Categorie
Sicurezza Vulnerabilità

Falsi aggiornamenti browser: allarme per una nuova campagna malware

Una campagna malware, che fa leva su falsi aggiornamenti dei browser, si sta rapidamente diffondendo online.

Attraverso un report proposto dai ricercatori di Rapid7, è stato possibile individuare questa strategia malevole che sfrutta file binari dannosi e un loader, per distribuire diversi infostealer come StealC, Lumma e Amadey.

Nonostante questo tipo di strategia non sia nuova, questa campagna si dimostra alquanto avanzata e preoccupante, anche vista la raffinatezza degli agenti malevoli utilizzati dai cybercriminali.

Rapid7 ha scoperto il lodader in questione, chiamato IDAT, nel luglio 2023. Questo si avvale di alcune tecniche avanzate per risultare più efficace, come il processo di Doppelganging e Heaven’s Gate (Un metodo per eseguire codice a 64 bit in un processo a 32 bit sfruttato dai criminali informatici per mascherare malware)..

Prima di questa tecnica, gli autori delle minacce utilizzavano file JavaScript dannosi per connettersi ai server C2 o distribuire dei RAT.

I falsi aggiornamenti browser possono costare molto caro alle vittime

IDAT è uno dei caricatori più recenti e sofisticati utilizzati attivamente dagli autori delle minacce per eseguire infostealer e agenti malevoli simili. Questo è offuscato sfruttando DLL caricati da programmi legittimi come VMWarehost, Python e Windows Defender sfruttando anche i suddetti fantomatici aggiornamenti del browser.

Il pericolo concreto, così come con tutti gli infostealer, è quello di subire la perdita di dati sensibili: si spazia dai cookie del browser, fino alla cronologia di navigazione, finendo ovviamente in ambiti ancora più critici, come password e credenziali delle carte di credito.

Come evitare rischi? Oltre all’adozione di un antivirus di alto livello e a un elevato grado di prudenza, è bene valutare bene quando vengono proposti aggiornamenti (del browser e non solo).

In caso di dubbio può essere utile, per esempio, non accettare eventuali download ma controllare prima sul sito ufficiale del browser. Se è vero che Chrome propone costanti aggiornamenti per la sicurezza, è bene controllare che le patch siano effettive e non una semplice esca.

Categorie
news Sicurezza informatica Vulnerabilità

Nuova campagna del ransomware Cuba: allarme exploit Veeam

Una nuova campagna legata al ransomware Cuba si sta rapidamente diffondendo online, sfruttando una strategia complessa e articolata. La sicurezza informatica è ancora sotto attacco.

Secondo gli esperti del team Threat Research and Intelligence di BlackBerry, questa operazione sta coinvolgendo infrastrutture critiche nel territorio americano, prediligendo invece aziende IT in Sud America. Nonostante al momento non siano stati registrati casi in Europa, non è detto che questa campagna sposti le sue mire sul vecchio continente in un prossimo futuro.

L’operazione, individuata nel corso di giugno 2023, va a sfruttare una falla di sicurezza individuata tre mesi prima sui prodotti Veeam Backup & Replication (nome in codice CVE-2023-27532). La vulnerabilità, tra le altre cose, è già stata sfruttata da un gruppo di cybercriminali.

WithSecure, infatti, ha riferito che FIN7 (altro gruppo legato all’ambiente ransomware), ha sfruttato attivamente CVE-2023-27532 per i propri scopi illeciti.

Come funziona la nuova tattica di diffusione del ransomware Cuba

Per la diffusione del ransomware Cuba, il vettore di accesso principale utilizzato è una  compromissione delle credenziali di amministratore tramite RDP.

Una volta ottenuto un primo accesso, viene caricato sulla macchina compromessa un downloader, creato dal gruppo stesso, che viene chiamato BugHatch. Questo va a stabilire una comunicazione con il server di comando, scaricando ulteriori file DLL ed eseguendo i comandi del caso.

Per portare a buon fine l’attacco, Cuba adotta l’ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza lo strumento noto come BurntCigar al fine di terminare i processi del kernel legati al contesto di sicurezza e protezione della macchina.

La gang di cybercriminali di cui stiamo parlando, secondo alcune indagini, sarebbe originaria della Russa. Questa deduzione è tratta dal fatto che, i loro attacchi ransomware, andrebbero ad escludere i dispositivi che utilizzano un layout di tastiera in lingua russa. Il gruppo, presente sulla scena da quattro anni, risulta ad oggi uno dei più attivi dell’intero settore.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Cybersecurity Sicurezza informatica

L’aumento dei cyberattacchi: come prevenirlo

Cyberattack

PAROLA D'ORDINE: AGGIORNARE!

