I cybercriminali continuano a sfruttare la pandemia Covid-19 per sferrare attacchi informatici contro privati e aziende. I nuovi report delle società di sicurezza Palo Alto Networks e Bitdefender mostrano che i criminali informatici stanno concentrando i loro attacchi sui Paesi che sono stati colpiti più duramente dal coronavirus e sui settori verticali sottoposti a maggiori pressioni economiche.

Con molti dipendenti che ora lavorano da casa, spesso utilizzando dispositivi personali, il rischio di infezioni da malware e compromissione delle credenziali è significativamente più elevato. Le aziende dovrebbero adottare misure per garantire un attento monitoraggio degli accessi da remoto alle proprie applicazioni e ai dati aziendali, che devono seguire i principi dei privilegi minimi e dell’autenticazione a più fattori (MFA).

Un’ondata di nuovi domini collegati a Covid-19

Secondo il report di Palo Alto Networks, tra il 9 marzo e il 26 aprile 2020 sono stati registrati oltre 1,2 milioni di nomi di dominio contenenti parole chiave correlate alla pandemia Covid-19. Di questi, oltre 86.600 sono stati classificati come rischiosi o dannosi, con elevate concentrazioni negli Stati Uniti (29.007), in Italia (2.877), Germania (2.564) e Russia (2.456). In media, ogni giorno vengono creati 1.767 nuovi domini dannosi a tema Covid-19.

Nella nostra ricerca abbiamo notato che alcuni domini dannosi si risolvono in indirizzi IP multipli e alcuni indirizzi IP sono associati a più domini”, spiegano i ricercatori di Palo Alto. “Questa mappatura ‘molti-a-molti’ si verifica spesso in ambienti cloud a causa dell’uso di reti per la distribuzione di contenuti (CDN) e può rendere inefficaci i firewall basati su IP”.

Le reti CDN riducono la latenza e migliorano le prestazioni del sito web indirizzando i visitatori del sito al server edge regionale più vicino. Tali server edge forniscono versioni dei siti memorizzate nella cache, spostando il carico dai loro server di origine. Gli aggressori possono trarre vantaggio da questo comportamento che migliora le prestazioni per la copertura, nascondendo i loro siti web dannosi tra quelli legittimi e rendendo più difficile riconoscerli e bloccarli. Questo si verifica perché, mettendo nella lista nera del firewall l’indirizzo IP di un server edge CDN, si bloccano anche i nomi di dominio non dannosi che puntano allo stesso server.

Un’altra conseguenza dell’utilizzo di CDN e servizi di hosting basati su cloud è che i nomi di dominio sono configurati con record DNS A multipli che puntano a diversi indirizzi IP. Questo viene fatto per ridondanza, ma anche per indirizzare i computer al server più vicino quando eseguono ricerche DNS. Anche questo rende difficile bloccare i siti web dannosi in base all’indirizzo IP, poiché possono puntare a siti diversi a seconda della geolocalizzazione del client.

Un firewall di livello 3 potrebbe non riuscire a bloccare il traffico verso/da un dominio dannoso, rendendo involontariamente irraggiungibili molti altri domini legittimi”, hanno sottolineato i ricercatori di Palo Alto. “È necessario un firewall più intelligente di livello 7 per ispezionare i nomi di dominio nel livello dell’applicazione e autorizzare o bloccare selettivamente le sessioni”.

I dati dell’azienda mostrano che 2.829 domini dannosi a tema Covid-19 erano ospitati in cloud pubblici, pari a circa il 5% del totale. Questo numero è relativamente basso, e potrebbe essere dovuto al fatto che i fornitori cloud hanno uno screening più rigoroso, ma mostra che alcuni aggressori sono disposti a correre il rischio per una possibilità più alta di non essere bloccati dai firewall aziendali.

Gli attacchi informatici seguono la diffusione del coronavirus

La società di sicurezza Bitdefender ha analizzato l’evoluzione delle minacce a tema coronavirus in marzo e aprile. Sulla base della sua telemetria, ha scoperto che gli aggressori tendono a concentrare gli attacchi nei Paesi e nelle regioni più duramente colpiti dal virus.

I Paesi che hanno il maggior numero di segnalazioni a tema coronavirus sembrano essere quelli più colpiti dalla pandemia”, ha affermato la società nel suo report. “I Paesi che hanno segnalato il maggior numero di attacchi malware sono Stati Uniti, Italia e Regno Unito”.

Per quanto riguarda i settori verticali, gli aggressori sembrano concentrarsi su settori fortemente colpiti dalla pandemia o che stanno affrontando una domanda più elevata o una carenza di lavoratori. Nel mese di aprile i settori verticali più colpiti sono stati retail, trasporti, produzione, istruzione e ricerca, governo, servizi finanziari, tecnologia, prodotti chimici e alimentare. Il motivo per cui l’assistenza sanitaria non è tra i primi dieci potrebbe essere dipendere dal fatto che il settore sanitario non ha meno player, e quindi target interessanti, degli altri settori.

Poiché l’indagine è strettamente basata su attacchi a tema coronavirus, non escludiamo la possibilità che nell’assistenza sanitaria e in altri settori verticali siano aumentati altri tipi di malware, come il ransomware”, ha sottolineato Bitdefender.

I dati dell’azienda mostrano che i criminali informatici hanno seguito le tendenze della diffusione del coronavirus, concentrandosi sull’Europa per gran parte del mese di marzo e rivolgendo poi la loro attenzione agli Stati Uniti nel mese di aprile. Mano a mano che esplodeva l’emergenza sanitaria nei vari Paesi, sempre più persone cercavano informazioni online e aumentava la probabilità di cliccare su link e allegati che, apparentemente, offrivano informazioni sul coronavirus. Nelle email di phishing rilevate da Bitdefender spesso i (falsi) mittenti erano organizzazioni globali come OMS, NATO e UNICEF.

La pandemia globale SARS-CoV-2 (Covid-19) non scomparirà presto e i criminali informatici continueranno a sfruttare la crisi a proprio vantaggio”, ha affermato la società. “Le minacce a tema coronavirus continueranno probabilmente sotto forma di email di spear phishing, URL fraudolenti e applicazioni dannose, sfruttando la paura e la disinformazione per indurre le vittime a distribuire involontariamente dati personali, sensibili o finanziari”.