Allerta da Kaspersky per gli utenti italiani di WhatsApp

 

Tratto da LineaEDP
Autore: Redazione LineaEDP – 13/01/2021
 

Kaspersky rileva una nuova truffa di phishing rivolta agli utenti italiani che sfrutta WhatsApp per carpire i loro dati bancari

 

 

I ricercatori di Kaspersky hanno rilevato una nuova truffa che vede come protagonista WhatsApp, la nota applicazione di messaggistica istantanea utilizzata da oltre due miliardi di persone in 180 Paesi.

La nuova truffa, rivolta agli utenti italiani di WhatsApp, è stata inizialmente rilevata il 30 dicembre 2020 ed è ancora attiva.

Il metodo usato è un classico schema di phishing: l’utente riceve una e-mail in cui viene avvisato che il proprio account WhatsApp è prossimo alla scadenza e viene dunque invitato a rinnovare la registrazione entro 24 ore per evitare di perdere messaggi, foto e video condivisi. Per completare l’operazione, l’utente può pagare tramite carta di credito il rinnovo del servizio per 1 fino a 5 anni, inserendo il codice della propria carta e altre informazioni riservate come CVC e password-3D-secure.

Lo scopo di questa truffa è, infatti, carpire i dati bancari degli utenti.

Il phishing è un’attività relativamente semplice e a basso costo e i criminali informatici continuano a farne ampio uso. Secondo quanto emerso dal report di Kaspersky, infatti, nel terzo trimestre del 2020 la quota media di spam nel traffico postale globale è stata del 48,91%, mentre il sistema Anti-Phishing di Kaspersky da solo ha impedito 103.060.725 tentativi di reindirizzare gli utenti verso pagine fake.

Per proteggersi dal phishing, i ricercatori di Kaspersky raccomandano di:

  • Verificare che i messaggi provengano da fonti affidabili
  • Non cliccare i link da e-mail o messaggi sospetti
  • Verificare l’autenticità dei siti web visitati
  • Installare una soluzione di sicurezza con database aggiornati che includano la conoscenza delle più recenti risorse di phishing e spam.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

14 Gennaio 2021

Kaspersky rileva somiglianze di codice tra Kazuar e Sunburst

 

Tratto da LineaEDP
Autore: Redazione LineaEDP – 12/01/2021
 

Gli esperti di Kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar

 

 

Il 13 dicembre 2020, FireEye, Microsoft e SolarWinds hanno annunciato la scoperta di un sofisticato attacco su larga scala alla supply chain per il quale è stato implementato “Sunburst”, un malware precedentemente sconosciuto che ha preso di mira i clienti della piattaforma IT Orion di SolarWinds.

Gli esperti di Kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar, una tipologia di malware che fornisce l’accesso remoto al dispositivo preso di mira. Queste nuove informazioni hanno fornito ai ricercatori elementi utili per proseguire le indagini sull’attacco.

L’analisi della backdoor Sunburst ha permesso agli esperti di Kaspersky di rilevare una serie di caratteristiche simili a quelle della già nota Kazuar, una backdoor scritta utilizzando il framework .NET, individuata per la prima volta da Palo Alto nel 2017 ed utilizzata in attacchi di spionaggio informatico in tutto il mondo.

 

Kazuar e Sunburst: c’è relazione, ma è ancora da chiarire

Le numerose analogie nel codice suggeriscono che ci sia una relazione, di natura ancora indeterminata, tra Kazuar e Sunburst. Le caratteristiche comuni tra Sunburst e Kazuar comprendono l’algoritmo di generazione UID della vittima, l’algoritmo usato per calcolare i tempi di “sleep” e l’uso estensivo dell’algoritmo di “hashing” FNV-1a. Secondo quanto osservato dai ricercatori, i frammenti di codice non sarebbero del tutto identici pertanto, Kazuar e Sunburst, potrebbero essere collegati ma resta ancora da chiarire la natura di questa relazione.

Dopo la prima comparsa del malware Sunburst nel febbraio 2020, Kazuar ha continuato a evolversi. Le sue successive varianti, osservate a partire dal 2020, sono per certi versi ancora più simili a Sunburst.

Nel complesso, durante gli anni dell’evoluzione di Kazuar, gli esperti hanno osservato un continuo sviluppo, in cui sono state aggiunte caratteristiche significative che assomigliano a Sunburst. Tuttavia, le evidenti analogie tra i due malware potrebbero dipendere da diverse ragioni. Ad esempio, Sunburst potrebbe essere stato sviluppato dallo stesso gruppo che ha ideato Kazuar o i suoi sviluppatori potrebbero essersi ispirati a quest’ultimo. O ancora, uno sviluppatore di Kazuar potrebbe essersi unito al team di Sunburst o entrambi i gruppi avrebbero ottenuto il loro malware dalla stessa fonte.

