Gli analisti di Proofpoint hanno identificato le campagne di phishing tra alcune delle principali tendenze negli attacchi rivolti alle PMI tra il 2022 e il 2023. Gli analisti infatti hanno identificato tre trend principali: l’utilizzo di infrastrutture delle aziende compromesse durante campagne di phishing; l’individuazione di PMI locali da parte di entità di matrice statale per il furto di denaro. Infine l’individuazione di MSP (Managed Service Provider) regionali vulnerabili da phishing, favorendo così il rischio di attacchi alla supply chain delle PMI.
Il panorama degli attori APT
I ricercatori di Proofpoint hanno condotto un’analisi retroattiva sulle PMI colpite dal primo trimestre 2022 al 1° trimestre 2023. Sfruttando la telemetria di Proofpoint Essentials, che comprende oltre 200.000 utenti di piccole e medie imprese, i ricercatori sono stati in grado di identificare le tendenze chiave nel panorama degli attori APT. Esaminando questi dati, hanno identificato una serie di attori che puntano specificamente alle PMI, tra cui APT allineati con i governi russo, iraniano e nordcoreano. Questa ricerca mette in evidenza le minacce affrontate oggi e mette a disposizione della loro community casi d’uso di attacchi registrati nel corso dell’ultimo anno.
Il phishing principale pericolo
Michael Raggi, Staff Threat Research Engineer di Proofpoint Sempre più spesso le analisi condotte da Proofpoint sul phishing riportano dati di PMI bersaglio di attacchi informatici sponsorizzati da stati. Gli attori di minacce persistenti avanzate hanno compreso l’utilità di colpire anche le aziende di più piccole, sia per le preziose informazioni che possono offrire che per la possibilità di penetrare più facilmente nella loro supply chain. Proofpoint prevede che nel 2023 le PMI saranno ancora più spesso prese di mira da attori APT provenienti da ogni area geografica.
Molte organizzazioni che cercano di proteggere la propria rete si concentrano spesso su BEC (business email compromise), cybercriminali, ransomware e malware standard. Pericoli presenti comunemente nelle email ricevute ogni giorno da milioni di utenti in tutto il mondo. Meno comune e diffusa è invece la comprensione degli APT e delle loro campagne di phishing.
Gli autori di queste minacce sono entità ben finanziate, che seguono una particolare missione strategica che può includere spionaggio, sottrazione di proprietà intellettuale, attacchi distruttivi, furto finanziario sostenuto da un’entità statale e campagne di disinformazione. Sebbene siano più rari e mirati rispetto alle attività di criminalità IT comune, i dati di Proofpoint indicano che gli APT continuano a essere interessati a considerare come obiettivo le PMI che rientrano nei campi e casi sopra indicati e possono essere meno protette.
Questi i trend APT emergenti
Esaminando i dati di un anno di campagne APT, i ricercatori di Proofpoint hanno identificato attori russi, iraniani e nordcoreani. Personaggi interessati a prendere principalmente di mira, tramite campagne di phishing, le PMI. Sono tre le principali tendenze collegate emerse durante la ricerca di Proofpoint:
APT che utilizzano infrastrutture compromesse di PMI durante le loro campagne di phishing;
APT di matrice statale che prendono di mira i servizi finanziari delle PMI per avere un ritorno economico diretto;
APT che colpiscono le PMI per lanciare attacchi alla supply chain.
Per la sicurezza delle PMI il phishing rimane il principale pericolo
I ricercatori di Proofpoint hanno osservato un maggior numero di casi di impersonificazione o compromissione di domini o indirizzi email di PMI nel corso dell’ultimo anno, spesso partiti da un server o un account di posta elettronica. L’attacco può essere il risultato di una raccolta di credenziali o, nel caso di un server, lo sfruttamento di una vulnerabilità non patchata. Una volta ottenuta la compromissione, l’indirizzo di posta elettronica è stato utilizzato per inviare email dannose ai successivi obiettivi. Se un attore ha compromesso un server che ospita un dominio, ha poi abusato di questa infrastruttura legittima per ospitare o inviare malware a un obiettivo terzo.
