Andariel, nuova famiglia di malware da documentare

 
 
Tratto da www.lineaedp.it
Redazione: LineaEDP – 30/06/2023
 

Nel corso di una ricerca non collegata, Kaspersky si è imbattuta nella campagna di Andariel e ha deciso di indagare più a fondo. In questo modo, i ricercatori hanno scoperto una famiglia di malware non ancora documentata e hanno identificato ulteriori tattiche, tecniche e procedure utilizzate da Andariel.

Le infezioni sono state lanciate da Andariel sfruttando un exploit Log4j, che consente di scaricare un altro malware dall’infrastruttura di comando e controllo. Sebbene la parte iniziale del malware scaricato non sia ancora stata intercettata, è stato osservato che la backdoor DTrack è stata successivamente installata poco dopo l’exploit Log4j.

Chi si cela dietro la campagna Andariel?

Un aspetto interessante di questa indagine è emerso quando Kaspersky è riuscita a replicare i comandi eseguiti dagli operatori che si celavano dietro la campagna Andariel. È risultato evidente che questi comandi erano eseguiti da un operatore umano, che presumibilmente si era unito di recente all’operazione, come dimostrano i numerosi errori e refusi commessi, ad esempio, “Prorgam” anziché “Program”.

Inoltre, i ricercatori di Kaspersky hanno rilevato una versione di EarlyRat nei file Log4j. Inizialmente è stato ipotizzato che EarlyRat fosse stato scaricato attraverso la vulnerabilità Log4j, ma ulteriori indagini hanno permesso di scoprire che era stato distribuito tramite documenti di phishing.

EarlyRat, come molti altri Remote Access Trojan (RAT), raccoglie informazioni sul sistema al momento dell’attivazione e le trasmette al server C2, utilizzando un modello specifico. I dati trasmessi includono gli identificativi unici della macchina (ID) e le query, che sono criptate utilizzando chiavi crittografiche specifiche nel campo ID.

In termini di funzionalità, EarlyRat è semplice e si limita all’esecuzione dei comandi. È interessante notare che EarlyRat condivide alcune analogie di alto livello con MagicRat come l’utilizzo di framework e funzionalità limitate di entrambi i RAT.

3 Luglio 2023

EndianOS 6.6 è ora disponibile

Tratto da www.endian.com – 28/06/2023
 

La release 6.6.0 segna il definitivo perfezionamento della piattaforma EndianOS 6 sia per i prodotti UTM sia per i prodotti Switchboard, ripristinando l’Hotspot (UTM) e il Management Center (Switchboard).

EndianOS UTM

  • La funzione Hotspot è ora disponibile
    La funzione Hotspot (captive portal) di Endian UTM consente agli utenti di assumere il controllo delle reti BYOD (Bring Your Own Device) e di fornire un accesso a Internet immediato e sicuro a ospiti, clienti e dipendenti. Questa feature consente di prevenire l’abuso della larghezza di banda e di applicare le policy di utilizzo della rete. Utilizzando Endian Hotspot, potete fornire agli utenti diversi modi per connettersi alla vostra rete BYOD. Da una semplice pagina iniziale a metodi più avanzati di registrazione dell’utente, come SmartConnect e Social Login (Facebook o Google).
  • L’Hotspot è incluso nell’Alta Affidabilità
    Oltre ai vantaggi legati al sistema Hotspot, abbiamo migliorato anche l’affidabilità includendo l’applicazione nel servizio di Alta Affidabilità di Endian UTM. Questo garantisce che la funzione Hotspot sia sempre disponibile per gli utenti e per gli ospiti.

Endian OS Switchboard

  • Management Center
    Le funzionalità di Endian Switchboard sono completate dal ripristino dell’Endian Management Center per fornire una gestione centralizzata della configurazione dei gateway. Si tratta di un aspetto importante per le grandi aziende o per quelle in continua crescita, che hanno bisogno di una soluzione per semplificare e centralizzare la distribuzione di centinaia o migliaia di dispositivi. Lo Switchboard fornisce opzioni di distribuzione “zero touch” e offre strumenti di gestione e organizzazione centralizzata delle appliance per soddisfare le esigenze sia dell’IT che dell’OT. Le funzionalità della Switchboard ora disponibili includono:
    • Distribuzione centralizzata tramite Plug & Connect offline (USB) o OTA (attraverso la rete)
    • Configurazione e gestione del ciclo di vita dei gateway
    • Organizzazione centralizzata di gateway, endpoint e molto altro ancora.

Per maggiori dettagli sugli highlights del rilascio, consulta le release notes.