Come sottolineato in una nota ufficiale da Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky: «Il legame riscontrato tra i due malware, sebbene non permetta di stabilire con certezza chi sia l’autore dell’attacco a SolarWinds, fornisce ai ricercatori degli indizi utili all’indagine. Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull’origine di Sunburst, il malware utilizzato per la violazione di SolarWinds. Guardando, ad esempio, all’attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti».

 

Protezione in sole due mosse

Per proteggersi da malware simili alla backdoor che ha preso di mira SolarWinds, Kaspersky raccomanda di: 

  • Fornire al SOC team l’accesso alla più recente threat intelligence (TI). Kaspersky Threat Intelligence Portal consente di accedere alla TI dell’azienda e fornisce dati sui cyber-attacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza nel settore.
  • Le organizzazioni che desiderano condurre le proprie indagini possono usufruire di Kaspersky Threat Attribution Engine, che confronta il codice dannoso scoperto con i database di malware e, basandosi sulle somiglianze di codice, lo attribuisce alle campagne APT già note.

 

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

12 Gennaio 2021

Censornet Web Security

 
Autore: Redazione Argonavis
 
 
 
 

Censornet Web Security è un prodotto integrato nella suite Censornet USS (Unified Security Service) che protegge oltre 1.500 organizzazioni e milioni di utenti in tutto il mondo.

La soluzione blocca i siti potenzialmente dannosi, malevoli o con contenuti offensivi e inappropriati e permette di gestire l’accesso ai siti che possono potenzialmente incidere sulla produttività aziendale.

 

Screenshot Yellow Web Filter Rules

 

Più livelli di sicurezza a livello del gateway offrono una protezione completa dal malware trasmesso dal web e da altre minacce utilizzando una potente combinazione di ispezione del traffico in tempo reale, analisi della reputazione degli URL ed euristica.

Censornet Web Security protegge dipendenti e aziende da:

  • Contenuti pericolosi: contenuti dannosi, offensivi, inappropriati o illegali su pagine dannose o nascosti in profondità all’interno di siti legittimi;
  • Malware trasmesso dal Web: siti di distribuzione di malware, pagine compromesse su siti legittimi, malvertising e file infetti scaricati o condivisi nel cloud;
  • Immagini non appropriate: immagini “Non sicure per il lavoro” (NSFW – Not Safe For Work) inappropriate, inclusi contenuti per adulti, offensivi ed estremisti.

Principali caratteristiche e vantaggi:

  • Console di gestione in cloud, manutenzione e aggiornamenti a carico del produttore;
  • Interfaccia utente semplice e intuitiva;
  • Protezione completa anti malware avanzata;
  • Ispezione del traffico in tempo reale
  • Ispezione approfondita del traffico crittografato SSL/TLS;
  • Classificazione automatica di URL sconosciuti;
  • Deployment flessibile: agenti, gateway o entrambi grazie alla gestione centralizzata delle policy proteggono gli utenti, sia che siano in ufficio, sia che utilizzino dispositivi mobili;
  • Guest Portal: crea e applica criteri separati per dispositivi personali e/o mobili;
  • Potenti policies: blocca, consente o applica quote temporali basate su utenti, gruppi, dispositivi, per categoria o per elenchi di parole chiave;
  • Oltre 500 categorie di contenuti web e miliardi di pagine web gestite con un motore di policy basato su regole, semplici e flessibili.
  • Page Level Categorization: ogni pagina all’interno di un sito è categorizzata.

Per ulteriori informazioni: dircom@argonavis.it

8 Gennaio 2021

Attacchi RDP (Remote Desktop Protocol) in crescita del 280%

 

Tratto da BitMAT
Autore: Redazione BitMAT – 11/12/2020
 
Gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa
 
Attacchi RDP (Remote Desktop Protocol) in crescita del 280%
 

Le nuove abitudini dettate dalle norme anti-Covid hanno imposto alle aziende di adeguare le proprie infrastrutture e consentire ai dipendenti di lavorare da remoto. Questo ha favorito l’emergere di nuove minacce e l’intensificarsi di quelle esistenti. Secondo quanto emerso dal report di Kaspersky Story of the year: remote work, rispetto allo scorso anno, in Italia, è stata registrata una crescita del 280% degli attacchi di forza bruta sui protocolli RDP (Remote Desktop Protocol) per un totale di 174 miliardi di file dannosi mascherati da applicazioni di comunicazione aziendale. Entrambi questi risultati riflettono il modo in cui gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa.

