Pagamento dei ransomware: è opportuno? I pareri degli analisti di Gartner

 
Tratto da www.zerounoweb.it
Autore: Marta Abbà – Fonte TechTarget – 09/11/2021
 
 

Durante l’IT Symposium di Gartner, gli analisti hanno discusso le complessità che le aziende devono affrontare nel decidere se cedere o meno alle richieste di riscatto

 

https://d3npc921eoaj06.cloudfront.net/wp-content/uploads/2021/11/08113827/Img-base-Articoli-1024x576.jpg

 

Se per una qualsiasi organizzazione essere colpiti da un ransomware può considerarsi quasi un evento inevitabile o molto probabile, secondo gli analisti di Gartner, il cedere invece alle richieste di riscatto è una decisione che resta nelle mani delle vittime.

Durante il Gartner IT Symposium 2021 – Americas , gli analisti di Gartner Paul Proctor e Sam Olyaei hanno discusso la gravità del panorama ransomware in una sessione dal titolo “Crossroads: Dovresti pagare il riscatto?” esprimendosi in linea di massima contro il pagamento del ransomware ma illustrando una serie di considerazioni che le imprese possono fare per valutare come muoversi, ad esempio relative alla portata dell’attacco, agli importi delle richieste di riscatto, alla propria copertura assicurativa informatica e allo stato dei backup.

Un altro elemento che rende difficile la decisione è il disallineamento tra il team di sicurezza e il management, secondo gli analisti, ma la vera pressione sulle organizzazioni proviene dall’evoluzione dei ransomware che oggi hanno ormai un vero e proprio modello di business. Al loro interno sono previsti dei soggetti che “inseguono” insistentemente le aziende e degli operatori che, dietro agli autori del ransomware, agiscono ora come professionisti, offrendo un servizio clienti e negoziatori.

Secondo Proctor, gli autori delle minacce analizzano le aziende a 360 gradi e calibrano la loro richiesta sulle entrate della singola organizzazione o sul suo budget annuale. La maggior parte degli hacker conoscono anche i termini della sua polizza di assicurazione informatica.

Proctor ha illustrato un caso recente in cui un attaccante ha avuto accesso alla policy scoprendo esattamente quanto la vittima avrebbe pagato in caso di riscatto, anche le stesse compagnie di assicurazione informatica quindi non sono al sicuro. A marzo, CNA Financial, uno delle più grandi assicurazioni statunitensi, ha subito un attacco ransomware e, secondo un rapporto di Bloomberg, la compagnia di assicurazioni ha pagato un riscatto di 40 milioni di dollari.

Dato che le aziende stanno diventando sempre più vulnerabili agli attacchi ransomware, Proctor ha suggerito di cominciare a focalizzarsi sulla cyber readiness invece che sulle minacce. “Soprattutto, quando si tratta di ransomware, come avete intenzione di rispondere? – ha detto Proctor durante la sessione – È necessario iniziare a guardare a questo attacco informatico come a qualcosa di inevitabile”.

Olyaei ha convenuto che il ransomware non è un rischio potenziale, ma una minaccia che le aziende non possono controllare: “verrete sicuramente colpite, ciò che bisogna chiedersi è: qual sarà l‘impatto sull’azienda?” ha detto durante la sessione.
 

Pagare? Non pagare? Questo è il dilemma

Mentre la maggior parte dell’incontro si è focalizzato sugli elementi da prendere in considerazione quando si è colpiti dal ransomware, la questione del se pagare o meno è stata posta dall’autore e moderatore dell’evento Mark Jeffries. Jeffries ha menzionato una conversazione che ha avuto con un ex leader della CIA che era a favore del pagamento dei riscatti, Proctor non si è detto d’accordo con questa posizione spiegando che “Gartner ha una posizione opposta, è illegale in molte giurisdizioni e ci sono nuove leggi che lo rendono illegale”.

Il dibattito sul cedere o meno ai ricatti cyber negli USA ha provocato molte discussioni con l’aumento degli attacchi ransomware e, nonostante la Casa Bianca abbia preso una posizione forte contro il pagamento, sono molte le aziende che hanno deciso di pagare comunque nell’ultimo anno, lo hanno fatto anche JBS USA, ExaGrid e Colonial Pipeline Company.

Questo sta accadendo nonostante le misure barriera inserite per scoraggiare il pagamento, comprese le recenti sanzioni che possono mettere in difficoltà le aziende che favoriscono i pagamenti dei ransomware. Per esempio, il mese scorso l’Office of Foreign Assets Control ha emesso sanzioni contro Suex, uno crypto exchange accusato di riciclare i proventi illeciti dei criminali informatici, alcuni dei quali derivati dal ransomware. Ora, pagare riscatti potrebbe portare a una violazione di quelle sanzioni.

