Kaspersky avverte: Lazarus prende di mira il settore della difesa

Tratto da BitMAT
Autore: Redazione BitMAT – 26/02/2021
 
 
 
 

I ricercatori di Kaspersky hanno identificato una nuova campagna APT a opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

Silente, Lazarus, si espande a macchia d’olio

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.

A oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

Lazarus non è solo molto prolifico, ma anche sofisticato

Come sottolineato in una nota ufficiale da Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT): «Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti».

Come aggiunto da Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT: «Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati».

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:

  • Fornire al personale una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
  • Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
  • Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
  • Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
  • Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come Kaspersky Industrial CyberSecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Marzo 2021

Veeam Backup & Replication v11

Tratto da Blog Veeam
Autore: Danny Allan – 24/02/2021
 

Veeam Backup & Replication v11 è arrivato. Con le sue numerose capacità, è in grado di aiutare i clienti ad accelerare il loro percorso di trasformazione digitale.

Qui di seguito sono elencate le 5 funzionalità peculiari della nuova versione:

1. Continuous Data Protection

Veeam rivoluzionerà il mercato democratizzando completamente gli obiettivi Recovery Point Objectives (RPO) per gli ambienti VMware. La Continuous Data Protection (CDP) di Veeam offrirà una grande resilienza per carichi di lavoro critici con RPO estremamente ridotti, riducendo al minimo la perdita di dati e ripristinando allo stato o al point-in-time più recente.  Oltre alla facilità d’implementazione, i clienti Veeam adotteranno questa tecnologia per la flessibilità e la convenienza, e perché è inclusa in un prodotto che molte organizzazioni già utilizzano. Non solo il CDP è incluso in Veeam Backup & Replication, ma è anche integrato in Veeam ONE e Veeam Disaster Recovery Orchestrator.

2. Protezione dal ransomware affidabile

Le minacce ai dati sono numerose. Nell’ultimo anno, tutti abbiamo assistito a un massiccio aumento di attacchi ransomware, minacce informatiche ed eventi malware e questa tendenza non è destinata a diminuire. Veeam sostiene da tempo la necessità di avere almeno una copia dei dati di backup su una copia immutabile, fisicamente isolata o offline come parte integrante della regola 3-2-1 ed è orgogliosa di aver fornito diverse opzioni per la protezione dal ransomware. L’ultima innovazione nella protezione dal ransomware all’interno della V11 offre un ulteriore modo per mantenere i tuoi dati al sicuro. Questa capacità consente a un repository Linux con protezione avanzata di fornire una copia immutabile su qualsiasi sistema Linux, in qualsiasi posizione, on-premises o nel cloud. Questa modalità consente di mantenere i backup al sicuro, prevenendo la crittografia e la cancellazione dannose, ed è ancora un altro strumento nel tuo arsenale di sicurezza.

3. Archiviazione nel cloud

La V11 consentirà ai clienti Veeam di ridurre i costi di storage a lungo termine di oltre 20 volte e di sostituire l’infrastruttura a nastro con una soluzione moderna. Lo storage ad accesso infrequente (“freddo”) di AWS S3 Glacier o Azure Blob Archive è un’ottima integrazione alla gestione basata su policy all’interno del tiering dello storage intelligente di Scale-out Backup Repository di Veeam: Performance, Capacity e ora Archive. Automatizza la gestione del ciclo di vita dei dati.

4. Ripristino istantaneo

La V11 si basa su una delle funzionalità distintive di Veeam, il ripristino istantaneo. Ora i clienti Veeam possono raggiungere gli obiettivi Recovery Time Objectives (RTO) più bassi con il ripristino istantaneo predisposto per la produzione per condivisioni di file SQL, Oracle e NAS con un’incredibile facilità d’uso! Quest’ultima versione include anche la possibilità di ripristinare istantaneamente QUALSIASI backup come una VM Hyper-V, aggiungendo un’incredibile flessibilità di ripristino.

5. BaaS e DRaaS basati su Veeam

Veeam dispone da tempo di molti modi per utilizzare i prodotti come servizio. Che si tratti di backup off-site, Disaster Recovery as a Service (DRaaS), Backup as a Service (BaaS) on-premises, Infrastructure as a Service protetto da Veeam e altre offerte, c’è sempre un servizio per soddisfare le esigenze del mercato. La V11 incorpora il BaaS e il DRaaS come vantaggi per i clienti di alto livello, in combinazione con il rilascio della Veeam Service Provider Console v5.

