Eurograbber, quando il malware parte dall’Italia

Sottratti 36 milioni di euro da conti bancari. Il braccio è tricolore, ma la mente è nei paesi dell’Est. Genesi, fenomenologia dell’attacco e rimedi da prendere, spiegati da David Gubiani di Check Point.

Check Point Software e Versafe hanno pubblicato la ricerca “A Case Study of Eurograbber: How 36 million was stolen via malware”, un documento che descrive un attacco sofisticato utilizzato per sottrarre milioni di euro da conti correnti bancari privati e aziendali in Europa.

Fenomenologia dell'attacco
L’attacco Eurograbber è stato lanciato a danno di clienti bancari mediante una combinazione di malware, indirizzata a computer e dispositivi mobili.
Il malware, guidato dai server di comando dei criminali, ha prima infettato i computer delle vittime e poi compromesso i loro dispositivi mobili, in modo da intercettare sms per bypassare il processo bancario di autenticazione a due fattori.
Con le informazioni sottratte e il numero di autenticazione della transazione i criminali hanno poi eseguito un trasferimento automatico di fondi dai conti delle vittime verso account di appoggio in Europa, con transazioni dal valore variabile tra 500 e 250mila euro.

I dati
La ricerca stima che siano stati sottratti più di 36 milioni di euro da oltre 30mila conti correnti bancari di aziende e privati.
Gli attacchi sono partiti dall’Italia, e si sono diffusi in Germania, Olanda e Spagna. Nella diffusione dell’attacco Eurograbber è stata usata una nuova iterazione di un attacco bot, il trojan Zeus.

Sono stati presi di mira dispositivi mobili Android e Blackberry.

Abbiamo chiesto David Gubiani Technical Manager, Check Point Software Technologies Italia qualche chiarimento sulla vicenda.

D: Questo attacco è partito dall’Italia. È già accaduto in passato?
G: È già successo in passato e non si tratta per forza di una cosa straordinaria. L’attacco è stato originato da una botnet, una rete di pc controllati remotamente da un’organizzazione criminale. In Italia, come nel resto del mondo occidentale, le botnet non mancano, vista soprattutto la grande diffusione di computer. Se l’origine meccanica dell’attacco è italiana, il suo controllo però è remoto, spesso localizzato in Russia o comunque nei paesi dell’Est.

D: Come è stato generato l’allarme in questo caso? chi ha sollevato i primi allarmi?

G: Non posso entrare nel dettaglio specifico, ma sono due i modi in cui si viene tipicamente a conoscenza di questo tipo di attacchi. Tramite sonde distribuite presso clienti e partner, che ci avvisano in automatico della presenza di malware o di attività sospette. Oppure tramite avviso diretto da parte dell’azienda, in questo caso della banca, colpita. Questo è il processo che più spesso accade: il cliente finale si accorge del furto dal sui conto, avvisa la banca che a sua volta si rivolge al fornitore di soluzioni di sicurezza, che fa partire un’investigazione. Nella maggior parte dei casi, il provider di sicurezza è già a conoscenza del malware o del tipo di attacco, solo non sa che è stato sferrato in quel determinato caso. Da lì, tocca al provider, di concerto con la banca, porre in essere le metodologie di blocco della minaccia e mitigazione del rischio.

D: Quali sono le contromisure consigliabili a livello aziendale per non patire un attacco del genere?

G: Lato azienda è indispensabile dotarsi di una piattaforma di sicurezza multilivello, in grado cioè di affrontare tutti gli aspetti della catena della sicurezza. Questo per una banca significa dotarsi di soluzioni di sicurezza che proteggono tutti i sistemi e tutti i passaggi, perché attacchi di questi tipo raramente vengono concentrati su di un punto unico.
Più spesso, vanno a colpire la banca in più livelli distinti, nel tentativo di trovare un punto debole.
Fondamentale però rimane la formazione e l’informazione del cliente. Se i clienti non sono consapevoli dei rischi che corrono e non si comportano in modo da evitarli, mettono a rischio anche l’infrastruttura aziendale teoricamente più solida.

D: All’utente basta il buonsenso o deve attrezzarsi in qualche modo specifico dal punto di vista tecnologico?

G: Il buonsenso è imprescindibile, ed è la base della propria sicurezza personale, assieme all’informazione. L’utente dovrebbe mantenersi informato, leggendo le comunicazioni in tema di sicurezza che ogni banca è tenuta a fornire.
E dovrebbe mettere in pratica alcuni semplici accorgimenti di utilizzo che però contribuiscono a ridurre il rischio cui ci si espone. Non compiere operazioni di home banking da pc pubblici, ad esempio. O dotarsi di strumenti di sicurezza di base, quali antivirus e antispyware.
Ma anche effettuare periodicamente gli aggiornamenti dei propri sistemi: nella stragrande maggioranza dei casi, gli attacchi sfruttano vulnerabilità esistenti, spesso legate al mancato aggiornamento dei sistemi operativi o dei software di sicurezza.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here