CACTUS: attacco ransomware multi-fase coordinato. La ricerca di Bitdefender

 
 
 

Tratto da www.bitdefender.it/news – 28/02/2024

Si tratta di uno dei primi casi documentati di attacco simultaneo contro due aziende distinte a pochi minuti di distanza l’una dall’altra

Bitdefender ha pubblicato una nuova ricerca che ha rilevato che il gruppo ransomware CACTUS ha iniziato a lanciare attacchi multi-fase coordinati.

Dopo aver indagato su un attacco ransomware contro un’azienda non sua cliente, Bitdefender ha stabilito che CACTUS ha utilizzato una vulnerabilità del software meno di 24 ore dopo la divulgazione del POC. Dopo essersi infiltrato nella prima azienda e aver impiantato diversi strumenti di accesso remoto e tunnel su vari server, CACTUS ha individuato l’opportunità di spostarsi in un’altra azienda che fa parte della stessa organizzazione della prima azienda, ma che opera in modo completamente indipendente (reti e domini separati).

CACTUS ha scoperto le macchine che collegavano le due aziende e le ha colpite con estrema precisione e coordinazione a distanza di 5 minuti l’una dall’altra, e dopo 30 minuti ha paralizzato l’infrastruttura di virtualizzazione (comprese le macchine virtuali e i controller di dominio).

Bitdefender ritiene che il successo dell’attacco coordinato sarà implementato negli schemi di CACTUS e ripetuto anche prossimamente, poiché sono estremamente attivi.

Principali conclusioni:

  • CACTUS ha utilizzato una vulnerabilità meno di 24 ore dopo la divulgazione del POC per ottenere l’accesso alla prima azienda e ha poi distribuito strumenti di accesso remoto e tunnel sui loro server.
  • CACTUS ha scoperto che, nonostante le reti e i domini separati, le macchine di un’azienda erano presenti nella rete dell’altra, perché le due società fanno capo alla stessa organizzazione.
  • Gli attacchi sono avvenuti a distanza di cinque minuti l’uno dall’altro e hanno incorporato l’esfiltrazione dei dati, la crittografia dei dati e un attacco secondario contro le infrastrutture di virtualizzazione di entrambe le aziende.
  • CACTUS ha attaccato sia Hyper-V che VMware ESXi, mentre in precedenza era noto per colpire solo i carichi di lavoro Windows.

Bitdefender invita le aziende a mantenere uno stato di allerta elevato, ad applicare gli Indicatori di Compromissione trovati nella ricerca e a ridurre il rischio che l’attacco abbia successo applicando tattiche di difesa specifiche, tra cui l’impiego di tecnologie di rilevamento e risposta, l’applicazione di un rigoroso controllo degli accessi ai dati, la valutazione e la segmentazione delle reti per limitare gli spostamenti laterali non autorizzati.

La ricerca è disponibile qui.

15 Marzo 2024

Conflitto in Israele: scoperte le prime campagne di truffe informatiche

 
 
 

Tratto da www.lineaedp.it – 18/10/2023

Autore: Redazione LineaEDP

Le campagne utilizzano phishing, enti di beneficenza fittizi e appelli dei rifugiati per derubare gli utenti

I criminali informatici stanno sfruttando il conflitto in Israele con Gaza per trarre vantaggi finanziari sfruttando la solidarietà degli utenti: lo annuncia oggi Bitdefender pubblicando i risultati delle truffe informatiche attualmente in corso e legate al conflitto in Israele che stanno utilizzando phishing, enti di beneficenza fittizi e appelli dei rifugiati per derubare, di fatto, gli utenti.

Bitdefender raccomanda la massima prudenza nell’aprire email con richieste di aiuto e nel visitare i siti di beneficenza, poiché i rischi legati a perdite finanziarie e attività fraudolente sono in questo momento molto elevati.

  • A partire dal 13 ottobre – (meno di una settimana dopo l’attacco di Hamas) – Bitdefender ha iniziato a osservare campagne di truffa via email per soccorrere la popolazione e aiutare i rifugiati.
  • ll 27% dello spam colpisce la Russia, seguita da Svezia (15%) e Romania (10%). Ma Bitdefender avverte che i criminali informatici potrebbero presto concentrarsi su altri Paesi.

Di seguito sono riportati alcuni esempi di come i criminali informatici stiano cercando di sfruttare il conflitto in Israele:

Conflitto in israele-truffe hacker

Mentre il conflitto in Israele prosegue, Bitdefender prevede che questo tipo di email fraudolente sarà recapitato con cadenza regolare nelle caselle di posta degli utenti di tutto il mondo e che i truffatori continueranno ad adattare le loro “storie” e le loro richieste di donazione in linea con le ultime notizie e gli aggiornamenti sul conflitto.