Il numero elevato di dipendenti in smart working ha favorito la nascita di nuove vulnerabilità che i criminali informatici hanno prontamente sfruttato. Il volume del traffico aziendale è cresciuto e gli utenti, per svolgere il proprio lavoro e scambiare dati con i colleghi, si sono spesso affidati a servizi di terze parti o a reti Wi-Fi potenzialmente non sicure.

Un’altra sfida per i team di sicurezza informatica è stata, indubbiamente, il numero elevato di persone costrette ad utilizzare strumenti per l’accesso da remoto. Uno dei protocolli più popolari a livello applicativo per l’accesso alle workstation o ai server Windows è il protocollo proprietario di Microsoft, RDP. Durante il primo lockdown, il numero dei computer configurati in modo non corretto e messi a disposizione dei dipendenti per lavorare da remoto è cresciuto in modo esponenziale e di conseguenza sono aumentati anche gli attacchi informatici a loro rivolti. La tipologia di attacchi riscontrati nella maggior parte dei casi era di tipo forza bruta. Si tratta di attacchi che cercano di individuare le credenziali di accesso ad un account provando quante più combinazioni di caratteri possibile fino a trovare quella corretta. Questi attacchi mirano a ricavare lo username e la password per accedere ai protocolli RDP e quindi ad ottenere l’accesso da remoto al computer violato.

A partire dall’inizio di marzo di quest’anno, in Italia il numero di rilevamenti Bruteforce.Generic.RDP individuati è salito vertiginosamente, infatti nei primi undici mesi del 2020 è stato registrato un aumento di 3,8 volte rispetto allo stesso periodo del 2019. Complessivamente, tra gennaio e novembre 2020 sono stati rilevati quasi 174 miliardi di attacchi ai server Remote Desktop Protocol. Guardando allo stesso periodo del 2019, in Italia, Kaspersky aveva rilevato 45,7 milioni di attacchi di questo tipo.

Oltre agli attacchi ai server RDP, i criminali informatici hanno preso di mira anche gli strumenti di comunicazione online sfruttati ampiamente dai dipendenti durante lo smart working. Kaspersky ha rilevato 1,66 milioni di file dannosi in tutto il mondo che sono stati diffusi attraverso false applicazioni di messaggistica e videoconferenze molto popolari e tipicamente utilizzate per il lavoro. Una volta installati, questi file caricavano principalmente adware, ovvero programmi che inondano i dispositivi delle vittime con pubblicità indesiderata con l’obiettivo di raccogliere i loro dati personali. È stato rilevato anche un altro gruppo di file camuffati da applicazioni aziendali, i Downloaders, ovvero applicazioni che non possono essere dannose, ma che sono in grado di consentire il download di altre applicazioni, dai Trojan agli strumenti di accesso remoto.

Morten Lehn, General Manager Italy di Kaspersky ha dichiarato: “Il 2020 ci ha insegnato molto. Venivamo da quello che abbiamo sempre reputato un mondo già digitalizzato eppure, nonostante ciò, la migrazione verso le piattaforme digitali non è stata per niente semplice. Quando l’attenzione si è spostata verso il lavoro da remoto anche i criminali informatici ne hanno approfittato reindirizzando i propri sforzi verso questo nuovo trend. Sono felice di constatare che il processo di adozione del lavoro da remoto sia stato veloce perché questo ha permesso al mondo di andare avanti e all’economia di non fermarsi. Oggi siamo sicuramente più consapevoli che c’è ancora molto da imparare sull’uso responsabile della tecnologia, soprattutto per quanto riguarda la condivisione dei dati”.

“Una delle maggiori sfide del 2020 è stata proprio la scarsa consapevolezza rispetto ai potenziali pericoli della rete. Il vero problema in questo caso è stata la crescita improvvisa della domanda di servizi online – siano essi legati al lavoro o ai servizi per il cibo d’asporto. Molte persone che prima di questo periodo si tenevano ben lontane dal mondo digitale hanno dovuto iniziare a utilizzare servizi online a loro sconosciuti cosi come lo erano i pericoli che avrebbero potuto incontrare in rete. Queste persone si sono rivelate, di conseguenza, le più vulnerabili durante la pandemia. Il processo di digitalizzazione ha rappresentato una grande sfida per tutto il mondo ma spero che abbia contribuito ad aumentare il livello di consapevolezza sulla sicurezza informatica tra gli utenti”, ha aggiunto Morten Lehn.

