizione lavorativa e possibilmente in stato di fragilità emotiva. Studiano i profili social delle vittime e tutte le loro informazioni presenti sul web per trasformarsi nell’uomo dei sogni, ma il fine è sempre e solo uno. Quello di estorcere del denaro con un raggiro.

Recentemente ho affrontato il caso di una professionista milanese, caduta nella trappola di un romantic scammer che era riuscito ad estorcerle cifre molto importanti in un breve periodo. L’uomo, fintosi un imprenditore italiano residente all’estero, aveva creato un profilo assolutamente credibile, tuttavia aveva commesso alcuni errori.

Aveva fornito un numero di cellulare straniero che non richiedeva registrazione, ed aveva utilizzato le fotografie di un attore famoso in America Latina ma sconosciuto in Italia.

Già di per se, queste informazioni erano sufficienti a stabilire come l’uomo idealizzato dalla malcapitata fosse in realtà un truffatore, tuttavia le indagini approfondite mi hanno portato a stabilire con assoluta certezza, come in realtà il profilo social dell’uomo fosse gestito da più persone. Si trattava di una banda criminale del Gabon dedita a commettere questo genere di truffe su base giornaliera.

Tanti come loro, soprattutto in Africa, dove i Nigeriani sono specializzati in questo genere di truffe ed i numeri fanno la differenza, con le chance di successo e guadagno che aumentano proporzionalmente al numero di contatti sviluppati e quindi di vittime cadute nella loro rete.

Insomma, alla fine cambia la scena del crimine, ma non i criminali, i quali possono sempre commettere degli errori e per questo divengono individuabili.

Un consiglio tecnico su come individuarli?

Salvate la loro foto profilo ed effettuate una ricerca inversa dell’immagine utilizzando Google Immagini. I risultati mostreranno tutti i siti che contengono la stessa foto che avete caricato, social network inclusi.

Spesso questo sarà sufficiente per scoprire se la foto della persona con cui state parlando, appartenga in realtà a qualcun altro.

Per domande e consigli di natura investigativa e/o di sicurezza, scrivetemi e vi risponderò direttamente su questa rubrica: d.castro@vigilargroup.com

L’emergenza Covid 19 è una situazione di difficoltà per privati e imprese, ma può essere  d’oro per l’industria del Cybercrime che sta incrementando in maniera esponenziale azioni di phishing e cyber-attacchi. Come segnalato dal Cert-Pa (Computer Emergency Response Team per la pubblica amministrazione – ora Csirt) nelle ultime settimane, gli attacchi informatici tramite mail di phishing hanno avuto inizio dai primi giorni di marzo e si sono protratti per i successivi due mesi, fino ad ora, nei quali si è avuto un picco di infezioni. Cybergon, business unit di Elmec Informatica dedicata alla cybersecurity, ha realizzato un’analisi tecnica delle mail di phishing più diffuse in questo periodo che veicolano soprattutto tre. Si tratta di malware in circolazione ormai da anni e che ciclicamente compaiono: Trickbot, Ursnif ed Emotet. vengono ritoccati per provare a renderli non rintracciabili da soluzioni anti-malware.

Gli oggetti delle mail in questione non sono particolarmente fantasiosi, ma fanno leva sulla paura e sulle preoccupazioni più diffuse in questo momento. Alcuni esempi di oggetto: ”Corona virus cure for china, italy” ”Cancel shipment due to corona virus – new shipping details” ”New Covid-19 prevention and treatment information”. Di seguito, alcuni esempi di mail malevole analizzati nel report che trascinano con sé allegati in grado di infettare il dispositivo con uno dei malware sopra citati.

Trickbot è un malware progettato per rubare i dati privati degli utenti, dirottando i browser web. In genere presenta un oggetto di questo tipo: ”Coronavirus: informazioni importanti su precauzioni” e include come allegato un documento word comunemente nominato ”f21368535400.doc”, ”Covid_19_test_form.doc”, ”guida_coronavirus.doc”. Una volta aperto, l’utente viene ingannato e spinto ad effettuare un download, che una volta partito infetta il dispositivo.

Emotet è un pericoloso malware il cui obiettivo è infiltrarsi nell’account bancario dell’utente e appropriarsi dei suoi soldi. Un oggetto tipico di una mail contenente questo tipo di attacco è ”Coronavirus countermeasures”. Il documento allegato è sempre un word e mostra un messaggio che tende ad ingannare l’utente con l’accettazione di un license agreement. Anche in questo caso, lo scopo è far partire un download necessario all’infezione della macchina vittima.

