Kaspersky e le tendenze APT del Q1 2021

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 28/04/2021
 
 

 

Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.

Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.

Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.

Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.

La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.

Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.

La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.

All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiti circa 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.

Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.

Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.

Anche il famigerato gruppo APT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.

Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.

A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.

Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppo BitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.

La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.

Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».

Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.

Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:

  • Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
  • Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
  • Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
  • Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

30 Aprile 2021

Trucchi di phishing con Microsoft Office

Tratto da Blog Kaspersky
Autore: Roman Dedenok – 22/04/2021
 
 
Se in un’e-mail vi chiedono di accedere al vostro account MS Office, ecco cosa dovreste fare
 
 
 

 

Con l’accesso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.

Nuovo trucco di phishing: l’allegato HTML

Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.

Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.

Cosa cercare in un’e-mail di phishing

Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:

 

Un'e-mail di phishing

Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:

  1. Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
  2. È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
  3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
  4. L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.

In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.

Come riconoscere una pagina di phishing

Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?

 

Una pagina web di phishing

 

Ecco a cosa bisogna prestare attenzione:

  1. Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
  2. I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
  3. Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;

In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.

Come non cadere nella trappola

Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:

  • State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing.
  • Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

23 Aprile 2021

CVE-2021-28310: una finestra già rotta

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 

Una vulnerabilità zero-day presente in Microsoft Windows potrebbe essere già stata sfruttata dai cybercriminali. Vediamo di cosa si tratta e come proteggersi

 

 

I ricercatori di Kaspersky hanno individuato una vulnerabilità zero-day (CVE-2021-28310) in un componente di Microsoft Windows chiamato Desktop Window Manager (DWM). Crediamo che numerosi cybercriminali potrebbero aver già sfruttato questa vulnerabilità. Microsoft ha già rilasciato la patch e vi suggeriamo di installarla immediatamente.

Cos’è Desktop Window Manager?

Quasi tutti noi abbiamo dimestichezza con l’interfaccia a finestre dei moderni sistemi operativi: ogni programma si apre in una finestra separata che non necessariamente occupa tutto lo schermo. Le finestre possono sovrapporsi, per esempio, una getta un’ombra sulle altre come se stesse fisicamente bloccando la luce. Su Microsoft Windows, il componente responsabile di caratteristiche come le ombre e trasparenze si chiama Desktop Window Manager.

Per capire perché Desktop Window Manager sia importante in un contesto di sicurezza informatica, va tenuto in considerazione che i programmi non disegnano semplicemente le loro finestre sullo schermo ma aggiungono le informazioni necessarie in un buffer. Desktop Window Manager prende queste informazioni dal buffer di ogni programma e crea l’immagine complessiva di ciò che viene visualizzato dall’utente. Quando si trascina una finestra su un’altra, i programmi aperti non sanno nulla sul fatto che le loro finestre debbano proiettare un’ombra o che un’altra finestra a sua volta proietta un’ombra su di esse, per esempio. Desktop Window Manager si occupa di questo compito, si tratta di un servizio chiave che esiste su Windows a partire dalla versione Vista e che non può essere disattivato su Windows 8 o versioni successive.

La vulnerabilità in Desktop Window Manager

La vulnerabilità scoperta dalla nostra tecnologia avanzata di prevenzione degli exploit porterebbe alla cosiddetta privilege escalation; ciò significa che un programma può ingannare Desktop Window Manager e ottenere un accesso che non dovrebbe avere. In questo caso, la vulnerabilità ha permesso ai criminali informatici di eseguire un codice arbitrario sui dispositivi delle vittime, concedendo in sostanza il pieno controllo del computer.

Come evitare l’exploit CVE-2021-28310

È fondamentale agire rapidamente. Ecco cosa potete fare:

  • Installate immediatamente le patch rilasciate da Microsoft il 13 aprile e su tutti i computer vulnerabili;
  • Proteggete tutti i dispositivi con una soluzione di sicurezza robusta come Kaspersky Endpoint Security for Business, la cui componente avanzata di prevenzione degli exploit blocca i tentativi di sfruttare la vulnerabilità CVE-2021-28310.