Tenuto conto che lo smart working è destinato a durare ancora a lungo, Kaspersky raccomanda alle aziende di:

  • Abilitare l’accesso alla rete attraverso una VPN aziendale e, se possibile, abilitare l’autenticazione multi-fattore per rimanere protetti dagli attacchi rivolti ai server RDP.
  • Utilizzare una soluzione di sicurezza aziendale dotata di una protezione dalle minacce rivolte alla rete, come Kaspersky Integrated Endpoint Security. La soluzione include anche la funzione di ispezione del registro per configurare le regole di monitoraggio e di alert per gli attacchi di forza bruta e i tentativi di accesso non riusciti.
  • Assicurarsi che i propri dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza da casa e sappiano chi contattare in caso di problemi informatici o di cybersecurity.
  • Programmare una formazione di base in materia di sicurezza informatica per i propri dipendenti. Il training può essere svolto online e riguarda pratiche essenziali come la gestione di account e delle password, la sicurezza degli endpoint e la navigazione sul web. Kaspersky e Area9 Lyceum1 hanno preparato un corso gratuito per aiutare i dipendenti a lavorare in sicurezza anche da casa.
  • Assicurarsi che dispositivi, software, applicazioni e servizi vengano aggiornati regolarmente.
  • Assicurarsi di avere accesso alle più recenti informazioni sulla threat intelligence in grado di rafforzare soluzione di protezione aziendale. Ad esempio, Kaspersky offre gratuitamente un threat data feed relativo al COVID-19.
  • Oltre agli endpoint fisici, è importante proteggere i workload nel cloud e l’infrastruttura desktop virtuale. A questo proposito, Kaspersky Hybrid Cloud Security protegge l’infrastruttura ibrida di endpoint fisici e virtuali, nonché i workload sul cloud, sia che vengano eseguiti in sede, in un data center o in un cloud pubblico. Supporta l’integrazione con le principali piattaforme cloud come VMware, Citrix o Microsoft e facilita la migrazione dai desktop fisici a quelli virtuali.

È importante che anche i dipendenti osservino alcune regole durante il lavoro da remoto per rimanere protetti:

  • Assicurarsi che il proprio router supporti la trasmissione Wi-Fi a più dispositivi contemporaneamente, anche nel momento in cui più persone sono online e il traffico è intenso (come avviene quando si utilizzano strumenti di videoconferenza).
  • Impostare password complesse per il router e la rete Wi-Fi che includano una combinazione di lettere minuscole e maiuscole, numeri e punteggiatura.
  • Se possibile, lavorare solo su dispositivi forniti dall’azienda. L’inserimento di informazioni aziendali su dispositivi personali potrebbe portare a potenziali problemi di sicurezza e privacy.
  • Non condividere i dettagli del proprio account aziendale con nessun altro, anche se in qualche occasione potrebbe sembrare una buona idea per velocizzare il lavoro.
  • Per proteggere i dispositivi personali, utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud in grado di proteggere la privacy, i dati e le risorse finanziarie con una serie completa di strumenti e funzionalità, tra cui la VPN, la protezione dei pagamenti, il PC cleaning, il blocco di accessi non autorizzati alle webcam, il criptaggio dei file, l’archiviazione delle password, il parental control e molte altre.

È possibile leggere il report completo a questo link.

Tutte le storie del Kaspersky Security Bulletin con i dati del 2020 e le previsioni per il 2021 sono disponibili qui.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

17 Dicembre 2020

Come evitare un attacco “evil-maid” o della cameriera malvagia

Tratto da Blog Kaspersky
Autore: Bender The Robot – 10/12/2020
 
 
Ecco come proteggere il vostro computer aziendale da accessi fisici non autorizzati
 

Un attacco evil-maid è il più primitivo che ci sia, ma è anche una delle tipologie più spiacevoli. Avventandosi sui dispositivi incustoditi, la “cameriera malvagia” cerca di rubare informazioni segrete o di installare spyware e strumenti per l’accesso remoto, con lo scopo di entrare nella rete aziendale. In questo post vi spiegheremo come difendervi.