Oltre 150 funzionalità nuove e migliorate

Queste funzionalità principali sono al centro dell’attenzione, ma in realtà questa release così importante contiene anche molto altro. Oltre ad avere oltre 150 funzionalità nuove e migliorate, la V11 introduce importanti aggiornamenti anche in altri prodotti:

  • Veeam Backup & Replication v11 – Backup e ripristino
    • Veeam Agent for Microsoft Windows v5
    • Veeam Agent for Linux v5
    • NUOVO Veeam Agent for Mac
    • Integrazione con Veeam Backup for AWS e Veeam Backup for Microsoft Azure per la protezione dei carichi di lavoro nativi su cloud
    • Plug-in nuovi e aggiornati per applicazioni aziendali come Oracle e SAP
  • Veeam ONE v11 – Monitoraggio e analisi avanzati
  • Veeam Backup for Microsoft Azure v2 – Protezione nativa su cloud
  • Veeam Disaster Recovery Orchestrator v4 (già noto come Veeam Availability Orchestrator) – Orchestrazione e test automatizzati del ripristino del sito
  • Veeam Service Provider Console v5 – Gestione dei provider di servizi.

Come per tutte le altre release di Veeam, ci sono sicuramente tante funzionalità e caratteristiche essenziali, ma non bisogna trascurare le piccole novità che ne entrano a far parte.

Queste novità comprendono nuove funzionalità come l’integrazione nativa su cloud per AWS e Azure, più protezione dei dati NAS e non strutturati, job ad alta priorità, supporto per l’object storage di Google Cloud all’interno del Capacity Tier, supporto di snapshot storage per Windows Agent e molto altro. Si tratta di una release ad alto contenuto tecnologico, completamente in linea con la missione di Veeam: essere il provider più affidabile delle soluzioni di backup che offrono la gestione dei dati in cloud.

Per ulteriori informazioni: dircom@argonavis.it

3 Marzo 2021

Sangfor HCI – Alta Affidabilità Iperconvergente per la Business Continuity – Registrazione Webinar

Iperconvergenza di 3° Generazione – Virtualizzazione server e storage, Alta affidabilità, Disaster Recovery, Networking e Security riuniti in un’unica soluzione e gestiti da un’unica piattaforma
 
 
 
 

Il 16 febbraio scorso il nostro partner Sangfor ha tenuto una sessione tecnica in DEMO Live della soluzione HCI con lo scopo di dare l’esatta percezione della semplicità di utilizzo in tutte le sue funzionalità:

  • Unica console di management centralizzata in HTML5,
  • creazione e gestione di VM e Virtual Storage,
  • Network virtualizzato e Security,
  • Backup e ripristino,
  • integrazione e gestione degli UPS.
E’ possibile accedere alla registrazione del webinar tecnico cliccando qui
 

Sangfor HCI offre soluzioni di Business Continuity, dalle architetture più semplici, partendo con minimo 2 nodi in direct attach, alle più complesse, contando sulla scalabilità a caldo senza limiti né vincoli di terze parti.

Per ulteriori informazioni o chiarimenti: dircom@argonavis.it

2 Marzo 2021

Vaccinazione dei dipendenti: le FAQ del Garante privacy

 
 
Tratto da www.garanteprivacy.it
 

Il datore di lavoro può chiedere ai propri dipendenti di vaccinarsi contro il Covid per accedere ai luoghi di lavoro e per svolgere determinate mansioni, ad esempio in ambito sanitario? Può chiedere al medico competente i nominativi dei dipendenti vaccinati? O chiedere conferma della vaccinazione direttamente ai lavoratori?

A queste domande ha risposto il Garante per la privacy con le Faq pubblicate sul sito www.gpdp.it. L’intento dell’Autorità è quello di fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori.

Nelle Faq è spiegato che il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ciò non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. Il consenso del dipendente non può costituire, in questi casi, una condizione di liceità del trattamento dei dati. Il datore di lavoro può, invece, acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica redatti dal medico competente.

Il Garante ha chiarito inoltre che – in attesa di un intervento del legislatore nazionale che eventualmente imponga la vaccinazione anti Covid-19 quale condizione per lo svolgimento di determinate professioni, attività lavorative e mansioni – nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario, si applicano le disposizioni vigenti sulle “misure speciali di protezione” previste per tali ambienti lavorativi (art. 279 del d.lgs. n. 81/2008).

