Una infezione su 10 da dispositivi USB è un cryptominer

I dispositivi USB, noti per diffondere malware tra computer non connessi, sono stati sfruttati dagli autori di cyberattacchi come efficace veicolo di distribuzione di malware di cryptomining. Secondo un recente report di Kaspersky Lab sulle minacce legate a USB e supporti rimovibili, anche se la gamma e il numero di attacchi di questo tipo resta relativamente basso, la quantità di vittime sta aumentando di anno in anno.

Nonostante i dispositivi USB vengano utilizzati da circa vent’anni e si siano guadagnati la reputazione di non essere device sicuri, rimangono comunque strumenti professionali molto diffusi e gadget apprezzati nelle fiere. Tutto ciò ha permesso a questi dispositivi di essere un obiettivo dei cybercriminali che hanno potuto utilizzarli per diffondere una serie di minacce. Come rilevato dalla Kaspersky Security Network (KSN), la top 10 delle minacce che sfruttano i supporti rimovibili è stata guidata, almeno fino al 2015, dal malware LNK di Windows. La lista include, inoltre, l’exploit “Stuxnet vulnerability” del 2010 che comincia ad essere “vecchio”, CVE-2018-2568 e sempre più cryptominer.

Secondo i dati del KSN, un cryptominer noto dal 2014 e rilevato nelle drive-root è il Trojan.Win32.Miner.ays/Trojan.Win64.Miner. Il trojan agisce scaricando l’applicazione di mining sul PC, la installa e, senza farsi rilevare, avvia il software di mining scaricando gli elementi che gli consentono di inviare qualsiasi risultato ad un server esterno controllato dall’autore delle minacce. I dati di Kaspersky Lab mostrano che alcune delle infezioni rilevate nel 2018 risalgono ad anni precedenti e sono state quindi probabilmente la causa di un significativo impatto negativo sulla potenza di calcolo del dispositivo della vittima.

Stanno, inoltre, crescendo di circa un sesto, anno dopo anno, le rilevazioni della versione a 64 bit del miner, con un aumento del 18,42% tra il 2016 e il 2017 e se ne prevede un aumento del 16,42% tra il 2017 e il 2018. Questi risultati suggeriscono come la propagazione tramite supporti rimovibili funzioni bene per questa minaccia.

I mercati emergenti, dove i dispositivi USB sono più utilizzati anche in azienda, sono i più vulnerabili alle infezioni maligne diffuse dai supporti rimovibili. I Paesi più colpiti sono Asia, Africa e Sud America, ma sono stati rilevati casi isolati anche in Paesi dell’Europa e del Nord America.

Nel 2018 alcuni dispositivi USB sono stati utilizzati anche per diffondere Dark Tequila, un complesso malware bancario scoperto il 21 agosto 2018, attivo in Messico dal 2013, che ha colpito utenti e aziende. Inoltre, secondo i dati del KSN, l’8% delle minacce rivolte ai sistemi di controllo industriale, nella prima metà del 2018, sono state diffuse tramite supporti rimovibili.

“I dispositivi USB, rispetto al passato, possono essere meno efficaci nella diffusione dell’infezione a causa della crescente consapevolezza della loro debolezza a livello di sicurezza e della diminuzione del loro utilizzo in ambito aziendale, ma la nostra ricerca mostra che rimangono comunque un rischio significativo che gli utenti non dovrebbero sottovalutare. Questi dispositivi sono certamente utili ai cybercriminali, che infatti continuano a sfruttarli, anche perché alcune infezioni non vengono rilevate addirittura per anni. Fortunatamente ci sono alcuni accorgimenti molto semplici che gli utenti e le aziende possono adottare per preservare la sicurezza” ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
I dispositivi USB offrono molti vantaggi: sono compatti e maneggevoli e una grande risorsa per una azienda, ma i dispositivi in sé, i dati memorizzati su di essi e i computer a cui vengono collegati sono tutti potenzialmente vulnerabili alle cyberminacce se non protetti.
Kaspersky Lab consiglia di seguire alcuni accorgimenti per utilizzare i dispositivi USB e altri supporti rimovibili in modo sicuro:

Fare attenzione ai dispositivi che si connettono al proprio computer – qual è la loro origine?
Investire in dispositivi USB crittografati di marche affidabili, in questo modo i propri dati sono al sicuro anche se si perde il dispositivo
Assicurarsi che tutti i dati memorizzati sulle USB siano crittografati
Avere installata una soluzione di sicurezza in grado di verificare che sui supporti rimovibili non ci siano malware installati prima di collegarli alla rete; può infatti accadere che anche i dispositivi delle marche affidabili possano essere compromessi attraverso la loro supply chain.

