Attacchi informatici "a blocchi": perché sono così preoccupanti?

Secondo una recente indagine gli attacchi informatici a blocchi saranno una grande sfida per gli esperti di sicurezza: ecco perché.

Secondo il rapporto trimestrale HP Wolf Security Threat Insights, pubblicato ad agosto 2023, i criminali informatici stanno lanciando sempre più spesso attacchi informatici “a blocchi” per eludere gli strumenti di rilevamento.

Stando a quanto descritto nel rapporto, gli autori delle minacce stanno concatenando diverse combinazioni di attacchi, come se si trattasse di blocchi LEGO®.

Nel documento viene descritto come “Le campagne creative di QakBot hanno visto gli autori delle minacce collegare insieme diversi blocchi per creare catene di infezione uniche. Cambiando diversi tipi di file e tecniche come i mattoncini LEGO®, sono riusciti a bypassare gli strumenti di rilevamento e le policy di sicurezza. Il 32% delle catene di infezione QakBot analizzate da HP nel secondo trimestre erano uniche“.

Secondo Yesh Surjoodeen, MD di HP Southern Africa, questi tipi di attacchi sono diffusi a livello globale “I maggiori distributori di spam dannoso come QakBot e IcedID prendono di mira aziende e privati in tutto il mondo. Alcune varianti di malware come QakBot rubano dati di posta elettronica da computer infetti. I suoi operatori possono dire al malware di rispondere ai messaggi di posta elettronica rubati con collegamenti e allegati dannosi“.

Gli Attacchi informatici “a blocchi” rendono il lavoro difficile agli anti-malware

La ricerca di HP mostra anche che gli aggressori stanno prendendo il controllo di piattaforme legittime.

La società afferma che i cybercriminali dietro le recenti campagne Aggah hanno ospitato codice dannoso all’interno della popolare piattaforma di blogging, Blogspot. Nascondendo il codice in una fonte legittima, rende ancora più difficile per i difensori capire se un utente sta leggendo un blog o lanciando un attacco.

Non solo: gli autori delle minacce sfruttano la loro conoscenza dei sistemi Windows per disabilitare alcune funzionalità anti-malware sul computer degli utenti, eseguire XWorm o il trojan di accesso remoto AgentTesla e rubare informazioni sensibili.

Secondo Surjoodeen “I criminali informatici stanno provando molte combinazioni di tecniche per trovare un percorso nelle reti aziendali, ma ci sono dei passi che le aziende possono intraprendere per rendere la vita degli aggressori più difficile“.

Altri dati interessanti emersi dalla ricerca

Il report di HP ha mostrato anche altre informazioni interessanti. Ecco riassunte alcune delle percentuali e statistiche emerse:

  • I principali vettori di minacce nel secondo trimestre sono stati la posta elettronica (79%) e i download da browser (12%);
  • Gli archivi sono stati il tipo di distribuzione di malware più popolare per il quinto trimestre consecutivo, utilizzati nel 44% dei casi analizzati da HP;
  • Il secondo trimestre ha visto un aumento del 23% delle minacce HTML bloccate da HP Wolf Security rispetto al primo trimestre;
  • Si è verificato un aumento del 4% negli eseguibili (dal 14% al 18%) dal primo al secondo trimestre, causato principalmente dall’utilizzo del file PDFpower.exe, che raggruppava software con un malware di dirottamento del browser;
  • HP ha notato un calo del 6% nel malware dei fogli di calcolo (dal 19% al 13%) nel primo trimestre rispetto al quarto trimestre, poiché gli aggressori si stanno allontanando dai formati Office in cui è più difficile eseguire le macro.
Fonte: itweb.co.z

Ti consigliamo anche

Link copiato negli appunti