Anche in questi casi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo, può trattare i dati personali relativi alla vaccinazione dei dipendenti. Il datore di lavoro deve quindi limitarsi attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità.

1 Marzo 2021

Kaspersky Automated Security Awareness Platform (ASAP) – Semplice gestione del programma e micro apprendimento continuo

 
 
Autore: Redazione Argonavis
 

Il fattore umano è la causa principale degli incidenti informatici. I dipendenti rappresentano il principale punto d’ingresso nell’organizzazione per un attaccante.

Le preoccupazioni circa l’uso improprio delle risorse IT da parte di dipendenti variano notevolmente a seconda delle dimensioni dell’organizzazione, con aziende molto piccole che si sentono più a rischio rispetto alle aziende con più di mille dipendenti.

Personale ben formato e informato che segue best practice efficaci e che è consapevole del mondo informatico potrebbe diventare la prima linea di difesa.

Automated Security Awareness Platform

Qui di seguito illustriamo brevemente le caratteristiche e le funzionalità del programma Kaspersky Automated Security Awareness Platform (ASAP) che rappresenta un nuovo approccio rispetto ai programmi formativi online che sono in grado di creare vere e proprie competenze di cybersecurity per i dipendenti.

L’approccio di Kaspersky Lab si basa su moderne tecniche di apprendimento e combina sessioni ludiche, in cui si generano anche interessanti dinamiche di gruppo, apprendimento attraverso attività pratiche e rafforzamento dei concetti.

Argomenti del corso Security Awareness

  • E-mail
  • Navigazione in Internet
  • Password
  • Social network e servizi di messaggistica
  • Sicurezza del PC
  • Dispositivi mobili
  • Dati riservati
  • Dati personali/GDPR
  • Social engineering
  • Sicurezza a casa e in viaggio.

Ciascun argomento comprende diversi livelli, in cui vengono spiegate nel dettaglio le competenze di sicurezza specifiche.

Semplice gestione del programma: semplicità attraverso la completa automazione.

Avvio del programma in 10 minuti: basta impostare l’obiettivo e caricare l’elenco degli utenti.

Sono utilizzate regole automatizzate per assegnare il livello di formazione finale desiderato ai singoli dipendenti. Il livello finale è strettamente correlato al rischio rappresentato dallo specifico utente per l’azienda. Maggiore è il rischio, più elevato dovrebbe essere il livello di formazione finale. Ad esempio, utenti del reparto IT o contabilità tipicamente rappresentano un rischio più elevato rispetto a quello della maggior parte dei dipendenti di un ufficio.

Efficienza della formazione: micro apprendimento continuo.

I contenuti sono strutturati appositamente per la micro formazione (da 2 a 10 minuti), per evitare lezioni lunghe e poco stimolanti.

Ogni gruppo di utenti viene formato esclusivamente sul materiale pertinente al proprio ruolo, senza sprecare tempo di lavoro in altri training.

Le competenze aumentano livello dopo livello, dal più facile al più avanzato. La piattaforma riassegna automaticamente più moduli di formazione a coloro che non sono riusciti a completare il livello precedente. In questo modo si garantisce il mantenimento delle competenze e si evita che vengano dimenticate.

I dipendenti sono coinvolti nella formazione con un approccio ludico e la formazione è pertinente alla vita quotidiana delle persone.

Vengono fornite tutte le informazioni necessarie alla valutazione dei progressi (suggerimenti su cosa fare per migliorare i risultati e confronto dei risultati con benchmark mondiali/di settore).

Set di strumenti completo su ogni argomento di sicurezza

  1. Moduli online (lezioni),
  2. Rinforzi motivazionali via e-mail,
  3. Indagini e test (valutazione delle conoscenze),
  4. Attacchi di phishing simulati.

Risposta a diverse esigenze aziendali: supporto multi-tenant per la gestione di più clienti da una singola console, possibilità di pagare soltanto per gli utenti attivi e supporto multilingue: lo stile e i testi non sono solo tradotti nelle diverse lingue, ma vengono adattati perché riflettano le culture locali.

Per ulteriori informazioni o per richiedere una prova gratuita della Piattaforma: dircom@argonavis.it

Blog & News

Categorie