Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021

Cloud Security: nuove soluzioni di sicurezza per le aziende

Tratto da Blog Kaspersky
Autore: Daniela Incerti – 13/04/2021
 
 
Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno cambiando il loro modello di business, passando da soluzioni on premise a soluzioni ibride e multicloud
 
 
 

 

Nel 2020 abbiamo vissuto una crisi senza precedenti che ha richiesto profondi cambiamenti sui nostri stili di vita, sul modo in cui interagiamo gli uni con gli altri e sul modo in cui lavoriamo.

In ambito agile working e smartworking le aziende hanno avuto, da un anno a questa parte, una forte spinta ad accelerare e abilitare in maniera molto rapida modalità di lavoro agili per consentire a tutti i lavoratori l’accesso alle risorse e ai dati aziendali,  mantenendo così la continuità operativa.

Anche l’ecommerce è un settore che nel corso del 2020 ha subito un a forte accelerazione. Infatti i consumatori hanno iniziato ad utilizzare molto di più i canali digitali per contattare le aziende attraverso device diversi.

In base ad una ricerca di IDC del 2020, al primo posto di quelle che sono le nuove priorità di innovazione delle aziende per il 2021, c’è la necessità di far evolvere i propri ambienti IT verso infrastrutture più agili, modulari e scalabili.

Come conseguenza della crescente digitalizzazione degli ambienti di lavoro e dell’aumento dell’innovazione, le organizzazioni stanno migrando i carichi di lavoro sul cloud. Questo settore ha visto infatti una crescita del 20% degli investimenti nel 2020.

Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno infatti cambiando il loro modello di business , passando da soluzione on premise a soluzioni ibride e multicloud.

Perché le aziende vanno verso il cloud?

Perché i benefici per il business sono molteplici e superiori rispetto a quelli tecnologici. Il cloud permette alle aziende di fondare i propri processi su sistemi flessibili in grado di reagire rapidamente ad eventi inaspettati (come ad esempio il lavoro da remoto) per mantenere continuità operativa. Il cloud fornisce infatti una maggiore agilità all’IT.

Oggi, agli ambienti IT tradizionali, si affiancano sempre più i servizi cloud.
Terminali e device degli utenti (personal pc, smartphone e tablet) sono sempre più connessi e hanno necessità di accedere alle risorse aziendali.
Con l’aumento dello smartworking abbiamo visto anche la crescita di connessioni domestiche per accedere alla rete aziendale, estendendo così sempre di più il perimetro aziendale. Proprio per questo l’approccio della sicurezza deve per forza evolvere da un approccio hardware ad uno più software.

Per reagire a questi cambiamenti le aziende oggi stanno aumentando la loro spesa in sicurezza (secondo una ricerca IDC, il 46% delle aziende italiane nel 2021 aumenterà gli investimenti in ambito security).

Gli ambienti IT ibridi e il multicloud richiedono però anche nuovi approcci, strategie e tecnologie di protezione per far fornte alla nuove priorità di sicurezza che sono:

  • Cloud security
  • Data Security
  • IoT & Edge Security
  • OT Security
  • Automation &Orchestration
  • Access Management& Protection (ZeroTrust, SASE, …)
  • Security as-a-service.

Quando si parla di ibrido e multicloud, quali sono oggi le principali sfide per le aziende?

Durante la migrazione per il passaggio al cloud, le aziende si trovano di fronte ad un lavoro non indifferente. Devono adattare i propri sistemi durante ma anche alla fine della transizione verso il cloud. In questa fase i cyber criminali potrebbero approfittarne per perpetrare i loro attacchi.

Per proteggere gli ambienti cloud, servono tecnologie dedicate alla sicurezza dei sistemi virtuali.
La soluzione Hybrid Cloud Security di Kaspersky  offre un’eccezionale protezione multi-layered per ambienti multi-cloud. Ovunque si elaborino e archivino i dati aziendali critici, su un cloud privato o pubblico o su entrambi, la soluzione Kaspersky è in grado di offrire una perfetta combinazione equilibrata di sicurezza agile, continua ed efficiente, proteggendo i dati contro le più avanzate minacce presenti e future, senza compromettere le prestazioni dei sistemi.

