Come bloccare un sito di phishing

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 27/01/2022
 
 

Kaspersky ha un nuovo servizio che permette di rimuovere i siti dannosi e di phishing

 

 

I criminali informatici hanno molti schemi che coinvolgono la creazione di domini dannosi o di phishing. Possono usare questi domini per attaccare i vostri clienti, partner o anche i vostri dipendenti. Ecco perché di tanto in tanto le aziende hanno bisogno di bloccare un dominio pericoloso, e alcune di loro affrontano tali minacce abbastanza spesso. Di solito, l’eliminazione di un dominio dannoso non è impossibile, ma richiede una certa esperienza e molto tempo. Tuttavia, quando si identifica una tale minaccia, non si ha tempo da perdere, può portare a una perdita di entrate, danni alla reputazione, perdita di fiducia dei clienti, fughe di dati e altro. Ecco perché Kaspersky ha aggiornato il portfolio di informazioni sulle minacce con un nuovo servizio: Kaspersky Takedown Service.

L’importanza del Threat Intelligence

Il Threat intelligence è un insieme di servizi che aiutano le aziende a navigare nel panorama delle minacce informatiche e a prendere le decisioni giuste per migliorare la loro sicurezza informatica. In poche parole, si tratta della raccolta e dell’analisi dei dati sulla situazione epidemiologica dentro e fuori una rete aziendale. I servizi di intelligence delle minacce includono strumenti professionali per l’indagine degli incidenti, dati analitici sui nuovi cyberattacchi mirati e molto altro. Con l’aiuto del threat intelligence, un esperto di cybersecurity può tenere traccia di ciò che stanno facendo i potenziali hacker, quanto bene sono armati e quali strategie e quali tattiche usano.

Uno dei servizi più utili del portfolio Threat Intelligence di Kaspersky è il servizio Digital Footprint Intelligence (DFI). Mette insieme un “ritratto digitale dettagliato e dinamico di un’organizzazione” (risorse del perimetro di rete, indirizzi IP, domini aziendali, provider di cloud e hosting utilizzati, e anche dipendenti, marchi associati, filiali e succursali). Successivamente monitora qualsiasi menzione di queste informazioni in fonti aperte, nella darknet e nel deepweb, e anche nel database Kaspersky che contiene informazioni su quasi un migliaio di attacchi mirati in corso e vari strumenti dannosi.

Così, il DFI scopre le vulnerabilità e le potenziali minacce e fughe di dati, oltre ai segni di cyberattacchi passati, attuali e persino pianificati, ed è eccezionalmente efficace (ecco solo un esempio delle nostre indagini DFI in Medio Oriente).

Cosa si può fare con un dominio dannoso?

Quindi cosa dovrebbe fare il responsabile della sicurezza se il monitoraggio trovasse, per esempio, un sito di phishing che finge di essere uno dei siti della vostra azienda, e sta raccogliendo i numeri delle carte di credito dei vostri utenti? Normalmente in un caso del genere un’organizzazione dovrebbe intraprendere una procedura che richiede molte risorse per raccogliere le prove della frode informatica, per creare una richiesta di rimozione e inviarla all’organizzazione che gestisce la zona di dominio del sito, per monitorare che la richiesta venga eseguita, e per fornire materiale extra se necessario. Si tratta di un compito piuttosto impegnativo, che richiede uno specialista designato (o anche un intero team di esperti).

Adesso il servizio DFI di Kaspersky ha un aggiornamento, il Kaspersky Takedown Service che può essere utilizzato per gestire il blocco dei domini dannosi, phishing e typosquatting. Non appena DFI trova una tale minaccia, tutto ciò che gli utenti devono fare è cliccare un paio di volte con il mouse per creare una richiesta di blocco di un sito. Dopo di che, tutto è automatizzato. Kaspersky raccoglie le prove, le invia alle autorità competenti, dà seguito alla richiesta e informa il cliente su ogni fase di questo processo.

Nel corso di diversi anni Kaspersky ha stabilito solide relazioni professionali con le società di registrazione dei nomi di dominio, i team di risposta alle emergenze nazionali e di settore (CERT), la polizia informatica internazionale (INTERPOL, Europol) e altre organizzazioni competenti rilevanti. Attualmente, impiega in media alcuni giorni per ottenere il blocco di un sito dannoso (a seconda della zona del dominio, del livello del dominio e del provider di hosting), e non è troppo costoso. Invece, allo stesso tempo, l’uso del DFI di Kaspersky solleva gli esperti dal complesso lavoro non-core, riduce i rischi digitali e permette agli specialisti del personale di concentrarsi sui loro compiti prioritari.

