Kaspersky Lab ha rilevato un nuovo attacco di massa condotto dal Remote Access Tool (RAT) Adwind.
Questa backdoor multifunzionale è stata usata in attacchi contro più di 1.500 aziende in oltre 100 Paesi e territori. Gli attacchi hanno colpito diversi settori, tra cui retail e distribuzione (20,1%), architettura ed edilizia (9,5%), spedizioni e logistica (5,5%), assicurazioni e servizi legali (5%), consulenza (5%).
Le vittime di Adwind ricevono email inviate a nome di HSBC Advising Service (dal dominio mail.hsbcnet.hsbc.com) con avvisi di pagamento in allegato. Secondo un’analisi di Kaspersky Lab, l’attività di questo dominio email può essere fatta risalire al 2013.
Al posto delle istruzioni, gli allegati contengono il sample del malware. Se l’utente apre il file ZIP in allegato, che contiene un file JAR, il malware si auto-installa e prova a comunicare con il proprio server command & control. Il malware permette ai cyber criminali di avere un controllo quasi completo del dispositivo compromesso e di rubare informazioni confidenziali dal computer infetto.
La distribuzione geografica degli utenti colpiti, rilevata da Kaspersky Security Network (KSN) durante questo periodo, mostra che quasi la metà (più del 40%) viveva nei seguenti Paesi:
Dal momento che le vittime comprendono soprattutto aziende, secondo i ricercatori di Kaspersky Lab i criminali potrebbero usare mailing-list di settori specifici per i propri attacchi. Considerando il numero di rilevazioni, i criminali si sono focalizzati sulla dimensione dell’attacco, piuttosto che su tecnologie sofisticate.
La storia del malware Rat Adwind
Nel 2016, Kaspersky Lab ha rilevato attacchi eseguiti con il Remote Access Tool (RAT) Adwind, un programma malware multipiattaforma e multifunzionale conosciuto anche come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, distribuito attraverso una sola piattaforma malware-as-a-service.
Una delle caratteristiche principali che distingue il RAT Adwind dagli altri malware commerciali è la disponibilità pubblica sotto forma di servizio a pagamento, dove il “cliente” paga un fee per usare il programma nocivo.
Secondo i risultati dell’analisi, condotta tra il 2013 e il 2016, diverse versioni del malware Adwind sono state impiegate per eseguire attacchi contro almeno 443.000 utenti privati, aziende commerciali e non commerciali in tutto il mondo.
Per proteggere se stessi e la propria impresa da questa minaccia, Kaspersky Lab consiglia alle aziende di limitare l’uso di Java per isolare le applicazioni che non possono essere eseguite senza l’uso di questa piattaforma. In modo simile alle operazioni finanziarie, le applicazioni Java possono essere isolate applicando principi di massima sicurezza. Le soluzioni di Kaspersky Lab offrono numerose funzionalità di Application Control per impostare policy granulari, monitorare e controllare l’uso di applicazioni specifiche sugli endpoint aziendali.