Per non farsi ingannare da queste truffe e proteggere le proprie finanze Bitdefender raccomanda di:

– Verificare con attenzione tutte le comunicazioni relative alla guerra, sia via email, telefono, sms o social media.

– Eseguire sempre delle ricerche sull’organizzazione prima di effettuare qualsiasi pagamento: le richieste di donazione in criptovalute, i bonifici bancari e le carte regalo sono un segnale di pericolo e vanno quindi sempre evitate.

– Non rispondere mai a email non richieste che potrebbero essere una truffa. In caso di risposta i truffatori avranno la conferma della validità dell’indirizzo email e continueranno a inviare ulteriori messaggi truffaldini.

19 Ottobre 2023

ChatGPT al centro di una campagna phishing

 
 
 

Tratto da www.bitdefender.it – 06/03/2023

Bitdefender ha pubblicato una nuova ricerca su una crescente truffa finanziaria che utilizza una versione fake di ChatGPT.

La campagna inizia con un’email di phishing che indirizza le vittime a una versione fake di ChatGPT. Il sito offre allettanti opportunità finanziarie utilizzando l’intelligenza artificiale per analizzare i mercati e consigliare azioni a fronte di un investimento minimo di 250 euro.

L’oggetto della email include frasi come per esempio:

– ChatGPT: Il nuovo bot AI fa impazzire tutti

– Il nuovo ChatGPT chatbot sta facendo impazzire tutti – ma molto presto sarà uno strumento comune come Google

– Perché tutti sono nel panico per il bot ChatGPT?

Il “chatbot” della falsa piattaforma inizia con una breve introduzione al suo ruolo di analisi dei mercati finanziari che può consentire a chiunque di diventare un investitore di successo. I ricercatori di Bitdefender hanno accettato di stare al gioco e hanno permesso alla chatbot di aiutarli ad arricchirsi: hanno così chattato con l’intelligenza artificiale (che poteva selezionare solo risposte predefinite) e hanno scoperto che la campagna è abbinata a un call center in cui operatori reali convincono le vittime a creare un conto (per iniziare a investire) fornendo informazioni personali e finanziarie come il numero di carta di credito.

La campagna al momento è attiva maggiormente in Danimarca, Germania, Australia, Irlanda e Paesi Bassi, ma Bitdefender consiglia agli utenti di tutto il mondo di stare all’erta, poiché la campagna sembra stia crescendo a livello globale.

L’intero articolo, con link a immagini e ricerca completa, pubblicato sul sito Bitdefender, è disponibile qui

13 Marzo 2023

Rischio di attacchi omografici per tutti i programmi di Microsoft Office

 
 
 

Tratto da www.bitdefender.it – 06/06/2022

Bitdefender Labs annuncia che tutti i programmi MS Office (inclusi Outlook, Word, Excel, OneNote e PowerPoint) sono vulnerabili agli attacchi omografici ai nomi di dominio internazionalizzati (IDN).

Un attacco omografico consiste nell’utilizzare domini con nomi molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco del criminale informatico ( l’attacco omografico più semplice consiste nel sostituire “o” con “0” ad esempio g00gle.com), con la finalità di attirare gli utenti su siti fasulli e di ottenere così dati personali, di diffondere malware o rendere più credibile una mail di phishing, facendo credere al malcapitato di essere nel sito web originale. Tuttavia, gli attacchi omografici IDN possono essere irriconoscibili dai domini a cui stanno facendo spoofing, perché le lettere dei vari alfabeti sono quasi identiche.

Sebbene il rischio di attacchi omografici IDN sia stato rilevato nei browser web, Bitdefender ha riscontrato che i nomi di dominio oggetto di spoofing utilizzati nelle applicazioni MS Office rimangono cammuffati, rendendo elevata la probabilità di clic da parte dell’utente.

Principali rilevazioni

  • Bitdefender ha scoperto che tutte le applicazioni di Microsoft Office rimangono vulnerabili agli attacchi di tipo omografico IDN.
  • Bitdefender ha testato altre applicazioni di produttività e ha riscontrato un comportamento incoerente: alcune applicazioni visualizzano sempre l’indirizzo reale, mentre altre visualizzano un nome internazionale.
  • Bitdefender ha segnalato questo problema a Microsoft nell’ottobre 2021 e il Microsoft Security Response Center ha confermato la validità dei risultati del vendor. Ad oggi non è ancora chiaro se e quando Microsoft risolverà il problema.
  •  Gli attacchi al nome di dominio internazionalizzato sono uno strumento efficace che gli avversari di alto livello (APT o RaaS) possono utilizzare contro obiettivi di alto valore (aziende o persone). Bitdefender ha osservato attacchi di spoofing che hanno preso di mira istituzioni finanziarie e borse di criptovalute.

