Aziende dell’ambito industriale sotto attacco di spear phishing

 

I ricercatori di Kaspersky Lab hanno rilevato una nuova ondata di email di spear phishing di tipo finanziario progettate dai cybercriminali per ottenere profitti. Le email hanno le sembianze di comunicazioni legittime in ambito di appalti, acquisti e altre questioni contabili e hanno colpito almeno 400 organizzazioni industriali, la maggior parte delle quali in Russia. La serie di attacchi ha avuto inizio nell’autunno del 2017 e ha coinvolto diverse centinaia di PC aziendali in vari settori, dall’Oil&Gas al metallurgico, dal settore energetico a quelli dell’edilizia e della logistica.Kaspersky

Dall’ondata di email rilevata da Kaspersky Lab, emerge come i cybercriminali non abbiano attaccato realtà industriali e altre organizzazioni, ma come si siano concentrati in maniera precisa proprio sull’ambito industriale. Hanno inviato email contenenti allegati malevoli e hanno cercato di indurre le vittime inconsapevoli a fornire dati riservati, che potrebbero poi essere utilizzati per ottenere un ritorno economico.

Secondo i dati di Kaspersky Lab, questa ondata di email ha preso di mira circa 800 PC dei dipendenti, con l’obiettivo di rubare denaro e dati riservati alle organizzazioni, da utilizzare poi in ulteriori attacchi. Le email avevano le sembianze di comunicazioni legittime in ambito di appalti, acquisti e altre questioni contabili, con contenuti che corrispondevano al profilo delle organizzazioni attaccate e che tenevano conto anche dell’identità del dipendente – il destinatario della lettera. È interessante notare come gli attaccanti si siano persino rivolti alle vittime designate per nome. Questo suggerisce che gli attacchi sono stati preparati in modo accurato e che i cybercriminali hanno dedicato del tempo allo sviluppo di comunicazioni personalizzate per ciascun utente.

Quando il destinatario cliccava sugli allegati malevoli, veniva installato sul computer e in modo discreto un software legittimo modificato, in modo che i cybercriminali potessero connettersi ad esso, esaminare documenti e software relativi alle operazioni di approvvigionamento, a quelle finanziarie o contabili. Inoltre, gli attaccanti erano alla ricerca di ulteriori modi per commettere frodi a scopo economico, come cambiare i requisiti nelle fatture di pagamento per ottenere denaro a loro vantaggio.

phishingInoltre, ogni volta che i cybercriminali avevano bisogno di altri dati o funzionalità aggiuntive, come ottenere privilegi da amministratore locale o rubare dati di autenticazione di un utente o account Windows per diffondersi all’interno della rete aziendale, gli attaccanti caricavano set aggiuntivi di malware, preparati in modo individuale per colpire ciascuna vittima. Questo processo poteva includere degli spyware, strumenti aggiuntivi di amministrazione da remoto che estendono le possibilità di controllo da parte dei cybercriminali sui sistemi infetti, e malware, per sfruttare le vulnerabilità nel sistema operativo, fino ad uno strumento come Mimikatz che consente agli utenti di ottenere dati dagli account Windows.

Gli attaccanti hanno dimostrato un chiaro interesse nel prendere di mira realtà industriali in Russia. Sulla base della nostra esperienza, questo è probabilmente dovuto al fatto che il loro livello di consapevolezza in materia di cybersicurezza non è così alto come in altri settori, ad esempio in quello dei servizi finanziari. Questo fa sì che le organizzazioni industriali diventino un obiettivo potenzialmente redditizio per i cybercriminali – non solo in Russia, ma in tutto il mondo“, ha affermato Vyacheslav Kopeytsev, Security Expert di Kaspersky Lab.