Ulteriori consigli per le imprese:

Regolamentare l’uso dei dispositivi USB in azienda: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa
Istruire i dipendenti sulle modalità sicure per utilizzare le USB, in particolare quando utilizzano un dispositivo sia su un computer di casa che su uno dell’ufficio
Non lasciare USB in giro e in vista

Le soluzioni di sicurezza di Kaspersky Lab, come Kaspersky Endpoint Security for Windows, garantiscono sicurezza e crittografia per tutti i supporti rimovibili, inclusi i dispositivi USB.
Il report completo sulle minacce USB è disponibile su Securelist.

Fonte
Kaspersky – Securelist

Perche’ non esistono antivirus per IOS ?

Potrebbe sembrare strano che Kaspersky Lab non offra un’app antivirus per iOS, ma c’è una buona ragione: Apple non ammette app ufficiali di antivirus nell’App Store, dichiarando che “Apple ha progettato la piattaforma iOS con la sicurezza al centro” e quindi il sistema operativo non ha bisogno di un’utilità antivirus.

Sembra arrogante, ma non è solo marketing: Apple iOS è infatti progettato per essere molto sicuro.

Le app iOS vengono eseguite nelle proprie sandbox: ambienti sicuri che nascondono le app, tenendole lontane dai dati di altre app, e dalla possibilità di manomettere i file del sistema operativo.
In ambiente iOS, un’app “wanna-be-malicious” non sarà in grado di rubare o compromettere nulla: non sarà consentito l’accesso al di fuori della propria sandbox, dove vengono memorizzati ed elaborati solo i propri dati.
Oltre a questa misura di sicurezza, Apple limita l’installazione sui dispositivi iOS solo a quelle app che provengono dall’App Store ufficiale (a meno che qualcuno che sia l’amministratore della tua azienda o un malfattore, abbia un account sviluppatore aziendale che consente di utilizzare Mobile Device Management [MDM] per installare app da fonti di terze parti).
La società ha un controllo molto stretto su ciò che è consentito nel suo store, controllando il codice di tutte le app prima di approvare qualsiasi cosa.
Ciò significa che qualcuno dovrebbe sviluppare un’app dannosa per iOS e quindi sottoporla a una revisione ufficiale prima di avere la possibilità di installarla su un dispositivo iOS.

Ovviamente, quanto sopra è vero solo per i dispositivi iOS non jailbreak, ma la maggior parte degli iPhone e degli iPad non sono jailbreak, soprattutto perché le versioni moderne di iOS sono molto sicure e non esiste un modo noto per effettuare il jailbreak.
Proprio quelle stesse limitazioni significano che le app antivirus non possono essere create per iOS: qualsiasi soluzione antivirus per funzionare deve essere in grado di vedere cosa stanno facendo le altre app e intervenire se il comportamento di un’applicazione è sospetto, e non puoi farlo in una sandbox.

Cosa sono le app di security che trovo nel App Store ?
Cercando nell’App Store troverai app chiamate “di sicurezza Internet”, ma non sono app antivirus. Una soluzione antivirus corretta non può essere eseguita su iOS. Queste app non sono utility antivirus, anche se hanno motori antivirus incorporati, non sono autorizzati a scansionare altre app e i loro dati.
Cosa fanno davvero quelle app? Sono dei falsi? No e possono avere utili funzioni di sicurezza come i moduli antiphishing e antitracking, VPN, utilità di controllo parentale, gestione password, blocco annunci, soluzioni antifurto o qualsiasi combinazione di questi.

Questa è la ragione per cui Kaspersky Internet Security per iOS non esiste.
Ma tutte le funzionalità di cui sopra sono effettivamente utili, ed è per questo che Kaspersky ha qualcos’altro per il sistema operativo mobile di Apple.

Sono sicuro con iOS ?
Apple ha davvero progettato iOS con la sicurezza al suo interno, ma non è sufficiente definirlo un sistema operativo assolutamente sicuro. Di tanto in tanto, i criminali informatici scoprono nuovi modi per sfruttare le vulnerabilità in iOS o ingannare i tecnici Apple che esaminano le app.
Ad esempio è stato infettato il kit di sviluppo Xcode in modo che app innocenti create con esso possano diventare malevoli; o app che controllando la posizione geografica quando vengono eseguite negli Stati Uniti non attivano la parte malevole del codice e riescono cois’ a bypassare i controlli Apple e vengono pubblicate nell’App Store.

