Coronavirus - Le minacce informatiche che sfruttano il tema del virus e come non caderne vittima

Il Coronavirus (COVID-19), oltre ad essere un’emergenza sanitaria, è un’occasione che i criminali informatici stanno sfruttando per diffondere le cyber minacce. Pochi giorni fa, i CSIRT (Computer Security Incident Response Teams) europei hanno infatti innalzato il livello di allerta per la possibile crescita di attacchi informatici, mentre la polizia postale ha invitato i cittadini alla massima attenzione rispetto ai cyber criminali che sfruttano le preoccupazioni legate alla pandemia.

L' attacco informatico ai danni dell'Ospedale Spallanzani di Roma non fa che confermare il trend, definito dagli esperti del Nucleo Sicurezza Cibernetica come «una ricaduta “fisiologica” della situazione in corso, che sollecita appetiti di varia natura, per lo più di matrice criminale».

La migliore difesa agli attacchi informatici è la prevenzione, tramite il blocco sui sistemi di sicurezza degli IOC (le impronte digitali dei criminali) e la sensibilizzazione degli utenti nell'utilizzo degli strumenti informatici.

In questo articolo, la fondazione F3RM1 vuole fornire una panoramica delle principali minacce informatiche veicolate in Italia e nel mondo e fornire gli IOC analizzati finora riguardo il tema del Coronavirus.

Da oltre 2 mesi, i cyber criminali stanno facendo leva sul tema dell'epidemia per rendere ancora più efficaci le campagne d'attacco ed indurre gli utenti a cadere vittima di email di phishing, navigare siti web malevoli o eseguire il download di false mappe dei contagi che in realtà si scoprono essere virus informatici.

I primi casi, osservati dal 29 gennaio 2020, sono stati attacchi di tipo BEC (Business Email Compromise) e di phishing.

L'attacco BEC è basato sull'ingegneria sociale: il criminale si finge un'altra persona, tipicamente l'amministratore delegato dell'azienda o un conoscente bisognoso di aiuto, e, via email, richiede alla vittima un trasferimento di denaro straordinario. Il conto corrente bancario del beneficiario è ovviamente controllato dall'attaccante che, in questo modo, compie la truffa.

Oltre agli attacchi mirati accennati sopra, è stato registrato anche l'aumento delle campagne di phishing.

Queste email malevole, facendo leva su finte comunicazioni importanti riguardanti il virus, inducono l'utente ad aprirne l'allegato, o a cliccare su un link per poi sottrarre indormazioni finanziarie, credenziali di accesso alla posta elettronica, Facebook, DocuSign o Microsoft OneDrive.

In molti casi, per dare più credibilità alla comunicazione, è stato sfruttato il nome di organizzazioni come la World Health Organization (WHO), gli United States Centers for Disease Control (CDC), ma anche delle organizzazioni sanitarie di Canada e Australia.

Se uno dei primi target è stata evidentemente la Cina, le nazioni prese di mira in seguito con maggiore intensità sono state soprattutto Italia, Repubblica Ceca, Giappone, USA, Canada, Australia e Turchia. I settori coinvolti vedono fra i primi quelli della sanità, della formazione, della manifattura, dei media; in alcuni frangenti anche quello alberghiero.

Oltre al furto delle credenziali, i criminali stanno utilizzando il phishing anche per distribuire software malevoli sotto forma di applicazioni fraudolente (e.g. finte mappe dei contagi), documenti con informazioni esclusive sul Coronavirus, etc. Tra le minacce distribuite si annoverano malware della tipologia Emotet, Ostap, Ursnif, ParallaxRAT, HawkEye, TrickBot, Agent Tesla, Azorult, GuLoader, Remcos, Cerberus.

Non solo phishing e malware, ma anche frodi: la Cybersecurity and Infrastructure Security Agency Americana ha infatti inviato un'allerta, rivolta sia alle aziende che ai cittadini, riguardo raccolte fondi fraudolente attraverso falsi siti web per le donazioni a supporto della lotta contro il virus.

