I drive USB possono diventare veicoli di virus per le aziende: ecco come prevenire il rischio
Come le chiavette USB possono infettare le aziende e trasformare le vittime in strumenti delle cybergang? l’analisi condotta da Cynet ce lo spiega
Il numero di attacchi informatici è in aumento, con un incremento del 65% nel 2023 secondo il Clusit 2024. Il 56% di questi attacchi ha avuto peraltro conseguenze gravi. Nonostante ciò, la consapevolezza sulla cybersecurity sta crescendo tra le aziende italiane, ma resta insufficiente. Il Data Breach Investigations Report di Verizon 2023 indica che il 73% degli attacchi è causato da errori umani. Il gruppo di minacce UNC4990, attivo dal 2020, sfrutta le vittime per infiltrarsi nei sistemi di difesa. Per iniziare bisogna sapere che la weaponization è la fase di sviluppo o acquisizione di codice malevolo, mentre la delivery consiste nel trasferire il codice al bersaglio, spesso tramite chiavette USB con virus annesso.
Com’è che le cybergang agiscono tramite pen-drive?
Utilizzare chiavette USB come mezzo per raggiungere questo obiettivo è sempre stato piuttosto facile; numerosi studi hanno evidenziato l’attrattiva intrinseca di questi dispositivi, rendendoli un efficace strumento di phishing. Teorizzare sulla loro efficacia è una cosa, valutarla è un’altra. Il primo passo consiste nel far trovare a un dipendente di un’azienda una chiavetta USB. Gli attaccanti adottano strategie semplici ma ingegnose: lasciano chiavette appositamente in posti come il parcheggio aziendale, il banco della reception o una sala d’attesa, inducendo il dipendente a pensare che la chiavetta sia stata smarrita da un collega.
Questo suscita la curiosità di aprire il contenuto per identificarne il proprietario. Una volta che la vittima inserisce la chiavetta USB, l’attacco viene attivato attraverso un doppio clic su un collegamento. In questo specifico caso, vengono eseguiti comandi Powershell per scaricare BrokerLoader da un server remoto, spesso utilizzando servizi noti come ARS Technica, GitHub o GitLab per mascherare la connessione. Questo porta all’installazione di una backdoor sul computer della vittima.
Chi sono le maggiori vittime degli attacchi dei virus su chiavette USB?
Attraverso una sessione di threat hunting, la ricerca ha cercato di identificare il profilo tipico di chi, una volta trovata una chiavetta USB, la inserisce nel proprio computer e ne effettua il doppio clic. Questo approccio investigativo si basa sulla ricerca attiva di una potenziale minaccia utilizzando un algoritmo di allarme specifico o avvalendosi degli indicatori di compromissione dell’attaccante, come sequenze di azioni, comandi e dati di memoria, che consentono di categorizzare un attacco in modo univoco. Risultati interessanti emergono da un’analisi condotta su 85 clienti italiani, dove è stato identificato e neutralizzato un tentativo di attacco.
Di questi, l’80% sono enti della pubblica amministrazione, mentre il restante 20% sono aziende con un significativo numero di dipendenti tecnici sul campo. Va sottolineato che l’analisi è stata condotta su un insieme di macchine protette. Non possiamo escludere la possibilità che gli stessi individui abbiano utilizzato la chiavetta USB sui loro dispositivi personali o l’abbiano condivisa con altri. In tal caso, un malware di tipo Cryptojacking avrebbe potuto infettare la macchina, sfruttando le sue risorse computazionali per “minare” criptovalute, ovvero per risolvere complesse operazioni matematiche al fine di generare nuove unità di moneta virtuale.