Fortunatamente, il malware per iOS è molto raro al momento, quindi le probabilità di incontrarne uno è molto bassa.
Ribadiamo che è vero a meno che non si installi un profilo MDM, perché in seguito il dispositivo può essere controllato completamente e in remoto dal server dell’organizzazione che ha emesso il profilo.
Pertanto, per gli utenti non-enterprise, evitare i certificati MDM è la prima regola di sicurezza in iOS.

Nessun malware, nessun problema, giusto?
Sfortunatamente, il malware non è l’unica minaccia. Non dimentichiamo che altre minacce sono altrettanto reali per gli utenti iOS come lo sono per tutti gli altri. Tali minacce includono phishing, spam, intercettazione dei dati di rete e così via e così via, per non parlare delle minacce alla privacy.

Rimane quindi importante adottare una soluzione di protezione per iOS per tutte le altre minacce a cui sono esposti anche iPhone e iPad.

Fonte
Kaspersky Daily

Protezione e controllo delle informazioni. Quali soluzioni ?

La crittografia è uno dei metodi più sicuri in assoluto per gestire con facilità le politiche di accesso e di condivisione delle informazioni, sia all’interno che all’esterno dell’organizzazione aziendale, riducendone il rischio di furto o di utilizzo non autorizzato.
E’ possibile proteggere documenti, endpoint (come smartphone, tablet, notebook, workstation, in parte o completamente), e-mail, dispositivi esterni (hard e flash drive). Le varie possibilità possono essere tra loro combinate al fine di raggiungere i più elevati standard di protezione da perdite accidentali o dolose.

Presentiamo alcune soluzioni che possono coprire le esigenze più comuni:

Proteggere e controllare sempre e ovunque i tuoi documenti
La soluzione IRM di Sealpath impedisce che informazioni riservate, ovunque esse siano, sulla rete aziendale, sulle reti dei clienti o dei partner, nel cloud (ad es. Box, Dropbox, ecc.) o su un dispositivo mobile, possano essere viste o usate da utenti non autorizzati.
IRM di Sealpath protegge i documenti riservati con crittografia persistente che accompagna i file ovunque essi siano; gestisce e controlla, attraverso una console centralizzata, chi accede ai documenti riservati, quando e con quale permessi (sola lettura, modifica, stampa, copia e incolla, ecc.) e registra i dettagli degli accessi ai documenti.
La soluzione consente inoltre di dimostrare che i documenti con dati personali e/o sensibili sono protetti con sistemi di crittografia e con misure tecniche che assicurano che l’accesso ad essi sia impossibile senza autorizzazione, rispondendo così anche al principio di accountability del GDPR.

Cifratura a livello di file, disco o dispositivo
La crittografia di Kaspersky Endpoint Security for Business Advanced, con certificazione FIPS 140-2 e completamente trasparente per l’utente, protegge i dati riservati sui dispositivi fissi e portatili. La tecnologia integrata consente di applicare in maniera centralizzata le policy di crittografia dei dati aziendali a livello di file, disco o dispositivo removibile.

End to end email encryption
Il modulo di Email Encryption di Libra Esva Email Security Gateway è una funzionalità di crittografia end-to-end che protegge le e-mail direttamente sul tuo gateway di posta.
La crittografia end-to-end garantisce che solo il destinatario previsto possa leggere il contenuto. Neanche gli amministratori possono leggere il messaggio senza la password.
Ogni volta che il destinatario riceve un messaggio crittografato viene informato sui metodi disponibili per leggere e decodificare il messaggio e, attraverso un apposito servizio web sul gateway ESVA del mittente, può accedere al messaggio e ai contenuti.

E-mail crittografate e firmate con certificato personale
I certificati email personali consentono agli utenti di firmare e crittografare le e-mail in modo digitale dimostrandone la paternità, impedendone la manomissione e garantendo la riservatezza attraverso la cifratura. Qualunque sia il sistema di posta utilizzato e’ possibile firmare l’email con il proprio certificato personale e crittografarne il contenuto purché anche il destinatario sia in possesso di un certificato email personale.

Storage criptato
IStorage produce storage portatili (flash drives, hard drive, ssd drive) ad attivazione a mezzo PIN, con crittografia in real time e autenticazione hardware. Non richiedono installazioni di software, driver o utility, e sono indipendenti dal sistema operativo e dalla piattaforma.

Kaspersky Lab : Trojan bancari per dispositivi mobile

Le analisi di Kaspersky Lab rilevano che Dark Tequila , un complesso malware bancario attivo dal 2013 che prende di mira principalmente utenti dell’ameriva latina o collegati a questi , e’ tutt’oggi ancora attivo.

