Un cambio di prospettiva per la sicurezza industriale: immunizzare le aziende

 
Tratto da Blog Kaspersky
Autore:  Eugene Kaspersky – 14/12/2021
 
 
 

Kaspersky IoT Secure Gateway 100: come proteggere i dati industriali preservando la continuità aziendale

 

 

Come proteggere i dati da occhi estranei e da modifiche non autorizzate, preservando al contempo la continuità dei processi aziendali?

In effetti, proteggere la riservatezza, l’integrità e l’accessibilità costituiscono ancora la fatica quotidiana della maggior parte dei professionisti della cybersecurity.

Non importa dove vada, il ‘digitale’ porta sempre con sé gli stessi problemi. Lo ha fatto, lo fa e continuerà a farlo. Ma naturalmente lo farà, perché i vantaggi della digitalizzazione sono così evidenti. Anche campi apparentemente conservatori come la costruzione di macchine pesanti, la raffinazione del petrolio, i trasporti o l’energia sono stati pesantemente digitalizzati già da anni. Tutto bene, ma è tutto sicuro?

Con il digitale, l’efficacia del business cresce a passi da gigante. Ma d’altra parte, tutto ciò che è digitale può essere (e viene) violato, e ci sono moltissimi esempi di ciò. C’è una grande tentazione di abbracciare completamente il digitale, per raccogliere tutti i suoi benefici; tuttavia, deve essere fatto in un modo che non sia agonizzante e doloroso (con i processi aziendali che vengono interrotti). Ed è qui che il nostro nuovo (quasi) speciale “antidolorifico” può aiutare: il nostro KISG 100 (Kaspersky IoT Secure Gateway).

 

 

Questo piccolo dispositivo è installato tra l’attrezzatura industriale (‘macchinari’) e il server che riceve vari segnali da questa attrezzatura. I dati in questi segnali variano, sulla produttività, i guasti del sistema, l’uso delle risorse, i livelli di vibrazione, le misurazioni delle emissioni di CO2/NOx, e molti altri, ma sono tutti necessari per avere un quadro generale del processo di produzione e per essere in grado di prendere decisioni aziendali ben informate e ragionate.

Il dispositivo è piccolo, ma è anche potente. Una funzionalità cruciale è che permette di trasferire solo i dati “consentiti”. Permette anche la trasmissione dei dati rigorosamente in una sola direzione. Così, in un istante KISG 100 intercetta un intero insieme di attacchi: man-in-the-middle, man-in-the-cloud, attacchi DDoS, e molte altre minacce basate su internet che continuano ad arrivare.

KISG 100 (che lavora sulla piattaforma hardware Siemens SIMATIC IOT2040 e il nostro cyber immune KasperskyOS) divide le reti esterne e interne in modo tale che nessun singolo byte di codice dannoso possa passare tra le due, così il dispositivo rimane completamente protetto. La tecnologia (per la quale abbiamo tre brevetti in corso) funziona in base al principio del diodo di dati: aprire il flusso di dati in una sola direzione e solo dopo aver soddisfatto determinate condizioni. Ma, a differenza delle soluzioni concorrenti, KISG lo fa in modo più affidabile, più semplice e più economico.

Questo piccolo dispositivo chiamato ‘gateway’, in linea di principio funziona proprio come la porta meccanica idrotecnica che si trova sui canali, ossia la chiusa. Si apre il cancello inferiore, la barca, il livello dell’acqua sale, il cancello superiore si apre, la barca esce. Allo stesso modo, KISG 100 prima inizializza l’agente della fonte dalla rete industriale, poi lo connette con l’agente del ricevitore di dati in direzione del server e permette il trasferimento unidirezionale dei dati.

Una volta che viene stabilita una connessione tra la macchina e il server, il sistema ha un cosiddetto stato protetto: l’accesso a una rete esterna e anche alla memoria non sicura è vietato a entrambi gli agenti (sorgente e ricevente), mentre l’accesso alla memoria sicura (da cui ricevono parametri di lavoro come chiavi di cifratura, certificati, ecc. Con questo stato, il gateway non può essere compromesso da attacchi da una rete esterna, poiché tutti i suoi componenti in questa fase sono disconnessi dal mondo esterno e sono considerati fidati; sono solo caricati e inizializzati.

