Chi ha detto che i malware si diffondono solo tramite la rete?
Negli ultimi mesi si sta registrando un picco di casi per quanto riguarda le infezioni tramite drive USB, con un numero di casi triplicato nel corso della prima metà del 2023.
Gli ultimi arrivati, in questo senso, sono i malware noti come Sogu e Snowydrive. Questi agenti malevoli, individuati per la prima volta da Mandiant, prediligono vittime nel contesto del settore pubblico e privato, in diversi paesi sparsi in tutto il mondo.
Nel caso di Sogu, si parla di un agente malevolo che sfrutta le unità USB per spionaggio informatico, andando a colpire organizzazioni pubbliche ed entità simili con un alto livello di aggressività. La diffusione di Sogu risulta notevole, con casi registrati in Europa, Asia e Stati Uniti.
Secondo le ricerche degli esperti, questo malware proviene dalla Cina ed è riconducibile a gruppi che si trovano a stretto contatto con Mustang Panda, una delle gang più famose e prolifiche del paese asiatico.
Sogu, Snowydrive e i casi di infezioni drive USB triplicati nel 2023
Anche Snowydrive sfrutta le unità USB per la sua diffusione. In questo caso, però, il malware sembra prediligere organizzazione petrolifere e del gas, soprattutto in Asia.
Rommel Joven e Ng Choon Kiat, ricercatori di Mandiat, affermano che “Una volta caricato, Snowydrive crea una backdoor sul sistema host, dando agli aggressori la possibilità di impartire comandi di sistema in remoto” aggiungendo che, quando il malware infetta un dispositivo tramite USB è poi in grado di propagarsi attraverso la rete“.
Alcune delle funzionalità della pericolosa backdoor consistono nell’eseguire ricerche di file e cartelle, caricare e scaricare file e lanciare reverse shell.
Per quanto riguarda la prevenzione, infine, i ricercatori hanno voluto spiegare come le aziende possono limitare fortemente i rischi “Le organizzazioni dovrebbero dare la priorità all’implementazione di restrizioni sull’accesso a dispositivi esterni come le unità USB. Se ciò non è possibile, dovrebbero almeno scansionare questi dispositivi alla ricerca di file o codici dannosi prima di collegarli alle loro reti interne“.