Kaspersky Lab ha individuato un gruppo APT cinese attento a spiare aziende farmaceutiche
È una tendenza emergente e allarmante quella che vede sempre più gruppi criminali rivolgere la loro attenzione ad attacchi informatici contro aziende del settore sanitario. Il famigerato malware PlugX è stato rilevato in organizzazioni farmaceutiche in Vietnam, con lo scopo di rubare preziosi brevetti di farmaci e informazioni commerciali.
Il malware PlugX è un noto strumento di accesso remoto (Remote Access Tool RAT) e, di solito, viene diffuso tramite spear phishing. Precedentemente rilevato in attacchi mirati contro organizzazioni militari, governative e politiche, il RAT è stato utilizzato da numerosi gruppi di cyber criminali di lingua cinese, tra cui Deep Panda, NetTraveler o Winnti. Nel 2013 si è scoperto che quest'ultimo è stato responsabile di attacchi ad aziende del settore dei giochi online e che utilizzava PlugX da maggio 2012. È interessante notare che Winnti è stato responsabile anche di attacchi contro aziende farmaceutiche, dove l’obiettivo era rubare certificati digitali da produttori di apparecchiature mediche e di software.
Il RAT PlugX consente agli aggressori di attuare varie operazioni dannose su un sistema senza il consenso o l’autorizzazione dell’utente, inclusi, ad esempio, la copia e la modifica di file, la registrazione di sequenze di tasti, il furto di password e la cattura di schermate dell'attività dell’utente.
PlugX, come altri RAT, viene utilizzato dai criminali informatici per rubare e raccogliere segretamente informazioni sensibili o redditizie a scopi dannosi.
L’uso di RAT negli attacchi contro le organizzazioni farmaceutiche indica un crescente interessa da parte dei gruppi APT verso il settore sanitario.
Le soluzioni Kaspersky Lab rilevano e bloccano il malware PlugX.
Nello specifico, secondo le rilevazioni riferite al 2017, oltre il 60% delle aziende mediche ha avuto malware sui propri server o computer, mentre Filippine, Venezuela e Tailandia sono in cima alla lista dei Paesi con dispositivi attaccati nelle aziende mediche.
Per rimanere protetti, gli esperti consigliano alle aziende di rimuovere tutti i nodi che elaborano dati medici da portali pubblici e rendere sicuri i portali web pubblici; aggiornare automaticamente il software installato utilizzando i sistemi di gestione delle patch su tutti i nodi, inclusi i server; utilizzare una soluzione di sicurezza aziendale, di comprovata efficacia, in combinazione con tecnologie anti-targeted attack e di threat intelligence.
Queste sono in grado di individuare e bloccare attacchi mirati avanzati analizzando le anomalie della rete e offrendo ai team di sicurezza informatica una visibilità completa sulla rete e risposte automatiche.
Per ulteriori consigli, visitate Securelist.com.