Per ulteriori informazioni: dircom@argonavis.it

15 Aprile 2021

I file di testo sono sicuri?

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/04/2021
 
 

I file con l’estensione TXT generalmente sono considerati sicuri. Ma lo sono per davvero?

 

 

I dipendenti che ricevono e-mail esterne di solito ricevono informazioni su quali file sono potenzialmente pericolosi. Per esempio, i file EXE di default sono considerati non sicuri, così come i file DOCX e XLSX, che possono contenere macro dannose. I file di testo, d’altra parte, sono generalmente considerati innocui di per sé, perché non possono contenere altro se non del testo semplice. Eppure non è sempre così.

I ricercatori hanno trovato un modo per sfruttare una vulnerabilità nel formato (ora risolta) e potrebbero trovarne altre. Il formato del file non è in realtà il problema ma il modo in cui i programmi gestiscono i file TXT.

La vulnerabilità CVE-2019-8761 di macOS

Il ricercatore Paulos Yibelo ha evidenziato un modo curioso di attaccare i computer macOS attraverso i file di testo. Come molte altre soluzioni di protezione, il sistema di sicurezza integrato di macOS Gatekeeper considera i file di testo come completamente affidabili. Gli utenti possono scaricarli e aprirli utilizzando l’editor integrato TextEdit senza ulteriori controlli.

Tuttavia, TextEdit è un po’ più sofisticato del blocco note di Microsoft Windows. Può svolgere più compiti, come visualizzare il testo in grassetto, permettere agli utenti di cambiare il colore del carattere e altro. Poiché il formato TXT non è progettato per memorizzare informazioni di stile, TextEdit si occupa delle informazioni tecniche aggiuntive in modo da poter gestire il tutto. Per esempio, se un file inizia con la riga <!DOCTYPE HTML><html><head></head><body>, TextEdit inizia a gestire i tag HTML anche in un file con estensione .txt.

Essenzialmente, scrivere un codice HTML in un file di testo, che inizia con quella riga, costringe TextEdit ad elaborare il codice o almeno alcuni suoi elementi.

I diversi tipi di attacchi possibili attraverso i file di testo

Dopo aver esaminato attentamente tutte le possibilità messe a disposizione da questo metodo, Yibelo ha scoperto che la vulnerabilità permette di:

  • Eseguire attacchi DoS. Gatekeeper non impedisce l’apertura di file locali da un oggetto con estensione TXT. Pertanto, l’apertura di un file di testo dannoso può sovraccaricare un computer, per esempio, utilizzando il codice HTML per accedere al file /dev/zero, una fonte infinita di caratteri nulli;
  • Identificare il vero indirizzo IP di un utente. Il codice nel file di testo può richiedere l’apertura di AutoFS, un programma standard per il montaggio dei file di sistema, che può fornire l’accesso a un’unità esterna. Sebbene questa azione sia innocua di per sé (perché il processo di montaggio automatico costringe il kernel del sistema a inviare una richiesta TCP), anche quando c’è l’utente dietro un server proxy, il creatore del file di testo dannoso può scoprire l’ora esatta in cui è stato aperto e registrare il vero indirizzo IP;
  • Rubare dei file. Interi file possono essere inseriti in un documento di testo contenente l’attributo <iframedoc>. Pertanto, il file di testo dannoso può ottenere l’accesso a qualsiasi file sul computer della vittima e poi trasferirne il contenuto utilizzando un attacco di tipo dangling markup. L’utente deve solo aprire il file.

La vulnerabilità è stata segnalata ad Apple già nel dicembre 2019 e le è stato assegnato il numero CVE-2019-8761. Il post di Paulos Yibelo fornisce maggiori informazioni sullo sfruttamento della vulnerabilità.

Come difendersi

Un aggiornamento del 2020 ha installato una patch per la vulnerabilità CVE-2019-8761, ma questo non garantisce che nessun bug legato a TXT non sia in circolazione nel software. Potrebbero essercene altri che nessuno ha ancora capito come sfruttare. Quindi, la risposta corretta alla domanda “Questo file di testo è sicuro?” è :”Sì, per ora. Ma rimanete sempre all’erta”.

