Kaspersky Lab ha recentemente scoperto una campagna di cyberspionaggio nota come Grabit che ha sottratto almeno 10mila file da aziende e piccole medie imprese presenti in Thailandia, India e Stati Uniti. La lista dei settori obiettivo della campagna di cyberspionaggio comprende tra le altre chimico, nanotecnologia, istruzione, agricoltura, mass media ed edilizia.
Grabit ha colpito altri paesi quali Emirati Arabi Uniti, Germania, Israele, Canada, Francia, Austria, Sri Lanka, Cile e Belgio.
“Abbiamo osservato molte campagne di cyberspionaggio concentrate su grandi aziende, enti governativi e altre realtà di alto profilo dalle quali erano però escluse le piccole e medie imprese. Grabit, invece, ci ha dimostrato che il cybercrimine non è un gioco che include solo i cosiddetti “pesci grossi” - nel mondo informatico ogni singola organizzazione che gestisce soldi, informazioni o potere politico è potenzialmente interessante per i criminali informatici. Grabit è ancora attivo per cui è davvero importante controllare la propria rete per accertarsi che sia sicura. Il 15 maggio scorso un semplice keylogger noto come Grabit è stato scoperto mentre tentatava di impossessarsi delle credenziali di migliaia di account sfruttando diversi sistemi infetti. Questa minaccia non deve essere sottovalutata,” - ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia
L’infezione comincia quando un dipendente di un’azienda riceve una email con un allegato che sembra un file Word Microsoft Office (.doc). Nel momento in cui l’utente clicca sul documento per procedere con il dowload, il programma spia viene inviato al PC da un server remoto che è stato precedentemente violato dai criminali per essere sfruttato come hub malware. Il cybercriminale controlla le sue vittime utilizzando il keylogger HawkEye, un tool di spionaggio commerciale di HawkEyeProducts e un modulo di configurazione contenente un numero RAT (Remote Administration Tools).
Il keylogger ha sottratto 2.887 password, 1053 email e 3.023 username da 4.928 host diversi in un solo server di comando e controllo, internamente ed esternamente, incluso Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn e Twitter, così come conti bancari e altro.
Un imprevedibile gruppo di criminali informatici
Da un lato, il gruppo criminale Grabit non ha fatto molto per nascondere la propria attività: alcuni sample dannosi usano lo stesso server di hosting e addirittura le stesse credenziali, mettendo a rischio la sua stessa sicurezza. Dall’altro, i criminali utilizzano potenti tecniche per tenere il codice nascosto agli occhi degli analisti. Questo ha portato gli esperti di Kaspersky Lab a credere che dietro all’operazione di “intercettazione” (o sniffing) si nasconde un gruppo di criminali con competenze tecniche di diverso livello: alcuni membri sono infatti più tecnici e attenti a rendere le proprie operazioni non rintracciabili rispetto ad altri. L’analisi degli esperti suggerisce che chiunque abbia programmato il malware non ha trascritto tutto il codice dallo scratch.
Per tutelarsi da Grabit, Kaspersky Lab raccomanda di seguire alcune semplici regole:
•Ñontrollare se la collocazione C:\Users\<PC-NAME>\AppData\Roaming\Microsoft contiene file eseguibili. In questo caso è possibile che ci sia stata l’infezione malware. Questo avvertimento non va ignorato.
•Le configurazioni Windows System non devono contenere grabit1.exe nella schermata di avvio. Avviare “msconfig” ed assicurarsi che sia pulito da record grabit1.exe.
•Non aprire allegati o link inviati da persone che non si conoscono. Se non è possibile non aprili, non inoltrarli ad altri e chiamare un amministratore IT che sia in grado di aiutarvi.
•Usare una soluzione anti-malware avanzata e aggiornata e seguire sempre l’elenco AV indicato per processi sospetti.
I prodotti Kaspersky Lab sono in grado di rilevare tutti i sample Grabit e proteggere gli utenti dalle minacce.
E’ possibile trovare maggiori informazioni a proposito dell’operazione “Grabit” al post pubblicato su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 400 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
* L’azienda si è posizionata al quarto posto nel 2013 del Worldwide Endpoint Security Revenue by Vendor di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, Agosto 2014).). Il report ha classificato i vendor software in base al fatturato derivante dalle vendite di soluzioni di sicurezza endpoint nel 2013.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/+KasperskyItKL
LinkedIn: https://www.linkedin.com/kasperskylabitalia
.jpg)