Al di là di ciò che prevedono le nuove leggi, Proctor ha sostenuto che chi paga viene spesso hackerato di nuovo, secondo i dati di Gartner, infatti, l’80% di queste organizzazioni subisce un altro attacco ransomware.

“Pagando il riscatto agli hacker li si invita a effettuare una nuova violazione, e chi pensa che pagherà un’assicurazione informatica o che potrà mettere da parte dei soldi apposta per il riscatto per poi proseguire con il business come nulla fosse, si sbaglia perché si troverà a pagare le conseguenze della sua scelta”. Sottolineando le ripercussioni del pagamento, Proctor ha però indicato un caso in cui ritiene sia opportuno cedere alle richieste: quando una società non può in alcun modo recuperare i dati. “Se non hai un backup e non vuoi ricostruire tutti i tuoi dati da zero, a partire dal primo giorno, dovrai pagare – ha spiegato – Non hai altra scelta”.

Olyaei non ha invece preso una posizione chiara nel dibattito ma ha spiegato ciò che pagare o non pagare potrebbe significare per un’organizzazione. “Non stiamo raccomandando o suggerendo a un’organizzazione di pagare o meno” ha precisato.

Per quanto riguarda il tema del backup dei dati, Olyaei citato una ricerca di Gartner che mostra come chi paga riceva solo fino all’8% dei loro dati indietro e ha aggiunto poi che la situazione va peggiorando perché alcune delle più recenti varianti di ransomware restano in un sistema per mesi, al punto da riuscire a criptare i backup. A quel punto, ha spiegato, “non sarete mai più in grado di recuperare fino al 100% dei vostri dati”.

Mentre durante il secondo trimestre del 2021, complice il Ransomware-as-a-Service e la consapevolezza delle aziende che pagare il riscatto non dà alcuna garanzia, gli importi incassati dagli hacker sono calati del 40% (dati Coverware), anche nel contesto italiano si dibatte sul tema del pagamento del riscatto. L’Asso DPO (Associazione Data Protection Officer) illustra ad esempio come nonostante per la polizia postale, il nucleo privacy della guardia di finanza, i professionisti che si occupano di privacy e di sicurezza informatica, la risposta sarebbe un NO unanime, la realtà presenti delle sfumature più complesse e da interpretare. Spesso ciò che accade è che, non riuscendo a conoscere le esatte dimensioni di un attacco, molte aziende cercano di coprire l’accaduto per minimizzare i danni anche di brand reputation decidendo di cedere al ricatto e pagare senza pubblicizzare questa scelta. Diversa la situazione quando si fornisce un servizio pubblico oppure quando l’azienda ha dimensioni rilevanti, come nei recenti casi di Colonial Pipeline e JBS: in questi casi bisogna fornire spiegazioni anche agli investitori e prendere delle decisioni non è semplice.

L’impatto del ransomware oltre la crittografia

L’impatto della maggior parte degli attacchi di cyber, ha detto Olyaei, deriva dalla mancata risposta delle aziende, sia dal punto di vista tecnologico che di gestione delle pubbliche relazioni, e riguarda la brand reputation e la credibilità agli occhi del cliente. Tuttavia, le ricadute degli attacchi, in particolare se colpiscono infrastrutture critiche, possono porre anche altri problemi, indipendentemente dalla risposta. Secondo Proctor, ad esempio, è stato il panico del gas sulla costa orientale a danneggiare la U.S. Colonial Pipeline più che la sua risposta all’attacco ransomware, che ha incluso il pagamento di una richiesta di 4,4 milioni di dollari.

Un aspetto su cui entrambi gli analisti hanno concordato è il disallineamento tra i management e la loro scarsa comprensione degli incidenti di sicurezza che Proctor ha rilevato negli ultimi 35 anni. “Abbiamo letteralmente trattato la sicurezza come una magia e gli addetti alla sicurezza come maghi. E questo significa che diamo ai maghi un po’ di soldi e loro lanciano alcuni incantesimi e così proteggono infallibilmente l’organizzazione. E poi, se qualcosa va storto, diamo la colpa ai maghi – ha detto Proctor – questo ha portato ad investire in modo poco appropriato ed efficace”.