Dopo l’inizializzazione, lo stato del gateway viene cambiato in attivo: l’agente ricevitore ottiene il diritto sia di trasferire dati a una rete esterna sia di accedere alla memoria non sicura (in cui sono contenuti dati temporanei). Così, anche se c’è un hacking sul lato server, gli hacker non possono arrivare agli altri componenti del gateway o alla rete industriale. In questo modo:

 

 

Il controllo sull’osservazione delle regole di interazione tra gli agenti, più la commutazione degli stati del gateway è fatto da un monitor di cybersecurity KSS. Questo sottosistema isolato di KasperskyOS controlla costantemente il rispetto delle politiche di sicurezza predefinite (quale componente può fare cosa) e, secondo il principio “default deny”, blocca tutte le azioni vietate. Il principale vantaggio competitivo di KSS è che le politiche di sicurezza sono molto convenienti da descrivere con un linguaggio speciale e per combinare diversi modelli predefiniti di sicurezza informatica. Se uno solo dei componenti di KISG 100 (per esempio, l’agente ricevitore) risulta essere compromesso, non può danneggiare gli altri, mentre l’operatore del sistema viene informato dell’attacco e può mettersi al lavoro per affrontarlo.

Il piccolo dispositivo può aiutare a fornire servizi digitali aggiuntivi. Permette di integrare in modo sicuro i dati industriali in ERP/CRM e altri sistemi di business assortiti di un’impresa.

Sono in corso progetti pilota di successo con Rostec e Gazprom Neft, e ne sono iniziati decine di altri con grandi organizzazioni industriali. Il dispositivo ha ricevuto un premio speciale per l’eccezionale risultato tecnologico al più grande evento IT cinese, Internet World Conference; alla fiera industriale Hannover Messe 2021 KISG 100 ha guadagnato un posto tra le migliori soluzioni innovative; e proprio di recente ha preso il primo premio nel IoT Awards 2021 dell’Internet of Things Association, battendo molte aziende più quotate.

In futuro espanderemo la gamma di questi dispositivi intelligenti. Già il “fratello maggiore” di KISG 100, KISG 1000, è in fase di beta test. Oltre ad essere un gateway-guardia, è anche un ispettore: non solo raccoglie, controlla e distribuisce la telemetria, ma trasferisce anche i comandi di gestione ai dispositivi e protegge dagli attacchi alla rete.

Il risultato? Non c’è motivo di aver paura del digitale.

14 Dicembre 2021

Il grattacapo delle imprese: il proxyware

 
Tratto da Blog Kaspersky
Autore:  Enoch Root – 23/11/2021
 
 
I dipendenti possono installare proxyware all’insaputa del loro datore di lavoro, introducendo
ulteriori cyber-rischi aziendali
 
 

 

Immaginate di venire pagati per l’accesso a una piccola porzione della vostra larghezza di banda Internet al lavoro. Non sarebbe niente male, vero? Il computer è comunque sempre acceso e avete accesso illimitato a Internet, quindi perché no? D’altronde non sono nemmeno le vostre risorse, si tratta di attrezzatura aziendale e della larghezza di banda.

Sembra tutto molto semplice, ma non c’è bisogno di fare molte ricerche per capire che quando si accetta di installare un client proxyware su un computer di lavoro, non sarà del tutto innocuo. Installando un proxyware state esponendo la vostra rete aziendale a rischi che superano di gran lunga qualsiasi reddito che potreste guadagnare dall’affare. Per dirla senza mezzi termini: nessun altro discutibile sistema per fare soldi su Internet vi fornisce una tale varietà di conseguenze indesiderabili. Ora vi spieghiamo perché è pericoloso.

Cos’è il proxyware?

I ricercatori di Cisco Talos hanno coniato il termine proxyware e hanno segnalato il fenomeno in profondità. Essenzialmente, un servizio proxyware agisce come un server proxy. Installato su un computer fisso o uno smartphone, rende la connessione Internet del dispositivo accessibile a terzi. A seconda di quanto tempo il programma rimane abilitato e quanta larghezza di banda gli è permesso di utilizzare, il cliente accumula punti che possono essere convertiti in valuta e trasferiti su un conto bancario.