Il 2023 si apre, per l’argomento sicurezza, con un attacco a sistemi VMware non aggiornati, un bug che era già stato risolto dal produttore nel 2021. Infatti, causa dell’attacco è la vulnerabilità contraddistinta dalla sigla CVE-2021–21974, dove 2021 è l’anno in cui è stata scoperta.
Questo ci dimostra ancora una volta che molti server e PC non sono adeguatamente aggiornati o hanno sistemi operativi obsoleti, soprattutto quelli esposti su Internet utilizzati per servizi pubblici e dati sensibili.

VMware è una piattaforma di virtualizzazione molto diffusa, che consente di simulare su un server o un computer uno o più sistemi operativi. L’attacco ha colpito server e computer dove sono presenti servizi digitali sia di aziende private che della Pubblica Amministrazione, causando una diffusione importante del rallentamento e del blocco dei servizi.

Importante e non “massiccia” come viene riportato in alcuni articoli. Infatti, le statistiche di Censys riportano che su un totale di circa 1800 sistemi l’Italia è coinvolta per ora solo con 18 unità. 

Vedi dati aggiornati: clicca qui

Per prevenire futuri attacchi, è importante configurare correttamente i sistemi, aggiornarli e non esporli in rete se non sicuri. Inoltre, bisogna anche aggiornare tutti i sistemi presenti all’interno delle reti aziendali, poiché un attaccante, una volta fatta breccia, potrebbe trovare sistemi vulnerabili e sfruttare le falle per compiere attività dannose.

Vi siete mai chiesti se la Vostra rete informatica, più o meno complessa e numerosa, è potenzialmente aperta ad attacchi?

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Cybersecurity Sicurezza informatica

Zyxel svela lo scenario 2023: cybersecurity, WiFi 6 e transizione digitale

Zyxel Nebula

Zyxel fa il salto nel futuro con le soluzioni Nebula per la cybersecurity

La cybersecurity non è solo hardware, sono le funzionalità e i pacchetti aggiuntivi che forniscono protezione contro le minacce più recenti ed avanzate.
Nebula Cloud Networking di Zyxel offre un controllo centralizzato basato su cloud e visibilità per tutti i dispositivi hardware (switch, access point, firewall, router 5G/LTE) per garantire la sicurezza contro gli attacchi informatici.

Con Nebula, i dispositivi di rete non devono neppure essere tolti dalla scatola – possono essere spediti ai clienti con la garanzia di una configurazione automatica tramite cloud non appena accesi.
La dashboard di Nebula Control Center (NCC) consente la configurazione e il monitoraggio remoto dei dispositivi, risolvendo eventuali problemi con pochi clic.
Nebula include anche una gestione degli utenti integrata per coloro che non hanno le competenze o i requisiti per le piattaforme esterne.
L’autenticazione degli utenti può essere attivata con diverse opzioni di accesso come 2FA, WPA Enterprise e accesso utente. Inoltre, è possibile installare e attivare VPN per collegare dispositivi e filiali in modo sicuro.

Transizione digitale e PNRR: un'opportunità imperdibile

I servizi di monitoraggio e gestione delle minacce vengono ulteriormente potenziati dai fondi PNRR, destinati alla qualificazione delle infrastrutture di rete, alla cybersecurity e all’adozione di software da parte dell’amministrazione pubblica, delle scuole, di vari settori aziendali, del turismo e della cultura.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Windows

Aggiornare Windows, sempre!

Windows Update

Aggiornate sempre e costantemente il sistema operativo Windows del vostro pc.

Attualmente i sistemi operativi Windows per clients regolarmente aggiornabili sono Windows 10 e Windows 11. Ogni altro sistema operativo, anche se regolarmente funzionante, non riceve più alcun aggiornamento lasciando scoperto il pc che può essere sempre più attaccabile da agenti malevoli.

Uscireste di casa lasciando aperta la porta d'ingresso?

Mettiamo il cuore in pace e diciamo addio ai vari Windows 7, Windows 8, Windows 8.1 e così via.

Certo, continuare ad utilizzare sistemi operativi Windows deprecati e non più coperti da regolari aggiornamenti di protezione è proprio come uscire di casa lasciando aperta la porta da dove potrà entrare chiunque. Nessuno farebbe ciò mettendo a rischio i propri dati aziendali o privati.

