I sintomi che indicano che uno dei vostri dispositivi è stato attaccato

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 04/11/2022
 

 

Di norma, i cybercriminali cercano di realizzare i loro attacchi in modo furtivo. In fondo, più a lungo rimangono inosservati dalle vittime, più è probabile che raggiungano i loro obiettivi. Tuttavia, non sempre riescono a nascondere la loro attività. Molto spesso, infatti, in base a una serie di segnali, è possibile capire se qualcosa non va sul computer o sullo smartphone. 

Ecco un elenco con i sintomi più evidenti; tali segnali possono indicare che il malware è in esecuzione su un dispositivo o che gli hacker stanno interferendo in qualche modo (si consiglia quindi di segnalare i problemi almeno al proprio dipartimento IT):

Il dispositivo funziona lentamente

Quasi tutti i sistemi degli utenti iniziano ad avviarsi e/o a funzionare più lentamente con il passare del tempo. Ciò può essere dovuto a vari motivi: il disco è pieno, alcuni software richiedono più risorse dopo un aggiornamento o il sistema di raffreddamento è semplicemente intasato dalla polvere. Ma può anche indicare la presenza di un codice dannoso in esecuzione sul dispositivo.

Il computer accede costantemente al hard drive

Se il computer fa lampeggiare continuamente la spia di accesso all’hard drive, fa molto rumore o copia i file con una lentezza incredibile (anche se non sono stati avviati processi che consumano risorse), ciò può significare che il disco è danneggiato oppurre che qualche programma sta leggendo o scrivendo continuamente i dati.

Problemi con l’account

Se improvvisamente alcuni servizi o sistemi non vi concedono più l’accesso pur avendo inserito la password correttamente, è bene prestare attenzione. Potete provare a reimpostare la password, ma se qualcun altro l’ha cambiata non c’è garanzia che non lo faccia di nuovo. È bene prestare attenzione anche se si viene improvvisamente disconnessi dai servizi o se si ricevono più notifiche relative a tentativi di modifica della password. Tutto ciò potrebbe indicare un possibile attacco.

Finestre pop-up

È normale che un dispositivo comunichi occasionalmente all’utente che è necessario un aggiornamento o che la batteria sta per esaurirsi. Ma i messaggi di errore regolari sono un segno che qualcosa non funziona correttamente. Allo stesso modo, non è normale se improvvisamente iniziano a comparire finestre non richieste con pubblicità o richieste di conferma della password.

Comportamento sospetto del browser

A volte un comportamento anomalo del browser può essere la prova di un attacco, e non solo per le già citate finestre che appaiono all’improvviso. Se un malware di tipo adware si introduce in un computer, può iniziare a sostituire i banner su diverse pagine con lo stesso tipo di pubblicità, ma di dubbia legalità. Naturalmente, questo può anche significare un problema da parte delle reti che si occupano dei banner. Ma il fatto che lo stesso annuncio appaia su tutti i siti è un sintomo allarmante. Inoltre, bisogna prestare attenzione ai reindirizzamenti. Se inserite un indirizzo e il browser vi reindirizza regolarmente a un altro, dovreste segnalarlo agli esperti di sicurezza informatica.

File o cartelle inaccessibili o mancanti

Se di recente i file o le directory si sono aperti normalmente, ma ora non è più possibile aprirli o sono completamente scomparsi, è una buona ragione per contattare il dipartimento IT. Forse avete accidentalmente cancellato un file importante, o forse è stato criptato da un ransomware o eliminato da un wiper.

Sono comparsi file o applicazioni sconosciute

Se non avete installato un nuovo software né scaricato o aggiornato nulla, ma sul vostro computer sono comparsi nuovi programmi, file, pulsanti di programma, plug-in, tool o altri elementi sconosciuti, è meglio verificare insieme al dipartimento IT e capire di cosa si tratta e da dove provengono. È bene prestare attenzione soprattutto alle richieste di riscatto. Ci sono stati casi in cui le vittime hanno ignorato tali messaggi perché tutti i file sembravano immutati e disponibili sul dispositivo. Ma poi si è scoperto che il ransomware non era riuscito a criptare i file, ma era comunque riuscito a trasferire i dati sui server dei criminali.

Notifiche di connessione remota

Gli hacker spesso utilizzano software di accesso remoto legittimi. Di norma, tali software visualizzano sullo schermo un messaggio che indica che qualcuno si è collegato in remoto al computer. Se tale notifica appare senza il vostro consenso o se vi viene improvvisamente proposto di concedere l’accesso a una persona sconosciuta, molto probabilmente il vostro computer è stato attaccato da un hacker. Nel caso in cui ci si deve connettere remotamente, i veri amministratori di sistema avvertono in anticipo gli utenti e lo fanno tramite un canale di comunicazione fidato.