Naturalmente, questi tipi di servizi non devono essere usati per scopi illegali, e hanno alcune applicazioni legittime. Per esempio, alcuni si rivolgono ai dipartimenti di marketing di grandi aziende, che hanno bisogno del maggior numero possibile di punti di accesso al web in diverse regioni geografiche.

Perché il proxyware su un computer aziendale è una cattiva idea

Anche se i servizi di proxyware affermano che gli “inquilini” sono innocui, a volte si verificano problemi, tra cui il danno alla reputazione dell’indirizzo IP e l’affidabilità del software.

Depotenziamento dell’indirizzo IP

Il problema più comune con il proxyware per gli utenti dei computer su cui gira, o anche per l’intera rete se ha un singolo indirizzo IP, è che i servizi spesso incontrano i CAPTCHA, il cui scopo è quello di garantire che solo le persone possano accedere a una risorsa online. Un computer con proxyware solleva sospetti, e anche giustamente.

Un modo in cui gli “affittuari” di banda possono usare i computer carichi di proxyware è quello di scansionare il web o misurare la velocità di accesso ai siti web distribuendo regolarmente un flusso di richieste, e questo non piace ai sistemi automatici di protezione DDoS. Può anche essere un segno di qualcosa di ancora più losco, come lo spam.

Tenete a mente che le conseguenze possono essere molto più disastrose per l’azienda, con richieste automatiche che atterrano sull’indirizzo IP dell’organizzazione su una lista di indirizzi non sicuri. Così, per esempio, se il server di posta elettronica opera sullo stesso indirizzo, ad un certo punto i messaggi dei dipendenti potrebbero smettere di raggiungere i destinatari esterni. Altri server di posta elettronica inizieranno semplicemente a bloccare l’indirizzo IP e il dominio dell’organizzazione.

Falsi clienti proxyware

Un altro rischio che i dipendenti corrono nell’installare il proxyware è che possono scaricare qualcosa di indesiderato. Provate a fare così: andate su Google e cercate “honeygain download”. Otterrete un paio di link al sito ufficiale dello sviluppatore e centinaia di link a siti di file-sharing senza scrupoli, la metà dei quali include “contenuti bonus” con i loro download.

Che tipo di “contenuto bonus”? Beh, i ricercatori descrivono uno di questi installer trojanizzati come distribuire un programma di estrazione di criptovaluta (che divora le risorse e l’elettricità di un PC) e un tool, per connettersi al server di comando dei criminali informatici, da cui qualsiasi altra cosa può essere scaricata in ogni instante.

Questo tipo di proxyware può mettere fuori uso l’intera infrastruttura IT di un’organizzazione. Potrebbe anche portare ad un ransomware capace di cifrare i dati, richieste di riscatto e altro. In sintesi, il proxyware è sinonimo di pericolo per un’azienda.

Installazione nascosta di proxyware

La maggior parte degli scenari assomiglia a quanto detto sopra: conseguenze non volute di installazioni intenzionali (anche se a volte non autorizzate). A volte succede anche il contrario, con un dipendente che cattura un vero malware su un sito sospetto, e quel malware installa un client proxyware modificato sul computer. Questo non è altro che un problema: computer rallentati, meno banda di rete e, potenzialmente, furto di dati.

Consigli per le imprese

Il modo migliore per combattere lo sfruttamento criminale attraverso il proxyware è quello di installare una soluzione antivirus affidabile su ogni computer con accesso a Internet. Non solo questo proteggerà la vostra azienda dagli effetti dannosi del proxyware, ma se tale proxyware include, o è incluso in altri malware, sarete comunque coperti.

Per essere chiari, neanche con il proxyware “pulito” sarete del tutto fuori pericolo. Una sana politica di sicurezza non dovrebbe permettere a nessuno di installare proxyware o qualsiasi altro software discutibile sui computer dei dipendenti, indipendentemente dal fatto che i computer siano in ufficio o che i dipendenti si colleghino alla VPN dell’organizzazione. Come regola, la maggior parte degli impiegati non ha bisogno, e non dovrebbe avere il permesso, di installare software sui loro computer in modo indipendente.

