CYBER Magazine - Lavoro da remoto e COVID-19 Come la Pandemia ha impattato la Cyber Security - Assintel
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ANNO 1
Aprile/Giugno
2020
CYBER Magazine
Lavoro da remoto
e COVID-19
Come la Pandemia
ha impattato la
Cyber Security Perché le aziende
devono diventare
Cyber-Resilienti
1
Indice
3 10
L’editoriale del Presidente Assintel 200 minacce informatiche
di Paola Generali distribuite sfruttando i nomi di note
applicazioni di social meeting
4 di Kaspersky Lab
Come la Pandemia ha impattato 12
la Cyber Security
di Pierguido Iezzi, Swascan Cyber Bulletin
6
Lavoro da remoto e COVID-19
di Riccardo Modena, Sernet
8
Perché le Aziende devono diventare
Cyber-Resilienti
di Davide Giribaldi, Ikran Services
Comitato Scientifico
Paola Generali - Pierguido Iezzi - Davide Giribaldi - Andrea Ardizzone
Redazione
Federico Giberti - Manuel Ebrahem
2
Paola
Generali
L’editoriale del Presidente Assintel
Nessuno di noi avrebbe mai immaginato di vivere uno
scenario sociale ed economico così difficile, ma dobbiamo
prenderne atto: COVID19 ci sta cambiando profondamente
e nulla sarà più come prima, per questo tutti noi dobbiamo
evolverci e riprogettare noi stessi e molte delle attività
delle nostre aziende. Anche la Cybersecurity deve fare
la stessa cosa, perché il nuovo contesto ha moltiplicato
vulnerabilità e nuove minacce, legate ad un uso intensivo
e diffuso della rete: Smart Working, Video Conferenze,
didattica online e soprattutto socialità online portano con
sé un forte – e non sempre evidente - bisogno di security.
In questi giorni sulla bocca di tutti c’é la parola resilienza,
che è diventata una parola chiave della nostra vita in
questo momento, ma che nell’ambito della Cybersecurity
è ordinaria, perché si trova nella sua stessa essenza.
Quando oggi qualcuno mi dice che la mia azienda è stata
lungimirante a scrivere da sempre Business Continuity
Plan che prevedessero anche lo scenario pandemico, io
rispondo che non è lungimiranza ma una delle basi della
Business Impact Analysis.
La differenza qual è allora?
Semplice, lo scenario pandemico ora si è verificato
veramente.
Il Nostro Cyber Managazine vuole diventare un punto di
riferimento autorevole per il mercato sia della domanda
che dell’offerta in questo momento di evoluzione del
contesto, che mette forzatamente la Cybersecurity tra gli
argomenti di massima importanza.
3
Come la Pandemia
ha impattato la Cyber
Security
di Pierguido Iezzi,
Non c’è dubbio che la pandemia
si sia fatta sentire anche sul fronte
Cyber Security. Ovviamente
“remotizzare” milioni di lavoratori in
un lasso di tempo molto breve non
ha lasciato molto tempo a tantissime
organizzazioni per mettere in piedi
un perimetro di sicurezza informatica
adeguato o che tenesse conto del
nuovo scenario che si stava andando
a creare. Questo è ovviamente
comprensibile, laddove assicurarsi
la business continuity diventa
imperativo, soluzioni come lo Smart
working diventano imprescindibili,
proprio perché nascono per garantire
la continuità del business attraverso
la creazione di strumenti e processi
che permettono ai tanti dipendenti,
fornitori e clienti di poter collaborare
da remoto.
anni, sono stati osservati un numero
Il rovescio della medaglia però è stato
Queste permettono agli utenti crescente di cyber security incident
che si è creata in pochissimo tempo
di collegarsi alla rete aziendale in cui gli aggressori si sono collegati
una superfice d’attacco per i Criminal
direttamente dalla propria abitazione. da remoto a un server Windows da
Hacker nettamente più ampia.