Nel mirino enti governativi Usa ed europei
I ricercatori di Proofpoint hanno recentemente identificato un esempio di infrastruttura di PMI compromessa utilizzata dall’attore APT TA473 (indicato nelle informazioni open-source come Winter Vivern) in campagne di phishing da novembre 2022 a febbraio 2023. Queste operazioni hanno preso di mira enti governativi statunitensi ed europei. Nel marzo 2023, Proofpoint ha pubblicato dettagli sulle email trasmesse da TA473 tramite indirizzi di posta elettronica compromessi. In diversi casi, provenivano da domini ospitati su WordPress che potevano essere privi di patch o non sicuri al momento della compromissione. Inoltre, i server webmail di Zimbra, che non presentano patch, sono stati sfruttati per compromettere gli account di enti governativi. TA473 ha anche utilizzato domini di piccole e medie imprese per distribuire payload di malware.
Il caso di TA499
Infine, i ricercatori hanno osservato un caso di impersonificazione nel maggio 2022. Quando TA499 (noto anche come Vovan e Lexus, figure scelte direttamente dagli attori della minaccia), con sede in Russia, sostenuto dallo stesso Stato russo e che opera tramite finte richieste di partecipazioni a videoconferenze pro-Ucraina, ha preso di mira un’azienda di medie dimensioni. Società che rappresenta importanti celebrità negli Stati Uniti. TA499 ha cercato di attirare un importante personaggio americano in una videoconferenza sul conflitto in Ucraina, spacciandosi per il presidente ucraino Volodymyr Zelensky. Proofpoint è stata in grado di attribuire questa campagna a TA499 sulla base di una serie di indirizzi email e domini controllati dall’attore che il gruppo ha utilizzato costantemente per tutto il 2022.
Tanti i cyber pericoli, ma il phishing rimane il principale pericolo
Oltre allo spionaggio, al furto di proprietà intellettuale e agli attacchi distruttivi, gli attacchi a sfondo finanziario da parte di attori di matrice statale rimangono una minaccia persistente per il settore dei servizi finanziari. Negli anni passati, APT vicini alla Corea del Nord hanno preso di mira istituzioni di servizi finanziari, finanza decentralizzata e tecnologia block chain. Obiettivo quello di rubare fondi e criptovalute, in gran parte utilizzati per finanziare diversi aspetti delle operazioni governative della Corea del Nord.
Attacchi crescenti contro provider regionali
L’ultima tendenza emergente osservata tra il 2022 e il 2023 è l’aumento del numero di attacchi APT che prendono di mira MSP (Managed Service Provider) regionali vulnerabili per renderli vettore di attacchi alla supply chain. Gli MSP regionali spesso proteggono centinaia di PMI locali, di cui molte con misure di sicurezza limitate e non di livello enterprise. Di conseguenza, Proofpoint ha osservato diversi casi di MSP regionali presi di mira in campagne di phishing all’interno di aree geografiche in linea gli obiettivi strategici degli attori APT.
Il phishing principale pericolo per la sicurezza delle PMI
A metà gennaio 2023, i ricercatori di Proofpoint hanno osservato che TA450, noto pubblicamente come Muddywater e attribuito al Ministero dell’Intelligence e della Sicurezza iraniano, ha preso di mira due MSP regionali israeliani e aziende di supporto IT tramite una campagna di phishing. L’aver preso di mira gli MSP regionali in Israele è in linea con l’obiettivo geografico storico di TA450. Inoltre, questa recente campagna indica che TA450 prosegue nel proprio interesse a colpire fornitori regionali di tecnologia, al fine di accedere agli utenti PMI attraverso attacchi alla supply chain delle MSP regionali vulnerabili.
Focus non solo sulle PMI
Un panorama di phishing APT sempre più complesso indica a colpo d’occhio che gli attori delle minacce cercano sempre più spesso di colpire PMI e MSP regionali. I dati di Proofpoint dell’ultimo anno indicano che diverse nazioni e noti attori di minacce APT si stanno concentrando sulle piccole e medie imprese, oltre che su governi, forze armate e principali aziende. Attraverso la compromissione dell’infrastruttura delle piccole e medie imprese per colpire successivamente obiettivi secondari, furti finanziari di matrice statale e attacchi alla supply chain di MSP regionali, gli attori APT rappresentano un rischio tangibile per le PMI.
