Mentre le organizzazioni possono compiere molti passi per garantire che i dipendenti siano ben attrezzati per lavorare in remoto in modo sicuro, i cybercriminali di ogni genere stanno già approfittando della situazione COVID19/coronavirus. Nessuno perde un’opportunità e gli aggressori stanno accelerando le operazioni per diffondere malware tramite e-mail, app, siti Web e social media a tema Covid19. Ecco una ripartizione dei potenziali vettori e tecniche per attaccare le organizzazioni.

Email di phishing

L’e-mail è e continuerà a essere il più grande vettore di minacce per persone e organizzazioni. I criminali informatici hanno utilizzato a lungo gli eventi mondiali nelle campagne di phishing per aumentare il loro tasso di successo e il coronavirus non fa eccezione. Digital Shadows riferisce che sul dark web si pubblicizza un kit di phishing COVID19 utilizzando un allegato e-mail mascherato da una mappa di distribuzione dell’epidemia del virus per prezzi che vanno da 200 a 700 dollari.

I temi di queste e-mail vanno dai report degli analisti specifici di determinati settori e dettagli dei consigli ufficiali sulla salute del governo ai venditori che offrono mascherine o altre informazioni sulle operazioni e sulla logistica durante questi periodi. I payload inclusi in queste e-mail vanno da ransomware e keylogger a trojan ad accesso remoto.

“Il nostro team di ricerca sulle minacce ha osservato numerose campagne e-mail dannose a tema COVID-19, con molte persone che usano la paura per cercare di convincere le potenziali vittime a fare clic” afferma Sherrod DeGrippo, direttore senior della ricerca e del rilevamento delle minacce presso Proofpoint. “I criminali hanno inviato ondate di e-mail che vanno da una dozzina a oltre 200.000 alla volta e il numero di campagne è in aumento. Inizialmente stavamo assistendo a una campagna al giorno in tutto il mondo, ora ne stiamo osservando tre o quattro al giorno”.

DeGrippo afferma che circa il 70% delle e-mail del team di minaccia di Proofpoint ha scoperto fornire malware, con la maggior parte del resto allo scopo di rubare le credenziali delle vittime attraverso false pagine di destinazione come Gmail o Office 365. Proofpoint afferma che il volume cumulativo di esche legate al coronavirus ora rappresenta la più grande raccolta di tipi di attacchi uniti da un unico tema che l’azienda potrebbe aver mai visto.

L’NCSC e l’Organizzazione mondiale della sanità (OMS), tra gli altri, hanno lanciato avvisi pubblici in merito a e-mail fraudolente che pretendono di provenire da organismi ufficiali. Sono state diffuse diverse e-mail di phishing che affermano di provenire dai Centri per il controllo e la prevenzione delle malattie (CDC). BAE Systems riferisce che gli attaccanti che inviano e-mail a tema COVID-19 includono Transparent Tribe (nota anche come APT36), i gruppi Sandworm/OlympicDestroyer e Gamaredon collegati alla Russia e i gruppi cinesi Operation Lagtime e Mustang Panda APTS.

App dannose

Sebbene Apple abbia posto limiti alle app relative a COVID19 nel suo App Store e Google abbia rimosso alcune app dal Play Store, le app dannose possono comunque rappresentare una minaccia per gli utenti. DomainTools ha scoperto un sito che ha invitato gli utenti a scaricare un’app per Android che fornisce informazioni di tracciamento e statistiche su COVID-19. Tuttavia, l’app è effettivamente caricata con un ransomware di targeting per Android ora noto come COVIDLock. La nota di riscatto richiede 100 dollari in bitcoin in 48 ore e minaccia di cancellare contatti, foto e video, nonché la memoria del telefono. Secondo quanto riferito, è stato scoperto un token di sblocco.

attacchi malware

DomainTools ha riferito che i domini associati a COVIDLock sono stati precedentemente utilizzati per la distribuzione di malware relativo al porno. “La lunga storia di quella campagna, che ora sembra disabilitata, suggerisce che questa truffa COVID-19 è una nuova avventura e un esperimento per l’attore dietro questo malware”, ha detto Tarik Saleh, ingegnere senior della sicurezza e ricercatore di malware di DomainTools.

Domini errati

Nuovi siti Web vengono rapidamente creati per diffondere informazioni relative alla pandemia. Tuttavia, molti di loro sono anche trappole per vittime ignare. Record Future registra che centinaia di domini relativi a COVID-19 sono stati registrati ogni giorno nelle ultime settimane. Checkpoint suggerisce che i domini correlati a COVID-19 hanno il 50% di probabilità in più di essere dannosi rispetto ad altri domini registrati nello stesso periodo.