 

Ulteriori informazioni sulla soluzione Kaspersky: dircom@argonavis.it

20 Aprile 2021

Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021

Cloud Security: nuove soluzioni di sicurezza per le aziende

Tratto da Blog Kaspersky
Autore: Daniela Incerti – 13/04/2021
 
 
Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno cambiando il loro modello di business, passando da soluzioni on premise a soluzioni ibride e multicloud
 
 
 

 

Nel 2020 abbiamo vissuto una crisi senza precedenti che ha richiesto profondi cambiamenti sui nostri stili di vita, sul modo in cui interagiamo gli uni con gli altri e sul modo in cui lavoriamo.

In ambito agile working e smartworking le aziende hanno avuto, da un anno a questa parte, una forte spinta ad accelerare e abilitare in maniera molto rapida modalità di lavoro agili per consentire a tutti i lavoratori l’accesso alle risorse e ai dati aziendali,  mantenendo così la continuità operativa.

Anche l’ecommerce è un settore che nel corso del 2020 ha subito un a forte accelerazione. Infatti i consumatori hanno iniziato ad utilizzare molto di più i canali digitali per contattare le aziende attraverso device diversi.

In base ad una ricerca di IDC del 2020, al primo posto di quelle che sono le nuove priorità di innovazione delle aziende per il 2021, c’è la necessità di far evolvere i propri ambienti IT verso infrastrutture più agili, modulari e scalabili.

Come conseguenza della crescente digitalizzazione degli ambienti di lavoro e dell’aumento dell’innovazione, le organizzazioni stanno migrando i carichi di lavoro sul cloud. Questo settore ha visto infatti una crescita del 20% degli investimenti nel 2020.

Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno infatti cambiando il loro modello di business , passando da soluzione on premise a soluzioni ibride e multicloud.

Perché le aziende vanno verso il cloud?

Perché i benefici per il business sono molteplici e superiori rispetto a quelli tecnologici. Il cloud permette alle aziende di fondare i propri processi su sistemi flessibili in grado di reagire rapidamente ad eventi inaspettati (come ad esempio il lavoro da remoto) per mantenere continuità operativa. Il cloud fornisce infatti una maggiore agilità all’IT.

Oggi, agli ambienti IT tradizionali, si affiancano sempre più i servizi cloud.
Terminali e device degli utenti (personal pc, smartphone e tablet) sono sempre più connessi e hanno necessità di accedere alle risorse aziendali.
Con l’aumento dello smartworking abbiamo visto anche la crescita di connessioni domestiche per accedere alla rete aziendale, estendendo così sempre di più il perimetro aziendale. Proprio per questo l’approccio della sicurezza deve per forza evolvere da un approccio hardware ad uno più software.

Per reagire a questi cambiamenti le aziende oggi stanno aumentando la loro spesa in sicurezza (secondo una ricerca IDC, il 46% delle aziende italiane nel 2021 aumenterà gli investimenti in ambito security).

Gli ambienti IT ibridi e il multicloud richiedono però anche nuovi approcci, strategie e tecnologie di protezione per far fornte alla nuove priorità di sicurezza che sono:

  • Cloud security
  • Data Security
  • IoT & Edge Security
  • OT Security
  • Automation &Orchestration
  • Access Management& Protection (ZeroTrust, SASE, …)
  • Security as-a-service.

Quando si parla di ibrido e multicloud, quali sono oggi le principali sfide per le aziende?

Durante la migrazione per il passaggio al cloud, le aziende si trovano di fronte ad un lavoro non indifferente. Devono adattare i propri sistemi durante ma anche alla fine della transizione verso il cloud. In questa fase i cyber criminali potrebbero approfittarne per perpetrare i loro attacchi.

Per proteggere gli ambienti cloud, servono tecnologie dedicate alla sicurezza dei sistemi virtuali.
La soluzione Hybrid Cloud Security di Kaspersky  offre un’eccezionale protezione multi-layered per ambienti multi-cloud. Ovunque si elaborino e archivino i dati aziendali critici, su un cloud privato o pubblico o su entrambi, la soluzione Kaspersky è in grado di offrire una perfetta combinazione equilibrata di sicurezza agile, continua ed efficiente, proteggendo i dati contro le più avanzate minacce presenti e future, senza compromettere le prestazioni dei sistemi.

Per ulteriori informazioni: dircom@argonavis.it

15 Aprile 2021

Blog & News

Categorie