Lasciare la “porta aperta” è tra le cause dell’aumento dei cyber attacchi. Marco Lucchina, Country Manager Italy, Spain and Portugal di Cynet, spiega come le chiavette USB possano diventare vettore per infettare le aziende.
Il numero di cyber attacchi che stanno colpendo il mondo intero e soprattutto il nostro Paese è in aumento costante. La conferma arriva anche dai nuovi dati di Clusit 2024 che riportano nel 2023 una crescita del 65% delle intromissioni malevole rispetto all’anno precedente. Oltre la metà degli attacchi, il 56%, ha avuto conseguenze di gravità “critica” o “elevata”, quindi si può affermare che la maggior parte dei tentativi sono andati a buon fine. Allo stesso tempo, tuttavia, la consapevolezza per una maggiore cura della cybersecurity cresce sempre di più all’interno delle aziende italiane, ma non quanto basta per evitare problematiche varie.
Il fattore umano
Quale può essere, quindi, il fattore discriminante che definisce un così alto numero di attacchi che colpiscono le aziende. Il Data Breach Investigations Report di Verizon 2023 ha evidenziato come il 73% dei cyber attacchi sia colpa del fattore umano, ovvero dell’errore che il singolo dipendente fa inconsciamente, lasciando la “porta aperta” agli attaccanti.
Sfruttare la vittima per aggirare le difese
Recentemente il team di research di Cynet ha approfondito l’attività del treat actor UNC4990. Attivo dal 2020, è protagonista di una modalità di attacco che sfrutta la propria vittima per entrare nel sistema di difesa. “Weaponization” – “armare” in italiano – è una fase specifica di un attacco informatico, il suo obiettivo è quello di creare od ottenere un codice malevolo da utilizzare in un attacco. Caricarlo su una chiavetta USB è una delle modalità per passare al livello successivo, quello del “delivery” o “consegna” del payload (codice malevolo)al bersaglio. Questo è esattamente quello che ha fatto UNC4990, facendo sì che sia la vittima stessa ad istallare il codice che permetta al gruppo l’accesso al sistema informatico.
Come avviene l’infezione tramite chiavetta
Utilizzare chiavette USB come vettore per ottenere questo risultato è sempre stato possibile. Inoltre ci sono diversi studi che hanno evidenziato come il gadget in sé sia appetibile; cosa che lo rende una modalità efficace di phishing. Raccontarlo e teorizzarlo è una cosa, poterne valutare l’efficacia un’altra.
Le chiavette USB
Il primo step è far sì che il dipendente di un’azienda trovi una chiavetta USB. Gli stratagemmi degli attaccanti sono semplici ma efficaci: abbandonano le chiavette nel parcheggio aziendale, sul bancone della reception o in sala d’attesa. Così indurre il dipendente a pensare che siano state perse da un collega, innescando il desiderio di aprirne il contenuto per capire a chi appartenga. Una volta che la vittima entra in possesso della chiavetta USB, l’infezione avviene a seguito di un doppio-click su un collegamento. Nel caso in esame si eseguono alcuni comandi Powershell per scaricare BrokerLoader da un server remoto, tipicamente servizi commerciali come ARS Technica, GitHub o GitLab per mascherare la connessione. La compromissione è servita con una backdoor attiva sulla macchina della vittima.
Chi casca nel tranello?
Attraverso una sessione di threat hunting si è cercato di capire quale profilo in genere, una volta trovata la chiavetta, la inserisce nel computer e procede anche con il doppio click. Questo metodo di indagine si basa su una sessione di ricerca attiva di una minaccia attraverso l’algoritmo di uno specifico allarme. Oppure avendo a disposizione gli indicatori di compromissione dell’attaccante (quella successione di azioni, comandi, stringhe di memoria e altro che permettono di identificare univocamente una tipologia di attacco). La cosa interessante è che in 85 clienti italiani è stato rintracciato il tentativo di attacco (rilevato e bloccato). Altro fatto interessante, l’80% di questi clienti è pubblica amministrazione mentre il rimanente sono aziende con una forte presenza di personale tecnico sul campo.
Il Cryptojacking Malware
L’analisi è stata effettuata all’interno di un perimetro di macchine protette. Non si può escludere che le stesse persone abbiano utilizzato la chiavetta sui loro dispositivi domestici o l’abbiano passata a terzi. In questo caso il Cryptojacking Malware avrebbe infettato la macchina e le sue risorse utilizzate in cluster con tutte le altre infette per “minare” criptovalute. Ossia risolvere le complesse operazioni per creare nuove monete virtuali.
Le chiavette USB come vettore per infettare le aziende
In conclusione, l’errore umano è purtroppo inevitabile e gli attaccanti lo sanno meglio di tutti. La formazione per i dipendenti rimane la via più giusta e praticabile, ma anche “non accettare chiavette USB dagli sconosciuti” dovrebbe essere un messaggio piuttosto chiaro.