Password: la compromissione è un gioco da ragazzi per i cybercriminali

Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

  • 45% (87 milioni) in meno di 1 minuto.
  • 14% (27 milioni) – da 1 minuto a 1 ora.
  • 8% (15 milioni) – da 1 ora a 1 giorno.
  • 6% (12 milioni) – da 1 giorno a 1 mese.
  • 4% (8 milioni) – da 1 mese a 1 anno.

Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

  • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
  • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
  • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

Alcuni consigli da Kaspersky

Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

  • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
  • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
  • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
  • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
  • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
  • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

Informazioni sullo studio della vulnerabilità delle password

La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

  • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
  • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
  • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

26 Giugno 2024

Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021

Monero: Kaspersky rileva un aumento di 2000 attacchi in due mesi

 

Tratto da BitMAT
Autore: Redazione BitMAT – 12/03/2021
 
 
Aumentano drasticamente le installazioni di applicazioni fake in cui si cela la criptovaluta Monero
 
 
Monero

 

Alla fine di gennaio gli esperti di Kaspersky hanno registrato un severo aumento di applicazioni fake. Sotto questo fenomeno si nascondeva la criptovaluta Monero che, i cybercriminali, hanno distribuito, tramite queste applicazioni, nei vari siti web.

Kaspersky è arrivata alla conclusione che è stata messa a punto una vera e propria campagna distruttiva, che ha avuto inizio già in estate e segnalata dai membri della community di sicurezza. La segnalazione riguardava la distribuzione, da parte dei criminali informatici, di miner nascosti in finti programmi di installazione di antivirus.

Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Monero viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti.

Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.

Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare, con Monero, app fake sui dispositivi di 21.141 utenti.

Numero di utenti attaccati tra agosto 2020 e febbraio 2021

Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.

Le soluzioni di Kaspersky per difendersi da Monero, rilevano le minacce precedentemente descritte con i seguenti nomi:

• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen

17 Marzo 2021

Patch Microsoft per vulnerabilità su Exchange Server

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/03/2021
 
 
 
 

Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilità presenti su Exchange Server. Secondo quanto afferma l’azienda, quattro di queste vulnerabilità sarebbero già state utilizzate in attacchi mirati, per questo installare le patch al più presto è di sicuro la decisione più saggia.

Qual è il rischio?

Le quattro vulnerabilità più pericolose già sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l’accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilità sono:

  • CVE-2021-26855, che può essere utilizzata per la falsificazione delle richieste dal lato server e che porta all’esecuzione di un codice da remoto;
  • CVE-2021-26857, che può essere utilizzata per eseguire un codice arbitrario per conto del sistema (anche se questa fase richiede diritti di amministratore o lo sfruttamento della vulnerabilità menzionata nel punto precedente);
  • CVE-2021-26858 e CVE-2021-27065, che possono essere utilizzate dai cybercriminali per sovrascrivere i file sul server.

I criminali informatici si avvalgono di tutte e quattro le vulnerabilità; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l’utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilità CVE-2021-26855.

La stessa patch corregge alcune altre vulnerabilità minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).

Chi è a rischio?

La versione su cloud di Exchange non è interessata da queste vulnerabilità, che rappresentano una minaccia solo per i server all’interno dell’infrastruttura. Inizialmente Microsoft aveva rilasciato aggiornamenti per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento “Defense in Depth” per Microsoft Exchange Server 2010. Tuttavia, a causa della gravità dell’attacco, hanno esteso la patch anche su Exchange Server obsoleti.

Secondo i ricercatori di Microsoft, a sfruttare le vulnerabilità per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non è ancora noto, ma secondo le fonti di KrebsOnSecurity parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui  sicurezza è stata violata utilizzando queste vulnerabilità. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno già sfruttando queste vulnerabilità. Troverete maggiori informazioni sulla geografia dell’attacco nel nostro post su Securelist.

