top of page
Cerca

Infostealers sotto i riflettori: Cosa sono gli Infostealers e perché è importante conoscerli?



Il malware per il furto di informazioni (o infostealers per gli amici) è un tipo di malware progettato per rubare informazioni sensibili da un dispositivo infetto, noto anche come bot. Una volta rubate, il malware crea dei registri delle informazioni rubate, chiamati log, e successivamente gli attaccanti monetizzano questi log raccolti, vendendoli o lanciando un attacco diretto utilizzando questi log per un accesso iniziale(IAB), come nel caso di un attacco ransomware. Esempi di infostealers includono RedLine Stealer, Raccoon Stealer, Vidar, Meta Stealer, Lumma, Stealc e RisePro.

Come infostealers infettano i dispositivi, quali informazioni possono raccogliere e come queste informazioni compromettono la sicurezza delle organizzazione?

Continua a leggere per scoprire le risposte.


Chi è suscettibile agli Infostealers e come?

La risposta breve è che chiunque potrebbe essere vittima degli infostealers. Gli attori malintenzionati di oggi sono opportunisti e cercano qualsiasi via per ottenere un guadagno. È più facile che mai vendere i log, e mentre alcuni attaccanti potrebbero cercare obiettivi specifici a causa di motivazioni politiche o personali, la maggior parte è felice di lanciare attacchi ovunque si possano trovare vulnerabilità. Le difese tradizionali non sono molto efficaci come protezione, poiché i dispositivi infettati da infostealers potrebbero avere già un sistema di rilevamento e risposta agli attacchi (EDR) al momento dell'attacco.

Di conseguenza, gli infostealers (facilmente reperibili per i cybercriminali che li acquistano tramite abbonamenti che partono da poche centinaia di dollari al mese) potrebbero portare a un attacco a qualsiasi persona o organizzazione. Spesso vengono distribuiti tramite malvertising che reindirizza gli utenti a siti web dannosi, SEO poisoning in cui questi siti appaiono in cima ai risultati di ricerca, attraverso email di phishing nella casella di posta di un dipendente, o tramite il download di un aggiornamento software compromesso o di quello che sembra un download innocente, come software crackato, cheat per giochi e altro.

Alcuni attaccanti pagano un servizio per distribuire e installare il malware sui dispositivi compromessi per loro conto, dove gli attori delle minacce che hanno i mezzi e l'accesso per infettare più obiettivi ricevono gli strumenti e il supporto tecnico per farlo in cambio di una commissione o di una parte dei log rubati.


Cosa Raccoglie un Infostealer e Come Si Fa Denaro?

Quindi, un dispositivo è stato infettato — cosa succede dopo? Gli infostealer possono raccogliere una vasta gamma di informazioni, da dati finanziari come numeri di carte di credito e dettagli bancari, a password e credenziali di accesso per account email o servizi online come Salesforce, Jira, Slack, VPN, Active Directory e altro. I bot possono raccogliere dati sensibili, tra cui numeri di previdenza sociale, dettagli di portafogli di criptovalute e informazioni di sistema del dispositivo infetto, come il sistema operativo, le installazioni software, le specifiche hardware e altro. Quando un attacco viene lanciato contro un servizio di terze parti come l'attacco a Snowflake, può essere ancora peggio. Gli attori delle minacce possono sfruttare i dati degli infostealer per attaccare più aziende contemporaneamente utilizzando lo stesso metodo (in questo caso, 165 aziende sono state colpite, con le credenziali delle istanze di Snowflake rubate tramite infostealer e successivamente sfruttate dagli attaccanti per colpire i clienti di Snowflake).

Una volta che i log sono stati raccolti, è il momento per un attaccante di pensare a come monetizzare i log che ha raccolto. A seconda del tipo di attacco, gli attacanti potrebbero essere interessati a diversi tipi di dati. I dettagli bancari potrebbero consentire a un attaccante di rubare denaro direttamente da un conto compromesso, mentre le password e le credenziali di accesso potrebbero fornire un accesso iniziale per lanciare un attacco più avanzato, come un attacco ransomware.

