Una nuova serie di campagne spyware è in rapida evoluzione, e ha già attaccato più di 2.000 imprese nel settore industriale in tutto il mondo. Durante i primi sei mesi del 2021 gli esperti di Kaspersky ICS CERT hanno notato una strana anomalia nelle statistiche relative alle minacce spyware bloccate sui computer ICS. Anche se i malware utilizzati in questi attacchi appartengono a famiglie di spyware già note si distinguono per il numero limitato di vittime a cui puntano, da un paio a qualche decina, e per la durata breve di ogni campione dannoso.

Il loro ciclo di vita è limitato infatti a circa 25 giorni, molto meno della durata di una campagna spyware ‘tradizionale’.
Di fatto, un’analisi di 58.586 campioni di spyware bloccati sui computer ICS ha mostrato come circa il 21,2% di essi faceva parte di questa nuova serie di attacchi. E il nuovo report di Kaspersky ICS CERT ha individuato più di 25 mercati in cui i criminali rivendono i dati rubati.

Lo spyware anomalo viene diffuso attraverso la mailing list della vittima

La maggior parte di queste campagne viene diffusa da un’impresa industriale all’altra tramite email di phishing. Una volta penetrato nel sistema della vittima, l’attaccante utilizza il dispositivo come server C2 (command and control) per l’attacco successivo. Con l’accesso alla mailing list della vittima, i criminali possono sfruttare i contatti di posta elettronica aziendale e diffondere ulteriormente lo spyware.
Sebbene ognuno di questi sample di spyware ‘anomali’ abbia vita breve e non sia ampiamente diffuso, rappresenta una quota sproporzionatamente elevata di tutti gli attacchi spyware.

Più di 7.000 account aziendali compromessi o rubati

Se in Asia 1 computer su 6 attaccato da spyware è stato colpito proprio da uno di questi sample anomali (il 2,1% su 11,9%), secondo la telemetria di Kaspersky ICS CERT, più di 2.000 organizzazioni industriali in tutto il mondo sono state incorporate in questo sistema fraudolento. E sfruttate dai gruppi di criminali informatici per diffondere l’attacco verso altre aziende e partner commerciali. Si stima che il numero totale di account aziendali compromessi o rubati a seguito di questi attacchi sia superiore a 7.000.

Le credenziali di aziende Usa le più vendute sui market online

I dati sensibili ottenuti dai computer ICS spesso finiscono in vari market online. L’analisi dei mercati ha rivelato la presenza di un’elevata domanda di credenziali di account aziendali, in particolare di account RDP (Remote Desktop Protocol). Oltre il 46% di tutti gli account RDP venduti sono di proprietà di società con sede negli Stati Uniti, mentre i restanti provengono da Asia, Europa e America Latina. Quasi il 4% di tutti gli account RDP venduti (circa 2.000 account) apparteneva a imprese industriali.
Un altro mercato in crescita è lo spyware-as-a-Service. Da quando i codici sorgente di alcuni noti programmi spyware sono stati resi pubblici, è cresciuta la loro disponibilità negli store online sotto forma di servizio.
Gli sviluppatori vendono non solo il malware come prodotto, ma anche una licenza per sviluppare malware e avere accesso all’infrastruttura preconfigurata.