È emersa una vasta campagna di frode che prende di mira le grandi imprese che emettono carte regalo e i ricercatori affermano che gli aggressori non sono né poco sofisticati né di piccole dimensioni. Invece, un gruppo che opera fuori dal Marocco si è infiltrato silenziosamente nei sistemi cloud aziendali, ha sfruttato gli strumenti di identità e ha emesso carte regalo di alto valore per la rivendita. La campagna è stata soprannominata “Jingle Thief” dal team Unit 42 di sicurezza di Palo Alto Networks, il braccio di ricerca sulle minacce informatiche.
La truffa inizia con mezzi relativamente semplici. Le esche di phishing e smishing (phishing basato su SMS) vengono inviate ai dipendenti di aziende globali di vendita al dettaglio e di servizi ai consumatori. Gli aggressori si spacciano per entità familiari e affidabili (ad esempio, organizzazioni non profit, avvisi IT interni o aggiornamenti del sistema di ticketing) per indurre le vittime a consegnare le credenziali. Una volta all’interno dell’ambiente cloud di un’azienda, procedono con la ricognizione, il movimento laterale e la persistenza.
Ciò che è degno di nota è la quantità di malware utilizzata. Gli aggressori si affidano in modo schiacciante all’abuso dell’identità cloud piuttosto che al rilascio di codice dannoso sugli endpoint. Registrano dispositivi non autorizzati, registrano app di autenticazione dannose, impostano regole di posta in arrivo che inoltrano e-mail di approvazione sensibili agli account controllati dagli aggressori e accedono silenziosamente alle condivisioni di documenti che tengono traccia dei flussi di lavoro delle carte regalo e dei sistemi di emissione.
In un incidente, gli autori delle minacce hanno mantenuto l’accesso in un unico ambiente aziendale per circa dieci mesi e hanno compromesso oltre sessanta account utente.
La sequenza segue tipicamente tre fasi:
Compromissione iniziale: un’e-mail di phishing porta all’estrazione delle credenziali. L’URL può sembrare legittimo, ma in realtà indirizza l’utente a un sito ostile.
Ricognizione cloud e movimento laterale: dopo l’accesso, gli aggressori esplorano SharePoint, OneDrive, Exchange e altre risorse, alla ricerca di flussi di lavoro per l’emissione di carte regalo, catene di approvazione, esportazioni di ticket, guide all’accesso VPN e fogli di calcolo interni.
Esecuzione di frodi: una volta identificata l’applicazione o il flusso di lavoro corretto, gli aggressori emettono carte regalo, spesso di alto valore, utilizzando le credenziali compromesse. Quindi convertono queste carte in contanti o le spostano attraverso i canali del mercato grigio. Tutto questo viene fatto con tracce di log minime e senza malware.
Uno dei principali vantaggi per i truffatori è il modo in cui le carte regalo vengono trattate internamente da molte aziende. Poiché questi sistemi spesso si trovano al di fuori dei controlli finanziari di base, vengono monitorati e registrati meno frequentemente rispetto ai sistemi bancari. Ciò offre agli aggressori sia opportunità che copertura.
Le carte regalo sono bersagli ideali
Diversi fattori rendono le carte regalo un bersaglio particolarmente allettante per le operazioni di frode informatica. Innanzitutto, richiedono dati personali minimi per essere riscattati e possono essere convertiti in denaro contante o utilizzati in modo anonimo, rendendoli difficili da rintracciare. In secondo luogo, i sistemi di emissione spesso hanno ampie autorizzazioni interne e un monitoraggio più debole rispetto ai sistemi di carte di pagamento. In terzo luogo, le frodi tramite carte regalo spesso sfuggono all’attenzione immediata dei team di rischio finanziario perché gli importi possono apparire come operazioni legittime fino a quando non si intensificano.
Anche la stagionalità gioca un ruolo. La campagna “Jingle Thief” prende il nome dall’intensificazione dell’attività durante i periodi di vacanza, quando l’emissione di carte regalo è elevata e il personale potrebbe essere meno vigile. Gli aggressori programmano le loro incursioni per quando le difese sono tese.
Il gruppo di hacker marocchino e le sue tattiche
I ricercatori dell’Unità 42 attribuiscono questa campagna, con moderata sicurezza, a un cluster di attori delle minacce tracciato come CL-CRI-1032. Si ritiene che questo ammasso si sovrapponga ai gruppi noti come Atlas Lion e Storm-0539, entrambi con sede in Marocco e attivi almeno dalla fine del 2021.
Ciò che è insolito è il modo in cui si comportano in modo simile ai gruppi sponsorizzati dallo stato: lunghi tempi di permanenza, ricognizioni pesanti e operazioni cloud-native. Ma sono motivati finanziariamente piuttosto che politicamente. Evitano deliberatamente malware e attacchi agli endpoint perché aumentano il rumore e il rischio di rilevamento. Preferiscono operare interamente all’interno del livello di identità.
Un altro esempio della loro furtività è il modo in cui abusano della registrazione del dispositivo. Dopo aver ottenuto le credenziali, registrano le proprie macchine virtuali o dispositivi nel dominio dell’organizzazione di destinazione, spesso sfruttando l’infrastruttura cloud per integrarsi. Una volta che il dispositivo dannoso fa parte dell’ambiente, si comporta come un endpoint aziendale legittimo.
Cosa devono fare le aziende per difendersi
Per le organizzazioni che operano nel settore della vendita al dettaglio, dei servizi ai consumatori o di qualsiasi azienda che emette carte regalo, il modello di rischio è cambiato. I flussi di lavoro di identità e cloud sono ora in prima linea. I difensori devono concentrarsi sulla prevenzione del malware e sull’uso dell’identità, sulla registrazione dei dispositivi, sulla visibilità del flusso di lavoro interno e sul rilevamento a livello di dominio.
Quello che era iniziato come un dominio di frode a rischio relativamente basso (furto di codici di carte regalo) è maturato in un sofisticato crimine basato su cloud. La campagna Jingle Thief dimostra come gli aggressori ora sfruttino i sistemi di identità, i carichi di lavoro cloud e i flussi di lavoro interni per rubare risorse monetizzate come denaro contante. Le aziende che emettono carte regalo devono ora considerare tali sistemi come le principali aree di rischio finanziario.
Se fai parte di un’organizzazione che gestisce l’emissione di carte regalo, il messaggio è chiaro: il nemico potrebbe essere già all’interno della tua infrastruttura di identità, mappando pazientemente il tuo cloud e i flussi di lavoro aziendali. Quella che pensavi fosse una convenienza amministrativa potrebbe ora essere una porta d’accesso per le frodi.