I nostri esperti si sono resi conto che i cybercriminali si stanno concentrando sempre di più sulle piccole e medie imprese, prestando particolarmente attenzione ai profili dei contabili. Una scelta piuttosto logica, dal momento che cercano un accesso diretto alle finanze dell’azienda. Un segnale recente di questa tendenza è il picco dell’attività di certi Trojan, come Buhtrap e RTM. Possono avere funzioni o tecniche di diffusione diverse ma lo scopo è sempre lo stesso: rubare fondi dai conti aziendali.
Entrambe le minacce sono particolarmente critiche per le aziende che lavorano nell’IT, nei servizi legali e nella produzione su piccola scala. La spiegazione potrebbe risiedere nel fatto che questo tipo di aziende hanno budget ridotti da dedicare alla sicurezza rispetto alle compagnie che operano nel settore finanziario.
RTM
Di solito, RTM infetta le proprie vittime mediante le e-mail di phishing. I messaggi imitano la normale corrispondenza che può esserci all’interno di un’azienda (e includono frasi del tipo “rispondo alla richiesta”, “in allegato le copie dei documenti del mese scorso” o “richiesta di pagamento”). Se si clicca su un link o si apre un allegato, l’infezione avviene immediatamente e i cybercriminali ottengono l’acceso totale al sistema infettato.
Nel 2017, i nostri sistemi hanno registrato 2.376 utenti colpiti; nel 2018 siamo passati a 130 mila obiettivi e nei primi due mesi del 2019 abbiamo già registrato oltre 30 mila utenti che si sono imbattuti loro malgrado in questo Trojan. Andando avanti di questo passo, sicuramente supereremo i dati dello scorso anno ma, per il momento, possiamo dire che RTM sia uno dei Trojan finanziari più attivi in circolazione.
La maggior parte delle vittime di RTM si trova in Russia; tuttavia, i nostri esperti ritengono che presto supererà questi confini per sferrare attacchi in altri paesi.
Buhtrap
Per ricordare la prima volta in cui ci siamo imbattuti in Buhtrap, dobbiamo tornare al 2014 e, ai tempi, questo nome faceva riferimento a un gruppo di cybercriminali che rubava denaro da stabilimenti finanziari russi, parliamo di almeno 150 mila dollari a colpo. Tuttavia, quando il codice sorgente è diventato pubblico nel 2016, da quest’anno il nome Buhtrap è stato utilizzato per riferirsi al Trojan finanziario.
Buhtrap si è rifatto vivo agli inizi del 2017 in occasione della campagna TwoBee e fungeva soprattutto da mezzo per diffondere malware; tuttavia, a marzo dello scorso anno, ha colpito diverse testate giornalistiche importanti, impiantando script nelle prime pagine. Questi script attivavano un exploit nei visitatori che utilizzavano Internet Explorer.
Un paio di mesi dopo, verso luglio, i cybercriminali hanno ristretto il proprio pubblico e si sono concentrati su un particolare gruppo di utenti: i contabili che lavorano all’interno di piccole e medie imprese, e hanno creato siti Internet contenenti informazioni rivolte particolarmente a questa categoria.
Citiamo questo malware soprattutto perché abbiamo registrato un nuovo picco che ha avuto inizio a fine 2018 ma che continua ancora adesso. I nostri sistemi di protezione hanno bloccato in totale oltre 5 mila tentativi di attacco da parte di Buhtrap, 250 dei quali a inizio 2019.
Proprio come l’ultima volta, Buhtrap si diffonde attraverso gli exploit integrati nelle testate giornalistiche e, come sempre, gli utenti di Internet Explorer sono un gruppo a rischio. Questo browser utilizza un protocollo cifrato per scaricare i malware dai siti infettati, il che complica l’analisi e fa sì che il malware riesca a non farsi notare da alcune soluzioni di sicurezza. Ed ebbene sì, viene utilizzata la stessa vulnerabilità scoperta nel 2018.
Come risultato dell’infezione, Buhtrap e RTM concedono l’accesso completo alle postazioni di lavoro colpite; in questo modo, i cybercriminali possono modificare i file utilizzati per lo scambio di dati tra i conti e i sistemi bancari. Questi file hanno nomi di default e nessuna misura di protezione aggiuntiva, per questo i cybercriminali possono modificarli a proprio piacimento. È difficile fare una stima dei danni ma, per quanto ne sappiamo, i cybercriminali si stanno concentrando su transazioni che non superano i 15 mila dollari per volta.
Cosa si può fare?
Per difendere la vostra azienda da minacce di questo tipo, vi consigliamo di prestare particolare attenzione alla protezione dei computer che hanno accesso a sistemi finanziari (di contabili e manager ad esempio) anche se, ovviamente, tutti i dispositivi in generale vanno protetti adeguatamente. Ecco qualche consiglio pratico:
- Installate il prima possibile patch e aggiornamenti di sicurezza su tutti i software;
- Evitate, se e quando possibile, l’impiego di utility di amministrazione in remoto sui computer di chi lavora in contabilità;
- Non consentite l’installazione di programmi non approvati;
- Cercate di generare maggiore consapevolezza dell’importanza della sicurezza informatica tra chi lavora in questa divisione dell’azienda, concentrando l’attenzione sulle tecniche anti-phishing;
- Installate una soluzione di sicurezza che disponga di tecnologie di analisi dei comportamenti. Un esempio? Kaspersky Endpoint Security for Business.