Pertanto, è opportuno formare tutti i dipendenti affinché considerino qualsiasi file come una potenziale minaccia, anche quando si tratta di un innocuo file di testo.

Indipendentemente da ciò, sarebbe saggio anche affidare il controllo di tutti i flussi di informazioni in uscita dell’azienda a un SOC esterno o interno.

12 Aprile 2021

Un ransomware nell’ambiente virtuale

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 31/03/2021
 
 

Diversi gruppi di cybercriminali hanno sfruttato alcune vulnerabilità presenti in VMware ESXi per infettare i dispositivi con un ransomware

 

 

Sebbene la virtualizzazione riduca in modo significativo i rischi dovuti alle minacce informatiche, non è la panacea di tutti i mali. Un attacco ransomware potrebbe comunque colpire l’infrastruttura virtuale, così come riportato di recente da ZDNet, sfruttando ad esempio le versioni vulnerabili di VMware ESXi.

Optare per una macchina virtuale è un approccio sicuro e solido; ad esempio, se una macchina virtuale non contiene dati sensibili, i danni dovuti a un’infezione possono essere contenuti. Anche se l’utente attiva per sbaglio un Trojan su una macchina virtuale, la creazione di una nuova immagine della macchina virtuale annullerà qualsiasi modifica dannosa.

Tuttavia, il ransomware RansomExx colpisce specificatamente le vulnerabilità presenti in VMware ESXi con lo scopo di attaccare gli hard disk virtuali. Si pensa che il gruppo Darkside utilizzi lo stesso metodo; inoltre, i creatori del Trojan BabuLocker hanno insinuato di essere già in grado di cifrare ESXi.

Di quali vulnerabilità stiamo parlando?

L’ipervisore VMware ESXi consente a numerose macchine virtuali di salvare informazioni su un solo server mediante l’Open SLP (Service Layer Protocol) che, tra le altre cose, può rilevare i dispositivi di rete senza preconfigurazione. Le due vulnerabilità in questione si chiamano CVE-2019-5544 e CVE-2020-3992, entrambe di vecchia data e già note ai cybercriminali. La prima viene sfruttata per portare a termine attacchi di heap overflow, mentre la seconda è di tipo Use-After-Free, ovvero è legata all’uso non adeguato della memoria dinamica durante le operazioni.

Entrambe le vulnerabilità sono state risolte tempo fa (la prima nel 2019, la seconda nel 2020); tuttavia, siamo nel 2021 e grazie ad esse i cybercriminali riescono ancora a portare a termine con successo, il che vuole dire che alcune aziende non hanno ancora aggiornato i propri software.

In che modo i cybercriminali sfruttano le vulnerabilità di ESXi?

I criminali informatici possono utilizzare queste vulnerabilità per generare richieste SLP dannose e compromettere il salvataggio dei dati. Per cifrare le informazioni innanzitutto hanno bisogno di penetrare nella rete e di stabilirvisi; non si tratta di un grosso problema, soprattutto se sulla macchina virtuale non è attiva una soluzione di sicurezza.

Per consolidare la presenza nel sistema, i creatori di RansomExx possono sfruttare, ad esempio, la vulnerabilità Zerologon (all’interno del protocollo remoto Netlogon). In questo modo, ingannano l’utente affinché faccia partire il codice dannoso sulla macchina virtuale, poi i cybercriminali prendono le redini del controller Active Directory e solo allora cifrano la memoria e scrivono un messaggio per richiedere il riscatto.

Purtroppo, però, Zerologon non è l’unica opzione ma è solo una tra le più pericolose, in quanto è praticamente impossibile individuarla senza ricorrere a servizi specifici.

