Come difendersi da botnet IoT e Infostealer nel settore Retail

Il settore Retail è minacciato da botnet IoT e Infostealer: come difendersi? A rivelare questa situazione è stata Netskope Threat Labs, che ha rilasciato il suo ultimo report di ricerca sulle minacce cloud nel settore Retail.

Dalla ricerca emerge che nel corso dell’ultimo anno (dal 1 marzo 2023 al 29 febbraio 2024) le botnet IoT, gli strumenti di accesso remoto (RAT) e gli infostealer sono state le principali famiglie di malware utilizzate dagli attaccanti per colpire chi opera nel mondo retail.

Come difendersi da botnet IoT e Infostealer

Il settore della vendita al dettaglio, dunque, viene preso di mira da botnet che cercano di compromettere dispositivi IoT vulnerabili o mal configurati nei punti vendita e ne abusano per amplificare l’effetto di un attacco DDoS (Distributed Denial of Service).

Per quanto riguarda le tendenze nell’utilizzo di applicazioni cloud, anche questo settore, come altri, ha visto uno spostamento da applicazioni prevalentemente basate su Google Workspace alle applicazioni Microsoft come Outlook.

Di seguito, i principali risultati emersi e come è possibile difendersi da botnet IoT.

Gli attaccanti utilizzano infostealer per prendere di mira il settore Retail

Gli infostealer sono una famiglia di malware importante per il settore della vendita al dettaglio perché consentono agli attaccanti di sottrarre informazioni preziose come i dati di pagamento da organizzazioni e clienti.

Gli infostealer alimentano anche il più ampio ecosistema del crimine informatico, poiché gli attaccanti vendono le credenziali raccolte e i dettagli finanziari personali.

Botnet e trojan prendono di mira i dispositivi di rete

La famiglia di botnet Mirai prende di mira i dispositivi di rete esposti basati su Linux, come router, fotocamere e altri dispositivi IoT nell’ambiente della vendita al dettaglio.

I dispositivi IoT vengono spesso trascurati e non considerati come rischio per la sicurezza. In realtà possono fornire informazioni visive o sensoriali utili ai criminali o possono essere anche sfruttati per lanciare attacchi DDoS contro altri obiettivi.

Allo stesso modo, i trojan di accesso remoto (RAT) sono risultati popolari. Consentono l’accesso alle credenziali del browser, la cattura dell’input della tastiera, o del contenuto della clipboard, inviando queste informazioni agli attaccanti o anche ricevendo comandi dagli stessi.

Dopo la fuga del codice sorgente del malware Mirai, il numero di varianti è aumentato e rappresenta un rischio per il commercio al dettaglio in quanto settore con molteplici endpoint vulnerabili.

Microsoft Suite sempre più nel mirino

Nel report dell’anno scorso sul mondo Retail le applicazioni Google erano molto più apprezzate nel settore del commercio al dettaglio rispetto ad altri settori. Nell’ultimo anno, però, i ricercatori hanno notato una ripresa della popolarità di Microsoft.

Ciò è evidente per le applicazioni di cloud storage, con il divario tra OneDrive e Google Drive che si è ampliato nell’ultimo anno, con una percentuale media di utenti che passa dal 43% al 51% per OneDrive e scende dal 34% al 23% per Google Drive.

Si osservano tendenze simili con Outlook (21%) che sostituisce Gmail (13%) come applicazione di posta elettronica più popolare.

Microsoft OneDrive l’applicazione più popolare per distribuire i malware

Microsoft OneDrive rimane l’applicazione cloud più popolare per la distribuzione di malware in tutti i settori, compreso il commercio al dettaglio. Gli attaccanti utilizzano tattiche che sfruttano la fiducia e la familiarità degli utenti con OneDrive, aumentando la probabilità che facciano clic sui collegamenti e scarichino il malware.

Nel commercio al dettaglio, gli attacchi tramite Outlook hanno più successo che in altri settori: il commercio al dettaglio registra il doppio dei download di malware tramite Outlook (10%) rispetto alle medie di altri settori (5%).

Popolarità di WhatsApp nel Retail

Questa applicazione è risultata tre volte più popolare nel commercio al dettaglio (14%) rispetto ad altri settori (5,8%), sia per l’utilizzo medio che per i download. Tuttavia, WhatsApp non è stata elencata tra le applicazioni attualmente più sfruttate per i download di malware.

Ciò potrebbe cambiare poiché gli autori delle minacce iniziano a considerare la sua popolarità per dirigere più attacchi tramite questa applicazione.

Le applicazioni di social media come X (12%), Facebook (10%) e Instagram (1,5% per i caricamenti) sono risultate tutte più popolari nel commercio al dettaglio rispetto alle altre medie del settore.

Rivedere i livelli di sicurezza nel retail

Netskope Threat Labs consiglia alle aziende del settore della vendita al dettaglio di rivedere il proprio livello di sicurezza e offre diverse raccomandazioni sulle migliori pratiche per contrastare queste minacce:

–Ispezionare tutti i download HTTP e HTTPS, incluso tutto il traffico web e cloud, per impedire l’ingresso di malware nella rete.

–Assicurarsi che i tipi di file ad alto rischio, come gli eseguibili e gli archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati.

–Configurare policy per bloccare download e caricamenti da applicazioni e istanze che non vengono utilizzate nell’organizzazione per limitare la superficie di rischio alle sole applicazioni e istanze necessarie per l’azienda e ridurre al minimo il rischio di esposizione accidentale o intenzionale dei dati da parte di addetti interni o abusi dagli attaccanti.

–Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare modelli di traffico malevolo, come il traffico di comando e controllo associato al malware più diffuso. Bloccare questo tipo di comunicazione può prevenire ulteriori danni limitando la capacità dell’attaccante di eseguire azioni aggiuntive.

–Utilizzare la tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva quando è necessario visitare siti Web che rientrano in categorie che possono presentare un rischio più elevato, come i domini appena osservati e appena registrati.

Dettagli sul Report

Il report si basa su dati di utilizzo resi anonimi, raccolti su un sottoinsieme del settore vendita al dettaglio degli oltre 2.500 clienti di Netskope che forniscono autorizzazione preventiva affinché i loro dati vengano analizzati.

Netskope è tra i leader in Secure Access Service Edge (SASE), che aiuta le organizzazioni ad applicare i principi zero trust e le innovazioni AI/ML al fine di proteggere i dati e difendersi dalle minacce.

Per leggere il report completo e consultare i grafici cliccare qui.