Per ulteriori informazioni sui servizi di Threat Intelligence di Kaspersky: dircom@argonavis.it

28 Gennaio 2022

Microsoft applica delle patch a più di 100 vulnerabilità

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

 

 

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

OWOWA: il modulo IIS dannoso

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 16/12/2021
 
 

Il modulo dannoso IIS (Internet Information Services) rende Outlook sul web uno strumento per i criminali informatici

 

 

Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.

Perché Outlook sul web attira gli hacker

Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS.

Molte aziende lo usano per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

Come funziona OWOWA

OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).

Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.

Per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist.

Chi sono le vittime degli attacchi di OWOWA?

I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale).

Come proteggersi da OWOWA

Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA (o qualsiasi altro modulo IIS di terze parti) sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto a Internet, come qualsiasi computer, ha bisogno di protezione.

16 Dicembre 2021

Un cambio di prospettiva per la sicurezza industriale: immunizzare le aziende

 
Tratto da Blog Kaspersky
Autore:  Eugene Kaspersky – 14/12/2021
 
 
 

Kaspersky IoT Secure Gateway 100: come proteggere i dati industriali preservando la continuità aziendale

 

 

Come proteggere i dati da occhi estranei e da modifiche non autorizzate, preservando al contempo la continuità dei processi aziendali?

In effetti, proteggere la riservatezza, l’integrità e l’accessibilità costituiscono ancora la fatica quotidiana della maggior parte dei professionisti della cybersecurity.

Non importa dove vada, il ‘digitale’ porta sempre con sé gli stessi problemi. Lo ha fatto, lo fa e continuerà a farlo. Ma naturalmente lo farà, perché i vantaggi della digitalizzazione sono così evidenti. Anche campi apparentemente conservatori come la costruzione di macchine pesanti, la raffinazione del petrolio, i trasporti o l’energia sono stati pesantemente digitalizzati già da anni. Tutto bene, ma è tutto sicuro?

Con il digitale, l’efficacia del business cresce a passi da gigante. Ma d’altra parte, tutto ciò che è digitale può essere (e viene) violato, e ci sono moltissimi esempi di ciò. C’è una grande tentazione di abbracciare completamente il digitale, per raccogliere tutti i suoi benefici; tuttavia, deve essere fatto in un modo che non sia agonizzante e doloroso (con i processi aziendali che vengono interrotti). Ed è qui che il nostro nuovo (quasi) speciale “antidolorifico” può aiutare: il nostro KISG 100 (Kaspersky IoT Secure Gateway).

 

 

Questo piccolo dispositivo è installato tra l’attrezzatura industriale (‘macchinari’) e il server che riceve vari segnali da questa attrezzatura. I dati in questi segnali variano, sulla produttività, i guasti del sistema, l’uso delle risorse, i livelli di vibrazione, le misurazioni delle emissioni di CO2/NOx, e molti altri, ma sono tutti necessari per avere un quadro generale del processo di produzione e per essere in grado di prendere decisioni aziendali ben informate e ragionate.

Il dispositivo è piccolo, ma è anche potente. Una funzionalità cruciale è che permette di trasferire solo i dati “consentiti”. Permette anche la trasmissione dei dati rigorosamente in una sola direzione. Così, in un istante KISG 100 intercetta un intero insieme di attacchi: man-in-the-middle, man-in-the-cloud, attacchi DDoS, e molte altre minacce basate su internet che continuano ad arrivare.

KISG 100 (che lavora sulla piattaforma hardware Siemens SIMATIC IOT2040 e il nostro cyber immune KasperskyOS) divide le reti esterne e interne in modo tale che nessun singolo byte di codice dannoso possa passare tra le due, così il dispositivo rimane completamente protetto. La tecnologia (per la quale abbiamo tre brevetti in corso) funziona in base al principio del diodo di dati: aprire il flusso di dati in una sola direzione e solo dopo aver soddisfatto determinate condizioni. Ma, a differenza delle soluzioni concorrenti, KISG lo fa in modo più affidabile, più semplice e più economico.

Questo piccolo dispositivo chiamato ‘gateway’, in linea di principio funziona proprio come la porta meccanica idrotecnica che si trova sui canali, ossia la chiusa. Si apre il cancello inferiore, la barca, il livello dell’acqua sale, il cancello superiore si apre, la barca esce. Allo stesso modo, KISG 100 prima inizializza l’agente della fonte dalla rete industriale, poi lo connette con l’agente del ricevitore di dati in direzione del server e permette il trasferimento unidirezionale dei dati.