24 Novembre 2021

Phishing mascherato da spam

 
Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 18/11/2021
 
 
Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena
 
 

 

Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.

 

Come funziona

I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:

 

False notifiche sulle e-mail in quarantena.

 

La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:

 

Istruzioni visive inviate dai truffatori.

 

Qual è il trucco?

Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:

 

Sito di phishing.

 

Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.

 

Indizi

Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.

Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.

 

Come evitare lo spam e phishing

Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing.

Uno strumento online di facile gestione che sviluppa livello per livello le competenze dei dipendenti in materia di cybersecurity è la Piattaforma Kaspersky Automated Security Awareness (ASAP).

Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, occorre usare soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.

Per ulteriori informazioni sulle soluzioni antiphishing e sulla Piattaforma ASAP di Kaspersky: dircom@argonavis.it

19 Novembre 2021

Pagamento dei ransomware: è opportuno? I pareri degli analisti di Gartner

 
Tratto da www.zerounoweb.it
Autore: Marta Abbà – Fonte TechTarget – 09/11/2021
 
 

Durante l’IT Symposium di Gartner, gli analisti hanno discusso le complessità che le aziende devono affrontare nel decidere se cedere o meno alle richieste di riscatto

 

https://d3npc921eoaj06.cloudfront.net/wp-content/uploads/2021/11/08113827/Img-base-Articoli-1024x576.jpg

 

Se per una qualsiasi organizzazione essere colpiti da un ransomware può considerarsi quasi un evento inevitabile o molto probabile, secondo gli analisti di Gartner, il cedere invece alle richieste di riscatto è una decisione che resta nelle mani delle vittime.

Durante il Gartner IT Symposium 2021 – Americas , gli analisti di Gartner Paul Proctor e Sam Olyaei hanno discusso la gravità del panorama ransomware in una sessione dal titolo “Crossroads: Dovresti pagare il riscatto?” esprimendosi in linea di massima contro il pagamento del ransomware ma illustrando una serie di considerazioni che le imprese possono fare per valutare come muoversi, ad esempio relative alla portata dell’attacco, agli importi delle richieste di riscatto, alla propria copertura assicurativa informatica e allo stato dei backup.

Un altro elemento che rende difficile la decisione è il disallineamento tra il team di sicurezza e il management, secondo gli analisti, ma la vera pressione sulle organizzazioni proviene dall’evoluzione dei ransomware che oggi hanno ormai un vero e proprio modello di business. Al loro interno sono previsti dei soggetti che “inseguono” insistentemente le aziende e degli operatori che, dietro agli autori del ransomware, agiscono ora come professionisti, offrendo un servizio clienti e negoziatori.

Secondo Proctor, gli autori delle minacce analizzano le aziende a 360 gradi e calibrano la loro richiesta sulle entrate della singola organizzazione o sul suo budget annuale. La maggior parte degli hacker conoscono anche i termini della sua polizza di assicurazione informatica.

Proctor ha illustrato un caso recente in cui un attaccante ha avuto accesso alla policy scoprendo esattamente quanto la vittima avrebbe pagato in caso di riscatto, anche le stesse compagnie di assicurazione informatica quindi non sono al sicuro. A marzo, CNA Financial, uno delle più grandi assicurazioni statunitensi, ha subito un attacco ransomware e, secondo un rapporto di Bloomberg, la compagnia di assicurazioni ha pagato un riscatto di 40 milioni di dollari.

Dato che le aziende stanno diventando sempre più vulnerabili agli attacchi ransomware, Proctor ha suggerito di cominciare a focalizzarsi sulla cyber readiness invece che sulle minacce. “Soprattutto, quando si tratta di ransomware, come avete intenzione di rispondere? – ha detto Proctor durante la sessione – È necessario iniziare a guardare a questo attacco informatico come a qualcosa di inevitabile”.

Olyaei ha convenuto che il ransomware non è un rischio potenziale, ma una minaccia che le aziende non possono controllare: “verrete sicuramente colpite, ciò che bisogna chiedersi è: qual sarà l‘impatto sull’azienda?” ha detto durante la sessione.
 

