▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Biomanufacturing bersagliato dal malware Tardigrade

L'infrastruttura di protezione dei vaccini è minacciata da un nuovo malware metamorfico studiato per lo spionaggio informatico.

Tecnologie/Scenari

Si chiama Tardigrade il malware personalizzato usato da un gruppo di cyber criminali per attaccare gli impianti di bioproduzione. Il target non stupisce, considerata l'importanza critica in questo periodo dei prodotti di questa filiera. BIO-ISAC (Bioeconomy Information Sharing and Analysis Center), che ha lanciato l'allarme, parla espressamente di "attacco APT all'infrastruttura di produzione dei vaccini".

Al momento l'origine di questi attacchi è sconosciuta, ma gli esperti sospettano che siano orchestrati da APT, dato che l'obiettivo è inequivocabilmente lo spionaggio informatico. Gli attacchi sarebbero avvenuti nella primavera 2021, con il malware Tardigrade programmato per diffondersi in reti compromesse ed esfiltrare dati per lunghi periodi.

Gli attacchi sembravano una classica infezione da ransomware, con tanto di richiesta di riscatto. Solo dopo si è compreso che la finalità dell'attacco non era incassare il riscatto, ma fare da diversivo per distogliere l'attenzione dalla consegna del payload, che doveva permanere all'interno della rete target il più a lungo possibile.


Tardigrade

Tale payload era appunto Tardigrade, un malware metamorfico che si diffonde come un worm ed esfiltra i file. Per la precisione, si tratta di una versione personalizzata di SmokeLoader, che viene depositata sulla rete target mediante phishing o pendrive USB. L'aspetto interessante di questo malware è che può ricompilare il loader dalla memoria senza lasciare alcuna firma. Questo lo rende molto difficile da identificare, tracciare e rimuovere.

La funzione della versione metamorfica di SmokeLoader è di agire come punto di ingresso per gli attaccanti, che possono scaricare molteplici payload, manipolare file e distribuire moduli aggiuntivi. Una peculiarità di questa versione è che, al contrario delle varianti in precedenza note di SmokeLoader, può funzionare anche autonomamente, senza una connessione C2.

Significa che Tardigrade si appoggia a un C2, ma qualora questo fosse irraggiungibile per un qualsiasi motivo, il malware continuerebbe a muoversi lateralmente in base alla logica interna e alle sue capacità decisionali avanzate. Allo stesso modo ha la capacità di identificare selettivamente i file da modificare.


Rilevazione e prevenzione

Secondo i test condotti da BIO-ISAC, SmokeLoader non viene rilevato da circa la metà dei motori antivirus presenti in Virus Total. Al momento si possono solo prendere precauzioni. A livello di rete, gli esperti consigliano di seguire le pratiche standard di segmentazione della rete, mantenendo i backup offline.

Sarà bene incontrare il personale per individuare le risorse e le infrastrutture davvero critiche per metterle in sicurezza. La protezione dev'essere affidata a strumenti che fanno uso dell'analisi comportamentale, per poter individuare qualsiasi attività al di fuori dell'ordinario. Infine, tutti i dipendenti dovrebbero essere coinvolti in corsi di formazione sul phishing.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1