Qualcosa impedisce al computer di spegnersi o di riavviarsi

Molti virus hanno bisogno di rimanere presenti nella RAM. Anche i trojan spia hanno bisogno di tempo per caricare le informazioni raccolte sui server dei criminali. Di conseguenza, il malware deve mantenere il computer in funzione il più a lungo possibile. Se notate che il vostro dispositivo non si spegne correttamente, informate il responsabile della sicurezza IT o un informatico il prima possibile.

Comunicazioni o messaggi che non avete inviato

Se i vostri contatti si lamentano di aver ricevuto e-mail o messaggi istantanei da voi ma non li avete mai inviati, significa che qualcuno ha avuto accesso ai vostri account o sta manipolando uno dei vostri dispositivi. In entrambi i casi, è necessario avvisare il responsabile della sicurezza aziendale.

7 Novembre 2022

Rischio di attacchi omografici per tutti i programmi di Microsoft Office

 
 
 

Tratto da www.bitdefender.it – 06/06/2022

Bitdefender Labs annuncia che tutti i programmi MS Office (inclusi Outlook, Word, Excel, OneNote e PowerPoint) sono vulnerabili agli attacchi omografici ai nomi di dominio internazionalizzati (IDN).

Un attacco omografico consiste nell’utilizzare domini con nomi molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco del criminale informatico ( l’attacco omografico più semplice consiste nel sostituire “o” con “0” ad esempio g00gle.com), con la finalità di attirare gli utenti su siti fasulli e di ottenere così dati personali, di diffondere malware o rendere più credibile una mail di phishing, facendo credere al malcapitato di essere nel sito web originale. Tuttavia, gli attacchi omografici IDN possono essere irriconoscibili dai domini a cui stanno facendo spoofing, perché le lettere dei vari alfabeti sono quasi identiche.

Sebbene il rischio di attacchi omografici IDN sia stato rilevato nei browser web, Bitdefender ha riscontrato che i nomi di dominio oggetto di spoofing utilizzati nelle applicazioni MS Office rimangono cammuffati, rendendo elevata la probabilità di clic da parte dell’utente.

Principali rilevazioni

  • Bitdefender ha scoperto che tutte le applicazioni di Microsoft Office rimangono vulnerabili agli attacchi di tipo omografico IDN.
  • Bitdefender ha testato altre applicazioni di produttività e ha riscontrato un comportamento incoerente: alcune applicazioni visualizzano sempre l’indirizzo reale, mentre altre visualizzano un nome internazionale.
  • Bitdefender ha segnalato questo problema a Microsoft nell’ottobre 2021 e il Microsoft Security Response Center ha confermato la validità dei risultati del vendor. Ad oggi non è ancora chiaro se e quando Microsoft risolverà il problema.
  •  Gli attacchi al nome di dominio internazionalizzato sono uno strumento efficace che gli avversari di alto livello (APT o RaaS) possono utilizzare contro obiettivi di alto valore (aziende o persone). Bitdefender ha osservato attacchi di spoofing che hanno preso di mira istituzioni finanziarie e borse di criptovalute.

Le raccomandazioni di Bitdefender

  • Considerare la possibilità di attacchi omografici nei momenti di formazione e di sensibilizzazione degli utenti, compresa la possibilità di attacchi omografici contro la supply chian dell’azienda.
  • Implementare una soluzione di sicurezza per gli endpoint che rilevi e blocchi i siti web dannosi.
  • Utilizzare i servizi di reputazione di IP e URL per tutti i dispositivi aziendali. Una semplice regola da tenere in considerazione: se l’URL inizia con xn--, il sito è sospetto.

Ogni mese Bitdefender esamina i dati della sua telemetria per ottenere maggiori informazioni sul panorama delle minacce in merito agli attacchi omografici. Analizzando queste informazioni emerge una chiara tendenza a prendere di mira le operazioni finanziarie, con un focus primario sui mercati delle criptovalute.

4 Luglio 2022

Threat Intelligence: scopri se è arrivato il momento di integrarla in azienda

Tratto da Blog Kaspersky
Autore: Daniela Incerti – 24/11/2020
 
E’ giunto il momento di integrare la Threat Intelligence in azienda? Ecco le informazioni fondamentali per prevedere e prevenire cyberminacce e attacchi informatici
 

 

Aziende, vendor e analisti sono attualmente impegnati in un accurato processo di studio e verifica volto a definire cos’è effettivamente la Threat Intelligence e ciò che invece non lo è. Si tratta di un processo assolutamente necessario, perché solo comprendendo ciò che NON è Threat Intelligence, si potrà registrare un’evoluzione del settore in termini di sviluppo di prodotti e servizi che serviranno da base per una Cybersecurity proattiva.