Pagare? Non pagare? Questo è il dilemma

Mentre la maggior parte dell’incontro si è focalizzato sugli elementi da prendere in considerazione quando si è colpiti dal ransomware, la questione del se pagare o meno è stata posta dall’autore e moderatore dell’evento Mark Jeffries. Jeffries ha menzionato una conversazione che ha avuto con un ex leader della CIA che era a favore del pagamento dei riscatti, Proctor non si è detto d’accordo con questa posizione spiegando che “Gartner ha una posizione opposta, è illegale in molte giurisdizioni e ci sono nuove leggi che lo rendono illegale”.

Il dibattito sul cedere o meno ai ricatti cyber negli USA ha provocato molte discussioni con l’aumento degli attacchi ransomware e, nonostante la Casa Bianca abbia preso una posizione forte contro il pagamento, sono molte le aziende che hanno deciso di pagare comunque nell’ultimo anno, lo hanno fatto anche JBS USA, ExaGrid e Colonial Pipeline Company.

Questo sta accadendo nonostante le misure barriera inserite per scoraggiare il pagamento, comprese le recenti sanzioni che possono mettere in difficoltà le aziende che favoriscono i pagamenti dei ransomware. Per esempio, il mese scorso l’Office of Foreign Assets Control ha emesso sanzioni contro Suex, uno crypto exchange accusato di riciclare i proventi illeciti dei criminali informatici, alcuni dei quali derivati dal ransomware. Ora, pagare riscatti potrebbe portare a una violazione di quelle sanzioni.

Al di là di ciò che prevedono le nuove leggi, Proctor ha sostenuto che chi paga viene spesso hackerato di nuovo, secondo i dati di Gartner, infatti, l’80% di queste organizzazioni subisce un altro attacco ransomware.

“Pagando il riscatto agli hacker li si invita a effettuare una nuova violazione, e chi pensa che pagherà un’assicurazione informatica o che potrà mettere da parte dei soldi apposta per il riscatto per poi proseguire con il business come nulla fosse, si sbaglia perché si troverà a pagare le conseguenze della sua scelta”. Sottolineando le ripercussioni del pagamento, Proctor ha però indicato un caso in cui ritiene sia opportuno cedere alle richieste: quando una società non può in alcun modo recuperare i dati. “Se non hai un backup e non vuoi ricostruire tutti i tuoi dati da zero, a partire dal primo giorno, dovrai pagare – ha spiegato – Non hai altra scelta”.

Olyaei non ha invece preso una posizione chiara nel dibattito ma ha spiegato ciò che pagare o non pagare potrebbe significare per un’organizzazione. “Non stiamo raccomandando o suggerendo a un’organizzazione di pagare o meno” ha precisato.

Per quanto riguarda il tema del backup dei dati, Olyaei citato una ricerca di Gartner che mostra come chi paga riceva solo fino all’8% dei loro dati indietro e ha aggiunto poi che la situazione va peggiorando perché alcune delle più recenti varianti di ransomware restano in un sistema per mesi, al punto da riuscire a criptare i backup. A quel punto, ha spiegato, “non sarete mai più in grado di recuperare fino al 100% dei vostri dati”.

Mentre durante il secondo trimestre del 2021, complice il Ransomware-as-a-Service e la consapevolezza delle aziende che pagare il riscatto non dà alcuna garanzia, gli importi incassati dagli hacker sono calati del 40% (dati Coverware), anche nel contesto italiano si dibatte sul tema del pagamento del riscatto. L’Asso DPO (Associazione Data Protection Officer) illustra ad esempio come nonostante per la polizia postale, il nucleo privacy della guardia di finanza, i professionisti che si occupano di privacy e di sicurezza informatica, la risposta sarebbe un NO unanime, la realtà presenti delle sfumature più complesse e da interpretare. Spesso ciò che accade è che, non riuscendo a conoscere le esatte dimensioni di un attacco, molte aziende cercano di coprire l’accaduto per minimizzare i danni anche di brand reputation decidendo di cedere al ricatto e pagare senza pubblicizzare questa scelta. Diversa la situazione quando si fornisce un servizio pubblico oppure quando l’azienda ha dimensioni rilevanti, come nei recenti casi di Colonial Pipeline e JBS: in questi casi bisogna fornire spiegazioni anche agli investitori e prendere delle decisioni non è semplice.

