Gio. Mag 23rd, 2024
Gli hacker utilizzano i paesi in via di sviluppo come banco di prova per nuovi attacchi ransomware

Gli aggressori informatici stanno sperimentando il loro ultimo ransomware su aziende in Africa, Asia e Sud America prima di prendere di mira i paesi più ricchi che dispongono di metodi di sicurezza più sofisticati.

Secondo un rapporto pubblicato mercoledì dalla società di sicurezza informatica Performanta, gli hacker hanno adottato una “strategia” di infiltrazione nei sistemi nei paesi in via di sviluppo prima di spostarsi verso obiettivi di valore più elevato come in Nord America ed Europa.

“Gli avversari utilizzano i paesi in via di sviluppo come piattaforma in cui possono testare i loro programmi dannosi prima che vengano presi di mira i paesi più intraprendenti”, ha detto l'azienda Rischio bancario e regolamentazioneun servizio di FT Specialist.

I dati mostrano che i recenti obiettivi del ransomware includono una banca senegalese, una società di servizi finanziari in Cile, un'impresa fiscale in Colombia e un'agenzia economica governativa in Argentina, che sono state colpite come parte delle operazioni di prova delle bande criminali nei paesi in via di sviluppo.

La ricerca arriva in un momento in cui gli attacchi informatici sono quasi raddoppiati rispetto a prima della pandemia di Covid-19, esacerbati nei paesi in via di sviluppo dalla rapida digitalizzazione, dalle buone reti Internet e da una protezione “inadeguata”, ha affermato questo mese l’FMI.

Le perdite segnalate da incidenti informatici alle imprese di tutto il mondo dal 2020 sono salite a quasi 28 miliardi di dollari, con miliardi di record rubati o compromessi, ha affermato il FMI, aggiungendo che i costi totali saranno probabilmente “sostanzialmente più alti”.

La tattica del “terreno di sosta” ha funzionato perché le aziende di quei paesi avevano “meno consapevolezza della sicurezza informatica”, ha affermato Nadir Izrael, responsabile della tecnologia presso il gruppo di sicurezza informatica Armis.

“Diciamo che attaccherete le banche”, ha detto Izrael. “Proveresti un nuovo pacchetto armato in un paese come il Senegal o il Brasile, dove ci sono abbastanza banche che potrebbero essere simili, o bracci internazionali di aziende simili a quelle che vorresti provare ad attaccare”.

Medusa, una banda informatica che “trasforma i file in pietra” rubando e crittografando i dati delle aziende, ha iniziato ad attaccare le aziende nel 2023 in Sud Africa, Senegal e Tonga, afferma il rapporto Performanta. Lo scorso anno Medusa è stata responsabile di 99 violazioni negli Stati Uniti, nel Regno Unito, in Canada, in Italia e in Francia.

I team di sicurezza rilevavano gli avvisi relativi a un attacco imminente, ma l'utente medio ne veniva a conoscenza solo quando veniva bloccato fuori dal proprio sistema informatico, ha affermato Hanah-Marie Darley, direttore della ricerca sulle minacce della società di sicurezza informatica Darktrace.

Un file, con oggetto !!!READ_ME_MEDUSA!!!.txt., istruirebbe l'utente ad accedere al dark web e ad avviare la negoziazione del riscatto con il “servizio clienti” della banda. Se le vittime rifiutano, gli aggressori informatici pubblicano i dati rubati.

Le società di sicurezza informatica monitorano il dark web alla ricerca di informazioni e poi creano “honeypot” – siti web falsi che imitano obiettivi allettanti – nei paesi in via di sviluppo per catturare attacchi sperimentali in una fase iniziale.

Quando quest’anno un gruppo di aggressori informatici ha iniziato a discutere di una nuova vulnerabilità, denominata CVE-2024-29201, ha “preso di mira specificamente alcuni [exposed servers] nei paesi del terzo mondo per verificare quanto fosse affidabile l'exploit”, ha detto Izrael di Armis, i cui analisti stavano monitorando le conversazioni della banda sul dark web.

Gli attacchi agli honeypot di Armis 11 giorni dopo hanno confermato i sospetti: la banda ha colpito solo il sud-est asiatico, prima di utilizzare le tecniche in una fase successiva su più vasta scala.

Sherrod DeGrippo, direttore della strategia di threat intelligence di Microsoft, ha tuttavia affermato che alcune bande informatiche sono troppo “opportunistiche” per testare nuovi attacchi in modo così metodico.

Piuttosto, i paesi in via di sviluppo hanno sperimentato un aumento dell’attività poiché gli hacker nei paesi più poveri potevano acquistare ransomware a basso costo e organizzare i propri piccoli attacchi, ha affermato DeGrippo.

Gruppi come Medusa avevano iniziato a vendere le loro invenzioni ad hacker meno sofisticati, ha affermato il direttore di Darktrace Darley. Questi hacker su piccola scala spesso non sapevano come funziona la tecnologia e la usavano contro obiettivi più facili, ha detto.

Tutti gli aggressori che si sono presi il tempo di “sandboxare le loro tecniche” – per sperimentare in zone informatiche relativamente incustodite nei paesi in via di sviluppo – erano più sofisticati, ha aggiunto.

Teresa Walsh, responsabile dell'intelligence presso l'organismo globale di intelligence sulle minacce informatiche FS-ISAC, ha affermato che le bande lavoreranno nell'ambiente locale per “perfezionare” i metodi di attacco, ha affermato, e quindi “esportare” i loro schemi in paesi in cui potrebbe essere parlata la stessa lingua. : dal Brasile al Portogallo, per esempio.

La velocità dell’adozione del digitale in Africa “sta superando lo sviluppo di solide misure di sicurezza informatica e la consapevolezza generale delle minacce informatiche è bassa”, ha affermato Brendan Kotze, analista informatico di Performanta.

“Tutto ciò crea un preoccupante e crescente divario nelle difese sfruttate dai criminali informatici”, ha aggiunto.