Le raccomandazioni di Bitdefender

  • Considerare la possibilità di attacchi omografici nei momenti di formazione e di sensibilizzazione degli utenti, compresa la possibilità di attacchi omografici contro la supply chian dell’azienda.
  • Implementare una soluzione di sicurezza per gli endpoint che rilevi e blocchi i siti web dannosi.
  • Utilizzare i servizi di reputazione di IP e URL per tutti i dispositivi aziendali. Una semplice regola da tenere in considerazione: se l’URL inizia con xn--, il sito è sospetto.

Ogni mese Bitdefender esamina i dati della sua telemetria per ottenere maggiori informazioni sul panorama delle minacce in merito agli attacchi omografici. Analizzando queste informazioni emerge una chiara tendenza a prendere di mira le operazioni finanziarie, con un focus primario sui mercati delle criptovalute.

4 Luglio 2022

Bitdefender, il nuovo partner di Argonavis

 
 
 
 

Per meglio rispondere alle esigenze dei clienti e ampliare la proposta di soluzioni in grado di proteggere le aziende, pubbliche e private, dalle moderne minacce informatiche, Argonavis ha incluso Bitdefender tra i suoi partner.

Bitdefender ha sviluppato la soluzione GravityZone Business Security che combina apprendimento automatico ed euristica con firme e altre tecniche per offrire una protezione da ogni tipo di malware, oltre a minacce come phishing, ransomware, exploit e zero-day.

GravityZone Business Security protegge e monitora, con una sola console di facile gestione, workstation e server (fisici o virtuali).

Principali caratteristiche e vantaggi:

Network Attack Defense

La soluzione offre un nuovo livello di protezione dagli attacchi che cercano di accedere al sistema sfruttando le vulnerabilità della rete; blocca minacce come attacchi di forza bruta, furti di password, exploit di rete e movimenti laterali prima che possano essere eseguite.

Prevenzione e mitigazione dei ransomware

Lo stack completo anti-ransomware di Bitdefender offre copie di backup aggiornate, automatiche e a prova di manomissione dei file degli utenti, senza utilizzare le copie shadow; capacità di blocco e prevenzione (Network Attack Defense; Anti-Exploit avanzato; Machine Learning anti-malware); monitoraggio dei processi in tempo reale (Advanced Threat Control) e tecnologie di mitigazione dei rischi da fattore umano ed endpoint.

Protezione multilivello per gli endpoint

I desktop, portatili e server sono protetti con una sicurezza multilivello: apprendimento automatico, euristica, firme, protezione della memoria e monitoraggio costante dei processi in esecuzione, blocco dei malware, disinfezione, messa in quarantena e ripristino in caso di modifiche dannose.

Sicurezza web-based – Nessun hardware necessario

Non servirà alcun server dedicato e neppure più dipendenti IT, poiché GravityZone centralizza tutte le funzionalità di sicurezza in una sola console. I dipendenti non devono mai aggiornare o monitorare le attività di sicurezza. E’ possibile risparmiare tempo installando in remoto la protezione su tutti i computer non protetti attraverso una procedura semplice e completa. La soluzione di sicurezza può essere impiegata in locale oppure ospitata da Bitdefender nel cloud.

Protezione integrata con Endpoint Risk Management

Identificare, valutare e rimediare efficacemente ai punti deboli degli endpoint è fondamentale per l’esecuzione di un programma di sicurezza sano e ridurre i rischi organizzativi. Endpoint Risk Management è un’infrastruttura per ridurre l’esposizione e rinforzare la superficie dell’endpoint, scoprendo e priorizzando errori nella configurazione di sistemi operativi e software. Gli amministratori possono affrontare le vulnerabilità utilizzando questa interfaccia.

Apprendimento automatico e IA perfezionati negli anni

Intelligenza artificiale e apprendimento automatico sono essenziali per combattere un panorama di minacce più grande e sofisticato che mai.

Il più grande cloud di informazioni di sicurezza

Con più di 500 milioni di sistemi protetti, la Bitdefender Global Protective Network esegue 11 miliardi di query al giorno e utilizza l’apprendimento automatico e la correlazione degli eventi per rilevare le minacce senza rallentare gli utenti.

Monitoraggio comportamento applicazioni avanzato

Process Inspector di Bitdefender monitora continuamente i processi in esecuzione per rilevare eventuali segni di comportamenti dannosi. Una tecnologia proprietaria e innovativa lanciata nel 2008 come (AVC), è stata migliorata costantemente, mantenendo Bitdefender sempre un passo avanti alle minacce emergenti.

Per ulteriori informazioni: dircom@argonavis.it

1 Luglio 2022