Originariamente, sono state considerate in qualità di precursori della “Threat Intelligence” le blacklist di IP e URL; in seguito, per integrare le informazioni contenute in tali elenchi, sono stati sviluppati prodotti di sicurezza come i firewall next generation (NGFW) e specifici prodotti per la gestione degli eventi (SIEM). Tuttavia, con il trascorrere del tempo, la quantità di dati riconducibili alla Threat Intelligence è cresciuta in modo esponenziale; è quindi divenuto particolarmente difficile stabilire cosa fosse davvero rilevante e cosa no. Inoltre, i controlli di sicurezza allora esistenti non erano stati affatto progettati per elaborare un numero così elevato di Indicatori di Compromissione.

L’importanza dell’analisi dei dati

Vi sono attualmente numerosi provider di threat feed e servizi di intelligence sulle minacce intenti a processare e fornire grandi quantità di dati essenzialmente non elaborati (ovvero indicatori privi di contesto), proposti sul mercato come “Threat Intelligence”. Alimentare le proprie attività di sicurezza con una simile “intelligence” causa inevitabilmente un numero eccessivo di falsi avvisi di sicurezza quotidiani, che si riflette in un sovraccarico di lavoro per i team responsabili della sicurezza IT, creando notevoli difficoltà nella gestione di tali notifiche. Situazioni del genere provocano un forte impatto negativo, sia in termini di effettiva capacità di risposta agli incidenti, sia a livello di sicurezza complessiva dell’azienda. Secondo una ricerca condotta da Cisco nel 2018, il 44% degli avvisi di sicurezza quotidiani non viene sottoposto ad alcuna investigation: i dati rimangono semplicemente inutilizzati. Selezionare e classificare un’enorme quantità di dati (privi di effettivo contesto) provenienti dalle fonti di intelligence sulle minacce non significa affatto produrre e fornire una vera Threat Intelligence.

Ciò ha generato la consapevolezza che non esiste, di fatto, una soluzione di Threat Intelligence pronta all’uso per garantire la protezione dell’azienda. È opinione comune, al giorno d’oggi, che montagne di dati non elaborati e privi di qualsiasi struttura non debbano essere definite “utili”, e men che meno classificate come “intelligence”. E soprattutto, i dati, per quanto rilevanti, continuano a rivelarsi inutili se non risultano finalizzati all’azione e contestualizzati.

L’attenzione è ora interamente rivolta alla qualità delle fonti di dati. La sola identificazione di ciò che in passato rappresentava una minaccia appartiene ormai a un’epoca remota. I dati devono necessariamente fornire non solo gli insight, ma anche precise linee guida per le conseguenti decisioni e azioni. E se la qualità dei dati risulta limitata dalla carenza di valide fonti, ad esempio in caso di visibilità insufficiente riguardo alle minacce che si celano nella Darknet, o di assenza di una vision globale e multilingue, è impossibile trasformare gli stessi in un’efficace Threat Intelligence. Una vera intelligence deve essere in grado di prevedere il modo in cui l’azienda dovrà necessariamente prepararsi per combattere le future minacce.

Ogni organizzazione è diversa e necessità di soluzioni mirate

Inoltre, una valida soluzione di Threat Intelligence deve sapersi adattare perfettamente alle specifiche esigenze di ogni singola organizzazione in termini di sicurezza IT. Deve guidare l’azienda nell’impostare, in relazione agli asset di natura critica, gli indispensabili punti di raccolta interna dei dati, in modo da abbinare questi ultimi con la Threat Intelligence esterna, al fine di identificare in modo efficiente le potenziali minacce. Senza tale approccio mirato, non si potranno stabilire le necessarie priorità in termini di informazioni occorrenti per difendere le risorse chiave. “Le minacce sono effettivamente tali solo nello specifico contesto di rischio dell’azienda”, afferma Helen Patton, Chief Information Security Officer (CISO) presso la Ohio State University.

 

Fondamentale l’integrazione con i processi aziendali

In ultima analisi, se l’intelligence non è “finalizzata all’azione” non si rivela utile. Per esserlo, deve riuscire a integrare perfettamente più fonti di Threat Intelligence nelle attività di sicurezza svolte dall’organizzazione, attraverso un unico entry point. Se la Threat Intelligence di tipo machine-readable e human-readable non può essere utilizzata in modo rapido e agevole assieme ai sistemi già implementati in azienda, se i relativi formati e metodi di fornitura non supportano una facile integrazione con le attività di sicurezza già esistenti, ciò significa che i dati prodotti non potranno essere convertiti in una efficace soluzione di Threat Intelligence.