Una volta che viene stabilita una connessione tra la macchina e il server, il sistema ha un cosiddetto stato protetto: l’accesso a una rete esterna e anche alla memoria non sicura è vietato a entrambi gli agenti (sorgente e ricevente), mentre l’accesso alla memoria sicura (da cui ricevono parametri di lavoro come chiavi di cifratura, certificati, ecc. Con questo stato, il gateway non può essere compromesso da attacchi da una rete esterna, poiché tutti i suoi componenti in questa fase sono disconnessi dal mondo esterno e sono considerati fidati; sono solo caricati e inizializzati.

Dopo l’inizializzazione, lo stato del gateway viene cambiato in attivo: l’agente ricevitore ottiene il diritto sia di trasferire dati a una rete esterna sia di accedere alla memoria non sicura (in cui sono contenuti dati temporanei). Così, anche se c’è un hacking sul lato server, gli hacker non possono arrivare agli altri componenti del gateway o alla rete industriale. In questo modo:

 

 

Il controllo sull’osservazione delle regole di interazione tra gli agenti, più la commutazione degli stati del gateway è fatto da un monitor di cybersecurity KSS. Questo sottosistema isolato di KasperskyOS controlla costantemente il rispetto delle politiche di sicurezza predefinite (quale componente può fare cosa) e, secondo il principio “default deny”, blocca tutte le azioni vietate. Il principale vantaggio competitivo di KSS è che le politiche di sicurezza sono molto convenienti da descrivere con un linguaggio speciale e per combinare diversi modelli predefiniti di sicurezza informatica. Se uno solo dei componenti di KISG 100 (per esempio, l’agente ricevitore) risulta essere compromesso, non può danneggiare gli altri, mentre l’operatore del sistema viene informato dell’attacco e può mettersi al lavoro per affrontarlo.

Il piccolo dispositivo può aiutare a fornire servizi digitali aggiuntivi. Permette di integrare in modo sicuro i dati industriali in ERP/CRM e altri sistemi di business assortiti di un’impresa.

Sono in corso progetti pilota di successo con Rostec e Gazprom Neft, e ne sono iniziati decine di altri con grandi organizzazioni industriali. Il dispositivo ha ricevuto un premio speciale per l’eccezionale risultato tecnologico al più grande evento IT cinese, Internet World Conference; alla fiera industriale Hannover Messe 2021 KISG 100 ha guadagnato un posto tra le migliori soluzioni innovative; e proprio di recente ha preso il primo premio nel IoT Awards 2021 dell’Internet of Things Association, battendo molte aziende più quotate.

In futuro espanderemo la gamma di questi dispositivi intelligenti. Già il “fratello maggiore” di KISG 100, KISG 1000, è in fase di beta test. Oltre ad essere un gateway-guardia, è anche un ispettore: non solo raccoglie, controlla e distribuisce la telemetria, ma trasferisce anche i comandi di gestione ai dispositivi e protegge dagli attacchi alla rete.

Il risultato? Non c’è motivo di aver paura del digitale.

14 Dicembre 2021

Il grattacapo delle imprese: il proxyware

 
Tratto da Blog Kaspersky
Autore:  Enoch Root – 23/11/2021
 
 
I dipendenti possono installare proxyware all’insaputa del loro datore di lavoro, introducendo
ulteriori cyber-rischi aziendali
 
 

 

Immaginate di venire pagati per l’accesso a una piccola porzione della vostra larghezza di banda Internet al lavoro. Non sarebbe niente male, vero? Il computer è comunque sempre acceso e avete accesso illimitato a Internet, quindi perché no? D’altronde non sono nemmeno le vostre risorse, si tratta di attrezzatura aziendale e della larghezza di banda.

Sembra tutto molto semplice, ma non c’è bisogno di fare molte ricerche per capire che quando si accetta di installare un client proxyware su un computer di lavoro, non sarà del tutto innocuo. Installando un proxyware state esponendo la vostra rete aziendale a rischi che superano di gran lunga qualsiasi reddito che potreste guadagnare dall’affare. Per dirla senza mezzi termini: nessun altro discutibile sistema per fare soldi su Internet vi fornisce una tale varietà di conseguenze indesiderabili. Ora vi spieghiamo perché è pericoloso.

Cos’è il proxyware?

