area-press.eu

Tag: cybersicurezza

  • Group-IB presenta il suo compendio annuale sul ransomware

    Amsterdam, 19.05.2022 – Group-IB, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale “Ransomware Uncovered Logo_Group-IB 2021/2022” sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell’impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto è aumentata del 45%, fino a raggiungere 247.000 dollari nel 2021. Le gang del ransomware sono anche diventate molto più avide rispetto allo scorso anno. Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari a MediaMarkt (in Italia MediaWorld). Il riscatto più elevato nel 2020 è stato di “soli” 30 milioni di dollari. Hive e la new entry della “caccia grossa” (il cosiddetto Big Game Hunting) nel 2021, Grief, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS – Data Leak Sites). Una pratica che tra il primo trimestre 2021 e il primo trimestre 2022 ha interessato i dati di 986 aziende europee vittime di attacchi ransomware. Con 148 aziende i cui dati sono stati caricati sui DLS l’Italia è al terzo posto in Europa e al quinto su scala globale.

    La catena di montaggio del ransomware

    Il nuovo compendio fa il punto sulle più recenti tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce ransomware e osservate dal team Digital Forensics e Incident Response (DFIR) di Group-IB nelle sedi dell’azienda in tutto il mondo. Oltre ai 700 attacchi esaminati nel 2021 da Group-IB nel quadro delle proprie attività di risposta agli incidenti informatici e di Cyber Threat Intelligence, il rapporto tratta anche le piattaforme online su cui vengono divulgati i dati delle vittime del ransomware (DSL = Data Leak Sites).

    Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L’ascesa dei broker di accesso iniziale (IAS), descritta nell´ Hi-Tech Crime Trends di Group-IB, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attività ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.

    Sulla base dell’analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si è attestata sui 247.000 dollari nel 2021, il 45% in più rispetto al 2020. L’accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22 del 2021.

    Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l’esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si è diffusa in modo ancora più capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63% dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500 vittime. La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite.  Con 148 vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l’Italia occupa il quinto posto nella classifica mondiale e il terzo in quella europea, seguita a ruota dalla Germania con 143 aziende. La maggior parte delle organizzazioni i cui dati sono stati divulgati fa capo al settore industriale (322, di cui 28 italiane), immobiliare (305) e dei servizi professionali (256). In Italia anche il settore dei trasporti (15 aziende) e il commercio (13 aziende) risultano interessati dal fenomeno.

    Lockbit, Conti e Pysa si sono rivelate le organizzazioni più aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640 e 186, tra cui figurano anche aziende italiane, nella fattispecie rispettivamente 45, 25 e 12 vittime. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.

    Bot ingannevoli

    Nel 2021 l’abuso di server RDP esposti su Internet è stato ancora una volta il metodo più comune per l’accesso iniziale alle reti target – il 47% di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB è iniziato con la compromissione di un servizio remoto esterno.

    Le E-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%). L’impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarità tra gli attori del ransomware rendendo più complicata l’attribuzione degli attacchi ransomware. Nel 2021 infatti molti bot come Emotet, Qakbot e IcedID sono stati utilizzati da più attori, mentre nel 2020 alcune tipologie di malware comune erano legate a specifiche gang. Il team DFIR di Group-IB ha ad esempio osservato che IcedID è stato impiegato da vari gruppi ransomware per assicurarsi l’accesso iniziale. Tra questi Egregor, REvil, Conti, XingLocker, RansomExx.

    In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attività a posteriori dell’esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).

    Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilità zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, è stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che – secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.

    “A fronte delle molteplici ridenominazioni forzate dalle operazioni di polizia e della fusione delle TTP, dovuta alla costante migrazione degli affiliati da un programma Ransomware-as-a-Service (RaaS) all’altro, sta diventando sempre più difficile per i professionisti della sicurezza tenere traccia delle tattiche e degli strumenti in continua evoluzione impiegati dagli attori del ransomware”, afferma Oleg Skulkin, responsabile del team DFIR di Group-IB. “Per tenere al corrente i responsabili della cybersecurity aziendale e prepararli ad eventuali incidenti ransomware, abbiamo evidenziato le principali tendenze e i cambiamenti delle TTP sotto forma di indicazioni praticabili, mappate e organizzate secondo la matrice MITRE ATT&CK®”.

    La seconda edizione 2021/2022 del rapporto “Ransomware Uncovered” presenta quindi una matrice MITRE ATT&CK® che contiene informazioni sulle TTP impiegate più di frequente durante gli attacchi ransomware operati da esseri umani. Il nuovo compendio è scaricabile dal sito web di Group-IB.

