Didattica a distanza e attacchi DDoS, ecco i dati Kaspersky

Tratto da ZeroUno Newsletter– 23/09/2020

+350% è l’aumento degli attacchi DDoS registrato confrontando i primi 6 mesi del 2020 e lo stesso periodo del 2019

Sovraccaricare i server di rete di richieste al punto da mandarli in crash attivando una serie di computer infetti, è l’obiettivo degli attacchi DDoS – Denial of Service. Tra l’altro, gli attacchi DDoS sono particolarmente problematici perché possono avere una durata che va da un paio di giorni a qualche settimana causando l’interruzione dell’attività e, nel caso delle risorse didattiche, negando l’accesso agli studenti e al personale a contenuti importanti.

Cosa è successo nei primi sei mesi del 2020

Secondo quanto reso noto da Kaspersky, il numero più elevato di persone connesse a Internet in questi primi mesi dell’anno ha contribuito a rendere la rete un bersaglio preferenziale per gli attacchi alla sicurezza informatica. A livello globale, infatti, il numero totale di attacchi DDoS è aumentato dell’80% nel primo trimestre del 2020 rispetto allo stesso periodo dell’anno precedente.

Gli attacchi alle risorse dedicate alla didattica hanno rappresentato una parte importante di questa crescita. Tra gennaio e giugno 2020 il numero di attacchi DDoS che hanno interessato questi obiettivi è aumentato di almeno il 350% rispetto agli stessi mesi del 2019.

Gli attacchi DDoS, però, non sono state le uniche minacce informatiche affrontate da educatori e studenti durante la scorsa primavera.

Da gennaio a giugno 2020, 168.550 utenti unici di Kaspersky si sono scontrati con un numero crescente di minacce di vario tipo diffuse attraverso “finte” piattaforme di apprendimento online e applicazioni di videoconferenza che si si nascondevano dietro a nomi noti come Moodle, Zoom, edX, Coursera, Google Meet, Google Classroom e Blackboard. Inoltre, gli educatori hanno incontrato un numero crescente di pagine di phishing e di e-mail che sfruttando queste stesse piattaforme, li inducevano a fare il download di varie minacce.

“La scorsa primavera l’apprendimento a distanza è diventato una necessità per milioni di studenti e molte organizzazioni scolastiche sono state costrette a gestire questa transizione con poca o nessuna preparazione. Il conseguente aumento della popolarità delle risorse educative online, unito a questa mancanza di preparazione, ha reso il settore dell’istruzione un bersaglio ideale per gli attacchi informatici. Tenuto conto che nei prossimi mesi molte scuole e università continueranno a tenere alcune lezioni online è fondamentale che queste organizzazioni prendano provvedimenti per rendere sicuri gli ambienti di apprendimento digitali”, ha commentato Alexander Gutnikov, esperto di sicurezza di Kaspersky.

Alcuni suggerimenti per proteggersi dagli attacchi DDoS

Gli esperti di Kaspersky indicano alcune importanti misure da tenere presenti per far fronte alla minaccia di attacchi DDoS, tra queste le principali sono:

mantenere l’operatività delle risorse web avvalendosi di specialisti che sappiano come rispondere agli attacchi DDoS e che dovranno essere reperibili anche fuori dall’orario canonico di ufficio, di sera e nei fine settimana;
convalidare gli accordi con terze parti e le informazioni di contatto, compresi quelli stipulati con i fornitori di servizi internet. Questo aiuta i team ad accedere rapidamente agli accordi in caso di attacco;
implementare soluzioni professionali salvaguarderà un’organizzazione dagli attacchi DDoS. Kaspersky DDoS Protection, per esempio, combina l’esperienza di Kaspersky nella lotta contro le minacce informatiche alle esclusive innovazioni in-house dell’azienda.

Promozione 3×2 di Kaspersky

Dal 1° ottobre al 30 novembre p.v. sarà possibile acquistare la licenza triennale di Kaspersky con la promo 3×2 (tre anni al prezzo di due), anche Renewal (Add-on e Upgrade non inclusi).

Prodotti e bande oggetto di Promo:

Da 5 a 999 licenze per Kaspersky Endpoint Security for Business Select, Advanced, Kaspersky Total Security for Business, Kaspersky Endpoint Security Cloud and Cloud Plus, Kaspersky Security for Microsoft Office 365, Kaspersky Security for Mail Server, Kaspersky Security for Internet Gateway
Da 1 a 99 licenze per Kaspersky Hybrid Cloud Security, Server (le versioni Enterprise e CPU non sono incluse)
Da 10 a 499 licenze per Kaspersky Hybrid Cloud Security, Desktop

Non applicabilità:

Non combinabili con altre promozioni e/o accordi commerciali diretti con Manager Kaspersky
Non applicabile a clienti Enterprise/NAL o ad essi direttamente collegati

Per ulteriori informazioni: dircom@argonavis.it

Come difendersi dal phishing “ad azione ritardata”

I link di phishing nelle e-mail ai dipendenti si attivano spesso dopo la scansione iniziale. Ma possono ancora essere individuati e bisogna farlo.