I ricercatori di Cisco Talos hanno coniato il termine proxyware e hanno segnalato il fenomeno in profondità. Essenzialmente, un servizio proxyware agisce come un server proxy. Installato su un computer fisso o uno smartphone, rende la connessione Internet del dispositivo accessibile a terzi. A seconda di quanto tempo il programma rimane abilitato e quanta larghezza di banda gli è permesso di utilizzare, il cliente accumula punti che possono essere convertiti in valuta e trasferiti su un conto bancario.

Naturalmente, questi tipi di servizi non devono essere usati per scopi illegali, e hanno alcune applicazioni legittime. Per esempio, alcuni si rivolgono ai dipartimenti di marketing di grandi aziende, che hanno bisogno del maggior numero possibile di punti di accesso al web in diverse regioni geografiche.

Perché il proxyware su un computer aziendale è una cattiva idea

Anche se i servizi di proxyware affermano che gli “inquilini” sono innocui, a volte si verificano problemi, tra cui il danno alla reputazione dell’indirizzo IP e l’affidabilità del software.

Depotenziamento dell’indirizzo IP

Il problema più comune con il proxyware per gli utenti dei computer su cui gira, o anche per l’intera rete se ha un singolo indirizzo IP, è che i servizi spesso incontrano i CAPTCHA, il cui scopo è quello di garantire che solo le persone possano accedere a una risorsa online. Un computer con proxyware solleva sospetti, e anche giustamente.

Un modo in cui gli “affittuari” di banda possono usare i computer carichi di proxyware è quello di scansionare il web o misurare la velocità di accesso ai siti web distribuendo regolarmente un flusso di richieste, e questo non piace ai sistemi automatici di protezione DDoS. Può anche essere un segno di qualcosa di ancora più losco, come lo spam.

Tenete a mente che le conseguenze possono essere molto più disastrose per l’azienda, con richieste automatiche che atterrano sull’indirizzo IP dell’organizzazione su una lista di indirizzi non sicuri. Così, per esempio, se il server di posta elettronica opera sullo stesso indirizzo, ad un certo punto i messaggi dei dipendenti potrebbero smettere di raggiungere i destinatari esterni. Altri server di posta elettronica inizieranno semplicemente a bloccare l’indirizzo IP e il dominio dell’organizzazione.

Falsi clienti proxyware

Un altro rischio che i dipendenti corrono nell’installare il proxyware è che possono scaricare qualcosa di indesiderato. Provate a fare così: andate su Google e cercate “honeygain download”. Otterrete un paio di link al sito ufficiale dello sviluppatore e centinaia di link a siti di file-sharing senza scrupoli, la metà dei quali include “contenuti bonus” con i loro download.

Che tipo di “contenuto bonus”? Beh, i ricercatori descrivono uno di questi installer trojanizzati come distribuire un programma di estrazione di criptovaluta (che divora le risorse e l’elettricità di un PC) e un tool, per connettersi al server di comando dei criminali informatici, da cui qualsiasi altra cosa può essere scaricata in ogni instante.

Questo tipo di proxyware può mettere fuori uso l’intera infrastruttura IT di un’organizzazione. Potrebbe anche portare ad un ransomware capace di cifrare i dati, richieste di riscatto e altro. In sintesi, il proxyware è sinonimo di pericolo per un’azienda.

Installazione nascosta di proxyware

La maggior parte degli scenari assomiglia a quanto detto sopra: conseguenze non volute di installazioni intenzionali (anche se a volte non autorizzate). A volte succede anche il contrario, con un dipendente che cattura un vero malware su un sito sospetto, e quel malware installa un client proxyware modificato sul computer. Questo non è altro che un problema: computer rallentati, meno banda di rete e, potenzialmente, furto di dati.

Consigli per le imprese

Il modo migliore per combattere lo sfruttamento criminale attraverso il proxyware è quello di installare una soluzione antivirus affidabile su ogni computer con accesso a Internet. Non solo questo proteggerà la vostra azienda dagli effetti dannosi del proxyware, ma se tale proxyware include, o è incluso in altri malware, sarete comunque coperti.

Per essere chiari, neanche con il proxyware “pulito” sarete del tutto fuori pericolo. Una sana politica di sicurezza non dovrebbe permettere a nessuno di installare proxyware o qualsiasi altro software discutibile sui computer dei dipendenti, indipendentemente dal fatto che i computer siano in ufficio o che i dipendenti si colleghino alla VPN dell’organizzazione. Come regola, la maggior parte degli impiegati non ha bisogno, e non dovrebbe avere il permesso, di installare software sui loro computer in modo indipendente.

24 Novembre 2021

Blog & News

Categorie