Il secondo trimestre (Q2) del 2017 ha visto la comparsa di nuovi tool molto avanzati, usati per attacchi particolarmente nocivi, tra cui tre exploit zero-day e due attacchi inediti: WannaCry ed ExPetr. L’analisi condotta su queste due campagne suggerisce che il codice sia stato utilizzato prima che fosse completamente pronto, una situazione insolita per criminali dotati di ampie risorse.
Tra i cyber criminali attivi in questa fase vanno principalmente citati gruppi criminali di lingua russa, inglese, coreana e cinese. Le campagne di WannaCry ed ExPetr, presumibilmente finanziate da uno stato-nazione, hanno colpito numerose aziende e organizzazioni in tutto il mondo, diventando il primo esempio – e probabilmente non l’ultimo – di un nuovo pericoloso trend.
Ecco i dati più interessanti del report targato Kaspersky Lab
Cresce la preoccupazione per le minacce zero-day: tre exploit zero-day per Windows sono stati utilizzati in-the-wild dai gruppi criminali di lingua russa Sofacy e Turla. Sofacy, noto anche come APT28 o FancyBear, ha sfruttato gli exploit ai danni di vari obiettivi europei, tra cui organizzazioni governative e politiche. Il gruppo ha inoltre testato dei tool sperimentali, in particolare contro un membro di un partito politico francese prima delle elezioni.
Attacchi sempre più globali e distruttivi: sebbene molto diversi per caratteristiche e obiettivi, gli attacchi WannaCry (12 maggio) ed ExPetr (27 giugno) hanno visto l’uso di “ransomware” sorprendentemente inefficaci. Nel caso di WannaCry, la rapida diffusione globale e l’alto profilo dell’attacco hanno richiamato l’attenzione sull’account Bitcoin dei criminali, complicando la riscossione del “riscatto”. Questo suggerisce che il vero obiettivo di WannaCry fosse la distruzione dei dati. Kaspersky Lab ha scoperto ulteriori legami tra il gruppo Lazarus e WannaCry.
“Ransomware” veri o … falsi? Anche ExPetr, che ha preso di mira organizzazioni in Ucraina, Russia e altri stati europei, sembrava un ransomware ma si è rivelato puramente distruttivo. La ragione degli attacchi ExPetr rimane tuttora ignota. Kaspersky Lab ha ipotizzato un possibile collegamento con il gruppo criminale Black Energy.
Il report relativo ai trend delle APT nel secondo trimestre riassume i contenuti del report di threat intelligence di Kaspersky Lab riservato agli abbonati.
Morten Lehn, General Manager Italy, Kaspersky Lab Da molto tempo sottolineiamo l’importanza di una threat intelligence veramente globale, che aiuti a difendere i network critici e sensibili. Continuiamo ad assistere allo sviluppo di gruppi criminali estremamente aggressivi, che non si preoccupano delle condizioni di Internet e di quelle aziende e istituzioni fondamentali che si basano sulla rete. Con la crescente diffusione di cyber spionaggio, sabotaggio e crimine informatico, è sempre più importante unirsi e condividere le proprie tecnologie all’avanguardia per contrastare tutte le minacce.
