Secondo una nuova ricerca promossa da F5 labs, il trojan malware bancario Ramnit torna a colpire il settore finanziario in Europa, ed in particolare in Italia. Infatti, ben il 40% degli attacchi avviene in Italia, mentre ci si prepara alla dichiarazione dei redditi.
A dicembre 2018, il malware Ramnit era stato il protagonista delle festività natalizie amaricane, mostrando la sua capacità di spostare il focus dell’attacco dal mondo finance ai siti di e-commerce statunitensi1. Nell’ultima analisi, invece, risulta che gli autori di Ramnit siano tornati a concentrarsi su siti dei servizi finanziari e i siti di tecnologia finanziaria, in particolare in Italia (40% di tutti gli attacchi), con una distanza significativa dagli altri Paesi europei: il 9% degli attacchi era rivolto al Regno Unito e l’8% a Francia. Complessivamente, il 70% di tutti gli obiettivi degli attacchi di Ramnit è stato localizzato in Europa, il 27% negli Stati Uniti e il 3% nel resto del mondo3.
È interessante notare che i siti di social networking hanno rappresentato solo una porzione minore degli obiettivi di questi attacchi, anche se nello stesso periodo le più importanti piattaforme di social networking del mondo, come Twitter, Facebook, Tumblr e YouTube subivano attacchi consistenti. Approfondendo l’analisi, gli F5 Labs hanno scoperto che le configurazioni di Ramnit a marzo tendevano a riadattarsi in modo costante, comprendendo tattiche di scaling web injection. Si tratta di una novità interessante che comporta la capacità di perseguire gli obiettivi senza alcun collegamento con una azienda o un sito web specifico4. Ricorrono, invece, numerose parole in francese, italiano o inglese aggiunte al mix6 nella speranza di catturare in modo casuale i siti web. Insieme a parole utilizzate come semplici obiettivi, ad esempio il termine “bonifico”, Ramnit includeva anche il nome di un’opera italiana, Il Trovatore, e alcuni nomi di dominio errati.
Roy Moshailov, head of security and malware research di F5 Networks Ramnit è un Trojan bancario persistente, emerso per la prima volta nel 2010 con forma meno sofisticata di un worm autoreplicante. Oggi, le sue tattiche e obiettivi si sono evoluti rendendolo in grado di colpire altri settori e fare potenzialmente molti più danni. Ha una grande capacità di adattarsi, come abbiamo notato nel recente passaggio al settore finanziario, e i suoi autori sono in grado di espandere in modo significativo la superficie di attacco. È fondamentale per le banche e le aziende del mondo finance implementino soluzioni per la protezione dalle frodi Web per garantire la sicurezza dei propri clienti e contribuire a ridurre l’onere di eventuali costi legati alle frodi, in particolare per le banche che vengono prese di mira in modo costante. Anche altri settori devono essere consapevoli delle tecniche sempre più intelligenti sfruttate da chi attacca, in modo da poter prendere precauzioni analoghe. La cosa più importante, infatti, è non mostrarsi mai compiacenti. Dato che i malware Trojan in genere vengono installati tramite phishing o pubblicità dannose, è quindi fondamentale che le organizzazioni offrano formazione ai proprio dipendenti e clienti in modo da renderli maggiormente consapevoli sulla sicurezza.
