Infostealer: la diffusa minaccia del malware che ruba informazioni

Sebbene il ransomware continui a dominare le prime pagine, un insidioso tipo di malware, noto come infostealer (abbreviazione di "information-stealing malware", ossia "malware che ruba informazioni"), è in realtà una minaccia molto più diffusa che colpisce tutti, dalle grandi aziende ai singoli computer domestici. L’obiettivo degli infostealer sono le informazioni sensibili dei sistemi infettati, tra cui password, wallet di criptovalute, cookie di sessione, informazioni finanziarie e altri dati personali, che vengono rapidamente esfiltrati verso l’autore dell’attacco. Molti infostealer vengono messi in vendita sotto forma di "malware-as-a-service (MaaS)", nei quali i criminali possono acquistare un abbonamento (spesso per svariate centinaia di dollari al mese) per accedere al malware e usarlo per attaccare le proprie vittime, mentre la manutenzione e l’hosting del malware resta nelle mani dello sviluppatore che lo vende.  Ciò consente ai criminali informatici di ridurre gli ostacoli tecnologici, favorendo il rapido incremento della diffusione di questa minaccia. Come vengono infettate le vittime? Le vittime possono essere infettate in molti modi, ad esempio ricevendo e-mail di phishing, visitando siti web infetti o scaricando app fraudolente. Dopo aver infettato un computer o una rete, il malware avvia l’esecuzione per tentare di identificare ed esfiltrare rapidamente le informazioni essenziali (tra cui, se possibile, le master password di LastPass) dai browser e da altre cartelle importanti. Gli autori dell’attacco utilizzeranno questi dati per accedere in prima persona agli account sensibili, oppure riconfezioneranno le informazioni per venderle su mercati, forum o altri siti criminali. Con un prezzo medio che attualmente si aggira sui 10 dollari a log, milioni di log sono sempre disponibili per la vendita e ciò dimostra quanto sia ormai diffusa e frequente la minaccia degli infostealer. Questi log includono le credenziali e altre informazioni sensibili di vittime di ogni dimensione: dalle grosse multinazionali alle piccole aziende, fino a singoli account personali rubati da computer domestici. Cosa sta facendo LastPass per combattere questo fenomeno? Nell’ambito degli sforzi intrapresi per incrementare le nostre funzionalità di sicurezza, LastPass ha innanzitutto effettuato dei considerevoli investimenti in un programma di cyber threat intelligence.  Tale programma comprende la creazione di un apposito team Threat Intelligence, Mitigazione ed Escalation (TIME), la notevole espansione del sistema di monitoraggio e allerta della nostra soluzione di threat intelligence attraverso un reporting open source e proprietario, nonché il monitoraggio proattivo delle fonti provenienti dal deep web e dal dark web delle attività dannose. Con l’aiuto dei nostri team di rilevamento, risposta e gestione delle vulnerabilità, stiamo inoltre provvedendo a operazionalizzare questa soluzione di intelligence automatizzando la sua integrazione, in modo da velocizzare i tempi della mitigazione. Per i clienti che aderiscono al relativo programma di monitoraggio del dark web, infine, abbiamo sviluppato un apposito processo volto a monitorare e segnalare le credenziali dei clienti esposte alle minacce. Come previsto, le master password sono molto ambite tra gli infostealer, poiché possono consentire di accedere al vault di un cliente, ai suoi dati sensibili e alle sue password. Sebbene esistano dozzine di infostealer, LastPass monitora i seguenti tre ceppi di malware, ossia quelli che di solito pubblicizzano la vendita delle credenziali dei clienti di LastPass:

• Redline: questo MaaS stealer è disponibile dal 2020 ed è tra i più diffusi.
• Raccoon: diverse varianti di questo stealer sono disponibili dal 2019.
• Vidar: disponibile almeno dal 2018, questo stealer è in grado anche di fare screenshot.

Per proteggere le credenziali dei clienti, LastPass sta adottando misure importanti. Di recente abbiamo ampliato la nostra soluzione di monitoraggio del dark web includendo il monitoraggio dei log degli infostealer e di altre potenziali fonti di accesso alle credenziali dei clienti di LastPass. Sebbene LastPass non possa fare nulla per prevenire l’infezione iniziale, dal momento che spesso avviene attraverso pratiche di phishing, visite di siti web infetti o un’applicazione fraudolenta utilizzata a livello locale sul dispositivo dell’utente finale, possiamo aiutare i nostri clienti a proteggersi informandoli nel momento in cui rileviamo che i loro dati sono stati rubati. Quali misure si possono intraprendere per proteggere il proprio account? Raccomandiamo a tutti gli utenti LastPass di iscriversi al nostro programma di monitoraggio del dark web, che garantisce un livello di protezione più alto. Invieremo una notifica a tutti i clienti i cui dati dovessero essere rinvenuti nel dark web. Inoltre consigliamo di:

• Proteggere, se possibile, i propri account utilizzando un’autenticazione a più fattori (Multifactor Authentication o MFA). Non accettare o autorizzare richieste MFA se non generate personalmente.
• Non fidarsi di app offerte da canali non tradizionali (ossia diversi dai soliti app store).
• Utilizzare un programma antivirus e aggiornarlo regolarmente o, meglio ancora, impostare gli aggiornamenti automatici.
• Non salvare la master password sul proprio dispositivo, neppure attraverso le opzioni di compilazione automatica offerte dai browser.

LastPass continuerà a migliorare le proprie funzionalità di monitoraggio e reporting, inoltre stiamo sviluppando un processo in grado di distruggere proattivamente i ceppi di malware che colpiscono gli account LastPass. In virtù dell’impegno da noi profuso a favore della trasparenza, sarà sempre nostra cura tenere aggiornati i nostri clienti, nonché la comunità della sicurezza informatica in generale, in merito a queste tendenze, alle misure che intraprendiamo per garantire la sicurezza dei dati della nostra clientela e ai risultati dei nostri sforzi. LastPass Labs è l’hub di contenuti del nostro team TIME (acronimo di Threat Intelligence, Mitigation, and Escalation), che si occupa di intelligence sulle minacce informatiche, mitigazione dei rischi che ne derivano e gestione delle relative segnalazioni. Il team si dedica ad analizzare in dettaglio gli ultimi sviluppi in ambito di cibersicurezza, seguire con attenzione le tecnologie più all’avanguardia e valutare le minacce da prospettive inedite. Il team TIME di LastPass si occupa di proteggere la nostra community verificando la presenza di minacce informatiche, analizzandole e riducendone i rischi che potrebbero derivarne per i nostri clienti, la nostra società e il nostro comparto. Con quasi 50 anni di esperienza accumulata nel campo dell’intelligence e della sicurezza informatica, il team è fermamente convinto che la condivisione delle informazioni e lo sviluppo delle relazioni siano fondamentali per il successo di una strategia di intelligence. All’interno di LastPass, il nostro compito è fornire alle parti interessate informazioni strategiche e puntuali che consentano ai nostri team di sicurezza di proteggere i nostri clienti, i loro dati e la società nel suo insieme. Oltre a effettuare analisi e ragguagliare i nostri team di sicurezza sugli sviluppi in atto nel panorama delle minacce informatiche, siamo inoltre al lavoro per integrare la comunicazione automatica delle informazioni nei processi dei nostri partner e ridurre al minimo l’arco temporale che intercorre tra la presa di coscienza di una minaccia e la mitigazione dei suoi rischi.