Una ricerca di Mandiant, con un commento di ESET, porta alla luce due campagne di malware, Sogu e Snowydrive, veicolate attraverso USB. Infatti un nuovo report di Mandiant descrive come quest’anno siano state osservate due campagne di malware distribuite tramite USB. Una denominata “Sogu” ed è attribuita a un gruppo di spionaggio cinese “TEMP.HEX”. Invece l’altra dal nome “Snowydrive”, è attribuita a UNC4698 e prende di mira le aziende petrolifere e del gas in Asia.
Le due campagne di malware: Sogu e Snowydrive
Mandiant riferisce che Sogu è attualmente la più aggressiva campagna di cyberspionaggio associata ai drive USB. Colpisce molti settori in tutto il mondo e tenta di rubare i dati dai computer infetti. Vittime del malware Sogu: negli Stati Uniti, Francia, Regno Unito, Italia, Polonia, Austria, Australia, Svizzera. Oltre a Cina, Giappone, Ucraina, Singapore, Indonesia e Filippine. La maggior parte delle vittime appartiene ai settori farmaceutico, informatico, energetico, delle comunicazioni, sanitario e logistico, ma se ne registrano in tutti i settori.
Il commento di ESET
L’aumento negli attacchi andati a buon fine tramite drive USB è un chiaro esempio pratico del vecchio adagio “la curiosità ha ucciso il gatto”. Il vettore di attacco si basa sul fatto che i supporti USB sono raccolti o inseriti in dispositivi non sorvegliati, il che può essere prevenuto con misure di sicurezza di base. Tuttavia, richiede anche che le vittime successivamente eseguano file dal dispositivo e concedano l’accesso ai loro computer. Purtroppo, si tratta di uno scenario che è probabile si concretizzi.
“La curiosità ha ucciso il gatto”
Nel 2016, i ricercatori delle Università dell’Illinois, del Michigan e di Google hanno disseminato 297 chiavette USB nei loro campus. Secondo i risultati in seguito pubblicati, “il 98% delle chiavette USB lasciate nel campus sono state prese dai passanti e almeno il 45% le ha collegate a un computer per controllarne il contenuto”.
Proteggersi o almeno come mitigarne gli effetti
Per mitigare gli effetti negativi causati dalla curiosità, è necessario applicare una protezione di base:
educare gli utenti e i familiari su quali possono essere i pericoli a cui si incorre nel mettere in atto azioni dettate dalla curiosità. Soprattutto con media o tecnologia di cui non se ne conosce la provenienza;
nelle reti aziendali si dovrebbe applicare una rigorosa policy “zero trust”, in modo che se il malware è eseguito possa farlo solo con i privilegi minimi disponibili;
Il software di sicurezza può contribuire a ridurre ulteriormente i rischi, se:
è in grado di rilevare e bloccare qualsiasi codice sospetto a cui si accede da USB e altri supporti,
può essere impostato per bloccare le porte USB ed evitare accessi non autorizzati,
è in grado di rilevare comportamenti anomali di una macchina o di un utente in una rete.