In conclusione, se risulta impossibile elaborare, integrare e convertire i dati in intelligence finalizzata ad un’azione immediata, allo scopo di garantire esclusivi insight sulle minacce emergenti, consentire ai security team di assegnare le giuste priorità agli avvisi di sicurezza, ottimizzare le risorse e accelerare i processi decisionali, un simile accumulo di dati non potrà mai superare il test di “Threat Intelligence” in base ai requisiti necessari nel 2020.

Come decidere se la propria azienda è “pronta” per la Threat Intelligence?

Di seguito sono riportate alcune domande, estremamente utili per determinarlo. Se la maggior parte delle risposte è SÌ, allora è già tempo di pensare a integrare la Threat Intelligence in azienda.

  1. L’azienda ha bisogno di prendere decisioni informate più rapide e più efficaci in materia di sicurezza IT, basate su prove concrete, anziché starsene a inseguire delle ombre?
  2. Gli esperti del security team aziendale si trovano in difficoltà nella gestione degli avvisi di sicurezza e nell’assegnazione delle relative priorità? Forse un considerevole numero di avvisi non viene esaminato semplicemente perché il team in questione è già sovraccarico di lavoro?
  3. L’azienda deve comprendere meglio quali sono le vulnerabilità maggiormente soggette allo sfruttamento da parte di cybercriminali? Non sa esattamente in che modo assegnare le priorità a livello di patching?
  4. L’azienda ha forse bisogno di informazioni in tempo reale più accurate riguardo agli URL e agli indirizzi IP malevoli che minacciano il proprio ambiente digitale?
  5. L’azienda deve individuare eventuali dati carpiti da qualche malintenzionato, che potrebbero arrecare danni all’immagine o al brand dell’impresa?
  6. All’azienda occorre forse un quadro ben più chiaro riguardo a chi possa effettivamente essere l’avversario, in merito alle tipologie di attacco più probabili e alle misure proattive da adottare per rafforzare le difese informatiche?
  7. L’azienda corre il rischio di non riuscire a rilevare le minacce attive in agguato all’interno dell’infrastruttura IT, oppure i cyberattacchi nel momento stesso in cui si verificano (e individua l’assalto solo in seguito, o addirittura mai!), mentre aumentano i costi generati dall’attacco e si amplifica la portata delle conseguenze negative prodotte dallo stesso?
  8. L’azienda si trova in difficoltà nello stabilire le priorità in relazione agli incidenti occorsi e rischia di perseguire una strategia di sicurezza per nulla adeguata alle attuali minacce attive?

Per un test dimostrativo riguardo ai vantaggi prodotti dall’implementazione di un servizio di Threat Intelligence all’interno della propria azienda, è possibile accedere gratuitamente al Threat Intelligence Portal (TIP) di Kaspersky, che mette a disposizione decine di tecnologie di analisi avanzata, combinate tra loro, relativamente a file, hash, indirizzi IP e URL sospetti, consentendo ben 4.000 lookup al giorno per ogni singola azienda.

26 Novembre 2020

Ragnar Locker e Egregor: il ransomware 2.0

Tratto da: BitMAT
Autore: Redazione BitMAT – 12/11/2020
 

I criminali ampliano il raggio d’azione dall’encryption dati alla pubblicazione di informazioni riservate

 

Ragnar Locker ed Egregor: il ransomware 2.0
 
 

I comuni attacchi ransomware sono stati sostituiti, negli ultimi due anni, da attacchi mirati contro aziende e settori specifici: gli attaccanti non solo minacciano di criptare i dati ma pubblicano online le informazioni riservate. I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.

In generale, gli attacchi ransomware sono considerati una delle minacce più gravi per le imprese. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare ingenti perdite finanziarie. In alcuni casi, le multe e le cause legali sostenute in seguito alla violazione di leggi e regolamenti possono persino portare un’azienda al fallimento. Ad esempio, si stima che gli attacchi di WannaCry abbiano causato più di 4 miliardi di dollari di perdite finanziarie. Tuttavia, le nuove campagne ransomware stanno modificando il loro modus operandi, minacciando di rendere pubbliche le informazioni aziendali rubate.

Ragnar Locker e Egregor sono due note famiglie di ransomware che impiegano questo nuovo metodo di estorsione.