Il phishing è da tempo un importante vettore di attacco alle reti aziendali. Non c’è da stupirsi, quindi, che tutti e tutto, dai provider dei servizi ai gateway di posta elettronica e persino i browser, utilizzino i filtri anti-phishing e si avvalgano della scansione degli indirizzi dannosi. Di conseguenza, i cybercriminali inventano costantemente nuovi metodi per aggirare questi sistemi di difesa e perfezionano quelli già collaudati. Uno di questi è il cosiddetto delayed phishing (che potremmo tradurre con “phishing ad azione ritardata”).

Cos’è il delayed phishing?

Il phishing ad azione ritardata è un tentativo di portare la vittima su un sito dannoso o falso utilizzando una tecnica nota come Post-Delivery Weaponized URL. Come suggerisce il nome, con questa tecnica viene sostituito il contenuto online con una versione dannosa dopo la consegna di un’e-mail che reindirizza su questo contenuto. In altre parole, la potenziale vittima riceve un’e-mail con un link che non conduce da nessuna parte o verso una risorsa legittima che potrebbe essere già compromessa, ma che in quel momento non ha alcun contenuto dannoso. Di conseguenza, il messaggio supera qualsiasi filtro. Gli algoritmi di protezione trovano l’URL nel testo, scansionano il sito collegato, non vedono nulla di pericoloso e lasciano passare il messaggio.

Ad un certo punto, dopo la consegna (sempre dopo la consegna del messaggio e idealmente prima della sua lettura), i cybercriminali cambiano il sito a cui reindirizza il messaggio o attivano contenuti dannosi su una pagina precedentemente innocua. Può essere un falso sito bancario o un exploit del browser che tenta di scaricare malware sul computer della vittima. In circa l’80% dei casi, comunque, si tratta di un sito di phishing.

Come vengono ingannati gli algoritmi anti-phishing?

I criminali informatici usano uno di questi tre modi per superare i filtri:

Utilizzo di un link semplice: in questo tipo di attacco, i cybercriminali hanno il controllo del sito bersaglio, che hanno creato da zero, hackerato o dirottato. I cybercriminali preferiscono questi ultimi, che tendono ad avere una reputazione positiva, il che che piace agli algoritmi di sicurezza. Al momento della trasmissione, il link conduce a uno stub privo di significato o, più comunemente, a una pagina con un messaggio di errore 404;
Modifica di un link accorciato: molti strumenti online permettono a chiunque di trasformare un URL lungo in uno più corto. Gli shortlink rendono la vita più facile agli utenti; in effetti, è corto, facile da ricordare e si può ritornare al link più lungo. In altre parole, innesca un semplice reindirizzamento. Con alcuni servizi è possibile modificare i contenuti nascosti dietro uno shortlink, una scappatoia che sfruttano i cybercriminali. Al momento della consegna del messaggio, l’URL rimanda a un sito legittimo, ma dopo un po’ lo convertono in un sito dannoso;
Aggiunta di un link accorciato casuale: alcuni strumenti per l’accorciamento del link consentono il reindirizzamento probabilistico. Cioè, il link ha il 50% di possibilità di portare su google.com e il 50% di possibilità di aprire un sito di phishing. La possibilità di arrivare su un sito legittimo apparentemente può confondere i crawler (programmi per la raccolta automatica di informazioni).

Quando i link diventano dannosi?

I cybercriminali di solito operano partendo dal presupposto che la loro vittima sia un normale lavoratore che dorme di notte. Pertanto, i messaggi di phishing ad azione ritardata vengono inviati dopo la mezzanotte (nel fuso orario della vittima) e diventano dannosi poche ore dopo, verso l’alba. Guardando le statistiche di quando si attivano i sistemi anti-phishing, vediamo un picco intorno alle 7-10 del mattino, quando gli utenti, dopo aver preso un caffè. cliccano su link che erano legittimi al momento dell’invio, ma che ora sono dannosi.

Anche lo spear-phishing non rimane certo a guardare. Se i criminali informatici trovano una persona specifica da attaccare, possono studiare la routine quotidiana della loro vittima e attivare il link dannoso a seconda di quando la vittima è solita controllare la posta.

Come identificare il delayed phishing

Idealmente, bisogna evitare che il link di phishing arrivi all’utente, per cui una nuova scansione della posta in arrivo sembrerebbe la strategia migliore. In alcuni casi, ciò è fattibile: ad esempio, se la vostra azienda utilizza un server di posta Microsoft Exchange.

A partire da questo mese, Kaspersky Security for Microsoft Exchange Server supporta l’integrazione del server di posta elettronica attraverso l’API nativa, che consente di ripetere la scansione dei messaggi già presenti nella casella di posta. Un tempo di scansione opportunamente configurato garantisce il rilevamento di tentativi di delayed phishing senza creare un carico aggiuntivo sul server nel momento di picco della posta.

