Alcuni ricercatori hanno scoperto diverse campagne spyware che prendono di mira le imprese industriali, con l’obiettivo di rubare le credenziali degli account e-mail e condurre frodi finanziarie o rivenderle ad altri attori. Gli attori utilizzano strumenti spyware off-the-shelf, ma distribuiscono ogni variante solo per un tempo molto limitato, in modo da eludere un possibile rilevamento. Esempi di malware utilizzati negli attacchi includono AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult e Lokibot. Kaspersky definisce questi attacchi spyware “anomali” a causa della loro natura molto breve rispetto a ciò che è considerato tipico nel campo. Più specificamente, la durata di vita degli attacchi è limitata a circa 25 giorni, mentre la maggior parte delle campagne spyware durano diversi mesi o addirittura anni.
Questo il commento in merito da parte di Andrea Carcano, co-fondatore e CPO di Nozomi Networks
“Una recente ricerca su una nuova serie di campagne spyware in rapida evoluzione sottolinea la dinamicità del mercato legato alle credenziali rubate, in cui si incontrano e operano diversi tipi di gruppi criminali. Alcuni attori di minacce cercano di violare le reti aziendali utilizzando qualsiasi tecnica, con l’obiettivo di vendere l’accesso acquisito ad altri gruppi criminali. Questi attori non hanno necessariamente strumenti sofisticati o target industriali specifici. Sono alla ricerca di qualsiasi obiettivo che fornisca profitto.
Gli attori che comprano quelle credenziali, invece, cercano attivamente reti compromesse che siano compatibili con ogni loro piano o strategia di monetizzazione, che spesso comporta la diffusione di ransomware. Le reti ICS sono obiettivi di alto profilo, quindi non dovrebbe sorprendere che gli aggressori siano alla ricerca di credenziali che potrebbero condurre a una campagna ransomware di valore.
L’attacco a Colonial Pipeline potrebbe essere un esempio di questo tipo di operazioni criminali. Presumibilmente, un gruppo di attori pericolosi è riuscito a rubare credenziali VPN, che sono state poi acquistate o recuperate sul mercato nero da un secondo gruppo criminale, che le ha utilizzate per compromettere ulteriormente la rete e infine distribuire il ransomware.”