Si pensi che, anche sistemi operativi attualmente validi come Windows 10 e Windows 11, sono costantemente a rischio di attacchi ma fortunatamente ricevono regolarmente aggiornamenti ufficiali da parte di Microsoft che per la maggior parte riguardano la chiusura di ogni possibile falla da cui gli attacchi possono entrare.

Falla CVE-2022-41091

Microsoft ha appena rilasciato per Windows 10 e Windows 11 l’aggiornamento che permette la correzione della falla CVE-2022-41091.

Will Dormann, ricercatore nel settore della sicurezza, ha verificato la presenza della falla che permette la semplice esecuzione di file Java e di file eseguibili .exe che, realizzati con una firma utilizzando una chiave danneggiata, aggira i messaggi di alert normalmente mostrati dal sistema operativo.

Quindi con un comune doppio click su un potenziale file malevolo, Windows lo esegue senza problemi considerandolo erroneamente come proveniente da una fonte attendibile.

Leggi anche: https://www.ilsoftware.it/articoli.asp?tag=Bug-Windows-colossale-con-un-doppio-clic-si-esegue-codice-dannoso_25158

Aggiornare e Riavviare

Se è ben visibile nella barra delle applicazioni l’icona che segnala la presenza di aggiornamenti del sistema operativo Windows 10 o Windows 11 non aspettate, procedete subito ad installare l’aggiornamento e successivamente riavviate il pc.

Nel caso l’icona non fosse presente, ricordate che potete verificare la disponibilità di aggiornamenti cliccando Start e digitando Windows Update. Quindi, scaricate e installate gli eventuali aggiornamenti disponibili.

Categorie
Cybersecurity Sicurezza informatica

Antivirus o Endpoint?

Endpoint security

ANTIVIRUS, UN ARGOMENTO QUOTIDIANO

È ormai una questione quasi quotidiana discutere dell’argomento antivirus e sicurezza con i clienti e con i collaboratori.

Il panorama presenta situazioni tra le più svariate: chi ha installato antivirus free, che gratuiti sono solo per i soggetti senza fini di lucro, quindi per i privati o onlus, chi ha antivirus acquistati in bundle (in combinazione) con il computer che, trascorsi i giorni di prova, sono ormai scaduti e chi invece opta per l’utilizzo di antivirus a pagamento destinati all’utilizzo prevalentemente home.

La scelta in quest’ultimo caso ha sempre e solo una risposta: l’ho acquistato perché costava poco confronto a….

DOBBIAMO ESSERE CHIARI

Cerchiamo sempre di essere chiari con chi abbiamo di fronte, sia esso un Cliente fidelizzato oppure un potenziale Cliente. Essere professionali può dare fastidio ma è e resta uno dei pilastri fondamentali per un rapporto serio.

Per un professionista, un artigiano, una PMI o un’azienda di grandi dimensioni non serve un antivirus ma una soluzione Endpoint.

L’antivirus lasciamolo ad uso esclusivamente del privato.

PERCHE’ UNA SOLUZIONE ENDPOINT?

Dobbiamo consigliare una soluzione Endpoint per una serie di motivi ma quello che desidero ricordare è legato alla normativa GDPR che chiede il trattamento in sicurezza dei dati trattati utilizzando i migliori standard di sicurezza disponibili attualmente, quindi una soluzione Endpoint e non un Antivirus.

ANTIVIRUS VS. ENDPOINT

Vediamo un riepilogo delle differenze così da comprendere meglio:

ANTIVIRUS

  • Protegge autonomamente la singola postazione

ENDPOINT

  • Protegge l’infrastruttura informatica
  • Contiene l’antivirus come parte di una serie di strumenti di protezione
  • E’ una soluzione progettata per esaminare attività sospette o dannose su tutta la rete di Endpoint
  • Le attività di aggiornamento e scansione sono delegate al MSP (Managed Service Provider) e non al cliente finale
  • Ha aggiornamenti sempre più rapidi delle minacce più recenti e i nuovi virus (zero-day)
  • Oltre all’utilizzo dei database di minacce note crea dei modelli per identificare potenziali anomalie
  • Utilizza strategie basate sull’apprendimento automatico e sull’intelligenza artificiale per il tracciamento delle attività
  • Protegge da attacchi esterni ma anche da attacchi interni
  • Isola il comportamento anomalo rilevato sulla rete

ENDPOINT È LA SOLUZIONE

Spero che questo riassunto possa far riflettere sull’importanza nella scelta della soluzione da adottare.

