di Pierguido Iezzi

Il cybercrime approfitta dell’emergenza Covid-19 per attacchi contro i centri vaccinali

Con l’accelerazione delle campagne vaccinali a livello mondiale – e relative polemiche annesse – per far fronte all’emergenza Covid-19, il cybercrime sta cercando di approfittare della situazione creando campagne ad arte e attacchi basati proprio su questo argomento. Non certo una novità, una delle caratteristiche principali del Social Engineering è anche quella di mantenere sempre “corrente” il filone tematico che cercano di sfruttare per mettere a segno un attacco di successo. Nel caso di cui stiamo parlando, sono state registrate offensive che mettono nel mirino i centri di ricerca vaccinali, ma anche della diffusione di versioni finte del vaccino sulla dark web. Inoltre, sarebbero state rilevate campagne di phishing correlate alla distribuzione del vaccino per Coronavirus.

Gli esperti di cybersecurity di Barracuda hanno rilevato campagne di spear phishing legate alla pandemia per compromettere account aziendali di alto livello

Secondo una recente analisi resa pubblica dagli esperti di cybersecurity di Barracuda, condotta fra l’ottobre del 2020 e il gennaio del 2021, alcuni threat actor starebbero diffondendo email a tema vaccino Covid-19 nei loro recenti attacchi di spear phishing. La ricerca ha rilevato che il numero di campagne di phishing a tema vaccino è aumentato del 12% dopo che alcune campagne farmaceutiche avrebbero annunciato la disponibilità di vaccini nel novembre del 2020. I cyber criminali utilizzano il phishing per compromettere e prendere il controllo di account aziendali di alto livello. Questo primo accesso è unicamente messo in campo per stabilire una persistenza nel sistema bersaglio e prendere il controllo dell’account preso di mira. Da lì si aprono un ventaglio di possibilità: l’accesso può essere venduto sul Dark Web, può essere utilizzato come point of ingress per attacchi ransomware o può anche essere trasformato in fonte stessa di phishing. In questo caso, utilizzano questi account legittimi per inviare campagne massive di phishing e spam a quanti più destinatari possibile prima che l’attività criminale venga rilevata.

Tipologie di attacchi di phishing: il Brand Impersonation

I ricercatori di cybersecurity Barracuda sottolineano che gli aggressori hanno utilizzato due tipologie di attacchi di spear-phishing: Brand Impersonation e Business Email Compromise (BEC). Nel primo caso, (brand impersonation), i criminali inviavano email di phishing a tema vaccino COVID-19, fingendosi rappresentanti di alcune delle principali compagnie farmaceutiche coinvolte nello sviluppo del farmaco. Le email di phishing contenevano link a siti truffa che millantavano possibili accessi preferenziali ai vaccini e risarcimenti alle vittime. Inoltre, gli aggressori si sarebbero finti professionisti del ramo medico, cercando di ingannare le vittime al fine di farsi rivelare informazioni personali (tali informazioni sarebbero state richieste per effettuare finte valutazioni preventive sulla fattibilità del vaccino).

La Business Email Compromise

Negli attacchi BEC, gli aggressori si fingevano rappresentanti del settore HR, che consigliavano ai propri colleghi di effettuare il vaccino. In un attacco BEC, i cybercriminali per prima cosa rubano credenziali legittime per account email aziendali, che poi vengono utilizzate per lanciare campagne via email, richieste di pagamenti e simili. I curatori del rapporto pubblicato qualche giorno fa avrebbero affermato di aver trovato diverse email di phishing che promettevano “l’accesso preferenziale al vaccino da COVID-19” o di “essere iscritti a una lista d’attesa per il vaccino” o “di poter ricevere direttamente a casa propria le dose vaccinali”. Com’è facile intuire, è sconsigliabile aprire e cliccare tali link (o allegati contenuti nelle email) soprattutto nel caso in cui provengano da fonti non affidabili.

Chi si cela dietro le campagne? All’origine sembra esserci APT29

È notizia recente che il National CyberSecurity Centre (NCSC) del Regno Unito, il Communications Security Establishment (CSE) canadese e la National Security Agency (NSA) degli Stati Uniti avrebbero rilevato il collegamento del collettivo di Criminal Hacking “APT29” con i servizi di intelligence russi. Lo scopo di tale gruppo criminale sarebbe stata la sottrazione di informazioni e proprietà intellettuali correlate alle ricerche e lo sviluppo di vaccini per il Coronavirus. Il gruppo starebbe utilizzando il suo malware personale, chiamato WellMess e WellMail, oltre ad altre tecniche offensive specifiche per mettere nel mirino enti governativi.

Il modus operandi degli hacker russi

APT 29 utilizza frequentemente exploit noti e disponibili pubblicamente per condurre attività ricognitive di ampio spettro su sistemi potenzialmente vulnerabili, alla ricerca di credenziali di accesso tramite le quali sviluppare altre trame offensive. Questo attacco ad ampio spettro darebbe al gruppo potenziale accesso a un ampio numero di sistemi a livello globale, molti fra i quali non sarebbero di immediato interesse (e valore) per i criminali. Gli hacker russi potrebbero comunque conservare tali credenziali rubate per accedere a tali sistemi nel caso in cui diventino di maggiore interesse in futuro. È stato anche sottolineato che APT29 continua ad attaccare le strutture di ricerca impegnate nello sviluppo di vaccini per COVID-19 e i centri di sviluppo per ottenere informazioni dall’alto valore economico. Da tempo oramai – o forse da subito – il fronte COVID è diventato questione politica. Non dobbiamo sorprenderci molto, quindi, che Cyber Criminali e APT siano coinvolte e attive sul fronte. Gli americani già negli anni 90’, tra l’altro, avevano denominato la sfera cyber come Fifth Dimension Operations…

Non abbassiamo la guardia!