Contro gli infostealer è scesa in campo Eurojust che, coordinando l’operazione svolta dalle autorità di Usa, Regno Unito, Australia, Belgio, Paesi Bassi e Portogallo, ha chiuso i battenti ai server dei malware dedicati al furto di dati. Superavano quota 1.200 i server ubicati in decine di Paesi per l’esecuzione del malware.

“L’operazione internazionale per smantellare il malware che ha colpito milioni di persone evidenzia l’importanza della collaborazione tra le forze dell’ordine e le agenzie di cyber security“, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

L’operazione ha visto la chiusura di tre server nei Paesi Bassi, il sequestro di due domini, l’arresto di due uomini e l’invio di video per informare il cyber crime dell’interruzione delle loro attività criminali e dei canali di comunicazione Redline e Meta.

“La task force internazionale di law enforcement Operation Magnus, coordinata da Eurojust, ha condotto a un risultato di grande rilievo – conferma Enrico Morisi, Ict Security Manager – perché mina uno dei vettori di ingresso maggiormente usati dal cyber crime per sferrare gli attacchi“.

Infostealer: Eurojust chiude i server

I server destinati a rubare dati, RedLine e Meta, “hanno avuto come bersagio utenti in tutto il mondo, diventando una delle più grandi piattaforme di malware a livello globale”, dichiara Eurojust.

“Un aspetto tecnico significativo è l’uso di tecniche di evasione avanzate da parte del malware, che sfruttava vulnerabilità nei sistemi operativi e nelle applicazioni più comuni”, spiega Fadda.

Approfittando di falle non risolte in Os e app, RedLine e Meta hanno trafugato dati personali dai dispositivi presi di mira e contagiati. I dati rubati comprendevano nomi utente e password, dati di moduli frutto di salvataggio automatico, come per esempio numeri di telefono, indirizzi, mail, portafogli di cripto e cookie.

Una volta rubati i dati personali, gli infostealer vendevano le informazioni ad altri cyber criminali attraverso dark web e mercati illeciti. I criminali compravano i dati trafugati al fine di effettuare, a loro volta, furto di denaro, criptovalute e per effettuare ulteriori attività di hacking.

“Gli infostealer sono divenuti, da un lato, sempre più sofisticati, sia dal punto di vista architetturale sia da quello tecnologico, potenziati anche da soluzioni di Intelligenza Artificiale, dall’altro, sono sempre più assimilabili a delle commodity, dei veri e propri Malware-as-a-Service, fruibili quindi anche da attori privi delle necessarie competenze”, aggiunge Morisi.

Come mitigare il rischio

Gli attacchi malware per rubare informazioni sfruttano falle non risolte, anche se i vendor hanno già rilasciato gli aggiornamenti di sicurezza.

“È fondamentale che le organizzazioni implementino patch tempestive e adottino misure di sicurezza multilivello per mitigare il rischio”, spiega Fadda, ricordando la necessità di mantenere i sistemi operativi e le app aggiornate, per evitare icyber ntrusioni.

Ma altra priorità è la collaborazione internazionale, per chiudere i server che il cyber crime usa per commettere crimini.

“Inoltre, la condivisione delle informazioni sulle minacce tra i vari attori resta sempre un punto cruciale per affrontare efficacemente questo tipo di attività criminale”, conclude Fadda.

Le vittime di RedLine e Meta potranno avvalersi di uno strumento online messo disposizione da una società di sicurezza privata per poter verificare se i loro dati sono stati oggetti del furto.

“Per mitigare il rischio rappresentato da questo genere di minacce è fondamentale che le organizzazioni si dotino, in particolare, di un collaudato processo di vulnerability management, di un servizio di Threat Intelligence, essenziale per avere evidenza, per esempio, delle informazioni eventualmente esfiltrate e disponibili in mercati come quello del dark web, di un servizio SOC (Security Operation Center) supportato da opportuni sistemi di Detect&Response”, sottolinea Morisi.

Inoltre le organizzazioni devono “prestare attenzione alla sicurezza dei browser e riservare la dovuta importanza alla governance nel dominio dell’Identity and Access Management, introducendo soluzioni di phishing-resistant MFA, perseguendo obiettivi di segregazione e rifacendosi a principi fondamentali come quelli del ‘need to know’ e del ‘least privilege’, e, non da ultimo, devono promuovere incessantemente la cultura della sicurezza“, conclude Morisi, ricordando che la consapevolezza è essenziale.