Ma è stato dimostrato più e più volte Internet utilizzando RDP e si sono
Non dobbiamo dimenticare che
come queste, specialmente nelle loggati come amministratore del
lo Smart Working, dal punto di
miriadi di edizioni free che esistono computer.
vista strettamente Cyber, porta 4
al momento, sono tutt’altro che una
problematiche fondamentali: La
garanzia di sicurezza e affidabilità. La pandemia non ha fatto che
dotazione aziendale standard è fuori
accentuare la necessità di utilizzare
dal nostro perimetro aziendale e
Se violate perché non sufficientemente il protocollo RDP, aumentando
quindi opera su reti di casa a volte
sicure o non correttamente settate, esponenzialmente quindi, il rischio
non sufficientemente protette o, in
potrebbero spalancare ai Criminal che i Criminal Hacker riescano ad
moltissimi casi, deve interagire con
Hacker la porta per un attacco alla accedere alle macchine aziendali
dispositivi IoT non sicuri.
vostra azienda. per compiere una serie di attacchi,
Come se non bastasse, alcuni
principe tra tutti quello di installare
lavoratori si saranno trovati costretti
Come se non bastasse, nello smart ransomware. Per quanto riguarda
a lavorare sui propri device,
working potrebbe presentarsi la altre tipologie di Cyber attacco che
sicuramente non allineati con le
necessità di utilizzare il controllo hanno visto l’aumentare dell’intensità
misure di sicurezza software installate
remoto, e nello specifico il Remote non possiamo ignorare il Phishing.
– da best practice – sui device
Desktop Protocol di Windows, per Questo per sua natura fa leva sui
aziendali. Altra conseguenza dello
accedere ad una macchina o per bisogni e le paure della gente, e
Smart Working è stata l’impennata
procedure di help desk. Negli ultimi cosa c’è di meglio per far abbassare
nell’utilizzo di connessioni VPN.
4
la guardia alle vittime delle email Questo concretamente significa Si tratta di una conoscenza basata
truffa a tema COVID-19? A partire che l’allerta deve essere generale su prove concrete, compreso il
dall’inizio del contagio sono state perché l’aumento delle superfici contesto, i meccanismi, gli indicatori,
osservate numerose campagne d’attacco a disposizione non ha fatto le implicazioni e i consigli su una
di email dannose che sfruttavano altro che fornire più vittime potenziali minaccia esistente o emergente.
l’esca del Covid-19 per cercare di ai Criminal Hacker.
convincere le potenziali vittime a fare Queste informazioni possono essere
clic. I criminali hanno inviato ondate È chiaro, perciò, che lo scenario utilizzate per meglio informare le
di email che vanno da una dozzina a descritto non fa che sottolineare decisioni riguardanti la risposta del
più di 200mila alla volta, e il numero ancora di più la necessità soggetto preso di mira a tale minaccia
di campagne tende ad aumentare. di consolidare e migliorare o pericolo. In breve, la Domain Threat
Circa il 70% delle email di phishing costantemente i fondamenti di ogni Intelligence è in grado di fornire una
scoperte nelle ultime settimane sono perimetro di Cyber sicurezza: il lato “actionable intelligence” tempestiva,
utilizzate per consegnare malware tecnologico e quello umano. contestualizzata e – soprattutto
e un ulteriore 30% mira a rubare le Da un lato infatti, è imprescindibile – facilmente interpretabile anche
credenziali della vittima. avere una chiara visione di quali da chi non è espressamente del
possibili falle possono essere presenti settore, ma è comunque in carica
Ci sono stati anche attacchi ancora in qualsiasi momento all’interno della delle decisioni strategiche aziendali.