Ragnar Locker è stato scoperto per la prima volta nel 2019, ma è diventato noto solo nella prima metà del 2020, quando ha rivolto la propria attenzione a grandi organizzazioni. Gli attacchi sono estremamente mirati con ogni campione specificatamente adattato alla vittima designata. I dati riservati di chi si rifiuta di pagare il riscatto, così come le conversazioni intercorse con gli attaccanti, vengono pubblicati nella sezione “Wall of Shame” del loro sito dedicato informazioni rubate. I principali obiettivi di Ragnar Locker sono aziende situate negli Stati Uniti che operano in diversi settori industriali. Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020, e questo sta a indicare che i due collaboreranno e si scambieranno le informazioni rubate.

Egregor, osservato per la prima volta a settembre, è un ransomware più recente rispetto a Ragnar Locker. Utilizza però molte tattiche simili a quelle usate da Maze oltre a presentare delle somiglianze nel codice. Il malware viene in genere rilasciato violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.

La superficie d’attacco di Egregor è molto più estesa di quello di Ragnar Locker. Sono state registrate vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific).

“Il trend che stiamo osservando in questo momento è l’ascesa dei ransomware 2.0. Rileviamo attacchi sempre più mirati che utilizzano un processo di estorsione che non si basa più solo sulla crittografia, ma implica anche la pubblicazione online di dati riservati. La reputazione aziendale non è la sola a essere messa a repentaglio. Nel caso in cui i dati pubblicati violino norme come l’HIPAA o il GDPR, è possibile che vengano intraprese anche azioni legali, con delle conseguenze che vanno oltre le perdite finanziarie”, ha dichiarato Dmitry Bestuzhev, Head del Latin American Global Research and Analysis Team (GReAT).

“Nello scenario attuale, le organizzazioni devono considerare i ransomware come una minaccia più pericolosa di un semplice malware. Il ransomware è spesso solo la fase finale di una violazione della rete. Nel momento in cui il ransomware viene implementato, l’attaccante ha già eseguito una ricognizione della rete, identificato i dati confidenziali e provveduto all’esfiltrazione. È importante, quindi, che le organizzazioni implementino tutte le buone pratiche in materia di sicurezza informatica. Identificare l’attacco in una fase iniziale, prima che gli attaccanti raggiungano il loro obiettivo finale, permette un notevole risparmio economico”, ha aggiunto Fedor Sinitsyn, security expert di Kaspersky.

Per proteggersi dagli attacchi ransomware, gli esperti di Kaspersky raccomandano alle aziende di:

  • Non esporre i servizi di desktop remoto (come l’RDP, il Remote Desktop Protocol) a reti pubbliche se non strettamente necessario e utilizzare sempre password complesse.
  • Aggiornare sempre il software su tutti i dispositivi utilizzati. Per impedire al ransomware di sfruttare le vulnerabilità, servirsi di strumenti in grado di rilevarle in modo automatico e scaricare e installare le patch
  • Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti da remoto e agiscono come gateway all’interno della rete.
  • Non aprire allegati sospetti ricevuti via mail da mittenti sconosciuti.
  • Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response per identificare e bloccare l’attacco nella sua fase iniziale, prima che gli attaccanti raggiungano l’obiettivo.
  • Focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale e esfiltrazione di dati su internet. Prestare particolare attenzione al traffico in uscita in modo da rilevare connessioni da parte dei cybercriminali, eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza quando necessario.
  • Formare i dipendenti per proteggere le risorse aziendali. I corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform, possono offrire un valido aiuto.
  • Utilizzare una soluzione di sicurezza affidabile per i dispositivi personali come Kaspersky Security Cloud, che protegga dagli encryption malware e ripristini le modifiche apportate dalle applicazioni dannose.
  • Migliorare la protezione aziendale con Anti-Ransomware Tool for Business, uno strumento gratuito offerto da Kaspersky. La versione recentemente aggiornata integra una funzionalità di prevenzione degli exploit per evitare che il ransomware e altre minacce sfruttino le vulnerabilità di software e applicazioni. È utile anche per i clienti che utilizzano Windows 7, poiché al termine del supporto per questo sistema operativo lo sviluppatore non rilascerà più patch per le nuove vulnerabilità
  • Per una protezione completa, utilizzare una soluzione di sicurezza degli endpoint, come Integrated Endpoint Security, che si basa sulla prevenzione degli exploit, sulle tecnologie di behavior detection e su un motore di remediation in grado di annullare le operazioni dannose.

Per ulteriori informazioni: dircom@argonavis.it

17 Novembre 2020