BLOG 24Care - 24Care

Un approccio "lento e lento" agli attacchi informatici guidati dal punto di vista finanziario ha superato il ransomware come principale vettore di attacco per criminali che cercano di estorcere denaro con la furtività usando il malware basato su cripto-mining, secondo la ricerca della britannica Cybersecurity upstart Darktrace.

Anche se il ransomware ha fatto scalpore quando ha creato scompiglio in tutto il Regno Unito, Europa e America, in particolare con WannaCry, una nuova generazione di malware si trova invece tranquillamente sui dispositivi degli utenti e nei data center per rubare elettricità e larghezza di banda alle mie criptovalute come Monero

Secondo Darktrace, per tutto il 2018 e fino al 2019 c'era stata una crescente importanza del malware con i payload di cripto mining, così come il ritorno dei trojan bancari.

Parlando con Computerworld UK , direttore della caccia alle minacce presso la compagnia Max Heinemeyer, ha detto che Darktrace aveva visto "forme molto creative di criptazione in corso". Speculando sul motivo per cui questo cambiamento stava avvenendo, ha detto che è possibile che gli attori delle minacce abbiano perso profitti perché le vittime del ransomware potrebbero non essere abbastanza esperti di tecnologia per andare effettivamente su Tor e fare pagamenti con bitcoin.

"Un approccio migliore potrebbe essere quello di andare sottoterra e utilizzare il criptaggio minerario perché è basso e lento e garantisce un profitto", ha affermato.

Heinemeyer ha detto che la società aveva persino visto un aggressore, che era un amministratore di sistema presso una delle principali banche europee, installare un dispositivo minerario sotto le assi del centro dati per il quale lavorava per sfruttare la capacità del suo posto di lavoro.

E una società nel Regno Unito è stata colpita da una variante di criptovaluta che si è diffusa lateralmente attraverso l'organizzazione in pochi minuti dall'email iniziale di spear phishing, in cui il trojan si era diffuso a più di 400 dispositivi nell'ambiente.

"Abbiamo visto malware di crittografia che non funziona a pieno regime per evitare il surriscaldamento dei computer e far girare il ventilatore al 100%, per evitare che queste implicazioni fisiche siano molto rumorose", ha affermato.

A differenza del bitcoin, Monero è relativamente facile da estrarre dall'hardware delle commodity, quindi è più facile estrarre la valuta da un laptop run of the mill e quindi più redditizio.

"Abbiamo visto così tante diverse varianti di come questi pezzi di malware si stanno diffondendo o caricando, è giusto dire che ci sono molti giocatori nel mercato dei criptovaluti, e le barriere all'entrata nella creazione del proprio malware criptovalute sono piuttosto semplice in questi giorni ", ha detto.

Le frodi con carta di credito sono "ingombranti" perché, per evitare di allertare immediatamente le forze dell'ordine, i criminali devono istituire reti di riciclaggio di denaro in cui gli intermediari possono acquistare beni di lusso con i dati rubati. Il ransomware è stato "un altro bel modo per monetizzare" e ora il criptovaluto delle valute è "un altro strumento nel loro arsenale", come ha affermato Heinemeyer.

Mentre l'estrazione tramite crittografia potrebbe non essere ovviamente dannosa per una vittima, è altrettanto pericolosa di altri attacchi perché una volta che una macchina viene compromessa, si possono stabilire altre porte posteriori e, ad esempio, trasformarsi in un trojan della carta di credito in seguito.

"Quindi c'è ancora un enorme rischio, oltre all'evidente elettricità e potenza di calcolo che viene rubata", ha detto Heinemeyer.

Case study: CCTV impazzita

Il nuovo rapporto è legato al lancio dei nuovi moduli di risposta al sistema di intelligenza artificiale di Antigena di Darktrace e include anche alcuni esempi di attacchi che il venditore ha visto.

I moduli Antigena si estendono oltre la rete interna di un'organizzazione e nel cloud pubblico (in particolare AWS e Azure) oltre a Office 365 e altre applicazioni software-as-a-service.

La società ha scoperto che in una società di consulenza per investimenti in Giappone, un sistema TVCC collegato a Internet era stato compromesso, il che significava che potevano vedere l'intero ufficio, compreso l'ufficio del CEO e la sala del consiglio.

Tuttavia, la società sostiene che i suoi algoritmi hanno rilevato un comportamento insolito sul server CCTV non criptato, con grandi volumi di dati che si spostano verso un indirizzo Web sconosciuto. Qui Antigena ha bloccato il trasferimento dei dati dal dispositivo ai server esterni, consentendo al contempo alla telecamera di funzionare come previsto.

"La maggior parte degli strumenti di protezione legacy non prenderebbe questo perché direbbero, 'Non ho una regola per questo' - una telecamera CCTV diventata canaglia", ha detto Heinemeyer. "La nostra IA combatte in modo autonomo invece di aspettare che l'umano confermi questo, guarda in questo e cerca questo, perché i dati stanno andando là fuori in questo momento, la nostra IA ferma il traffico e dice invece che questa telecamera CCTV sta diventando una canaglia" intenzione di far rispettare ciò che fanno tutte le altre telecamere a circuito chiuso.

"Quindi le normali operazioni verranno applicate e solo il comportamento strano verrà interrotto, quindi l'estrazione dei dati è stata interrotta, ma la telecamera CCTV potrebbe ancora essere utilizzata dal team CCTV interno."