Questo disallineamento impatta sui livelli di preparazione dell’azienda. Una statistica di Gartner mostra che l’80% dei responsabili della sicurezza crede di essere pronto a rispondere a un attacco ransomware, mentre il numero dei manager è del 13%. Secondo Olyaei si tratta di una disconnessione culturale. Un altro elemento su cui entrambi gli analisti si trovano d’accordo è il fatto che gli attacchi ransomware sarebbero prevenibili, ciò che manca sono i protocolli di sicurezza, paragonabili alle norme di igiene di base: indispensabili. Continuando la metafora ha affermato che “è come se stessimo lasciando le nostre porte e le nostre finestre aperte, spalancate, come se non ci lavassimo i denti e non andassimo a dormire all’ora giusta la sera. Queste sono le ragioni di base per cui veniamo colpiti dal ransomware”. La percentuale di attacchi prevenibili è il 90% e, secondo Proctor se l’investimento in adeguati controlli di cybersecurity è adeguato la decisione se pagare o meno il riscatto non si pone: “Se stai affrontando questa decisione, hai già perso”.

10 Novembre 2021

Il popolare pacchetto JavaScript UAParser.js infettato da malware

 
Tratto da Blog Kaspersky
Autore:  Nikolay Pankov- 28/10/2021
 
 
Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, è stato infettato con password stealer e miner
 
 

 

Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le statistiche sulla pagina degli sviluppatori, molti progetti fanno uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.

I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.

Che cos’è UAParser.js, e perché è così famoso

Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. È implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch’esso da questa libreria, aumentando ulteriormente la scala dell’attacco, aggiungendo un ulteriore anello alla supply chain.

Introduzione ai codici dannosi

I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.

Tuttavia, potrebbe non essere finita qui: secondo gli avvisi della US Cybersecurity and Infrastructure Protection Agency (CISA), l’installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.

Secondo gli utenti di GitHub, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file è un chiaro indicatore di compromissione del sistema.

Come è riuscito a entrare il codice dannoso nella libreria UAParser.js

Faisal Salman, lo sviluppatore del progetto UAParser.js, ha dichiarato che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.

A quanto pare, sono stati online per poco più di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un’insolita attività di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attività sospette, e ha così potuto scoprire la causa principale del problema.

Cosa fare se avete scaricato librerie infette

Il primo passo è controllare i computer, tutti i componenti del malware usato nell’attacco sono rilevati con successo dai nostri prodotti.

Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: secondo l’avviso, qualsiasi computer su cui è stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.

In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ciò significa che tali ambienti richiedono urgentemente una protezione antimalware.

 

2 Novembre 2021

Password: dal Garante i suggerimenti per sceglierle e conservarle in modo sicuro

 
 
Tratto da www.garanteprivacy.it
Data di pubblicazione: 25/10/2021
 
 
 
 
 

Pochi e semplici suggerimenti per la sicurezza dei dispositivi e dei servizi digitali che utilizziamo ogni giorno. Il Garante lancia una nuova scheda con consigli di base per impostare password sicure e gestirle in modo accorto. 

Il nuovo vademecum spiega ad esempio come scegliere una buona password, come gestire tutte quelle che fanno parte della nostra vita quotidiana (da quelle per accedere ai dispositivi a quelle per i vari servizi di e-mail, acquisto online, ecc.) e come conservarle in modo che non siano facile preda di eventuali malintenzionati.

La prima linea di difesa dei nostri dati personali è sempre la consapevolezza su come gestiamo, conserviamo ed eventualmente diffondiamo le informazioni che ci riguardano. 

La scheda, che ha finalità divulgative, si inserisce nel quadro delle attività di educazione digitale di base che fanno parte della missione specifica dell’Autorità.

26 Ottobre 2021

FinSpy: il più avanzato tool di spionaggio

 
Tratto da Blog Kaspersky
Autore: Julia Glazova – 13/10/2021
 
 

 
 
Lo spyware FinSpy prende di mira gli utenti di Android, iOS, macOS, Windows e Linux.

È un programma spyware commerciale utilizzato dalle forze dell’ordine e dalle agenzie governative di tutto il mondo. FinSpy ha acceso per la prima volta il radar dei ricercatori nel 2011, quando i documenti relativi ad esso sono apparsi su WikiLeaks. Il codice sorgente è apparso online nel 2014, ma la storia di FinSpy non finisce di certo lì: dopo ulteriori modifiche, il malware continua ad infettare i dispositivi di tutto il mondo, fino ad oggi.

FinSpy è versatile, con versioni per computer su Windows, macOS e Linux, così come su dispositivi mobili con Android e iOS. Le sue capacità variano a seconda della piattaforma, ma in tutti i casi il malware impiega vari mezzi per trasmettere quantità di dati, segretamente, ai suoi gestori.