In Italia ci sono però anche notizie di controtendenza: non tutti i criminali informatici stanno approfittando dell'emergenza sanitaria. I collettivi di Anonymous Italia e LuizSecITA hanno annunciato pubblicamente una tregua tramite la piattaforma Twitter, rassicurando sul fatto che in questi giorni di crisi saranno interrotti tutti gli attacchi verso siti web istituzionali.

Dichiarazioni di tregua simili sono state annunciate anche dal gruppo criminale che gestisce il ransomware Maze, che ha promesso di non colpire nessuna organizzazione del settore sanitario. Tuttavia, alcuni giorni dopo le dichiarazioni, lo stesso gruppo ha pubblcato un leak di dati dell'Hammersmith Medicine Research, organizzazione di ricerca nel Regno Unito che, in passato, aveva collaborato attivamente nella creazione del vaccino contro l'ebola.

Il tema del COVID-19 è stato utilizzato in Libia ed Iran anche per attacchi cd. state-sponsored o di sorveglianza collettiva.

Ricercatori di sicurezza hanno infatti scoperto una campagna di sorveglianza che ha sfruttato più di 30 applicazioni malevole per Android per spiare utenti libici negli ultimi 11 mesi. In particolare, due versioni di app malevole hanno sfruttando il tema del Coronavirus nascondendo un tool di sorveglianza commerciale all’interno di app che promettevano di fornire informazioni sulla pandemia in corso.

Una delle due nuove app si chiama “corona live 1.1“, l’altra “Crona”. Al primo avvio, l’app informa l’utente che non richiederà privilegi di accesso inusuali, ma successivamente procede a richiedere l’accesso a foto, contenuti multimediali, file, posizione del dispositivo, nonché l’autorizzazione a scattare foto e registrare video. In realtà, si tratta infatti di SpyMax, strumento commerciale di sorveglianza, inserito in una versione malevola dell’applicazione legittima “corona live“, che fornisce un’interfaccia ai dati trovati sul “Johns Hopkins Coronavirus tracker” riguardo i tassi di infezione e numero di morti per ogni paese. Al momento non ci sono evidenze che consentano di pensare con certezza ad una campagna attuata da uno Stato (cd. di tipo state-sponsored), dal momento che queste famiglie di software sono state utilizzate in passato sia dagli stati nazionali in Medio Oriente che da gang cyber-crime.

Diverso invece lo scenario in Iran, dove in un post all'interno della piattaforma Telegraph, è stato accusato il governo Iraniano di aver distribuito una app per la divulgazione di informazioni sul Coronavirus con, in realtà, l'obiettivo di eseguire operazioni di sorveglianza dei cittadini. Questa applicazione infatti, pubblicizzata anche sul sito del Ministero della Sanità Iraniana, esfiltra diverse informazioni personali dell'utente come il nome, il cognome, il peso, l'altezza e la posizione.

Quali sono le raccomandazioni?

• Applicare spirito critico nell'utilizzo degli strumenti informatici, soprattutto quando si consultano informazioni riguardanti il Coronavirus utilizzando canali non ufficiali (e.g. diversi dal sito web della Protezione Civile, del Ministero della Sanità, dell'Istituto Superiore della Sanità, etc.)
• Ricordarsi che i criminali informatici stanno approfittando dell'emergenza sanitaria per colpire nuove vittime
• Non utilizzare i link contenuti all'interno di email sospette, ma navigare direttamente il sito web istituzionale che si presume essere il mittente della comunicazione
• Mantenere i dispositivi sempre aggiornati con le ultime patch di sicurezza
• Per le aziende dotate di apparati di sicurezza (e.g. IPS, IDS, antimalware, etc.), mantenere aggiornati gli IOC da bloccare ed attivare un servizio di monitoraggio attivo

Antonio Forzieri @ F3RM1 Foundation