Ursnif è un virus che mira a registrare informazioni sensibili dell’utente, come sequenze di tasti, accessi/password salvati, attività di navigazione sul web, informazioni di sistema e così via.

Una tipica mail di phishing contenente un simile attacco prevede un oggetto di questo tipo: “Invio COPIA Ordine/Fattura: Procedure x Coronavirus”. L’allegato è questa volta un file Excel che, come gli altri, contiene una macro Vba, cioè una parte di codice necessario ad automatizzare azioni molto ripetitive e che ha l’obiettivo ultimo di infettare e diffondere il malware.

“In situazioni come queste, – dicono gli esperti di Cybergon – le precauzioni in qualità di utente che consigliamo di adottare sono quelle più semplici ma non per questo banali: controllare l’indirizzo del mittente per rendersi conto se sia o meno plausibile sfruttare tool online per verificarne la reputazione nel caso in cui non lo si conosca, ad esempio: Cisco Talos; Senderscore; MxToolbox”. Inoltre “non scaricare file in allegato o file a cui si viene condotti tramite link, se proprio necessario sfruttare piattaforme che effettuano gratuitamente l’analisi di file, come Virustotal; non cliccare link senza essersi prima accertati della bontà dell’e-mail; chiedere a qualche collega se ha già ricevuto una mail dello stesso tipo o informarsi su Internet circa campagna caratterizzate dallo stesso oggetto dell’e-mail ricevuta”, concludono.

Siglato a Roma l’accordo tra Polizia di Stato e MM S.p.A. per la prevenzione e il contrasto dei crimini informatici che hanno per oggetto i sistemi e servizi informativi di particolare rilievo per il Paese.

La convenzione, firmata dal Capo della Polizia-Direttore Generale della Pubblica Sicurezza, Franco Gabrielli, e dal Presidente di MM S.p.A., Davide Corritore, rientra nell’ambito delle direttive impartite dal Ministro dell’Interno per il potenziamento dell’attività di prevenzione alla criminalità informatica attraverso la stipula di accordi con gli operatori che forniscono prestazioni essenziali.

La Polizia Postale e delle Comunicazioni è infatti quotidianamente impegnata a garantire l’integrità e la funzionalità della rete informatica delle strutture di livello strategico per il Paese attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.

MM S.p.A., è una delle più grandi e diversificate società d’ingegneria in Italia, in grado di fornire soluzioni su misura nella progettazione e riqualificazione degli ecosistemi urbani e, pertanto, la protezione dei suoi sistemi informatici è da considerarsi necessaria per assicurare il pieno compimento della mission aziendale.

L’accordo rappresenta una tappa significativa nel processo di costruzione di una fattiva collaborazione tra pubblico e privato: un progetto che, in considerazione dell’insidiosità delle minacce informatiche e della mutevolezza con la quale esse si realizzano, risulta essere strumento essenziale per la realizzazione di un efficace sistema di contrasto al cybercrime, basato quindi sulla condivisione informativa e sulla cooperazione operativa.

Alla firma della convenzione erano presenti, per il Dipartimento della Pubblica Sicurezza, il Direttore Centrale per la Polizia Stradale, Ferroviaria, delle Comunicazioni e per i Reparti Speciali della Polizia di Stato Roberto Sgalla e il Direttore del Servizio Polizia Postale e delle Comunicazioni Nunzia Ciardi, mentre per MM S.p.A. il Direttore IT Nicola Rivezzi.

Fonte: Comunicato stampa di MM Spa del 9 luglio 2018

Un report di FireEye, azienda di intelligence e security, ammonisce sulle minacce rivolte a tutti i sistemi elettorali, perpetrate, in particolare, da attori state-sponsored.

Esaminando l’intero processo di voto, dalla registrazione alla tabulazione dei voti, e le modalità in cui le infrastrutture locali e statali possono essere colpite interferendo con il processo elettorale o causando una perdita di fiducia, il report identifica i vettori di minaccia (che interessano la registrazione degli elettori, l’identificazione dei seggi elettorali, l’invio e il conteggio dei voti), segnala che gli attori che utilizzano le campagne di informazione possono colpire o imitare direttamente gli account social media ufficiali dei funzionari statali e locali per seminare paura e sfiducia ed evidenzia ancora che le campagne aggressive per interrompere il processo elettorale possono sfruttare strumenti come ransomware e attacchi DDoS per destabilizzare le reti informatiche statali e locali e imitare attività cyber criminali.