MILANO. Sono in costante crescita i clienti italiani attaccati da Ursnif, il gruppo criminale più volte associato alla Russia e noto anche con l’acronimo di Gozi, che ha alle spalle una lunga storia in materia di attacchi informatici. Questo il dato emerso dalle analisi di Cynet, azienda israeliana leader nel rilevamento e nella gestione delle minacce avanzate nell’ambito della sicurezza informatica, che ha osservato un trend sensibilmente crescente nel corso dell’ultima settimana rivolto esclusivamente a clienti italiani.
Analizzando il comportamento di Ursnif e i danni a esso correlati, emerge che il loro modus operandi è prevalentemente orientato all’esfiltrazione di dati, anche se sono state osservate varianti che aggiungono capacità quali backdoor (righe di codice informatico grazie alle quali un utente può entrare come amministratore all’interno di siti web e computer, senza avere alcun accesso autorizzato), spyware (un tipo di software che raccoglie informazioni riguardanti l’attività online di un utente senza il suo consenso) e file injector (un software che permette di iniettare artefatti per successivi attacchi).
Tra le principali evidenze emerse dall’analisi di Cynet, risulta che i clienti su cui è stato rilevato il tentativo di attacco non hanno alcuna omogeneità di mercato; sono stati infatti rilevati tentativi di esfiltrazione dati al settore sanitario, alle forze armate, all’e-commerce fino alla grande distribuzione e industria.
Secondo Cynet il gruppo Ursnif avrebbe attaccato molti dei suoi clienti italiani al fine di esfiltrare dati
Come agisce il gruppo UrsnifL’attacco inizia con un’attività di spearfishing, che per inciso si differisce dal phishing per la personalizzazione del messaggio, ricavata da informazioni online. L’attacco viene realizzato utilizzando informazioni della vittima, in modo che la mail risulti personalizzata e legata ad un servizio effettivamente utilizzato dall’obiettivo; in questo modo la vittima viene invitata a compilare un form allegato – in questo caso un file EXCEL – che contiene il payload malevolo. A questo punto, non resta che effettuare il download e l’esecuzione di una DLL attraverso il crash di regsvr32 – un file di sistema di Windows in grado di manipolare altri programmi e monitorare applicazioni – per attivare un Command-and-control server per l’ambiente della vittima.
“L’obiettivo primario del gruppo Ursnif è il furto di datifinalizzato a ricevere guadagni non autorizzati e compiere altri attacchi utilizzando le informazioni presenti”, afferma Marco Lucchina, Channel Manager Italy, Spain & Portugal di Cynet.“Ursnif è stato già segnalato in diverse campagne phishing nelle ultime settimane, associato a dei messaggi quali ‘Ricevuta AgenziaEntrate’ o ‘sollecito DHL’ ma, grazie all’attività svolta dal nostro Orion Group (Threat Intelligence), abbiamo rilevato un utilizzo molto più ampio e attacchi mirati personalizzati per singolo cliente. Inoltre, il fatto che Cynet abbia rilevato e bloccato la minaccia nel momento in cui l’utente ha fatto doppio click innescando il primo payload malevolo, significa che i livelli di protezione precedenti quali antispam e formazione degli utenti non sono stati sufficientemente efficaci, campanello d’allarme che indica l’importanza di adottare una ‘difesa in profondità'”.
CynetCynet 360 è la prima piattaforma di Autonomous Breach Protection al mondo che integra in modo nativo le capacità di prevenzione e rilevamento degli attacchi di endpoint, utenti e reti XDR con un motore di incidenti che automatizza completamente le azioni di indagine e di rimedio, supportato da un servizio MDR di livello mondiale 24 ore su 24, 7 giorni su 7. La protezione end-to-end e completamente automatizzata delle violazioni è ora alla portata di qualsiasi organizzazione, indipendentemente dalle dimensioni e dal livello di abilità del team di sicurezza.
© RIPRODUZIONE RISERVATA