Possiamo discutere sulla scelta del produttore e sull’aspetto commerciale ma non ci sono più scuse per non adottare una soluzione Endpoint.

Si tenga presente che siamo già oltre ed il solo Endpoint è ormai troppo poco; stiamo andando rapidamente verso degli standard che vedono l’Endpoint affiancato a soluzioni di vulnerability assessment che analizzano dall’interno e dall’esterno la rete e tutti i devices presenti. Ma di questo ne parleremo più avanti…

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Privacy Sicurezza informatica

Privacy – Cosa hanno Sbagliato le Imprese

Data protection privacy

In questi giorni, nel contesto della “PRIVACY WEEK” di Milano, si è tenuto il convegno “PRIVACY – COSA HANNO SBAGLIATO LE IMPRESE”. Temi principali: Privacy e Sicurezza

GLI SPEAKERS

Speaker di rilievo, moderati dal Dott. Paolo Rosetti Chief Executive Officer & DPO, sono due figure quotidianamente sul campo, Marco Menegazzo Comandante del Gruppo Privacy del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza e Gianluca Berruti Colonnello T ST, comandante del III Gruppo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.

IL TEMA

I temi trattati sono stati molto interessanti e riguardano le aziende ed i professionisti che hanno rispettato l’adempimento obbligatorio di avviare un percorso legato a GDPR e Privacy. La mia riflessione invece va un passo indietro: quante sono ancora quelle realtà che ad oggi non hanno ancora regolarizzato la loro posizione in merito all’argomento GDPR e Privacy?

Quindi in risposta al claim “Cosa hanno sbagliato le imprese?” mi sento di rispondere: ancora in molti casi, il primo errore commesso dalle imprese è aver sottovalutato l’importanza di aderire ad un adempimento obbligatorio quale è il GDPR, nel bene della propria azienda e dei vari stakeholders.

IL FOCUS

Ribaltiamo il paradigma legato al GDPR e Privacy; quando lasciamo i nostri dati personali ad una realtà aziendale quale ad esempio un hotel, una clinica medica, un produttore di elettrodomestici, un sito web di e-commerce non desideriamo ardentemente come prima ed unica cosa che tali dati siano al sicuro, non siano divulgati e più semplicemente che vengano messi al sicuro da ogni rischio? La risposta è SI.

Quindi ci aspettiamo che in modo molto chiaro l’affidatario dei nostri dati rispetti alla regola il GDPR con tutti i mezzi e la tecnologia necessaria per fare ciò. Ma quando siamo noi ad essere gli affidatari dei dati di nostri Clienti, Fornitori, Lead, etc. sottovalutiamo l’aspetto di garantire e far recepire a questi soggetti che i loro dati sono e saranno custoditi correttamente.

Se oggi, a distanza dalla data del 24 maggio 2018 quando il GDPR è diventato obbligatorio anche in Italia, non abbiamo ancora intrapreso l’attività di messa in regola dell’azienda mi sento di suggerire la pianificazione in tempi brevi per raggiungere la piena conformità quantomeno formale all’adempimento.

CONCLUSIONI

Nessuno è escluso da questo adempimento; ne sono la prova gli elenchi presenti su Internet delle aziende di ogni settore e dimensione che ad oggi purtroppo sono state sanzionate per errori e mancanze.

La soluzione è aderire all’adempimento e restare costantemente proattivi nel mantenere aggiornato il processo di informazione e tutela dei dati.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Cybersecurity

Cybersecurity – L’intervista

Cybersecurity ed il territorio

Crescere sul territorio, ascoltando i bisogni delle imprese del territorio, ha fatto di A&B Sistemi srl qualcosa di più di un’azienda informatica. A&B può ritenersi oggi una multiutility che offre servizi ma sopratutto soluzioni informatiche.

La risposta di A&B è un continuo affiancamento alle necessità delle aziende del territorio rispondendo ad ogni esigenza con indicazioni mirate e commisurate all’interlocutore.
A&B in molti casi svolge l’attività di divulgazione di argomenti sempre più importanti come la cybersecurity.
A&B sensibilizza costantemente le aziende e gli enti sull’importanza di mettere preventivamente al sicuro le informazioni trattate.

Chiunque è a rischio di un attacco informatico.

Antivirus endpoint professionali, firewall hardware, soluzioni di backup ridondate, soluzioni di disaster recovery, privacy e GDPR sono diventati argomenti all’ordine del giorno.
Il territorio ascolta e procede sulla giusta strada. Sempre di più si sente l’argomento della cybersecurity come qualcosa di fondamentale per tutelare il know-how aziendale ed i dati dei propri clienti e fornitori.

