Hacktivismo, phishing e malware: secondo i FortiGuard Labs anche i cybercriminali si stanno allenando per le Olimpiadi

I FortiGuard Labs di Fortinet, la divisione di Fortinet dedicata alla threat intelligence e alla ricerca, hanno osservato un aumento significativo delle risorse utilizzate dai criminali informatici in vista dei Giochi Olimpici di Parigi, in particolare quelle che prendono di mira gli utenti francofoni, le agenzie, le aziende governative e i fornitori di infrastrutture francesi.

A partire dalla seconda metà del 2023, si è assistito a un’impennata dell’attività nella darknet avente come obiettivo la Francia. Questo aumento dell’80%-90% è rimasto costante tra la seconda metà del 2023 e la prima metà del 2024. La prevalenza e la sofisticazione di queste minacce sono una testimonianza della pianificazione e dell’esecuzione dei criminali informatici, con il dark web che funge da hub per le loro attività.

Il mercato delle informazioni personali rubate è in crescita

Le evidenze documentate includono la crescente disponibilità di strumenti e servizi avanzati progettati per accelerare le data breach e raccogliere informazioni di identificazione personale (PII), come nomi e cognomi, date di nascita, numeri di identificazione governativi, e-mail, numeri di telefono, indirizzi di residenza e altri. Si sta, ad esempio, assistendo alla vendita di database francesi che contengono informazioni personali sensibili, compresa la vendita di credenziali rubate e connessioni VPN compromesse per consentire l’accesso non autorizzato alle reti private. Vi è anche a un aumento delle pubblicità che promuovono kit di phishing e strumenti di exploit personalizzati appositamente per le Olimpiadi di Parigi, nonché di liste combo (una raccolta di nomi utente e password compromessi utilizzati per attacchi brute force automatizzati) composte dai dati appartenenti ai cittadini francesi.

L’attività degli hacktivisti è in aumento

Dal momento che la Russia e la Bielorussia non sono state invitate ai Giochi di quest’anno, si è assistito a un’impennata dell’attività hacktivista da parte di gruppi filorussi, come LulzSec, noname057(16), Cyber Army Russia Reborn, Cyber Dragon e Dragonforce, che dichiarano specificamente di avere come obiettivo le Olimpiadi. Sono presenti anche gruppi di altri Paesi e regioni, come Anonymous Sudan (Sudan), Gamesia Team (Indonesia), Turk Hack Team (Turchia) e Team Anon Force (India).

Attenzione alle truffe di phishing e alle attività fraudolente

Nonostante il phishing sia forse la forma di attacco più semplice, molti criminali informatici che agiscono con un basso livello di sofisticazione non sanno come creare o distribuire questo particolare tipo di e-mail. I phishing kit offrono ai cybercriminali alle prime armi un’interfaccia utente che è in grado di aiutarli con semplicità a comporre un’e-mail convincente, aggiungere un payload dannoso, creare un dominio di phishing e procurarsi un elenco di potenziali vittime. L’aggiunta di servizi di IA per la generazione di testi ha, in aggiunta, eliminato quegli errori ortografici, grammaticali e grafici che comunemente consentono ai destinatari di riconoscere un’e-mail potenzialmente dannosa.

Il team dei FortiGuard Labs di Fortinet ha inoltre documentato un numero significativo di domini typosquatting che potrebbero essere utilizzati nelle campagne di phishing relative alle Olimpiadi, comprese le varianti del nome (oympics[.]com, olmpics[.]com, olimpics[.]com e altri). Esse sono combinate con versioni clonate del sito web ufficiale per la vendita dei biglietti che inducono l’utente a pagare senza però ottenere quanto richiesto, con la conseguente perdita di denaro. In collaborazione con i partner olimpici, la Gendarmeria nazionale francese ha identificato 338 siti web fraudolenti che affermano di vendere biglietti per le Olimpiadi. Secondo i loro dati, 51 di questi portali sono già stati messi offline e 140 hanno ricevuto avvisi formali dalle forze dell’ordine.

Allo stesso modo, sono state identificate diverse truffe che hanno riguardato i concorsi a premi aventi come tema i Giochi Olimpici, alcune delle quali sono state create con l’obiettivo di impersonare brand popolari quali Coca-Cola, Microsoft, Google, la Lotteria Nazionale Turca, e la Banca Mondiale. Gli obiettivi principali di queste truffe sono gli utenti localizzati negli Stati Uniti, Giappone, Germania, Francia, Australia, Regno Unito e Slovacchia.

Si è anche assistito a un aumento dei servizi di codifica pensati per consentire la creazione di siti web finalizzati al phishing e di pannelli live associati, di servizi finalizzati all’invio di SMS di massa per abilitare la comunicazione di massa e di servizi di spoofing dei numeri telefonici. Ciascuno di essi può – spacciandosi per una fonte attendibile – facilitare gli attacchi di phishing, diffondere disinformazione e interrompere le comunicazioni, causando così grossi problemi operativi e di sicurezza durante l’evento.

Oltre al phishing, i cybercriminali stanno distribuendo vari tipi di malware stealer con l’obiettivo di infettare i sistemi degli utenti e ottenervi un accesso non autorizzato; queste informazioni possono poi essere sfruttate per eseguire attacchi ransomware, causando danni sostanziali e perdite finanziarie a individui e organizzazioni. I malware information stealer sono infatti espressamente progettati per infiltrarsi furtivamente nei computer o nei dispositivi delle vittime e raccogliere così informazioni sensibili, come credenziali di accesso, dettagli delle carte di credito e altri dati personali.

I dati di Fortinet indicano Raccoon come l’infostealer più attivo in Francia, con il 59% di tutti i rilevamenti. Raccoon è un Malware-as-a-Service (MaaS) efficace ed economico venduto nei forum presenti nel dark web. Esso sostanzialmente agisce rubando le password inserite nel browser mediante compilazione automatica, la cronologia, i cookie, le carte di credito, i nomi utente, le password, i wallet di criptovalute e altri dati sensibili degli utenti. È seguito da Lumma (un altro MaaS basato su abbonamento) con il 21% delle rilevazioni e da Vidar con il 9%.

Raccomandazioni e strategie per la mitigazione dei rischi

I grandi eventi come le Olimpiadi ricordano l’importanza di rimanere vigili contro le minacce informatiche. I FortiGuard Labs raccomandano una serie di best practice per salvaguardare gli utenti e le loro organizzazioni dagli attacchi informatici, a partire della necessità di condurre sessioni di formazione per i dipendenti, così come di sensibilizzarli sui rischi del social engineering legato alle Olimpiadi. Importante anche lanciare campagne di sensibilizzazione dedicate al pubblico con l’obiettivo di educare le persone a riconoscere le minacce alla sicurezza informatica. Un altro suggerimento universalmente valido è quello di utilizzare strumenti di orchestrazione, automazione e response per identificare e reagire prontamente ad eventuali attività inusuali e proteggere così i dati sensibili. È utile anche segnalare l’importanza di monitorare la superficie esterna, applicare l’autenticazione a più fattori e adottare politiche che prevedano l’utilizzo di password forti. Le organizzazioni dovrebbero anche utilizzare una protezione endpoint, implementare il patch management e proteggere le proprie infrastrutture con soluzioni di prevenzione DDoS a più livelli, tra cui firewall, VPN e filtri anti-spam. Non da ultimo, è importante ricordare come sia fondamentale sfruttare la cyber threat intelligence (CTI) per raccogliere dati in tempo reale sulle minacce informatiche emergenti e sui rischi potenziali.