  • I ricercatori di Kaspersky Lab consigliano agli utenti di adottare i seguenti accorgimenti per proteggersi da attacchi di spear-phishing:
    Utilizzare soluzioni di sicurezza con funzionalità dedicate al rilevamento e al blocco di tentativi di phishing. Le aziende possono proteggere i propri sistemi di posta elettronica on-premise con applicazioni mirate all’interno della suite Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365, ad esempio, aiuta a proteggere anche il servizio di posta Exchange Online all’interno della suite Microsoft Office 365 basata su cloud.
  • Avviare iniziative per sensibilizzare i dipendenti al tema della sicurezza, compresa la formazione basata sul gaming con la valutazione delle competenze e il loro potenziamento, attraverso la ripetizione di attacchi di phishing simulati. I clienti di Kaspersky Lab potrebbero trarre notevoli vantaggi dall’utilizzo dei servizi dei training Kaspersky Security Awareness.

Per ulteriori informazioni sulla minaccia del phishing in ambito finanziario, è disponibile anche un approfondimento sul sito dell’ICS CERT di Kaspersky Lab.

Fonte
Questar

5 Agosto 2018

Kaspersky : le password di protezione

E’ in aumento il trend di attacchi all’acceasso RDP dei server, oppure l’impersonazione di un administrator, dopo che un malintenzionato ha avuto accesso ad uno dei client della rete, con la conseguenza di avere piena libertà di disattivare o disinstallare la protezione e rimuovere eventuali log, ottenendo di fatto il controllo del server e lasciando l’utilizzatore ignaro di tutto.

I prodotti Kaspersky dispongono di password di protezione , che si consiglia di attivre di tutte.

  • Network Agent
     ha un’impostazione del genere nella sua policy
  • Kaspersky Endpoint Security 11
    come i suoi predecessori, permette di inserire un nome utente ed una password sia su diverse azioni utente (modifica protezione, chiusura, report, cambio licenza), sia sulla disinstallazione.
  • Security 10 for Windows Server
    ha un’opzione simile nella policy di protezione

    Fonte
    Questar

3 Agosto 2018

Distribuire la patch per risolvere CVE-2017-0143 tramite Kaspersky Security Center

A seguito dell’ampia diffusione della notizia dei danni provocati dal ransomware WannaCry gli utenti Windows hanno iniziato ad installare la patch per risolvere la vulnerabilità.

Kaspersky Security Center ha uno strumento per installare la patch in maniera automatizzata utilizzando la seguente procedura:

  1. Scaricare l’aggiornamento dal sito Microsoft
  2. Creare una cartella temporanea e copiare il file *.msu scaricato nel passo precendente
  3. Nella cartella temporanea creare un file .bat ed inserire il seguente comando:

wusa.exe %updatename%.msu /quiet /warnrestart

Sostituire %updatename% con il nome esatto del file scaricato (differente per ogni versione di sistema operativo).

Il comando esegue l’installazione silenziosa dell’aggiornamento ed al termine richiederà il riavvio. Non è possibile evitare il riavvio al termine dell’installazione.

Al posto del parametro warnrestart è possibile indicare forcerestart, in quel caso il sistema verrà riavviato immediatemente senza consenso dell’utente (parametro utile nelle postazioni non presidiate).

Nota: Non ci sono conseguenze negative nell’esecuzione del comando su un computer in cui l’aggiornamento era già stato installato.

  1. In Kaspersky Security Center, menu Advanced → Remote installation → Installation packages. Premere su Create installation package.
  2. In “New Package Wizard”, selezionare Create installation package for specified executable file.

Image: create the installation package

  1. Creare il pacchetto di installazione con il file .bat. Selezionare Copy entire folder to the installation package per includere il file .msu.
  2. Installare il pacchetto sui computer avendo cura di sceglierli in base al sistema operativo per cui è stata creata la patch.

16 Maggio 2017

Ransomware Wannacry e patch management

Nelle ultime ore si sta diffondendo un nuovo tipo di ransomware chiamato con il nome di Wannacry, non mi soffermerò a descrivere il suo comportamento visto che è comune alla propria specie: effettua la crittografia usando l’algoritmo di cifratura AES e richiede un riscatto in bitcoin, ma per la sua caratteristica di colpire sfruttando delle vulnerabilità del software.