Un esempio classico

Nel dicembre 2007, una delegazione del Dipartimento del Commercio degli Stati Uniti si è recata a Pechino per un colloquio su una strategia comune con lo scopo di fermare la pirateria. Al ritorno negli Stati Uniti, tuttavia, il portatile del segretario conteneva degli spyware la cui installazione richiede l’accesso fisico al computer. Il proprietario del portatile ha confermato di aver avuto il dispositivo sempre con sé durante le trattative e di averlo lasciato nella sua stanza d’albergo, nella cassaforte, solo durante la cena.

In teoria, un professionista può compromettere un dispositivo in 3 o 4 minuti, ma questo genere di situazioni tende a verificarsi quando il computer viene lasciato incustodito e sbloccato (o non protetto da password). Ma anche prendendo le dovute misure di sicurezza di base, un attacco evil-maid può comunque essere possibile.

Come fanno i criminali informatici ad accedere alle informazioni?

Esistono molti modi per arrivare alle informazioni critiche; dipende da quanto è vecchio il computer e dal software di sicurezza attivo. Ad esempio, i dispositivi meno recenti che non supportano l’Avvio protetto (Secure Boot) possono essere avviati mediante unità esterne e, di conseguenza, non hanno mezzi per difendersi dagli attacchi evil-maid. Sui PC moderni di solito l’Avvio protetto è attivo di default.

Le porte di comunicazione che supportano lo scambio veloce di dati o l’interazione diretta con la memoria del dispositivo possono servire per l’estrazione di dati personali o aziendali. Thunderbolt, ad esempio, raggiunge la sua elevata velocità di trasmissione dati attraverso l’accesso diretto alla memoria, spalancando le porte agli attacchi evil-maid.

La scorsa primavera, l’esperto di sicurezza informatica Björn Ruytenberg ha condiviso un modo per violare la sicurezza di qualsiasi dispositivo Windows o Linux con Thunderbolt abilitato, anche se bloccato e disattivata la connessione di dispositivi non convenzionali attraverso interfacce esterne. Il metodo di Ruytenberg, soprannominato Thunderspy, presuppone l’accesso fisico al dispositivo e bisogna riscrivere il firmware del controller.

Per portare a termine Thunderspy, il cybercriminale deve riprogrammare il chip Thunderbolt con la sua versione del firmware. Il nuovo firmware disabilita la protezione incorporata e il cybercriminale ottiene il pieno controllo del dispositivo.

In teoria, la politica di protezione DMA del kernel risolve la vulnerabilità, ma non tutti la utilizzano (e con le versioni prima di Windows 10 non era possibile). Tuttavia, Intel ha annunciato una soluzione al problema: Thunderbolt 4.

La cara, vecchia USB può servire anche come canale di attacco. Un dispositivo in miniatura, inserito in una porta USB, si attiva quando l’utente accende il computer e può eseguire un attacco BadUSB.

Se le informazioni che cercano sono particolarmente preziose, i cybercriminali potrebbero anche provare a rubare il dispositivo per sostituirlo con uno simile che contiene già lo spyware, un’impresa ardua e costosa. Certo, lo scambio verrà smascherato abbastanza in fretta, ma molto probabilmente solo dopo che la vittima avrà inserito la propria password. Per fortuna come abbiamo detto, si tratta di un’operazione difficoltosa e onerosa.

Come ridurre i rischi al minimo

Il modo più semplice e affidabile per proteggervi dagli attacchi evil-maid è quello di custodire il dispositivo in un luogo al quale solo voi avete accesso. Non lasciatelo in una stanza d’albergo se potete evitarlo, per esempio. Se i vostri dipendenti devono andare in viaggio d’affari con un computer portatile, ecco alcune misure che potete adottare per attenuare i rischi:

  • Utilizzate portatili temporanei senza accesso a sistemi aziendali critici o a dati di lavoro, quindi formattate l’hard disk e reinstallate il sistema operativo dopo ogni viaggio;
  • Richiedete ai dipendenti di spegnere i portatili prima di lasciarli incustoditi;
  • Cifrate gli hard disk di tutti i computer che saranno portati fuori dall’ufficio;
  • Utilizzate soluzioni di sicurezza che blocchino il traffico in uscita sospetto;
  • Assicuratevi che la soluzione di sicurezza rilevi gli attacchi BadUSB (come fa Kaspersky Endpoint Security for Business);
  • Aggiornate tempestivamente tutti i software, in particolare il sistema operativo;
  • Limitate l’accesso diretto alla memoria del dispositivo attraverso FireWire, Thunderbolt, PCI e PCI Express su ogni dispositivo che lo consente.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

14 Dicembre 2020

Blog & News

Categorie