Il rischio non si limita agli utenti dei paesi dell’america latina , ma anche agli utenti europei che hanno rapporti con l’america latina , in particolare con il Messico ma non solamente, e/o che viaggiano in questi paesi per lavoro o turismo.

Dark Tequila ruba credenziali bancarie, dati personali e aziendali con malware in grado di spostarsi lateralmente attraverso il computer vittima mentre è offline. Secondo i ricercatori di Kaspersky Lab il codice dannoso si diffonde attraverso dispositivi USB infetti e e-mail di spear-phishing e include funzionalità che ne eludono il rilevamento.

Il malware esegue un payload multi-stage e viene distribuito agli utenti tramite dispositivi USB infetti e e-mail di spear-phishing. Una volta all’interno di un computer, il malware entra in contatto con il suo server di comando per ricevere istruzioni. Il payload viene inviato alla vittima solo quando vengono soddisfatte determinate condizioni tecniche della rete: se il malware rileva una soluzione di sicurezza installata, un’attività di monitoraggio della rete o segnala che il campione è eseguito in un ambiente di analisi, come una sandbox virtuale, interrompe la routine di infezione e si cancella dal sistema.

Se nessuna di queste attività viene rilevata, il malware attiva l’infezione locale e copia un file eseguibile su un’unità rimovibile da eseguire automaticamente. Ciò consente al malware di spostarsi offline attraverso la rete della vittima, anche quando un solo computer è stato inizialmente compromesso tramite spear-phishing. Quando un’altra USB viene collegata al computer infetto, diventa automaticamente infetta e pronta a diffondere il malware a sua volta.

La struttura malevola contiene tutti i moduli necessari per l’operazione, tra cui un key-logger e funzionalità di monitoraggio delle finestre per l’acquisizione delle credenziali di accesso e altre informazioni personali. Quando viene richiesto dal server di comando i diversi moduli vengono decrittografati e attivati e così tutti i dati rubati vengono caricati sul server in forma crittografata.

I prodotti Kaspersky Lab sono in grado di rilevare e bloccare il malware correlato a Dark Tequila.

Kaspersky Lab consiglia agli utenti di adottare le seguenti misure per proteggersi dallo spear-phishing e dagli attacchi tramite supporti rimovibili come USB:

Per tutti gli utenti:
– Prima di aprire un allegato è opportuno controllarlo con soluzioni anti-virus;
– Disabilitare funzionalità automatiche dai dispositivi USB;
– Controllare le unità USB con soluzioni anti-virus prima dell’apertura di eventuali documenti contenuti;
– Non collegare dispositivi sconosciuti e chiavette USB al vostro dispositivo;
– Utilizzare una soluzione di sicurezza con un’ulteriore protezione efficace contro le minacce finanziarie.

Le aziende sono inoltre invitate ad assicurarsi che:
– Le porte USB sui dispositivi dell’utente siano bloccate se non sono richieste per attività aziendali;
– Venga regolamentato l’uso di dispositivi USB: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa;
– I dipendenti vengano istruiti su pratiche sicure d’utilizzo delle USB, in particolare se spostano il dispositivo da un computer personale ad un dispositivo di lavoro;
– Non vengano lasciate USB negli uffici o nelle macchine.

fonti
Kaspersky Lab
adnkronos

Scoperto AppleJeus , la campagna che attacca anche piattaforme macOS

I ricercatori del Global Research and Analysis Team (GReAT) di Kaspersky Lab hanno scoperto AppleJeus, una nuova operazione malevola del famigerato gruppo hacker Lazarus. Gli aggressori si sono infiltrati in un network di cambio di criptovaluta in Asia utilizzando software di commercio di criptovalute Trojanized. L’obiettivo dell’attacco era rubare criptovaluta dalle loro vittime. Oltre al malware basato su Windows, i ricercatori sono stati in grado di identificare una versione precedentemente sconosciuta che prende di mir applejeus a le piattaforme macOS.

Questo è il primo caso in cui i ricercatori di Kaspersky Lab hanno osservato il famigerato gruppo Lazarus distribuire malware destinato ad utenti macOS e questo rappresenta un campanello d’allarme per tutti coloro che utilizzano questo sistema operativo per attività correlate alle criptovalute.

Sulla base delle analisi condotte dal GReAT, l’infiltrazione nell’infrastruttura della borsa è iniziata quando un dipendente ignaro della società ha scaricato un’applicazione di terze parti dal sito web legittimo di un’azienda che sviluppa software per il trading di criptovaluta.