Informazioni aggiuntive:

Il prodotto autonomo “Endian Hotspot” non sarà più disponibile su EndianOS 6 e con la presente annunciamo ufficialmente la “End Of Sales” di questo prodotto. Gli Hotspot Endian attivi possono ancora essere aggiornati sulle versioni EndianOS 5.x e riceveranno supporto se la maintenance è attiva (come da policy).

Per ulteriori informazioni: dircom@argonavis.it

28 Giugno 2023

Trend Micro presenta Trend Vision One™ Platform: la piattaforma con capacità XDR e di intelligenza artificiale di ultima generazione 

 
 
 
Tratto da www.trendmicro.com
Autore:  Lorenzo Gamba – Imageware Srl – 20/06/2023
 

Trend Micro, leader globale di cybersecurity, presenta la piattaforma di cybersecurity di ultima generazione e stabilisce un nuovo standard per rafforzare la postura di sicurezza e la difesa dalle minacce. La nuova versione della piattaforma Trend Vision One™ rappresenta un significativo passo in avanti nella cybersecurity delle aziende e comprende una solida gestione del rischio della superficie di attacco, una protezione multilivello in ambienti ibridi e XDR di nuova generazione, amplificata dalla potente tecnologia di intelligenza artificiale generativa.

Le funzionalità avanzate di rilevamento e risposta estesi (XDR) della piattaforma, includono il più ampio set di sensori di sicurezza nativi, per offrire la protezione dalle minacce più completa e cross-domain. La piattaforma porta sul mercato l’XDR di prossima generazione, grazie al consolidamento dei dati che provengono da fonti interne e da terze parti e attraverso analisi avanzate di IA, machine learning e modelli di rilevamento correlati.

Con una visibilità e insight sugli eventi senza pari, le aziende hanno a disposizione una difesa più proattiva, un rilevamento tempestivo e una risposta agli incidenti più rapida.

Consolidando i dati da fonti interne e di terze parti e utilizzando l’intelligenza artificiale avanzata, report di machine learning e i modelli di rilevamento correlati, la piattaforma porta sul mercato la nuova generazione di XDR e protegge da tutte le tecniche e tattiche dei cybercriminali, tra cui estorsioni, attacchi DDoS, ransomware e altro ancora.

Una piattaforma potenziata dall’intelligenza artificiale generativa   

Trend introduce nella piattaforma le capacità di intelligenza artificiale generativa trasformativa, attraverso l’implementazione di Companion, un assistente per la sicurezza informatica basato sull’intelligenza artificiale. Companion supporta gli addetti di cybersecurity indipendentemente dal livello di competenza ed è in grado di amplificare le operazioni di sicurezza, aumentare la produttività e l’efficienza e accelerare il rilevamento delle minacce, la risposta e la gestione del rischio informatico. Questo è l’inizio di una futura implementazione continua di funzionalità di IA e LLM, integrate in Trend Vision One.

Le capacità generative di IA e LLM di Trend danno priorità alla sicurezza e alla compliance in linea con le normative. Misure rigorose garantiscono la visibilità su come ciascun modello gestisce i dati aziendali. Inoltre, vengono implementati controlli e meccanismi di isolamento aggiuntivi per impedire la combinazione di Trend LLM con istanze e dati di altri fornitori.

Gestione proattiva dei rischi della superficie di attacco (Attack Surface Risk Management – ASRM), basata sui principi Zero Trust

Trend Vision One consente alle organizzazioni di creare programmi cyber resilienti e gestire in modo proattivo il rischio, contrastando potenziali eventi e violazioni con una gestione del rischio della superficie di attacco all’avanguardia. Sfruttando la scoperta continua della superficie di attacco e la valutazione del rischio in tempo reale, le aziende possono identificare e correggere rapidamente i rischi critici, comprese le vulnerabilità e l’esposizione, in base alla probabilità e all’impatto dell’attacco.

Grazie alla continua scoperta di asset interni e connessi a Internet, alla visibilità e alla valutazione in tempo reale, Trend Vision One accelera il viaggio verso un’architettura zero trust basata sul concetto “mai fidarsi, verificare sempre”. Questo è un framework di sicurezza molto desiderato ma difficile da implementare.

Per la prima volta, le organizzazioni sono in grado di gestire controlli di sicurezza granulari, applicazione delle policy e punti decisionali sulle policy da un’unica piattaforma per monitorare, gestire ed eseguire automaticamente controlli di sicurezza dinamici basati sui dati degli insight ASRM e sulla gestione integrata del sistema XDR, per ridurre la complessità e orchestrare l’accesso con privilegi minimi, con uno sforzo manuale irrilevante.