Come difendersi dagli attacchi su MS Exchange

  • Prima di tutto, installate la patch per Microsoft Exchange Server. Se la vostra azienda non può installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni alternative;
  • Secondo Microsoft, negare a risorse non affidabili, l’accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall’esterno alla rete aziendale, può fermare la fase iniziale dell’attacco. Ma tale metodo non aiuterà se gli i cybercriminali si trovano già all’interno dell’infrastruttura o se ottengono l’accesso di un utente con diritti di amministratore per eseguire un file dannoso;
  • Una buona soluzione di Endpoint Detection and Response (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;
  • Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una soluzione di sicurezza per endpoint affidabile, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

10 Marzo 2021

A tutti gli utenti: aggiornate immediatamente Google Chrome

 

Tratto da Blog Kaspersky
Autore: Kaspersky Team – 08/02/2021
 
 
I cybercriminali stanno sfruttando attivamente una pericolosa vulnerabilità presente in Google Chrome. È stata risolta con la versione 88.0.4324.150.
 
 

 

I ricercatori hanno individuato in Google Chrome una vulnerabilità critica, rinominata CVE-2021-21148. Consigliamo di prendere provvedimenti il prima possibile perché i criminali informatici la stanno già sfruttando. Le versioni del browser per i principali sistemi operativi desktop (Windows, MacOS e Linux) sono tutte vulnerabili. Ecco cosa sta succedendo e come aggiornare il vostro browser.

Perché la vulnerabilità CVE-2021-21148 è pericolosa

Questa vulnerabilità permette ai criminali informatici di eseguire un attacco heap overflow, una manipolazione che può portare all’esecuzione di un codice remoto sul dispositivo della vittima. Sfruttare la vulnerabilità può essere semplice, basta realizzare una pagina web dannosa e attirare delle vittime su di essa e, come risultato potenzialmente devastante, i cybercriminali possono ottenere il controllo totale del sistema colpito.

La componente vulnerabile in questo caso è il motore JavaScript V8 integrato nel browser. Google ha ricevuto informazioni sulla vulnerabilità il 24 gennaio scorso dal ricercatore per la sicurezza Mattias Buelens, e la società ha pubblicato una patch con la correzione il 4 febbraio. Google ha riconosciuto che alcuni hacker non ben definiti avrebbero sfruttato attivamente la vulnerabilità CVE-2021-21148 in the wild.

Secondo un articolo di ZDnet, la vulnerabilità può essere collegata ai recenti attacchi da parte di criminali informatici dalla Corea del Nord alla comunità di esperti in cybersecurity. Il modello di attacco per lo meno sembra avere delle notevoli somiglianze con lo sfruttamento della vulnerabilità CVE-2021-21148. Inoltre, la data della scoperta della vulnerabilità è molto vicina alla data in cui sono stati divulgati gli attacchi agli esperti. Tuttavia, non abbiamo ancora una conferma diretta di questa teoria.

Come al solito, Google sta aspettando che la maggior parte degli utenti attivi di Chrome abbiano aggiornato i loro browser per divulgare maggiori dettagli tecnici. Una decisione comprensibile: la divulgazione irresponsabile della vulnerabilità può portare a un rapido aumento degli attacchi.

Come mantenersi al sicuro

  • Aggiornate immediatamente Google Chrome sul vostro PC. Per farlo, cliccate sul pulsante con i tre puntini nell’angolo in alto a destra della finestra del browser e scegliete Impostazioni → Informazioni su Chrome. Una volta aperta questa pagina il vostro browser inizierà ad aggiornarsi automaticamente;
  • Riavviate il browser se richiesto affinché vengano applicate le modifiche. Procedete immediatamente e non preoccupatevi di perdere le schede aperte: le versioni moderne di Chrome ripristinano automaticamente le schede al riavvio o, in caso di arresto imprevisto, viene offerta la possibilità di ripristinarle;
  • Se la pagina Informazioni su Chrome indica che state già usando la versione 88.0.4324.150, allora il vostro browser è aggiornato e non dovrete più preoccuparvi della vulnerabilità CVE-2021-21148.

 

10 Febbraio 2021