Gli smartphone aziendali sono sempre più sotto attacco

In tempi di smart working e Covid-19, malware, ransomware e tutte le altre minacce sfruttano la delicata situazione: come difendersi?

I cybercriminali sono sempre sul pezzo e sfruttano le tematiche più calde dell’attualità per strutturare al meglio le loro attività malevole. Con le piattaforme mobile sempre ai primi posti, le minacce non riguardano soltanto i privati, ma stanno colpendo in modo sempre più importante i dispositivi aziendali.

La situazione viene raccontata in modo esteso da Check Point Research, la divisione threat intelligence di Check Point, che illustra l’aumento di campagne legate all’emergenza medica, dei temibili ransomware che “rapiscono” i dati chiedendo un riscatto e in modo particolare gli attacchi legati a software Mdm (Mobile Device Management) per fare breccia nei network aziendali.

Un trend purtroppo prevedibile in questi mesi in cui milioni di persone in tutto il mondo sono costrette allo smart working da remoto. Un drastico cambiamento delle abitudini che ha comportato un uso esponenzialmente maggiore dello smartphone aziendale per compiti anche riservati: un target appetibile per i cybercriminali, che hanno concentrato i loro sforzi proprio su questi “endpoint” con nuovi exploit e stratagemmi. Un bottino molto più ricco di un semplice attacco a un utente privato, visto che lo smartphone di un lavoratore da remoto diventa una porta d’ingresso privilegiata ai dati e alle informazioni sensibili delle società.

La mossa più diffusa è stata quella di realizzare app malevole che riprendessero grafica e nome di quelle ufficiali per il tracking nazionali tipo Immuni in Italia. Una volta installate, nascondono sullo smartphone malware alla caccia di dati preziosi, ma anche i cosiddetti Mrat ossia trojan per accesso remoto allo smartphone e premium dialling malware che chiamano numeri a prezzi salati.

I trojan bancari hanno fatto il salto con minacce come Ghimob che effettua transazioni su account finanziari in Germania, Portogallo e alcune nazioni africane e sudamericane, il recente Evenbot che ci concentra su Europa e Usa oppure il turco Thiefbot, ma l’elenco è lungo (Blackrock, Wroba, TrickMO, ecc…). Tra i ransomware più diffusi c’è la famiglia Black Rose Lucy, che rispetto alla scoperta tre anni fa è diventata ancora più temibile.

A tutti questi pericoli si somma anche il grande allarme sugli attacchi che colpiscono i software aziendali Mdm che si occupano di gestire il parco smartphone dei dipendenti. Si fa presto a comprendere quanto siano subdoli: i ricercatori di Check Point raccontano come una variante della nuova minaccia Cerberus abbia colpito un importante conglomerato multinazionale, distribuendo proprio dal server Mdm aziendale i malware al 75% dei lavoratori. I cybercriminali hanno così sfruttato il network per infettare un gran numero di dispositivi in modo più efficiente.

Lato Apt – Advanced Persistent Threat – si è concentrati sui software per l’accesso remoto allo smartphone, come nel caso della campagna “Iranian Rampant Kitten” che ha sfruttato app fake o phishing da Telegram per spiare i cittadini iraniani. Altri attacchi hanno sfruttato vulnerabilità a livello hardware come la famiglia Achille basata su dispositivi con chip Qualcomm. Infine, si è sfruttato anche le vulnerabilità di app popolari come Instagram, Facebook o WhatsApp.

L’Italia è uno dei paesi più attaccati in Europa con 754 episodi alla settimana nell’ultimo semestre contro una media europea di 415. Il malware più diffuso a livello aziendale nostrano è Blindingcan (6%) seguito da trojan bancari, un cryptominer come Xmrig che sfrutta la potenza di calcolo del computer per minare criptomonete e il botnet Trickbot. Il 90% di queste minacce arriva da mail malevole, che dunque sono sempre il mezzo preferito dai criminali. Infine, l’exploit più sfruttato in Italia è quello di esecuzione di codice da remoto, che ha colpito ben il 67% delle società. Tra le ultime segnalazioni, c’è il trojan bancario Ursnif che ha colpito oltre 100 istituti a marzo oppure l’attacco dello scorso novembre a Campari con un ransomware con 2 terabyte di dati criptati e una richiesta di 15 milioni di dollari di riscatto.

Le stime parlano dell’81% di adozione del lavoro a distanza con il 74% che prevede di estenderlo in modo permanente, come fare per proteggere il proprio smartphone aziendale in regime di smart working? Come suggerito da David Gubiani, Regional Director SE EMEA Southern di Check Point, le priorità sono richiedere l’autenticazione dell’utente dal blocco schermo con password o autenticazione biometrica, crittografare i dati memorizzati sul dispositivo, ma anche considerare l’uso di una vpn per connettersi tramite server privati. Si deve ricordare di aggiornare sempre sistema operativo e applicazioni, evitare il collegamento a reti wi-fi pubbliche, limitare il download di app alle sole fonti ufficiali (controllando bene le descrizioni e le recensioni) ed eseguire un backup costante. Importantissimo anche attivare l’accesso da remoto ai dati e la loro cancellazione in caso di furto o smarrimento, navigare su siti sicuri (verificando anche la presenza dell’https), condurre controlli di sicurezza regolari sui dispositivi mobile e sfruttare soluzioni ad hoc per proteggere gli endpoint, come per esempio Check Point Harmony.