Come si è diffuso FinSpy

Lo spyware ha diversi modi per infiltrarsi nei dispositivi Windows.

Per esempio, può nascondersi in pacchetti di distribuzione infetti, compresi i download di TeamViewer, VLC Media Player, WinRAR e altri. Scaricando e eseguendo l’applicazione modificata è esattamente come si mette in moto una catena di infezione a più fasi.

Inoltre, i ricercatori Kaspersky hanno trovato il malware loader in componenti che si caricano prima del sistema operativo: UEFI (Unified Extensible Firmware Interface, l’interfaccia attraverso la quale il sistema operativo comunica con l’hardware) e MBR (Master Boot Record, necessario per avviare Windows). In entrambi i casi, il semplice avvio del computer porta all’installazione di FinSpy.

Uno smartphone o un tablet possono infettarsi con un link in un SMS.

In alcuni casi (per esempio, se sull’iPhone della vittima non è stata avviata la procedura di jailbreak), il criminale informatico potrebbe aver bisogno di un accesso fisico al dispositivo, il che complica un po’ il tutto. Inoltre, sembra che l’accesso fisico sia necessario ai cybercriminali per infettare i dispositivi Linux, ma non è possibile dirlo con certezza.

Quali dati ruba FinSpy?

FinSpy ha ampie capacità di sorveglianza dell’utente. Per esempio, le versioni per PC del malware possono:

  • Accendere il microfono e registrare o trasmettere tutto ciò che sente;
  • Registrare o trasmettere in tempo reale tutto ciò che l’utente digita sulla tastiera;
  • Accendere la telecamera e registrare o trasmettere immagini da essa;
  • Rubare i file con cui l’utente interagisce: accede, modifica, stampa, riceve, cancella e così via;
  • Scattare screenshot o salvare una sezione dello schermo su cui l’utente fa clic;
  • Rubare e-mail dai clienti di Thunderbird, Outlook, Apple Mail e Icedove;
  • Intercettare contatti, chat, chiamate e file su Skype.

Inoltre, la versione Windows di FinSpy può origliare le chiamate VoIP, intercettare certificati e chiavi di cifratura di certi protocolli, scaricare ed eseguire strumenti di raccolta di dati forensi. Oltre a tutto questo, la versione Windows di FinSpy può infettare gli smartphone BlackBerry, quindi anche questa piattaforma, ormai in disuso, non è trascurata.

Per quanto riguarda le versioni mobili di FinSpy, possono ascoltare e registrare le chiamate (voce o VoIP), leggere i messaggi di testo e monitorare l’attività degli utenti nelle app di messaggistica istantanea come WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal e Threema. Lo spyware mobile invia anche agli operatori una lista di contatti della vittima, chiamate, eventi del calendario, dati di geolocalizzazione e molto altro.

Come fare per evitare FinSpy

Sfortunatamente, non è così facile proteggersi del tutto dallo spyware di livello governativo. Tuttavia, si possono prendere alcune precauzioni contro FinSpy e altre app di sorveglianza:

  • Scaricare le app solo da fonti fidate, sia per programmi per cellulari che per desktop o laptop. Inoltre, gli utenti Android dovrebbero vietare l’installazione da fonti sconosciute per ridurre le possibilità di infezione;
  • Fermarsi e pensare prima di cliccare su link in e-mail e messaggi di sconosciuti. Prima di cliccare, controllare attentamente dove porta il link;
  • Non fare il jailbreak dello smartphone o tablet; il rooting di Android e il jailbreak di iOS rendono le effrazioni molto più facili;
  • Non lasciare i dispositivi incustoditi dove degli estranei ne hanno accesso;
  • Installare una protezione affidabile su tutti i dispositivi che si possiedono.

14 Ottobre 2021

I più comuni vettori di attacco

 
Tratto da Blog Kaspersky
Autore: Kaspersky Team – 11/10/2021
 
 

Ecco come i criminali informatici sono più propensi a entrare nell’infrastruttura delle aziende di loro interesse

 

 

Quando indaghiamo un cyberincidente, prestiamo sempre particolare attenzione al vettore di attacco iniziale. In parole povere, la via d’accesso è un punto debole, e per evitare che si ripeta, è essenziale identificare i punti deboli dei sistemi di difesa.

Purtroppo, questo non è sempre possibile. In alcuni casi, trascorre troppo tempo tra l’incidente e il suo rilevamento; in altri, la vittima non ha tenuto i registri o ha distrutto le tracce (accidentalmente o intenzionalmente).

