I criminali informatici utilizzano sempre più spesso i domini malevoli come vettore di attacco. Il report di Watchguard sulla sicurezza Internet per il 1° trimestre 2021 aveva già rilevato un aumento del 281% nel numero di domini bloccati da DNSWatch rispetto al trimestre precedente e nell’ultimo anno ha registrato un significativo sfruttamento dell’interesse verso il COVID-19 da parte di questi collegamenti.
Spionaggio, file web, banche e social media
Alcune settimane fa, Microsoft ha annunciato di aver disabilitato 42 domini malevoli creati dal gruppo di spionaggio informatico cinese APT-15. Il gruppo ha ingannato membri di enti pubblici e privati, think-tank e ONG impegnate nella tutela dei diritti umani inducendo l’utente ignaro a cliccare su link che fungevano da vettori di ingresso per il malware e riuscendo così ad accedere ai server e ottenere informazioni riservate sugli interessi industriali e geopolitici cinesi. Secondo gli analisti, questo attacco farebbe parte di una massiccia campagna di spionaggio informatico da parte della Cina.
Altre gravi violazioni analoghe avvenute nel 2021 hanno coinvolto siti web legittimi e molto conosciuti. A luglio, ad esempio, è emerso che il portale archive.org (noto per il motore di ricerca “Way Back Machine” per siti web datati) nascondeva uno script PowerShell malevolo in una delle sue pagine con un loader contenente il malware AgentTesla di Aggah, legato al gruppo APT pakistano Gorgon. Gli esperti ipotizzano che le pagine del portale siano state utilizzate come host per il malware e poi sfruttate in successivi attacchi informatici.
Il phishing è un’altra delle tecniche comunemente usate da questi link e il settore bancario è di solito tra i più colpiti perché se gli hacker riescono ad appropriarsi delle password dei clienti, il bottino è piuttosto alto. Diversi clienti del personal banking di Chase sono stati vittima di una campagna di questo tipo: hanno ricevuto una falsa e-mail contenente il messaggio “L’estratto conto della tua carta di credito è ora disponibile” e un link che indirizzava a una landing page fittizia in cui veniva chiesto loro di inserire le proprie coordinate bancarie. Questo incidente si distingue dagli altri perché l’e-mail con questi link fasulli è riuscita a bypassare i filtri antispam di Microsoft Exchange Online Protection e Microsoft Defender per Office 365.
Gli scorsi mesi, anche Facebook è stato un canale per l’utilizzo di domini malevoli. In questo caso, gli hacker hanno usato account Facebook professionali per inserire annunci collegati a domini che fungevano da loader del malware CopperStealer. Una volta infiltratosi, il malware ruba le credenziali della vittima, consentendo ai criminali informatici di utilizzare i sistemi come fonte per ulteriori aggressioni.
Best practice e firewall
Tutti gli esempi citati sopra relativi ai domini malevoli dimostrano che gli hacker utilizzano ormai tecniche di social engineering sempre più sofisticate: non solo ingannano gli utenti, ma, come testimonia la truffa di phishing che ha colpito il personal banking di Chase, a volte riescono anche ad aggirare soluzioni di sicurezza informatica ampiamente diffuse, come quelle fornite da Microsoft.
Per questi motivi, gli MSP dovrebbero implementare per i clienti soluzioni avanzate per la protezione della rete che integrino firewall di nuova generazione. Così equipaggiati, saranno in grado di bloccare automaticamente i link sospetti e persino di rilevare eventuali malware criptati circolanti sulla rete, il tutto con una gestione facile e centralizzata.
Nell’utilizzare questi strumenti, gli MSP e i team IT farebbero bene a stilare elenchi di siti web affidabili e a classificare gli argomenti più propensi a contenere link pericolosi e che in genere non sono legati all’attività professionale dell’azienda (ad esempio: case da gioco o criptovalute).
Inoltre, i dipendenti dovrebbero ricevere istruzioni di base sulla sicurezza informatica in materia di navigazione web e posta elettronica, come non aprire link sconosciuti, oltre che imparare a identificare i link potenzialmente sospetti.
Se vuoi scoprire le altre tendenze della sicurezza informatica, dai un’occhiata alle previsioni di Watchguard per il 2022 su:
https://www.watchguard.com/es/wgrd-resource-center/cyber-security-predictions