Andrea Carcano, co-fondatore e Cpo di Nozomi Networks, commenta la scoperta di uno spyware “anomalo” che ruba credenziali e mette a rischio la sicurezza industriale.
Alcuni ricercatori hanno scoperto diverse campagne spyware che prendono di mira le imprese industriali. Obiettivo quello di rubare le credenziali degli account e-mail e condurre frodi finanziarie o rivenderle ad altri attori. Gli attori utilizzano strumenti spyware off-the-shelf, ma distribuiscono ogni variante per un tempo limitato. E questo in modo da eludere un possibile rilevamento. Kaspersky definisce questi attacchi spyware “anomali” a causa della loro natura molto breve. La durata di vita degli attacchi è limitata infatti a circa 25 giorni, mentre la maggior parte dura mesi o addirittura anni.
Allarme per la scoperta di uno spyware “anomalo”
Una recente ricerca su una nuova serie di campagne spyware in rapida evoluzione sottolinea la dinamicità del mercato legato alle credenziali rubate, in cui si incontrano e operano diversi tipi di gruppi criminali. Alcuni attori di minacce cercano di violare le reti aziendali utilizzando qualsiasi tecnica, con l’obiettivo di vendere l’accesso acquisito ad altri gruppi criminali. Questi attori non hanno necessariamente strumenti sofisticati o target industriali specifici. Sono alla ricerca di qualsiasi obiettivo che fornisca profitto.
Sicurezza industriale – Credenziali acquistate sul mercato nero
Gli attori che comprano quelle credenziali, invece, cercano attivamente reti compromesse che siano compatibili con ogni loro piano o strategia di monetizzazione, che spesso comporta la diffusione di ransomware. Le reti ICS sono obiettivi di alto profilo, quindi non dovrebbe sorprendere che gli aggressori siano alla ricerca di credenziali che potrebbero condurre a una campagna ransomware di valore.
Il caso di Colonial Pipeline
L’attacco a Colonial Pipeline potrebbe essere un esempio di questo tipo di operazioni criminali. Presumibilmente, un gruppo di attori pericolosi è riuscito a rubare credenziali VPN, che sono state poi acquistate o recuperate sul mercatonero da un secondo gruppo criminale, che le ha utilizzate per compromettere ulteriormente la rete e infine distribuire il ransomware.