A complicare le cose, quando i criminali informatici attaccano attraverso la supply chain, un metodo sempre più usato, il vettore iniziale non rientra nella sfera di competenza della vittima finale, ma piuttosto in quella di un terzo sviluppatore di programmi o fornitore di servizi. Tuttavia, gli esperti Kaspersky sono riusciti a determinare con precisione il vettore di attacco iniziale, in più della metà degli incidenti.

Primo e secondo posto: forza bruta e sfruttamento di applicazioni accessibili al pubblico

Gli attacchi di forza bruta e lo sfruttamento di vulnerabilità in applicazioni e sistemi accessibili dall’esterno del perimetro aziendale condividono i primi due posti. Ognuno di essi è stato il vettore iniziale di penetrazione nel 31,58% dei casi.

Nessun altro metodo è così efficace nel lanciare un attacco come lo sfruttamento delle vulnerabilità. Un’analisi più dettagliata delle vulnerabilità sfruttate suggerisce che è attribuibile principalmente alla mancata installazione tempestiva degli aggiornamenti da parte delle aziende; al momento degli attacchi, le patch erano già disponibili per ogni singola vulnerabilità e la loro semplice applicazione avrebbe protetto le vittime.

La transizione di massa delle aziende allo smart working e l’uso di servizi di accesso da remoto spiegano l’aumento della popolarità degli attacchi di forza bruta. Nel fare la transizione, molte organizzazioni non sono riuscite ad affrontare adeguatamente le questioni di sicurezza e, di conseguenza, il numero di attacchi alle connessioni remote è aumentato praticamente da un giorno all’altro. Per esempio, il periodo da marzo a dicembre 2020 ha visto un aumento del 242% degli attacchi di forza bruta basati su RDP.

Terzo posto: e-mail dannose

Nel 23,68% dei casi, il vettore di attacco iniziale era un’e-mail dannosa, attraverso un malware allegato o sotto forma di phishing. Gli operatori di attacchi mirati e i mittenti di e-mail di massa hanno usato a lungo entrambi i tipi di messaggi dannosi.

Quarto posto: drive-by compromise

A volte i cybercriminali cercano di ottenere l’accesso al sistema utilizzando un sito web che la vittima visita periodicamente o su cui clicca per caso. Per utilizzare una tattica del genere, che abbiamo rilevato in alcuni attacchi APT complessi, i criminali informatici, generalmente, inseriscono nel sito script in grado di sfruttare una vulnerabilità del browser e poter eseguire codice dannoso sul computer della vittima, oppure ingannano la vittima così da scaricare e installare il malware. Nel 2020, è stato il vettore di attacco iniziale nel 7,89% dei casi.

Quinto e sesto posto: unità portatili e insider

L’uso di chiavette USB per infiltrarsi nei sistemi aziendali è diventato raro. Oltre al fatto che i virus che infettano le chiavette USB appartengono in gran parte al passato, la tattica di far utilizzare a qualcuno una chiavetta USB dannosa non è molto affidabile. Tuttavia, questo metodo ha rappresentato il 2,63% delle penetrazioni iniziali della rete.

Gli insider hanno causato la stessa percentuale (2,63%) di incidenti. Si tratta di impiegati che, per motivi vari, volevano danneggiare la propria azienda.

Come minimizzare la probabilità di un incidente informatico e le sue conseguenze

La maggior parte degli incidenti analizzati dagli esperti Kaspersky erano evitabili. Sulla base delle loro scoperte, raccomandano di:

  • Introdurre una rigorosa politica di password e imporre l’uso dell’autenticazione a più fattori;
  • Proibire l’uso di servizi di gestione remota accessibili pubblicamente;
  • Installare gli aggiornamenti del software il più rapidamente possibile;
  • Proteggere i server di posta con strumenti antiphishing e antimalware;
  • Aumentare la consapevolezza dei dipendenti sulle moderne minacce informatiche su base regolare.

Inoltre, si rende necessario configurare tutti i sistemi di auditing e di registrazione ed eseguire regolarmente il backup dei dati, non solo per facilitare le indagini, ma anche per ridurre al minimo i danni da incidenti informatici.

Naturalmente, le statistiche di cui sopra rappresentano solo una piccola parte delle informazioni utili date dagli esperti. Qui è consultabile l’articolo completo dell’Incident Response Analyst Report 2021 di Kaspersky.

12 Ottobre 2021

Blog & News

Categorie