La divisione di ricerca e intelligence di Blackberry ha lanciato l'allarme su un attacco informatico a scopo di lucro, mirato a di criptovalute , banche e grandi aziende messicane con un patrimonio elevato e un fatturato lordo superiore a 100 milioni di dollari.
Gli attentatori sono stati tracal Messico e si ritiene che abbiano la loro base in America Latina.
Metodologia di attacco sofisticata
Il rapporto di Blackberry evidenzia l'utilizzo da parte degli autori della minaccia di uno strumento di accesso remoto open-source chiamato AllaKore RAT. Questo strumento è stato pesantemente modificato per consentire il furto di informazioni sensibili degli utenti, tra cuidentbancarie e dati di autenticazione univoci.
Le informazioni rubate vengono trasmesse a un server di comando e controllo (C2), facilitando così le frodi finanziarie.
Una delle caratteristiche più rilevanti di questo attacco informatico è il metodo di infiltrazione. Gli aggressori mirano a installare il RAT AllaKore nei computer e nei database aziendali, spesso celando le proprie azioni dietro nomi e link ufficiali.
Questo metodo ha permesso loro di eludere i sospetti dei dipendenti, rendendo la minaccia difficile da individuare.
La portata di questa minaccia informatica si estende oltre il settore finanziario. Sebbene le piattaforme di scambio di criptovalute e le banche siano state i bersagli principali, anche grandi aziende messicane di diversi settori sono state vittime di questi attacchi.
Questi settori includono il commercio al dettaglio, l'agricoltura, il settore pubblico, l'industria manifatturiera, i trasporti, i servizi commerciali e i beni strumentali.
Grandi aziende messicane sotto i riflettori
Gli hacker prediligono le grandi aziende con un fatturato lordo superiore a 100 milioni di dollari. Tali aziende fanno capo direttamente all'Istituto Messicano di Previdenza Sociale (IMSS), il che le rende obiettivitrac.
È stato osservato che i criminali informatici utilizzano indirizzi IP di Starlink Messico, il che conferma ulteriormente la loro attenzione verso entità messicane.
Man mano che gli aggressori affinano le loro tattiche, le versioni più recenti di AllaKore RAT impiegano un processo di installazione più complesso. Il malware viene distribuito alle organizzazioni bersaglio all'interno di un file di installazione del software Microsoft.
Il malware si esegue solo dopo aver verificato che la vittima si trovi in Messico, il che indica un elevato grado di sofisticazione nel suo approccio.
Collegamento latinoamericano
Le istruzioni in lingua spagnola contenute nel payload RAT modificato suggeriscono che l'autore degli attacchi abbia sede in America Latina. Questo collegamento regionale complica ulteriormente le indagini e sottolinea la necessità di una cooperazione internazionale per contrastare questa minaccia informatica.
Considerata la natura in continua evoluzione di questa minaccia informatica, è fondamentale che le organizzazioni, soprattutto quelle operanti nei settori più colpiti, adottino misure proattive per proteggere i propri sistemi e dati.
Queste misure possono includere il rafforzamento dei protocolli di sicurezza informatica, l'implementazione di solidi sistemi di rilevamento delle intrusioni e la fornitura di formazione sulla sicurezza informatica ai dipendenti per aiutarli a riconoscere le potenziali minacce.
Sforzi collaborativi
Affrontare questa minaccia informatica richiede uno sforzo congiunto sia da parte del settore privato che di quello pubblico. Le aziende colpite da questi attacchi dovrebbero collaborare strettamente con le forze dell'ordine e di sicurezza informatica per indagare e mitigare i danni.
Inoltre, la condivisione di informazioni sulle minacce e delle migliori pratiche all'interno della comunità imprenditoriale può contribuire a rafforzare le difese contro futuri attacchi.
