L’ICS CERT di Kaspersky ha condotto una serie di ricerche sugli attacchi al settore industriale nell’Europa dell’Est. L’ultimo report sulla ricerca riguarda un malware di terza fase, progettato per caricare file su Dropbox e coordinarsi con altri impianti di malware per esfiltrare i dati.
Questa terza fase dell’attività di esfiltrazione dei dati prevede una catena di esecuzione del malware anch’essa in tre step. In primo luogo, la catena di esecuzione stabilisce la persistenza e gestisce il posizionamento e l’avvio del modulo malware della seconda fase che è responsabile del caricamento dei file raccolti su un server remoto con l’aiuto del modulo di terza fase. La complessa architettura consente all’attore della minaccia di ricalibrare il flusso di esecuzione, sostituendo singoli moduli all’interno della catena. In alcuni casi, la catena potrebbe essere utilizzata per esfiltrare i dati da segmenti di rete isolati da Internet, creando un archivio intermedio/proxy per i dati rubati all’interno della rete delle vittime.
Nel panorama in evoluzione di questa campagna di cyberattacco, l’attore della minaccia ha distribuito una catena di malware per accedere ai file della casella di posta elettronica di Outlook, per eseguire comandi remoti e per effettuare il caricamento di file “.rar” locali o remoti su Dropbox.
Non c’è un metodo solo per esfiltrare i dati
Inoltre, la ricerca evidenzia l’uso di strumenti per il trasferimento manuale dei dati: uno di questi è stato progettato specificamente per spostare i file da e verso Yandex Disk. Mentre un altro consente di caricare facilmente i file su 16 servizi di condivisione temporanea di file. Un terzo, scaricato da Yandex Disk, aveva la funzionalità di inviare i dati di log dell’esecuzione della catena di impianti agli account di posta elettronica Yandex.
Queste informazioni permettono di comprendere le sofisticate tecniche di esfiltrazione dei dati degli attori delle minacce.
“La nostra analisi completa sottolinea la perseveranza e l’astuzia degli attori delle minacce nella loro ricerca di dati sensibili. Svelando i meccanismi di questi impianti avanzati, forniamo alla cybersecurity community conoscenze cruciali per rafforzare le difese contro attacchi sempre più sofisticati”, ha commentato Kirill Kruglov, Senior Security Researcher di Kaspersky ICS CERT.
Il report completo sulla terza fase della campagna è consultabile al sito web di ICS CERT.
Per proteggere i computer OT da varie minacce, gli esperti di Kaspersky consigliano di:
- Condurre regolari valutazioni di sicurezza sui sistemi OT per identificare ed eliminare possibili problemi di sicurezza informatica.
- Stabilire un sistema continuo di valutazione e gestione delle vulnerabilità come base per un processo efficace per la loro risoluzione. Le soluzioni dedicate, come Kaspersky Industrial Cybersecurity, possono diventare un aiuto efficiente e una fonte di informazioni esclusive, non completamente disponibili pubblicamente.
- Aggiornare tempestivamente i componenti chiave della rete OT dell’azienda, applicare le correzioni e patch di sicurezza o implementare misure di compensazione non appena sia tecnicamente possibile sono azioni fondamentali per prevenire un incidente grave che potrebbe costare milioni, a causa dell’interruzione del processo produttivo.
- Utilizzare soluzioni integrate di rilevamento e prevenzione degli attacchi, come Kaspersky Industrial Cybersecurity, per il rilevamento e la prevenzione tempestivi di minacce sofisticate, la ricerca e la correzione efficace degli incidenti.
- Migliorare la risposta a nuove e avanzate tecniche dannose, come l’esfiltrazione dei dati, costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Una formazione dedicata alla sicurezza OT per i team di sicurezza IT e per il personale OT è una delle misure chiave per raggiungere questo obiettivo.