La soluzione consente anche di monitorare la posta interna (che non passa attraverso il gateway di sicurezza della posta, e quindi non viene analizzata dai filtri e dai motori di scansione), nonché di implementare regole di filtraggio dei contenuti più complesse. In casi particolarmente pericolosi di business email compromise (BEC), in cui i cybercriminali ottengono l’accesso a un account di posta aziendale, assume particolare importanza la possibilità di ripetere la scansione dei contenuti delle caselle di posta e di controllare la corrispondenza interna.

Autore: Oleg Gorobets
Tratto da Blog Kaspersky – 25/09/2020

Nuovi rilasci per “Kaspersky Security for Windows Server” e “Kaspersky Security for Exchange Servers”

Kaspersky ha rilasciato nuove versioni dei seguenti prodotti:

Kaspersky Security for Windows Server
rilascio della versione 11 (versione 11.0.0.480)

Informazioni sul prodotto e download lingua inglese

https://support.kaspersky.com/15569

Download lingua italiana

https://www.kaspersky.it/small-to-medium-business-security/downloads/security-for-windows-server

Kaspersky Security for Exchange Servers

rilascio della versione 9.x MR6 (versione 9.6.96.0)

Informazioni sulla versione

https://support.kaspersky.com/KS4Exchange/9.6/en-US/100302.htm

Informazioni sul prodotto e download lingua inglese

https://support.kaspersky.com/kse9

La vulnerabilità Zerologon minaccia i controller di dominio

La vulnerabilità CVE-2020-1472 nel protocollo Netlogon, alias Zerologon, permette ai cybercriminali di hackerare i controller di dominio.

Durante il Patch Tuesday di agosto, Microsoft ha risolto diverse vulnerabilità, tra cui una dal nome CVE-2020-1472. Alla vulnerabilità del protocollo Netlogon è stato assegnato il grado di gravità “critico” (il suo punteggio CVSS era quello massimo, ovvero 10.0). Che potesse rappresentare una minaccia non è mai stato messo in dubbio, tuttavia l’altro giorno Tom Tervoort, il ricercatore di Secura che l’ha scoperta, ha pubblicato un report dettagliato che spiega perché la vulnerabilità, nota come Zerologon, sia così pericolosa e come possa essere sfruttata per hackerare un controller di dominio.

Che cos’è Zerologon?

In sostanza, CVE-2020-1472 è il risultato di una falla nel sistema cifrato di autenticazione Netlogon Remote Protocol. Il protocollo consente l’autenticazione degli utenti e dei dispositivi sulle reti basate su domini e viene utilizzato anche per aggiornare le password dei computer da remoto. Grazie alla vulnerabilità, un cybercriminale può spacciarsi per un computer client e sostituire la password di un controller di dominio (un server che controlla un’intera rete e gestisce i servizi Active Directory), il che gli consente di ottenere le autorizzazioni di amministratore di dominio.

Chi è a rischio?

La vulnerabilità CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows. In particolare, i criminali informatici possono hackerare un controller di dominio basato su qualsiasi versione di Windows Server 2019 o Windows Server 2016, così come qualsiasi edizione di Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1. Per portate a termine l’attacco, i cybercriminali dovrebbero innanzitutto penetrare nella rete aziendale, ma questo non è un problema così insormontabile (gli attacchi interni e l’accesso dalle prese Ethernet in locali accessibili al pubblico non sono affatto nuovi).

Fortunatamente la vulnerabilità Zerologon non è ancora stato utilizzata in un attacco reale (o fino ad ora non ci sono state segnalazioni). Tuttavia, il report di Tervoort ha suscitato scalpore, attirando molto probabilmente l’attenzione dei criminali informatici e, sebbene i ricercatori non abbiano pubblicato una proof of concept, non ci sono dubbi che i cybercriminali potrebbero elaborarne una basata sulle patch.

Come difendersi da Zerologon

Agli inizi di agosto, Microsoft ha rilasciato le patch per risolvere la vulnerabilità in tutti i sistemi interessati quindi, se non avete ancora aggiornato i sistemi, vi conviene affrettarvi. Inoltre, Microsoft consiglia di monitorare eventuali tentativi di login effettuati attraverso la versione vulnerabile del protocollo e di identificare i dispositivi che non supportano la nuova versione. Per Microsoft, la situazione ideale sarebbe che il controller di dominio venisse impostato su una modalità dove tutti i dispositivi possano utilizzare la versione sicura di Netlogon.

Gli aggiornamenti non rendono questa restrizione obbligatoria, perché il protocollo remoto Netlogon Remote Protocol non viene utilizzato solo su Windows, ma anche su molti dispositivi basati su altri sistemi operativi. Se si rendesse obbligatorio il suo utilizzo, i dispositivi che non supportano la versione sicura non funzionerebbero correttamente.

In ogni caso, a partire dal 9 febbraio 2021, i controller di dominio saranno tenuti ad utilizzare tale modalità (cioè, costringendo tutti i dispositivi ad utilizzare il Netlogon aggiornato e sicuro), per cui gli amministratori dovranno risolvere in anticipo il problema della conformità dei dispositivi di terze parti (aggiornandoli o aggiungendoli manualmente come esclusioni).

Autore: Hugh Aver
Tratto da Blog Kaspersky – 16/09/2020