L’impatto del ransomware oltre la crittografia

L’impatto della maggior parte degli attacchi di cyber, ha detto Olyaei, deriva dalla mancata risposta delle aziende, sia dal punto di vista tecnologico che di gestione delle pubbliche relazioni, e riguarda la brand reputation e la credibilità agli occhi del cliente. Tuttavia, le ricadute degli attacchi, in particolare se colpiscono infrastrutture critiche, possono porre anche altri problemi, indipendentemente dalla risposta. Secondo Proctor, ad esempio, è stato il panico del gas sulla costa orientale a danneggiare la U.S. Colonial Pipeline più che la sua risposta all’attacco ransomware, che ha incluso il pagamento di una richiesta di 4,4 milioni di dollari.

Un aspetto su cui entrambi gli analisti hanno concordato è il disallineamento tra i management e la loro scarsa comprensione degli incidenti di sicurezza che Proctor ha rilevato negli ultimi 35 anni. “Abbiamo letteralmente trattato la sicurezza come una magia e gli addetti alla sicurezza come maghi. E questo significa che diamo ai maghi un po’ di soldi e loro lanciano alcuni incantesimi e così proteggono infallibilmente l’organizzazione. E poi, se qualcosa va storto, diamo la colpa ai maghi – ha detto Proctor – questo ha portato ad investire in modo poco appropriato ed efficace”.

Questo disallineamento impatta sui livelli di preparazione dell’azienda. Una statistica di Gartner mostra che l’80% dei responsabili della sicurezza crede di essere pronto a rispondere a un attacco ransomware, mentre il numero dei manager è del 13%. Secondo Olyaei si tratta di una disconnessione culturale. Un altro elemento su cui entrambi gli analisti si trovano d’accordo è il fatto che gli attacchi ransomware sarebbero prevenibili, ciò che manca sono i protocolli di sicurezza, paragonabili alle norme di igiene di base: indispensabili. Continuando la metafora ha affermato che “è come se stessimo lasciando le nostre porte e le nostre finestre aperte, spalancate, come se non ci lavassimo i denti e non andassimo a dormire all’ora giusta la sera. Queste sono le ragioni di base per cui veniamo colpiti dal ransomware”. La percentuale di attacchi prevenibili è il 90% e, secondo Proctor se l’investimento in adeguati controlli di cybersecurity è adeguato la decisione se pagare o meno il riscatto non si pone: “Se stai affrontando questa decisione, hai già perso”.

10 Novembre 2021

Il popolare pacchetto JavaScript UAParser.js infettato da malware

 
Tratto da Blog Kaspersky
Autore:  Nikolay Pankov- 28/10/2021
 
 
Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, è stato infettato con password stealer e miner
 
 

 

Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le statistiche sulla pagina degli sviluppatori, molti progetti fanno uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.

I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.

Che cos’è UAParser.js, e perché è così famoso

Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. È implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch’esso da questa libreria, aumentando ulteriormente la scala dell’attacco, aggiungendo un ulteriore anello alla supply chain.

Introduzione ai codici dannosi

I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.

Tuttavia, potrebbe non essere finita qui: secondo gli avvisi della US Cybersecurity and Infrastructure Protection Agency (CISA), l’installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.

Secondo gli utenti di GitHub, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file è un chiaro indicatore di compromissione del sistema.

Come è riuscito a entrare il codice dannoso nella libreria UAParser.js

Faisal Salman, lo sviluppatore del progetto UAParser.js, ha dichiarato che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.

A quanto pare, sono stati online per poco più di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un’insolita attività di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attività sospette, e ha così potuto scoprire la causa principale del problema.

Cosa fare se avete scaricato librerie infette

Il primo passo è controllare i computer, tutti i componenti del malware usato nell’attacco sono rilevati con successo dai nostri prodotti.

Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: secondo l’avviso, qualsiasi computer su cui è stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.

In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ciò significa che tali ambienti richiedono urgentemente una protezione antimalware.

 

2 Novembre 2021

Blog & News

Categorie