comunicati
Kaspersky scopre DTrack, il nuovo spy-tool di Lazarus che colpisce istituzioni finanziarie e centri di ricerca
(Milano, 24 settembre 2019) - Milano, 24 settembre 2019 -Il Kaspersky Global Research and Analysis Team ha scoperto uno spy-tool finora sconosciuto, che è stato rilevato in istituzioni finanziarie e centri di ricerca indiani. Noto come DTrack, questo spyware è stato ricondotto al gruppo Lazarus e viene adoperato per caricare e scaricare file nel sistema della vittima, registrare le combinazioni di tasti e svolgere altre azioni tipiche di uno strumento malevolo di amministrazione remota (RAT). Nel 2018, i ricercatori di Kaspersky hanno scoperto ATMDtrack, un malware creato per infiltrarsi negli ATM indiani e rubare i dati delle carte di credito degli utenti. Dopo ulteriori approfondimenti usando il software Kaspersky Attribution Engine e altri strumenti, i ricercatori hanno rilevato più di 180 campioni di nuovi malware la cui sequenza di codice presentava somiglianze con ATMDtrack, ma che allo stesso tempo non erano pensati per prendere di mira gli ATM. La lista delle loro funzionalità, infatti, ha portato a identificarli come spy-tool, ora noti con il nome Dtrack. Le due varianti presentavano delle somiglianze non solo tra di loro ma anche con la campagna del 2013 DarkSeoul, che era stata attribuita a Lazarus, autore di una minaccia persistente avanzata responsabile di molteplici operazioni di cyberspionaggio e sabotaggio informatico. Dtrack può essere usato come uno strumento di amministrazione remota (RAT), garantendo agli autori della minaccia il completo controllo dei dispositivi infettati. I criminali informatici possono, a quel punto, condurre diverse operazioni, come caricare e scaricare file ed eseguire processi chiave. Gli enti presi di mira dagli autori delle minacce che si sono serviti di Dtrack hanno spesso policy di sicurezza di rete e standard per le password molto deboli; inoltre, non riescono a tracciare il traffico dell’intera organizzazione. Se implementato correttamente, lo spyware è in grado di compilare una lista di tutti i file disponibili e dei processi in corso, delle chiavi di accesso, la cronologia e l’indirizzo IP dell’host, incluse le informazioni disponibili sulle reti e le connessioni attive “Lazarus è un gruppo sostenuto dagli Stati nazione piuttosto insolito. Come molti altri gruppi simili, si concentra nella conduzione di operazioni di cyberspionaggio o sabotaggio. Oltre a questo, però, si è anche scoperto che influenza gli attacchi che mirano chiaramente al furto di denaro. Quest'ultima è una rara dinamica per un autore di minacce di così alto profilo perché, in generale, altri autori non sono guidati da motivazioni finanziarie nelle loro operazioni. La grande quantità di campioni di Dtrack che abbiamo trovato dimostra come Lazarus sia uno dei gruppi APT più attivi, in costante sviluppo ed evoluzione nel tentativo di colpire le grandi industrie. Il successo dell'esecuzione di Dtrack RAT dimostra che anche quando una minaccia sembra scomparire, ricompare in una veste diversa per attaccare nuovi obiettivi. Anche un centro di ricerca, o un'organizzazione finanziaria che opera esclusivamente nel settore commerciale senza legami con enti governativi, dovrebbe comunque considerare l’eventualità di essere attaccati da un autore di minacce sofisticate ed essere preparati a rispondere", ha dichiarato Konstantin Zykov Security Researcher del Kaspersky’s Global Research and Analysis Team. I prodotti Kaspersky rilevano e bloccano con successo il malware Dtrack. Per evitare di essere colpiti da un malware come Dtrack, gli esperti di Kaspersky raccomandano di: • Usare un software di monitoraggio del traffico di rete, come Kaspersky Anti Targeted Attack Platform (KATA) • Adottare soluzioni di sicurezza la cui validità sia stata comprovata, corredate da tecnologie di rilevamento delle minacce basate sul comportamento, come like Kaspersky Endpoint Security for Business • Condurre regolarmente dei test sulla sicurezza dell’infrastruttura IT dell’azienda • Condurre regolarmente dei corsi di sicurezza informatica per i dipendenti Maggiori informazioni sul nuovo malware usato dal gruppo Lazarus sono disponibili su Securelist. Informazioni su Kaspersky Kaspersky è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Seguici su: https://twitter.com/KasperskyLabIT http://www.facebook.com/kasperskylabitalia https://www.linkedin.com/company/kaspersky-lab-italia https://www.instagram.com/kasperskylabitalia/ Contatti: www.kasperky.com/it