  • La nuova affidabilità: Snom stabilisce tempistiche fisse per il rilascio degli aggiornamenti del firmware

    Berlino ¦ Questo è il nostro impegno: il firmware esce ogni 9-12 settimane! Snom, noto produttore internazionale di telefoni IP premium per professionisti, aziende e industria, ha implementato tempistiche fisse per il rilascio dei suoi aggiornamenti, una caratteristica che trova riscontro solo di rado sul mercato. Nel corso degli scorsi sei mesi le nuove versioni del firmware sono già state pubblicate a distanza di due, massimo tre mesi una dall’altra. L’obiettivo di questo impegno era di incrementare continuamente la qualità e la sicurezza del software fornito dall’azienda e, allo stesso tempo, di dare ai clienti maggiore sicurezza nella pianificazione. E ha funzionato anche durante il lock-down.

    logo snomDomani, domani, solo non oggi… Anche nel settore ITC c’è sempre un buon motivo per non adottare una frequenza di rilascio degli aggiornamenti tecnici ben precisa, rimandandone la distribuzione. Forse per timore che non appena pubblicato l’aggiornamento si identifichi la killer feature che andava assolutamente integrata e che di conseguenza il nuovo firmware perda valore. Ma è un errore – perché non ci può essere e non ci sarà mai una data di uscita ottimale.

    Eppure, il firmware dei dispositivi determina in maniera decisiva le prestazioni dei telefoni IP, quindi la soddisfazione del cliente e il conseguente successo del fornitore sul mercato, che si tratti anche solo di aggiungere nuovi font o di introdurre ulteriori sfondi per il display. Tempi di rilascio del software troppo lunghi o irregolari possono diventare rapidamente deludenti per clienti e partner e minare il successo dell’azienda.

    Finestre vincolanti per il rilascio del software come criterio di differenziazione dalla concorrenza

    “Fino alla fine del 2018 anche in Snom, non era raro che tra i singoli aggiornamenti ufficiali del software passassero dai 6 ai 18”, afferma Jan Boguslawski, Product Owner di Snom. E aggiunge: “Una situazione insoddisfacente, soprattutto per chi ci aveva fornito feedback e suggerimenti per migliorie davvero rilevanti, a volte avevano la sensazione che non ci interessasse affatto – si sbagliavano tanto quanto sbagliavamo noi ad attendere troppo a lungo che giungesse il proverbiale momento perfetto per il rilascio!”

    Jan Boguslawski,  Product Owner, Snom

    Per questo motivo Snom ha iniziato ad ottimizzare i propri processi software interni e a porre le basi per uno sviluppo sostenibile. L’obiettivo era chiaro: rendere il firmware più preciso e nel complesso ancora migliore con aggiornamenti del firmware più frequenti e affidabili.

    “Un buon hardware è certamente importante. Ma in ultima analisi, la chiave del successo sta nella capacità di modificare il firmware per soddisfare le specifiche esigenze del cliente”,  continua Jan Boguslawski. “Cosa intendo dire con questo? Costruire un telefono solido è una cosa. Ma permettere al cliente di personalizzare le oltre 900 funzionalità attualmente in uso e quindi favorire la realizzazione di progetti altamente specifici in qualsiasi settore di mercato è ciò che distingue un produttore come Snom in particolare”.

    Telefonia IP sicura
    Sin dai suoi albori, oltre 20 anni fa, la telefonia IP è stata indissolubilmente legata alla questione della sicurezza. Snom attribuisce il massimo valore a soluzioni software semplici ma sicure: che si tratti del semplice obbligo di inserire una password per l’avvio di ogni singolo telefono o di test software e hardware di ampio respiro, nei quali si esamina un numero impressionante di apparecchi fisici per individuarne i punti deboli e il potenziale di ottimizzazione.

    “Sebbene questi test dal vivo siano molto più complessi di una simulazione virtuale completa, risultano anche molto più pratici. I nostri partner apprezzano molto la nuova frequenza e l’affidabilità del rilascio degli aggiornamenti del firmware, che ne consente la pianificazione, oltre all’alto livello di sicurezza del software.”, conclude Boguslawski.

    Per ulteriori informazioni https://service.snom.com/display/wiki/Firmware+Update+Center

     

