Questa volta sotto il mirino dei Gozi, il loro nome “d’arte”, sembrano esserci importanti organizzazioni italiane di natura eterogenea.
Ad occuparsi del caso vi è Cynet, azienda israeliana di cybersecurity.
Cynet 360 è, infatti, la prima piattaforma di Autonomous Breach Protection al mondo che integra in modo nativo le capacità di prevenzione e rilevamento degli attacchi di endpoint.
Summary
Ursnif attacca ancora e questa volta si rifà sulle organizzazioni italiane
Ursnif, gruppo criminale più volte associato alla Russia e con alle spalle una lunga storia in materia di attacchi informatici, nell’ultimo periodo sembra voler attaccare ed indebolire principalmente organizzazioni italiane.
I dati arrivano direttamente dalle attente analisi di Cynet, azienda israeliana leader nel rilevamento e nella gestione delle minacce avanzate nell’ambito della sicurezza informatica.
Quest’ultima ha osservato nel corso dell’ultima settimana, una costante e non trascurabile crescita degli attacchi informatici rivolti a clienti italiani.
Come operano gli hacker
Dopo significative analisi è emerso che il modus operandi di Ursnif è prevalentemente orientato all’esfiltrazione di dati; anche se sono state osservate varianti che aggiungono capacità quali backdoor, spyware e file injector.
Come già accennato dall’analisi di Cynet, emerge anche che i clienti che sono stati vittima degli attacchi da parte dei Gozi, sembrano non avere quasi nulla in comune tra loro.
Fin ora quindi, pare non esserci una strategia chiara e definita dietro questi hackeraggi. Non vi è, infatti, omogeneità di mercato tra i clienti su cui è stato rilevato un tentativo di attacco.
Sono stati rilevati tentativi di esfiltrazione dati nei confronti del settore sanitario, delle forze armate, ad e-commerce fino alla grande distribuzione e industria.
L’attacco solitamente inizia con un’attività di spearfishing.
Gli hacker ricavano prima informazioni online sulla vittima, in modo che la mail malevola risulti personalizzata e legata ad un servizio effettivamente utilizzato dell’utente. Quest’ultimo poi viene guidato a compilare un form, in questo caso un file excel, che contiene il payload malevolo.
A questo punto non resta che effettuare il download e l’esecuzione di una DLL attraverso il crash di regsvr32, un file di sistema di Windows in grado di manipolare altri programmi e monitorare applicazioni, per attivare un Command-and-control server per l’ambiente della vittima.
Marco Lucchina, Channel Manager Italy, Spain & Portugal di Cynet afferma:
“L’obiettivo primario del gruppo Ursnif è il furto di dati finalizzato a ricevere guadagni non autorizzati e compiere altri attacchi utilizzando le informazioni presenti.
Ursnif è stato già segnalato in diverse campagne phishing nelle ultime settimane, associato a dei messaggi quali ‘Ricevuta AgenziaEntrate’ o ‘sollecito DHL’ ma, grazie all’attività svolta dal nostro Orion Group (Threat Intelligence), abbiamo rilevato un utilizzo molto più ampio e attacchi mirati personalizzati per singolo cliente.
Inoltre, il fatto che Cynet abbia rilevato e bloccato la minaccia nel momento in cui l’utente fa doppio click innescando il primo payload malevolo, significa che i livelli di protezione precedenti, quali antispam e formazione degli utenti, non sono stati sufficientemente efficaci, campanello d’allarme che indica l’importanza di adottare una ‘difesa in profondità’.”