Fortunatamente per coloro che cercano di vendere i loro log per un guadagno rapido, il crimine informatico sotterraneo offre molte opzioni facili, tra cui:


  • Mercati di botnet: A seconda del tipo di log che hai raccolto, gli attaccanti potrebbero ottenere un pagamento che va da $0,50 a $40 per record, o anche di più su un mercato di botnet come RussianMarket. Questo è particolarmente utile per gli attaccanti che cercano di vendere dati e log specifici che ritengono essere molto richiesti. La attacco su Uber del 2022 potrebbe essere iniziata con l'uso di un nome utente e di una password validi che sono stati pubblicati su RussianMarket nello stesso mese, dove i log indicavano che almeno due dipendenti Uber stavano utilizzando dispositivi infettati da infostealer come Racoon e Vidar.

  • Clouds di log: Spesso ospitati su Telegram, gli attaccanti talvolta utilizzano un modello di abbonamento dove l'accesso completo a tutte le credenziali dei dispositivi compromessi può essere ottenuto per una tariffa mensile. Pensa a Netflix per account compromessi, e ci sei quasi. Un vantaggio di questo approccio è che gli attori delle minacce ricevono una maggiore quantità di log a un prezzo inferiore, invece di acquistarli uno per uno.

  • File ULP (url:login:password): Le credenziali estratte dai log degli infostealer possono essere combinate in elenchi di credenziali che possono contenere milioni di righe di nomi utente e password con un URL corrispondente allegato, rendendo facile per gli attaccanti lanciare una campagna. Questi sono conosciuti come file ULP.


Dove entra in gioco la Sicurezza dell'Identità nella protezione contro gli Infostealer?

Poiché gli infostealer sono progettati per operare sotto il radar, la prima volta che potresti renderti conto che la tua organizzazione è stata compromessa potrebbe essere quando un attacco viene lanciato utilizzando credenziali di account valide. Se pensi di essere al sicuro, rifletti su come gli account validi siano oggi il punto di ingresso più comune per i criminali informatici negli ambienti delle loro vittime, con un aumento del 71% nel 2023. L'impatto è altrettanto enorme. Le violazioni che coinvolgono credenziali compromesse impiegano in media 292 giorni per essere rilevate e contenute—più di qualsiasi altra modalità di attacco—e costano alle organizzazioni circa 4,81 milioni di dollari per incidente.

L’autenticazione multi-fattore (MFA) non sempre aiuta, poiché gruppi di minacce come Lapsu$ e Scattered Spider sono noti per aggirare la MFA attraverso la fatica da MFA, ingegneria sociale e attacchi di sim swapping. Inoltre, anche i cookie possono essere rubati, rendendo inefficace la MFA. Una volta in possesso del cookie, gli attaccanti possono semplicemente iniettarlo nel loro browser, spesso utilizzando browser antidetect, e impersonare completamente le vittime per ottenere accesso illimitato, una pratica nota come session hijacking.

È chiaro che ottenere visibilità tempestiva è cruciale. Questi attacchi non arrivano dal nulla. Richiedono una pianificazione accurata e il coordinamento di diversi attori di minaccia con specializzazioni varie, e vengono lanciati in base a strumenti, tattiche e procedure (TTP) noti, con l'uso di infostealer comuni, spesso da parte di gruppi di minacce consolidati. I log vengono distribuiti su canali, mercati e piattaforme conosciute. Semplicemente, non lo vedi succedere. Ma noi sì.


Nel corso dell'anno passato, KELA ha intercettato oltre 2 miliardi di credenziali di account compromesse uniche.

È qui che entrano in gioco le soluzioni di sicurezza dell'identità, come KELA’s Identity Guard, che traccia il sottobosco del crimine informatico in dettaglio granulare, consentendo alla tua organizzazione di:


  • Intercettare risorse e account compromessi relativi ai domini, IP, email e applicazioni SaaS della tua organizzazione, monitorando i mercati delle botnet, i canali Telegram e altre fonti del dark web.

  • Prevenire e fermare gli attacchi automatizzando azioni come la messa in quarantena delle macchine infette, il reset delle password per gli account compromessi, l'applicazione dell'MFA e altro.

  • Rimuovere le credenziali rubate dai mercati tramite i servizi di rimozione spesso offerti dai fornitori di sicurezza.

  • Scoprire gli TTP (Strumenti, Tattiche e Procedure) e i comportamenti degli attori di minaccia esistenti, ascoltando i loro piani, processi e metodologie per gli attacchi in corso e futuri.

  • Visualizzare il panorama degli infostealer, inclusi nuovi strumenti e varianti di malware, offerte di Malware-as-a-Service e altro.


Per verificare subito se la tua organizzazione è stata compromessa nell'ecosistema del crimine informatico, clicca Qui per fissare un appuntamento

コメント


bottom of page