Il codice dell’applicazione non è sospetto, ad eccezione di un componente: un aggiornamento. Nel software legittimo tali componenti vengono utilizzati per scaricare nuove versioni dei programmi. Nel caso di AppleJeus, si comporta come un modulo di ricognizione: prima raccoglie le informazioni di base sul computer su cui è stato installato e successivamente invia queste informazioni al server di comando e controllo e se gli aggressori decidono che il computer merita d’esser attaccato, il codice dannoso ritorna sotto forma di un aggiornamento software. L’aggiornamento dannoso installa un trojan noto come Fallchill, un vecchio tool che il gruppo Lazarus è tornato recentemente ad usare. Questo fatto ha fornito ai ricercatori una base per l’attribuzione. Al momento dell’installazione, il Trojan Fallchill fornisce agli aggressori un accesso quasi illimitato al computer attaccato, consentendo loro di rubare preziose informazioni finanziarie o di distribuire tool aggiuntivi a tale scopo.

La situazione è stata aggravata dal fatto che i criminali hanno sviluppato software sia per la piattaforma Windows che per la piattaforma macOS. Quest’ultima è generalmente molto meno esposta alle minacce informatiche rispetto a Windows. Le funzionalità delle due versioni della piattaforma del malware sono esattamente le stesse.

Un’altra cosa insolita dell’operazione AppleJeus è che mentre sembra un attacco supply-chain, in realtà, poi si mostra non esserlo. Il fornitore del software di trading di criptovaluta utilizzato per inviare il payload dannoso ai computer delle vittime dispone di un certificato digitale valido per la firma del suo software e record di registrazione che sembrano legittimi per il dominio. Tuttavia, almeno sulla base di informazioni pubblicamente disponibili, i ricercatori di Kaspersky Lab non sono stati in grado di identificare alcuna organizzazione legittima con sede all’indirizzo utilizzato nelle informazioni del certificato.

“All’inizio del 2017, abbiamo notato un crescente interesse del gruppo Lazarus per i mercati delle criptovalute, quando il software di mining Monero è stato installato su uno dei loro server da un operatore Lazarus. Da allora, sono stati individuati più volte prendere di mira i cambi di criptovaluta e tradizionali organizzazioni finanziarie. Il fatto che abbiano sviluppato malware per infettare gli utenti di macOS in aggiunta agli utenti di Windows e, molto probabilmente, persino creato una società di software e un prodotto software completamente falsi per essere in grado di fornire questo malware che non viene rilevato dalle soluzioni di sicurezza, significa che vedono profitti potenzialmente grandi nell’intera operazione e dovremmo aspettarci sicuramente più casi simili nel prossimo futuro. Per gli utenti macOS, questo caso è un campanello d’allarme, soprattutto se utilizzano i propri Mac per eseguire operazioni con criptovalute“, osserva Vitaly Kamluk, Head of GReAT APAC team di Kaspersky Lab.
Il gruppo Lazarus, noto per le sue sofisticate operazioni e collegamenti con la Corea del Nord, è noto non solo per i suoi attacchi di cyberspionaggio e cyber sabotaggio, ma anche per gli attacchi verso obiettivi finanziari. Diversi ricercatori, tra cui quelli di Kaspersky Lab, hanno riportato in passato notizie su questo gruppo relative a obiettivi come banche e altre grandi imprese finanziarie.

Per proteggersi e proteggere la propria azienda da sofisticati attacchi informatici da parte di gruppi come Lazarus, gli esperti di sicurezza di Kaspersky Lab consigliano alcuni accorgimenti:

Non fidarsi automaticamente del codice in esecuzione sui propri sistemi. Né un sito web dall’aspetto autentico, né un solido profilo aziendale, né certificati digitali garantiscono l’assenza di backdoor.
Utilizzare soluzioni di sicurezza solide, dotate di tecnologie di rilevamento del comportamento malevolo che consentano di bloccare anche minacce precedentemente sconosciute.
Iscrivere il team di sicurezza della propria organizzazione ad un servizio di qualità di reporting di intelligence delle minacce per ottenere un accesso tempestivo alle informazioni sugli sviluppi più recenti delle tattiche, tecniche e procedure di sofisticati autori di minacce.
Usare l’autenticazione multi-fattore e portafogli hardware se si ha a che fare con transazioni finanziarie significative. A tale scopo, utilizzare preferibilmente un computer standalone isolato che non si utilizza per navigare in Internet o leggere la posta elettronica.

Per ulteriori approfondimenti è disponibile la versione completa del rapporto su Securelist.

Fonte
Questar

Categorie