    Snom Technology

    Produttore di telefoni IP per le imprese e l’industria riconosciuto a livello internazionale, Snom fu fondata nel 1997 come pioniere del VoIP (Voice-over-IP) e della telefonia e si afferma rapidamente in uno dei marchi premium a livello mondiale per soluzioni innovative per le telecomunicazioni.
    Un approccio a tutto tondo: il successo dell’azienda trova fondamento in una strategia che mette al primo posto la soddisfazione delle esigenze della clientela a 360°.
    I prodotti e servizi di Snom sono caratterizzati da
    • tecnologie di prima classe
    • massima sicurezza
    • design ergonomico
    • sviluppo in house di firmware e aggiornamenti, messi regolarmente e celermente a disposizione
    • laboratorio audio proprio
    • formazione continua
    • eccellente servizio di assistenza tecnica
    • sistema di supporto remoto
    • tre anni di garanzia
    • soluzioni personalizzate e
    • gestione locale nei mercati chiave
    Il processo di sviluppo di nuove soluzioni Snom è di tipo inclusivo: il produttore fa proprie le esigenze e aspettative della clientela e dei partner commerciali, facendole confluire regolarmente nelle attività dell’R&D.
    I telefoni IP da tavolo o cordless DECT come le soluzioni per teleconferenze di Snom sono dotati di una qualità audio di altissimo livello. Fanno parte del portafoglio prodotti anche modelli concepiti appositamente per ambienti particolarmente impegnativi, come nel settore della sanità, della produzione industriale o in aziende o in cui è prevista la condivisione delle scrivanie.
    Dal 2016 Snom è parte del Gruppo VTech, il più grande produttore mondiale di telefoni cordless.
    Per ulteriori informazioni: www.snom.com

  • Secsolutionforum 2020 Pescara: posticipata l’edizione 2020

    La mostra convegno si svolgerà il 18 giugno 2020 al Padiglione “Daniele Becci” presso il Porto Turistico Marina di Pescara

     

    In considerazione dell’attuale emergenza sanitaria provocata dalla diffusione del Coronavirus, gli organizzatori di Secsolutionforum hanno deciso di posticipare lo svolgimento dell’edizione 2020. La decisione è stata presa come atto di responsabilità nei confronti di tutte le parti interessate, aziende espositrici, visitatori, docenti e Istituzioni che patrocinano l’evento.

    Nell’attuale situazione di incertezza circa le misure che nei prossimi giorni saranno adottate dalle autorità competenti per contenere i casi di contagio – dichiara Andrea Sandrolini, AD di Ethos Media Group – riteniamo che rimandare l’evento sia la migliore scelta possibile e l’unica eticamente sostenibile, prima di tutto per garantire la sicurezza dei partecipanti, senza ostacolare l’attività di contrasto all’epidemia; in secondo luogo, per supportare lo sviluppo del settore della sicurezza, in una fase particolarmente critica per l’economia italiana. La decisione è stata condivisa con gli Enti locali e le associazioni di categoria che n dall’inizio hanno sostenuto e promosso l’evento.”

    Il rinvio offre l’opportunità di svolgere la mostra convegno in un clima di maggiore distensione, più favorevole alla partecipazione degli operatori e alle attività di confronto, networking e formazione che costituiscono il tratto distintivo di Secsolutionforum. Tra le motivazioni che hanno indotto Ethos Media Group a posticipare l’evento, non ultima la ferma volontà di preservare gli investimenti sostenuti dalle aziende sponsor che hanno creduto nell’iniziativa.

    Ethos Media Group continuerà a lavorare e a comunicare, affinché l’edizione 2020, grazie anche alla collaborazione degli Enti patrocinatori e delle aziende che arriveranno compatte all’appuntamento di giugno, si confermi l’evento di qualità che tutti si aspettano.

    Nel rispetto dell’impegno e del lavoro di tutte le parti coinvolte e in un clima di fiducia e collaborazione, Secsolutionforum dà quindi l’appuntamento ai visitatori il prossimo 18 giugno 2020 presso il Padiglione Daniele Becci a Pescara.

     

    La partecipazione all’evento è gratuita previa registrazione su: https://www.secsolutionforum.it/registrazione.asp

     

    Segui l’evento sui social con l’hashtag #secsolutionforum

     

    Informazioni su Ethos Media Group

     

    Ethos Media Group è uno degli interlocutori di riferimento in Italia nell’editoria professionale, con una presenza fortemente radicata nel comparto sicurezza. Ethos Media Group si occupa di produzione editoriale, formazione e organizzazione eventi, content management multimediale, con un approccio alla comunicazione a 360 gradi.

     

     

    Ethos Media Group è parte integrante della Security Media Alliance, partnership internazionale tra testate di eccellenza specializzate nel settore sicurezza. All’interno di questa alleanza strategica, Ethos Media Group rappresenta, con il marchio globale secsolution, comprendente un magazine cartaceo e online e l’evento secsolutionforum, una solida e autorevole realtà di riferimento che ha formato e continua a formare generazioni di professionisti della sicurezza.

  • Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”

    Un nuovo approccio per una vecchia tecnica

    Bochum (Germania), 3 luglio 2018

    I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

    Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

    Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

    Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

    Rozena

    Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

    Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

    Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

    Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

    Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

    Prevenzione

    Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

    1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
    2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
    3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
    4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.