L’NCSC ha riferito che siti falsi stanno impersonando i Centri statunitensi per il controllo delle malattie (CDC) e creando nomi di dominio simili all’indirizzo web del CDC per richiedere “password e donazioni di bitcoin per finanziare un vaccino falso”. Reason Security e Malwarebytes hanno entrambi segnalato un sito di mappe di diffusione del COVID-19 utilizzato per diffondere malware. Il sito è caricato con malware AZORult che ruba credenziali, numeri di carte di pagamento, cookie e altri dati sensibili basati su browser.

Endpoint e utenti finali non sicuri

Con un numero elevato di dipendenti o addirittura di intere aziende che lavorano in remoto per un periodo di tempo prolungato, i rischi relativi agli endpoint e alle persone che li utilizzano aumentano. I dispositivi che il personale utilizza a casa potrebbero diventare più vulnerabili se i dipendenti non aggiornano regolarmente i loro sistemi.

Lavorare da casa per lunghi periodi di tempo può anche incoraggiare gli utenti a scaricare applicazioni shadow sui loro dispositivi. Un minor numero di viaggi di lavoro potrebbe ridurre la possibilità che i dipendenti abbiano problemi di sicurezza alle frontiere, ma riduce la minaccia di connettersi a reti WiFi non sicure o di perdere dispositivi se effettivamente rimangono a casa. Quelli che escono a lavorare dai caffè – e alcuni probabilmente lo faranno – potrebbero essere comunque suscettibili al furto o alla perdita di dispositivi o agli attacchi man-in-the-middle.

L’International Association of Information Technology Asset Managers raccomanda che tutte le risorse IT che vengono portate a casa vengano disconnesse e tracciate, che le aziende forniscano policy e consigli su come utilizzare le risorse a casa (soprattutto se le persone sono abituate a condividere dispositivi con la famiglia), ricorda agli utenti le politiche sulla connessione al WiFi pubblico e la necessità di aggiornare il loro software secondo necessità.

Vulnerabilità presso fornitori e terze parti

Ogni partner, cliente e fornitore di servizi nel vostro ecosistema sta probabilmente attraversando tutti gli stessi problemi della vostra organizzazione. Mettetevi in contatto con parti critiche del vostro ecosistema di terze parti per assicurarvi che stiano adottando misure per proteggere la loro forza lavoro remota.

Organizzazioni sanitarie

Negli ultimi giorni il sito Web dell’Illinois Public Health è stato colpito da ransomware, mentre il Dipartimento della salute e dei servizi umani (HHS) ha subito un tentativo di attacco DDoS. Le organizzazioni sanitarie di ogni forma e dimensione sono probabilmente più stressate del solito, il che può rendere il personale più rilassato su ciò su cui fanno clic.

I criminali opportunisti o coloro che desiderano interrompere le operazioni potrebbero avere maggiori probabilità di colpire il settore. I CISO nel settore sanitario o che forniscono servizi sanitari dovrebbero ricordare al personale di vigilare su collegamenti e documenti sospetti e garantire che le loro operazioni siano resistenti agli attacchi DDoS.

Priorità di sicurezza per il lavoro a distanza su vasta scala

Liviu Arsene, ricercatore globale di sicurezza informatica presso Bitdefender, raccomanda alle organizzazioni di adottare le seguenti misure per garantire un funzionamento remoto sicuro e stabile:

  • Aumentare il numero di connessioni VPN simultanee per accogliere tutti i dipendenti remoti.
  • Installare e supportare il software per conferenze che garantisce una connessione vocale e video stabile.
  • Assicurarsi che tutti i dipendenti dispongano di credenziali valide che non scadano entro meno di 30 giorni poiché la modifica delle credenziali di Active Directory scadute può essere difficile se remota.
  • Inviare regole e linee guida relative alle applicazioni accettate e alle piattaforme collaborative in modo che i dipendenti siano consapevoli di ciò che è sanzionato e supportato e di ciò che non lo è.
  • Attuare procedure di implementazione graduale per la distribuzione degli aggiornamenti, in quanto consegnarli tutti in una volta ai dipendenti connessi alla VPN potrebbe creare congestioni della larghezza di banda e influire sul traffico in entrata e in uscita.
  • Abilitare la crittografia del disco per tutti gli endpoint per ridurre il rischio di perdita di dati su dispositivi