Kaspersky Lab ha registrato un raro e inaspettato esempio di scontro tra cybercriminali. Nel 2014, Hellsing, un gruppo di cyberspionaggio piccolo e tecnicamente irrilevante che mira principalmente a governi e organizzazioni diplomatiche situate in Asia, è stato colpito da un attacco di spear-phishing condotto da un altro gruppo criminale e ha deciso di contrattaccare. Secondo Kaspersky Lab questo ha segnato l'inizio di una nuova tendenza nelle attività dei cybercriminali: le guerre APT.
La scoperta è stata fatta dagli esperti di Kaspersky Lab mentre indagavano sulle attività di Naikon, un gruppo di spionaggio informatico che mira alle organizzazioni dell’area Asia-Pacifico. Gli esperti hanno constatato che uno degli obiettivi di Naikon aveva scoperto il tentativo di infettare il sistema attraverso email di spear-phishing con allegati nocivi.
La vittima si era rivolta al mittente per contestare l'autenticità della mail e non soddisfatto dalla risposta, aveva deciso di non aprire l'allegato. Poco tempo dopo la vittima aveva inoltrato al mittente una mail contenente lo stesso malware, azione che ha innescato l'indagine di Kaspersky Lab e portato alla scoperta del gruppo APT Hellsing.
Il metodo utilizzato per il contrattacco indica il desiderio di Hellsing di identificare il gruppo Naikon e di raccogliere informazioni su di esso.
Un'analisi approfondita del gruppo criminale Hellsing condotta da Kaspersky Lab ha svelato tracce di email di spear-phishing con allegati nocivi progettate per diffondere un malware di spionaggio tra numerose organizzazioni. Quando una vittima apre l'allegato dannoso, il suo sistema viene infettato con una backdoor personalizzata in grado di scaricare e caricare file, aggiornarsi e disinstallarsi. Secondo le indagini di Kaspersky Lab, sono circa 20 le organizzazioni colpite da Hellsing.
Gli obiettivi di Hellsing
L'azienda ha rilevato e bloccato il malware Hellsing in Malesia, Filippine, India, Indonesia e Stati Uniti, anche se il maggior numero di vittime individuate sono situate in Malesia e Filippine. I criminali si sono dimostrati molto selettivi sulla scelta delle organizzazioni da prendere di mira, infatti, gli obiettivi principali sono stati governi ed entità diplomatiche.
"Per noi è stato davvero incredibile scoprire che Hellsing aveva preso di mira Naikon, in una sorta di vendetta in stile "Empire Strikes Back". In passato avevamo visto gruppi APT colpirsi accidentalmente a vicenda dopo aver rubato i contatti dalle rubriche delle proprie vittime e dopo aver inviato email di massa a chiunque fosse incluso in quelle liste. Tuttavia, considerando la natura mirata e l'origine dell'attacco è più probabile che si tratti di un esempio di attacco intenzionale di APT-vs-APT" ha commentato Costin Raiu, Director del Global Research and Analyst Team di Kaspersky Lab.
Secondo l'analisi di Kaspersky Lab, il gruppo criminale Hellsing è attivo almeno dal 2012 ed è tuttora in azione.
Protezione
Per proteggersi dagli attacchi di Hellsing, Kaspersky Lab raccomanda di seguire alcuni consigli:
- Non aprire allegati sospetti provenienti da persone sconosciute
- Fare attenzione agli archivi protetti da password che contengono file SCR o altri file eseguibili
- Se non si è sicuri di un allegato, è meglio aprirlo in un ambiente sandbox
- Assicurarsi di avere un sistema operativo aggiornato con tutte le patch installate
- Aggiornare tutte le applicazioni di terze parti come Microsoft Office, Java, Adobe Flash Player e Adobe Reader
I prodotti di Kaspersky Lab sono in grado di rilevare e bloccare con successo i malware usati dai gruppi Hellsing e Naikon.
E' possibile leggere ulteriori informazioni sul gruppo criminale Hellsing e sulla campagna di spionaggio "Empire Strikes Back" su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L'azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 400 milioni di clienti in tutto il mondo.
Per ulteriori informazioni: www.kaspersky.com/it.
* L'azienda si è posizionata al quarto posto nel 2013 del Worldwide Endpoint Security Revenue by Vendor di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, Agosto 2014).). Il report ha classificato i vendor software in base al fatturato derivante dalle vendite di soluzioni di sicurezza endpoint nel 2013.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/+KasperskyItKL
LinkedIn: https://www.linkedin.com/kasperskylabitalia