Attraverso un percorso chiaro verso l’operatività zero trust, le organizzazioni possono ridurre al minimo la superficie di attacco in modo più efficace, rallentare gli aggressori e proteggersi da minacce interne dannose e non, garantendo la conformità e la protezione dei dati.

Per ulteriori informazioni su Trend Vision One: dircom@argonavis.it e www.trendmicro.com/en_us/business/products/one-platform.html

L’intero articolo, pubblicato sul sito Trend Micro, è disponibile qui

26 Giugno 2023

Sicurezza di rete e consumo energetico: 4 modi per risparmiare energia

Tratto da www.endian.com – 05/05/2023
 

In merito all’attuale situazione delle minacce informatiche, la sicurezza di rete diventa sempre più importante. Purtroppo, molte aziende, ancora, non hanno trovato la soluzione di sicurezza IT ottimale per loro esigenze. Per assicurarsi che tali soluzioni non consumino più energia del dovuto e diventino un fattore di costo sul lungo periodo, il consumo energetico dovrebbe avere un ruolo nella decisione di acquisto.

La complessa situazione delle minacce nel mondo virtuale non lascia scelta alle aziende: la sicurezza informatica è un must per qualsiasi organizzazione. Anche la legislazione sta aumentando la pressione attraverso le normative sulla sicurezza. A novembre 2022 l’Unione Europea ha deciso di aggiornare la già esistente direttiva NIS (Network and Information Security Directive), emanando la nuova direttiva NIS2, che mira a migliorare la sicurezza delle reti e delle informazioni. Con l’adozione della Direttiva NIS2 come legge nazionale, è probabile che vengano applicate regole sempre più severe ad un numero elevato di aziende.

Così come aumenta il numero di programmi malware su internet, aumenta anche il prezzo dell’elettricità a livello europeo.  Si stima che il chilowattora per le piccole e medie imprese industriali venga a costare quest’anno il 52% in più rispetto all’anno 2018. Vale quindi la pena prestare attenzione al consumo di elettricità anche nella gestione della sicurezza Informatica.

“Due fattori sono decisivi per il consumo energetico delle soluzioni di sicurezza IT: l’efficienza del software e la piattaforma hardware sulla quale viene eseguito”, afferma Raphael Vallazza, CEO di Endian.

Piattaforma ARM di comprovata efficienza

Dal punto di vista energetico, ARM è la piattaforma hardware più efficiente in termini di consumo. “ARM” è l’acronimo di “Advanced RISC Machine” e si riferisce quindi a un processore costruito sull’architettura RISC (Reduced Instruction Set Computer). In questo caso, le istruzioni vengono eseguite in più operazioni di calcolo semplici e quindi più veloci, anziché in una singola e più complessa. Oggi la piattaforma ARM è utilizzata prevalentemente su smartphone, dispositivi mobili e dispositivi IoT, ma sempre più spesso è impiegata anche in sistemi desktop e server.

Endian utilizza la piattaforma ARM da oltre 10 anni e, ad esempio, riesce a gestire un consumo energetico inferiore a 5-7 watt per i gateway industriali.

Ottimizzazione del software

Oggi le applicazioni di cybersecurity sono sempre più sofisticate, come ad esempio la tecnologia Deep Packet Inspection (DPI). Questo strumento può analizzare i sistemi fino al livello dell’utente e rilevare oltre 300 protocolli IT/OT e fino a 2.000 applicazioni. Per garantire che non venga consumata troppa capacità computazionale, è fondamentale una rigorosa ottimizzazione del software.

Esistono diverse opzioni, come la “alta parallelizzazione asincrona”. In questo caso, i task vengono suddivisi in unità più piccole ed eseguiti in contemporanea, anziché in una sequenza rigorosa, uno dopo l’altro. I risultati in seguito vengono ricombinati. In questo modo si riduce notevolmente il numero di passi di calcolo e quindi il tempo di elaborazione, con una conseguente riduzione dei consumi energetici.

Endian ha effettuato dei perfezionamenti sulle proprie tecnologie, tra cui la Switchboard. Cos’è la Switchboard? Uno strumento di gestione della piattaforma Endian Secure Digital e può essere utilizzato per gestire dinamicamente le regole di accesso remoto sicuro a livello utente. Utilizzando la alta parallelizzazione asincrona, Endian ha ottenuto una riduzione dell’85% del tempo di calcolo e applicazione di queste regole. Per eseguire le operazioni relative a 20.000 utenti, lo strumento impiega ora solo circa 3 secondi. Un tempo nettamente più breve a parità di prestazioni significa anche un consumo energetico inferiore.

