All'inizio di dicembre, gli Stati Uniti hanno incriminato Maksim Yakubets, alias Aqua, per quella che è considerata la più importante campagna di furti informatici dell'ultimo decennio. Inoltre, il Dipartimento di Giustizia degli Stati Uniti ha offerto una ricompensa di 5 milioni di dollari per informazioni che possano portare al suo arresto e alla sua condanna.
Maksim, che secondo quanto riferito è il membro fondatore di un gruppo noto come Evil Corp, sarebbe responsabile del furto di migliaia di credenziali di conti bancari di vittime in diversi paesi. Sfruttando malware come Dridex, chiamato anche Cridex o Bugat, Evil Corp sarebbe riuscito a sottrarre decine di milioni di dollari a vittime inconsapevoli. L'FBI stima che Dridex abbia causato perdite per 100 milioni di dollari o più a centinaia di banche.
L'attacco era tanto elegante quanto semplice. Evil Corp avrebbe convinto le vittime a cliccare su un link dannoso contenuto in phishing per scaricare Dridex. Una volta installato, il malware utilizzato un keylogger per rubare le password o creare pagine bancarie false per indurre qualcuno a inserire volontariamente le proprie credenziali. I phishing erano spesso ben congegnati, utilizzando una combinazione di nomi e domini aziendali legittimi, nonché la terminologia professionale corretta.
Una volta ottenute le credenziali dei conti bancari, Evil Corp avrebbe organizzato trasferimenti elettronici di fondi dai conti bancari delle vittime a una rete di cosiddetti "corrieri di denaro", che avrebbero poi trasferito i fondi a Evil Corp.
Di particolare rilievo è il modo in cui Evil Corp migliora continuamente il malware Dridex, ad esempio passando da un centro di comando e controllo centralizzato a botnet peer-to-peer per rendere più difficile tracciare le sue attività.
La National Security Agency (NSA) ha recentemente pubblicato le sue dieci principali strategie di mitigazione della sicurezza informatica. In linea con il quadro di riferimento per la sicurezza informatica del NIST, le strategie offrono un approccio basato sul rischio per mitigare le tecniche di sfruttamento utilizzate dagli autori di minacce persistenti avanzate (APT), come le tattiche, le tecniche e le procedure (TTP) di Dridex.
Di particolare rilievo sono le seguenti due raccomandazioni:
- Difendi i privilegi e gli account. Assegna i privilegi in base all'esposizione al rischio e secondo necessità per mantenere le operazioni. Gli account e i servizi privilegiati devono essere controllati perché gli autori delle minacce continuano a prendere di mira le credenziali degli amministratori per accedere a risorse di alto valore e muoversi lateralmente attraverso la rete.
- Cercare continuamente eventuali intrusioni nella rete. Adottare misure proattive per rilevare, contenere e rimuovere qualsiasi presenza dannosa all'interno della rete. Le organizzazioni aziendali dovrebbero presumere che si sia verificata una compromissione e utilizzare team dedicati per cercare, contenere e rimuovere continuamente gli autori delle minacce all'interno della rete.
L'adozione di misure proattive consentirà all'organizzazione di andare oltre i metodi di rilevamento di base, consentendo il rilevamento e la risoluzione delle minacce in tempo reale grazie a una strategia di monitoraggio e mitigazione continui.
Recentemente abbiamo aggiunto Privileged Access Analytics alla piattaforma Cognito di Vectra. PAA è costituito da algoritmi basati sull'intelligenza artificiale che forniscono al team del centro operativo di sicurezza (SOC) rilevamenti altamente accurati dei comportamenti degli aggressori che coinvolgono account privilegiati utilizzati in modo insolito e potenzialmente dannoso. In effetti, Vectra apprende i modelli dei vostri account utente e avvisa in modo intelligente quando le credenziali vengono utilizzate in modo improprio, come phishing .
PAA consente ai team SOC di monitorare e difendersi da questo tipo di attacchi. Oltre ai nostri modelli completi che rilevano i canali di comando e controllo, ciò rende la piattaforma Cognito uno strumento potente per combattere malware in continua evoluzione contro le aziende.
Per ulteriori informazioni sui comportamenti minacciosi e sugli attacchi basati sui privilegi o per vedere la piattaforma Cognito in azione, visitare il sito vectra.ai/demo.