Sull’edizione de La Provincia di Lecco – Imprese e Lavoro del 6 giugno 2022 si può trovare l’intervista a Luigi Brusadelli titolare di A&B Sistemi srl che illustra in modo chiaro la vision del territorio sull’argomento cybersecurity.

Categorie
Cybercrime Sicurezza informatica Smartworking

La funzione del firewall hardware in ambito aziendale

Se il software antivirus impedisce che programmi dannosi si introducano attraverso un client (PC/Notebook) in un sistema informatico per duplicarsi o danneggiare, il Firewall è il dispositivo che protegge il perimetro di rete.

Il suo compito è infatti quello di controllare le connessioni in entrata e in uscita tra la rete esterna e quella interna. 

In fase di creazione o manutenzione o riconfigurazione, più in generale “implementazione” della rete LAN aziendale, con uno o più accessi Internet, oggi è necessaria una fase fondamentale per diversi aspetti: la predisposizione di un firewall.

Le due semplici considerazioni sono che:

  • La sicurezza deve coinvolgere trasversalmente tutto il sistema IT dell’azienda
  • Esistono leggi che impongono un livello minimo di attenzione (GDPR)

Nel segmento operativo dei nostri clienti, il firewall deve essere frapposto tra la rete interna (SWITCH) e il modem/router che dà accesso ad Internet, creando così un  canale controllato  del traffico dati.

Il dispositivo va dimensionato in base al numero di client LAN e WLAN e va configurato con una serie di regole impostate dall’amministratore di rete. Queste regole garantiscono ai dati il passaggio oppure i dati possono essere bloccati se considerati malevoli o non autorizzati.

SOLO in questo modo è possibile intercettare i pacchetti potenzialmente dannosi prima che possano creare danno alle postazioni della rete aziendale. 

Le funzioni di controllo e di filtro sono gli aspetti che caratterizzano il firewall e vengono identificati dagli acronimi UTM (Unified Threat Management) e ATP (Advanced Threat Protection) a seconda della marca e dei modelli degli apparati.

Valutiamo la semplicità e l’efficienza.

Avremo un solo dispositivo, dedicato, che integra tutto il necessario per il funzionamento di un sistema di protezione perimetrale che monta un software proprietario.

L’efficienza, al fine di far fronte ai continui mutamenti dei tentativi di attacco esterno, si ottiene con:

  • Il costante aggiornamento del firmware del dispositivo
  • L’acquisto annuale dei rinnovi delle licenze di sicurezza
  • L’aggiornamento e l’adeguamento delle policy

Il software del firewall consente di proteggere la rete contro le minacce note tra i quali:

  • Tentativi di intrusione
  • Virus in generale (spyware, worm, trojan, adware, keylogger, malicious mobile code MMC)
  • Minacce incognite (zero-day)
  • SPAM

E permette di avere il controllo del traffico, per esempio attraverso i servizi di:

  • IDP (Intrusion Detection and Prevention)
  • Content filtering
  • App Patrol

Infine, il firewall può essere anche utilizzato per creare connessioni remote sicure tramite VPN (ad esempio SSL, SITE to SITE, L2TP IPSec) permettendo così l’accesso remoto all’intera rete aziendale senza incorrere in falle di sicurezza. 

Categorie
Cybercrime Sicurezza informatica

Cybersecurity, le nuove minacce

Gli attacchi più diffusi giorno per giorno. Dove si nascondono i malware. E quali settori sono sotto attacco

Nessuno può ritenersi immune da possibili attacchi malware. Le attività da eseguire regolarmente per abbassare il rischio di possibili attacchi sono:

  • Antivirus Professionale costantemente aggiornato
  • Firewall Hardware installato sulla rete e correttamente configurato ed aggiornato
  • Firewall di O.S. Microsoft Windows attivo
  • Aggiornamenti di O.S. Microsoft Windows eseguito costantemente
  • Password attive sugli applicativi utilizzati
  • Password “strong” costantemente aggiornate a cadenza regolare
  • Backup crittografato almeno a cadenza giornaliera

Il GDPR stabilisce il perimetro per le misure di sicurezza necessarie al fine di proteggere i dati.

Oltre alla Normativa Europea sono la professionalità e l’etica imprenditoriale ad attivare scelte operative per prevenire possibili attacchi malware e garantire la sicurezza dei dati.

Leggi l’articolo: https://lab24.ilsole24ore.com/cybersicurezza/