Google Cybersecurity Action Team: il primo report

Lo scorso mese Google aveva annunciato il lancio del suo Cybersecurity Action Team, volto ad assistere i governi, le organizzazioni di infrastrutture critiche e le imprese, guidando i clienti attraverso il ciclo di trasformazione della sicurezza.

Ebbene, nelle ultime ore è stato pubblicato il primo report del team, il quale descrivere degli scenari sul fronte sicurezza informatica che non sorprendono in maniera particolare, ma vanno a confermare, almeno in buona parte, quel che già era noto.

File infetti, spear phishing, minning illecito ecc.

Google segnala innanzitutto l’esistenza di un gruppo di malintenzionati che si spaccia per consulenti di reclutamento Samsung, prendendo di mira gli sviluppatori anti-malware sudcoreani e inviando loro dei PDF infetti che, una volta aperti, avviano un file eseguibile che permette il controllo remoto del computer della vittima. La cosa appare particolarmente significativa, perché siti come LinkedIn potrebbero spianare la strada ad attacchi di questo tipo.

Nel report si parla poi di spear phishing. Il “colosso delle ricerche in Rete” fa sapere che un gruppo di hacker russi ha cercato di riutilizzare il codice distribuito in un attacco a Yahoo! per prendere di mira Gmail, invitando tutti gli utenti a stare in guardia.

Nel report viene altresì comunicato che dall’analisi di 50 account Google Cloud dirottate l’86% è stato sfruttato per minare criptovalute. Ciò è stato possibile perché i proprietari degli account o non avevano impostato una password oppure non ne avevano una sufficientemente robusta o, ancora, non si preoccupavano di autenticare le API.

Altre comunicazioni che giungono dal team sono che il cloud di Google è stato adoperato per generare traffico YouTube fasullo e che la presenza di un ransomware su una rete, più precisamente di quello identificato come BlackMatter, indica che questa è stata compromessa con altri mezzi.