(Milano, 20 ottobre 2021) - Milano, 20 ottobre 2021 - Per quasi dieci anni, il Computer Incident Investigation Department di Kaspersky ha svolto ricerche su vari incidenti di sicurezza informatica, la maggior parte dei quali erano legati all'attività di criminali informatici di lingua russa. Negli ultimi anni, gli esperti di sicurezza di Kaspersky hanno osservato diversi importanti cambiamenti riguardo al modo in cui queste cyber gang operano e ai soggetti che prendono di mira.

Comprendere il modo in cui i criminali informatici operano ed evolvono le loro tattiche, tecniche e procedure utilizzate è molto importante per la community di sicurezza informatica, e aiuta anche i difensori aziendali a migliorare il livello di protezione da possibili incidenti. Con questo obiettivo, gli esperti del Computer Incident Investigation Department di Kaspersky hanno condiviso una panoramica dei principali cambiamenti avvenuti negli ultimi sei anni, dalla quale è emerso che molti aspetti sono cambiati.

Il primo cambiamento che è stato rilevato riguarda i cosiddetti attacchi lato client. Sfruttando questa tecnica, in passato le vittime venivano infettate in modo massiccio da malware progettati per il furto di denaro attraverso varie falle di sicurezza nei browser più utilizzati. Ciò che è stato rilevato dagli esperti di Kaspersky è che oggi, questi attacchi, non sono più molto diffusi. Diversi anni fa, questo vettore di infezione veniva spesso utilizzato da cybercriminali di lingua russa per infettare obiettivi rilevanti tra le organizzazioni commerciali e finanziarie (di solito contabili). Tuttavia, da allora, gli sviluppatori di browser e di altre tecnologie web che in precedenza risultavano vulnerabili hanno compiuto uno sforzo notevole per migliorare la sicurezza dei loro prodotti e implementare aggiornamenti automatici del sistema. Di conseguenza, oggi è più difficile per i criminali organizzare una campagna di infezione efficiente. Al contrario, cercano di utilizzare email di spear-phishing, portando le vittime ad aprire allegati dannosi che sfruttano vulnerabilità presenti nei software più popolari e che, come sperano i criminali, non sono state corrette tempestivamente sul computer preso di mira.

Un altro cambiamento rilevante è stato individuato nello sviluppo dei malware. Rispetto a qualche anno fa, i criminali informatici non sviluppano più i propri malware, ma utilizzano software di penetrazione e di accesso da remoto disponibili pubblicamente. Il software di sicurezza non rileva questi software come dannosi in quanto le organizzazioni potrebbero anche utilizzarli per scopi legittimi. È proprio su questo che puntano i cybercriminali quando utilizzano questi programmi. L'utilizzo di strumenti di penetration test consente inoltre agli attaccanti di risparmiare molte risorse per lo sviluppo.

I cambiamenti più importanti rilevati nel modo di operare dei cybercriminali sono:

• Viene utilizzata in modo attivo l'infrastruttura cloud pubblica e non vengono più create infrastrutture proprie.

• I grandi gruppi criminali non sono più necessari. Non dovendo più sviluppare gli strumenti dannosi o la propria infrastruttura, sono in grado di condurre attività illecite in gruppi molto più piccoli rispetto al passato.

• Gli obiettivi sono cambiati. I cybercriminali hanno spostato la loro attenzione da attacchi finanziari rivolti a organizzazioni e istituzioni finanziarie verso il furto di dati e minacce ransomware. Inoltre, un numero considerevole di criminali informatici non lavora più in Russia e nei territori della CSI, ma attacca obiettivi all'estero.

“Nel 2016, la nostra attenzione era rivolta alle grandi cyber gang che prendevano di mira le istituzioni finanziarie, in particolare le banche. Grandi nomi come Lurk, Buhtrap, Metel, RTM, Fibbit e Carbanak, hanno terrorizzato le banche a livello nazionale e, in alcuni casi, internazionale. Tuttavia, alla fine, sono tutte crollate e sono state arrestate, con il nostro aiuto. Altri gruppi di criminali informatici come Cerberus hanno lasciato il "gioco" e hanno condiviso il loro codice sorgente con il mondo. Oggi i settori presi di mira non sono più solo le istituzioni finanziarie, e gli attacchi massivi come quelli rilevati in passato per fortuna non sono più possibili. Eppure è difficile affermare con certezza che ci sia meno criminalità informatica. Infatti, lo scorso anno, in totale, abbiamo analizzato circa 200 incidenti. Quest'anno non si è ancora concluso, ma il numero di attacchi è già intorno ai 300 e continua a crescere. In una situazione come questa, riteniamo che sia estremamente importante condividere le informazioni rilevanti sull'attività del cybercrimine con la community di sicurezza informatica, cosa che facciamo con l'aiuto del nostro report", ha commentato Ruslan Sabitov, security expert di Kaspersky.

Per approfondire l'evoluzione del panorama della criminalità informatica di lingua russa, visitare Securelist.com.

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia

Contatti di redazione:

kaspersky@noesis.net

www.kaspersky.it