All'inizio di dicembre, gli Stati Uniti hanno incriminato Maksim Yakubets, alias Aqua, per la presunta campagna di furti informatici più importante dell'ultimo decennio. Inoltre, il Dipartimento di Giustizia degli Stati Uniti ha offerto una taglia di 5 milioni di dollari per informazioni che portino al suo arresto e alla sua condanna.
Maksim, a quanto pare il membro fondatore di un gruppo noto come Evil Corp, sarebbe stato responsabile del furto di migliaia di credenziali di conti bancari di vittime in diversi Paesi. Sfruttando il malware noto come Dridex - chiamato anche Cridex o Bugat - la Evil Corp sarebbe riuscita a sottrarre decine di milioni di dollari alle vittime inconsapevoli. L'FBI stima che Dridex abbia causato perdite per 100 milioni di dollari o più in centinaia di banche.
L'attacco era tanto elegante quanto semplice. Evil Corp avrebbe convinto le vittime a cliccare su un link dannoso in un'e-mail phishing per scaricare Dridex. Una volta installato, il malware utilizzava un keylogger per carpire le password o creare false pagine bancarie per indurre qualcuno a inserire volontariamente le proprie credenziali. I messaggi phishing erano spesso ben confezionati, utilizzando una combinazione di nomi e domini aziendali legittimi e una terminologia professionale corretta.
Armata di credenziali dei conti bancari, la Evil Corp avrebbe organizzato trasferimenti elettronici di fondi dai conti bancari delle vittime a una rete di cosiddetti money mules, che avrebbero poi trasferito i fondi alla Evil Corp.
Di particolare rilievo è il modo in cui Evil Corp migliora continuamente il malware Dridex, ad esempio passando da un centro di comando e controllo centralizzato a botnet peer-to-peer per rendere le sue attività più difficili da rintracciare.
La National Security Agency (NSA) ha recentemente pubblicato le sue Top Ten Cybersecurity Mitigation Strategies. Allineate al quadro di riferimento per la cybersecurity del NIST, le strategie offrono un approccio basato sul rischio per mitigare le tecniche di sfruttamento utilizzate dagli attori delle minacce persistenti avanzate (APT), come le tattiche, le tecniche e le procedure (TTP) Dridex.
Di particolare rilievo sono le due raccomandazioni seguenti:
- Difendere i privilegi e gli account. Assegnare i privilegi in base all'esposizione al rischio e come richiesto per mantenere le operazioni. Gli account e i servizi privilegiati devono essere controllati perché le minacce continuano a puntare alle credenziali di amministratore per accedere a risorse di alto valore e muoversi lateralmente attraverso la rete.
- Ricerca continua di intrusioni nella rete. Adottare misure proattive per individuare, contenere e rimuovere qualsiasi presenza dannosa all'interno della rete. Le organizzazioni aziendali devono partire dal presupposto che sia avvenuta una compromissione e utilizzare team dedicati per cercare, contenere e rimuovere continuamente gli attori delle minacce all'interno della rete.
Stabilendo misure proattive, l'organizzazione andrà oltre i metodi di rilevamento di base, consentendo il rilevamento delle minacce in tempo reale e la bonifica mediante una strategia di monitoraggio e mitigazione continua.
Abbiamo recentemente aggiunto Privileged Access Analytics alla piattaforma Cognito di Vectra. Il PAA consiste in algoritmi basati sull'intelligenza artificiale che forniscono al team del SOC (Security Operations Center) rilevamenti ad alta fedeltà dei comportamenti degli aggressori che coinvolgono gli account privilegiati e che vengono sfruttati in comportamenti insoliti e potenzialmente dannosi. In effetti, Vectra apprende gli schemi degli account utente e avvisa in modo intelligente quando le credenziali vengono utilizzate in modo improprio, come negli attacchi phishing .
Il PAA consente ai team SOC di monitorare e difendersi da questi tipi di attacchi. In aggiunta ai nostri modelli estesi che rilevano i canali di comando e controllo, ciò rende la piattaforma Cognito uno strumento potente per combattere gli attacchi in evoluzione di malware contro le aziende.
Per ulteriori informazioni sui comportamenti delle minacce e sugli attacchi basati sui privilegi o per vedere la piattaforma Cognito in azione, visitate il sito vectra.ai/demo.