Come evitare gli attacchi su VMware ESXI

  • Aggiornate VMware ESXi;
  • Se è proprio impossibile procedere all’aggiornamento, seguite il workaround suggerito da VMware (questo metodo, però, limita alcune funzionalità SLP);
  • Aggiornate anche Microsoft Netlogon per risolvere la vulnerabilità che lo riguarda;
  • Proteggete tutti i dispositivi della rete, comprese le macchine virtuali;
  • Avvaletevi della soluzione Kaspersky Managed Detection and Response, che individua anche gli attacchi multifase più complessi che non vengono rilevati dalle soluzioni antivirus convenzionali.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

7 Aprile 2021

Ransomware: in Italia il 39% delle vittime paga il riscatto

Tratto da www.bitmat.it
Autore: Redazione BitMAT – 31/03/2021
 
 
Il 43% non è comunque stato in grado di recuperare le informazioni rubate
 
 
LCF-000010 Development economics
 

Un recente studio globale di Kaspersky ha mostrato che, nel 2020, il 39% degli italiani vittima di ransomware ha pagato il riscatto per ripristinare l’accesso ai propri dati. Tuttavia, il 43% non ha comunque recuperato le informazioni rubate. Fortunatamente, gli utenti sono sempre più consapevoli in tema di sicurezza informatica e questo è un ottimo segnale per la lotta contro i ransomware.

Il ransomware è un tipo di malware che viene utilizzato per estorcere denaro. In questo tipo di attacchi, viene usata la crittografia per impedire agli utenti di recuperare i propri dati o di accedere al proprio dispositivo.

Guardando ai dati a livello globale e alle fasce di età degli intervistati, nel 2020, gli utenti di età compresa tra 35 e 44 anni si sono dimostrati i più propensi a pagare il riscatto con il 65% di persone che ha dichiarato di averlo fatto. Inoltre, più della metà (52%) degli utenti di età compresa tra i 16 e i 24 anni e solo l’11% di quelli di età superiore ai 55 anni hanno versato denaro ai criminali, dimostrando che gli utenti più giovani sono più propensi a pagare un riscatto rispetto a quelli di età superiore ai 55 anni.

Tra gli italiani intervistati che hanno subito un attacco ransomware, il 33% ha dichiarato di aver perso quasi tutti i suoi dati. Indipendentemente dal fatto che abbiano pagato o meno, in Italia solo l’11% delle vittime è stato in grado di ripristinare tutti i file criptati o bloccati dopo l’attacco. Il 17%, invece, ne ha persi solo alcuni mentre il 22% non è riuscito a recuperarne una quantità significativa.

“Questi numeri mostrano che una percentuale significativa di utenti, negli ultimi 12 mesi, ha pagato un riscatto per recuperare i propri file. Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare, ha commentato Marina Titova, Head of Consumer Product Marketing presso Kaspersky. Per proteggersi gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati. Questo renderebbe l’attacco stesso meno redditizio per i criminali informatici, riducendo la diffusione di queste minacce e garantendo un futuro più sicuro per gli utenti del web.”

Oggi, il 28% ha sentito parlare dei ransomware negli ultimi 12 mesi. È importante che questa percentuale di persone consapevoli aumenti man mano che cresce il lavoro da remoto ed è fondamentale che gli utenti capiscano come comportarsi in presenza di un ransomware.

Kaspersky raccomanda di:

  • Non pagare il riscatto se il dispositivo è stato bloccato, questo incoraggerebbe i criminali a continuare nelle estorsioni. Si consiglia di contattare le forze dell’ordine locali e segnalare l’attacco
  • Cercare di scoprire il nome del trojan ransomware. Queste informazioni possono aiutare gli esperti di cybersecurity a decifrare e risolvere la minaccia
  • Visitare noransom.kaspersky.com per scoprire gli ultimi decryptor, i tool per la rimozione dei ransomware e le informazioni su come proteggersi da queste minacce
  • Evitare di cliccare sui link presenti nelle email spam o su siti web sconosciuti e non aprire gli allegati delle email inviate da utenti di cui non ci si fida.
  • Non inserire mai chiavi USB o altri dispositivi rimovibili di archiviazione nel proprio computer se non si è certi della loro provenienza
  • Proteggere il proprio computer dai ransomware con una soluzione completa di sicurezza online come Kaspersky Internet Security
  • Eseguire il backup dei dispositivi in modo che i propri dati rimangano al sicuro in caso di attacco

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

6 Aprile 2021

Blog & News

Categorie