Da tempo avevamo previsto che il ransomware sarebbe potuto mutarsi in virus e puntualmente è accaduto. Wannacry verrà ricordato come l’inizio di una nuova era nell’epoca del Cyber Crime.

Fin’ora avevamo sempre visto che l’innesco di una infezione di ransomware era legata ad un comportamento poco accorto di qualche utente: un allegato ad un messaggio di posta aperto, l’apertura di un link in un messaggio di posta elettronica, la visita ad un sito web pericoloso o comunque che avesse già subito un attacco informatico.

Wannacry invece supera questi schemi noti ed inaugura la stagione dei “virus” ransomware, la cui caratteristica è quella di diffondersi in modo automatico ovvero utilizzando anziché un vettore di penetrazione legato all’incapacità umana di comprendere la pericolosità delle proprie azioni, un vettore di penetrazione legato alle vulnerabilità del software installato.

Le vittime scelte da Wannacry, che al momento ha colpito in particolare in Russia, ma anche in Italia (che guida la particolare classifica europea delle vittime di questo ransomware) hanno un elemento in comune, non avevano installato una patch di Microsoft per i propri sistemi operativi, rilasciata nel bollettino di marzo Microsoft Security Bulletin MS17-010 – Critical

Il risultato è stato che gli attaccanti hanno potuto colpire tutti coloro che non si erano “protetti” installando tempestivamente l’aggiornamento.

Questo nuovo tipo di diffusione della minaccia, deve spingerci a far evolvere la nostra strategia di difesa. La sola protezione perimetrale era già stata superata dalla mobilità dei dispositivi, le tecniche di protezione degli endpoint (anche le più sofisticate che fanno uso di machine learning e riconoscimento delle applicazioni) non sono più efficaci se non impariamo a tenere aggiornato dal punto di vista della sicurezza i nostri software.

Per tutti coloro che ancora non sono stati infettati si suggerisce di verificare ed installare il prima possibile la patch di sicurezza, mentre per le vittime non resta che ripristinare un backup o pagare il riscatto in bitcoin.

Fra le dotazioni minime di protezione informatica in azienda, oltre ai già diffusi Firewall (UTM) e Anti Malware installati sugli endpoint, dobbiamo prevedere sistemi di gestione automatiche delle Patch per evitare che minacce di questo genere possano colpirci.

Aggiornamento del 15/05/2017: Vista la particolare gravità della situazione Microsoft ha deciso di distribuire un aggiornamento (disponibile a questo indirizzo: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) per risolvere la vulnerabilità anche per i sistemi operativi Windows XP e Windows 2003 il cui supporto era stato interrotto.

13 Maggio 2017

Rilasciata la versione 3.11.1.0 di Cryptshare

E’ stata rilasciata la versione 3.11.1.0 di Cryptshare Server.

In questa versione sono presenti le correzioni ad alcuni problemi noti:

  • Risolto un problema che non permetteva ai file di essere visualizzati tramite il visualizzatore di contenuti in determinate circostanze
  • Risolto un problema nella conversione delle regole dei criteri che si verifica durante l’aggiornamento in determinate circostanze
  • Risolto un problema che impediva di prevenire dei conflitti nelle impostazioni prima del salvataggio del criterio.

Si prega di verificare i dettagli delle impostazioni di risoluzione dei conflitti in quanto potrebbe essere modificate dall’aggiornamento.

LOGO-BCS_2014-Making-email-better

Cryptshare è la soluzione per rendere la tua posta elettronica moderna, funzionale e sicura.

argonavislab

Argonavis ed i suoi tecnici sono a tua disposizione. Contattaci per richiedere una demo del prodotto e rendere moderna la tua posta elettronica.

Richiedi Informazioni

10 Gennaio 2017

Blog & News

Categorie