I microservizi fanno risparmiare energia

L’uso di microservizi può anche fornire ulteriori vantaggi in termini di consumi di energia. I Docker container, ad esempio, offrono la possibilità di trasferire le applicazioni in modo rapido e semplice su molti computer diversi. Un container software è indipendente dal sistema operativo e si compone di diversi livelli. A seconda del contesto dell’host, ogni elemento carica i componenti indispensabili per la sua esecuzione. I container richiedono quindi una capacità di calcolo significativamente inferiore rispetto alle macchine virtuali.

L’edge computing riduce l’energia utilizzata per il trasferimento dei dati

Poiché nell’industria in rete digitale viene raccolta una quantità crescente di dati da singoli sensori, l’edge computing sta diventando sempre più importante, garantendo che l’elaborazione dei dati avvenga nel luogo in cui essi hanno origine, ad esempio in una specifica filiale o una macchina.

Questo offre tre vantaggi:

  1. Aumenta la sicurezza informatica perché i dati trasferiti nel cloud sono meno numerosi e quindi il rischio di furto o manomissione è minore.
  2. Riduce i costi che possono essere generati per il caricamento dei dati.
  3. Ha un effetto positivo sul bilancio energetico complessivo, perché meno dati nel cloud permettono un minore consumo di energia all’interno dei data center.

Conclusione:

Quando si investe nella sicurezza informatica, vale la pena di esaminare più da vicino i requisiti energetici delle varie soluzioni, dato che diversi parametri ne influenzano il consumo di energia. Per garantire che le aziende non solo siano armate contro i crescenti rischi informatici, ma che soddisfino anche i requisiti di sostenibilità a lungo termine, i requisiti energetici della sicurezza informatica dovrebbero avere un ruolo nella decisione di acquisto.

8 Maggio 2023

Kaspersky VPN: connessione più sicura e trasparente

 
 
Tratto da www.lineaedp.it
Redazione: LineaEDP – 07/04/2023
 

La nuova versione della Kaspersky VPN integra nel nuovo aggiornamento il protocollo Wireguard, oltre a quello Hydra già supportato

 

Kaspersky VPN

 

Kaspersky annuncia l’aggiornamento della sua Kaspersky VPN. La nuova versione integra il protocollo Wireguard per una connessione più sicura e trasparente. Tra le altre funzionalità aggiunte sono disponibili la modalità dark e nuove aree di connessione. Inoltre, Pango, fornitore dell’infrastruttura VPN di Kaspersky, è stato sottoposto a un Application Security Audit condotto da Aon Cyber Solutions.

Uno degli aggiornamenti più significativi è l’integrazione del protocollo Wireguard, oltre a quello Hydra già supportato. Si tratta di un protocollo open source, un passo importante per aumentare la credibilità del prodotto. Al momento, questo protocollo funziona su dispositivi Windows, ma si prevede di aggiungere altre piattaforme come MacOS, iOS e Android nel corso dell’anno. Questa novità consente agli utenti di scegliere quale dei due protocolli utilizzare: Wireguard o Hydra.

Alla fine dello scorso anno, Aon Cyber Solution ha sottoposto Pango, fornitore di servizi VPN di Kaspersky, a un “trust audit” per valutare la sicurezza relativa alla privacy del codice sorgente Catapult Hydra dell’azienda e della piattaforma Partner VPN. I risultati dell’audit hanno confermato la sicurezza e la riservatezza delle attività degli utenti.

Oltre al nuovo protocollo, è disponibile anche la modalità “tema scuro”, che è oggi una parte importante nella progettazione della UX per permettere agli utenti di personalizzare il prodotto. Inoltre, la nuova versione ha aggiunto nuove aree in cui i clienti possono collegarsi, nel 2023 sono stati, infatti, inseriti Bangladesh (Dhaka), Liechtenstein (Vaduz), Russia (Novosibirsk) e Cina (Shanghai).

Secondo i recenti risultati dei testi AV-TEST, Kaspersky VPN è attualmente la soluzione più veloce, in grado di superare i principali fornitori di VPN sul mercato [1] . Kaspersky VPN ha conquistato il primo posto tra le categorie più esaminate e ha dimostrato un’eccezionale capacità di download e velocità dei torrent sia nei test locali che all’estero. Inoltre, Kaspersky VPN ha evidenziato un’imbattibile resistenza alle fughe di dati nei test di settore (in qualsiasi categoria).

[1] L’elenco completo dei provider VPN che hanno partecipato al test e altri dettagli sono disponibili al seguente link.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

12 Aprile 2023

Blog & News

Categorie