più diretti; l’esca, questa volta, sono nostra azienda. Effettuare regolari
state le mappe del contagio. attività di Vulnerability Assessment Sul lato “umano” della strategia
e Penetration Testing garantisce di difesa l’attività deve essere
Si è trattato di diverse campagne per la corretta individuazione di quelle duplice e attiva: servizi di Phishing
diffondere malware che miravano problematiche non risolte che si concretamente ai propri smart
specificamente a colpire coloro che potrebbero annidare all’interno del worker come riconoscere ed evitare
sono alla ricerca di presentazioni nostro perimetro per poi correggerle mail di phishing unita a formazione
cartografiche della diffusione del tempestivamente prima che i più tecnica e awareness, comunque
virus su Internet, ingannandoli Criminal hacker siano in grado di amministrabili grazie a webinar e
e convincendoli a scaricare ed sfruttarle. corsi online. Stesso discorso vale
eseguire un’applicazione dannosa. per chi ha scelto di utilizzare per
Questa, sul suo front-end, mostrava Ovviamente, dobbiamo anche capire la prima volta una VPN: bisogna
una mappa caricata da una fonte chi potrebbe essere interessato sempre informarsi e scegliere con
online legale, ma in background ad attaccarci. Qui entra in gioco cura il prodotto più adatto alle
comprometteva il computer la Domain Threat Intelligence, nostre esigenze, non dimenticarsi
attraverso infostealer e malware di la conoscenza che permette di mai di mettere in pratica le best
simile natura. mitigare o prevenire questi attacchi. practice di cyber security, effettuare
Il rischio in questo caso è trasversale, Fortemente basta sui dati, la una attenta e scrupolosa attività di
il mondo del Cyber Crime, anche Domain Threat Intelligence fornisce security testing e adottare soluzioni
durante la Pandemia opera su informazioni e indicatori utili per di sicurezza proattiva.
due concetti base: path of least attuare migliori strategie di Cyber
resistance e vulnerability attacks. difesa e migliorare la resilienza
Cosa significa? del proprio perimetro aziendale.
Significa che i Criminal Hacker
cercheranno nella maggior parte
dei casi il percorso più semplice
per attaccare le proprie vittime,
senza badare troppo a chi stanno
veramente andando a colpire.
Questo va a braccetto con il concetto
di vulnerability attacks; individuato
un exploit, si cercano i sistemi che
possono essere attaccati tramite la
vulnerabilità prescelta dal Criminal
Hacker. Poco importa che il bersaglio
sia una PMI, una struttura sanitaria o
una grande azienda strutturata.
Nel mondo del Cyber Crime as a
Service il livello di skill richiesto è
molto più basso di quanto si possa
immaginare, attacchi preconfezionati
vengono venduti a basso prezzo sul
Dark Web già Ready to Use.
5
Lavoro da remoto
e COVID-19
di Riccardo Modena
Premessa Tuttavia, la modifica delle abitudini delle reti domestiche, l’utilizzo di
lavorative e l’adozione di nuove connessioni non sicure per accedere
Se possiamo trarre qualcosa di tecnologie ampliano sensibilmente il ai sistemi aziendali, la difficoltà
positivo dall’emergenza COVID-19 è “perimetro di sicurezza” dell’Azienda nell’addestrare i propri dipendenti e
sicuramente la consapevolezza che esponendo utenti, infrastrutture, l’assenza di politiche per la sicurezza
non siamo pronti. applicazioni, informazioni e dati delle informazioni atte gestire le
Non lo siamo tutti e non lo siamo personali ai rischi del Cyber- complessità del Lavoro da Remoto.
come vorremmo, soprattutto se Spazio. Rischi che non devono I Cyber-Criminali possono sfruttare
pensiamo a quelle imprese italiane essere sottovalutati, tantomeno questi fattori di rischio e utilizzare
che, da un giorno con l’altro, si sono in un momento come questo: se diverse metodologie di attacco
viste costrette a percorrere una l’obiettivo di ogni Cyber-Criminale (es. malware, intrusione in reti non
marcia forzata verso l’applicazione è individuare nuove vulnerabilità e sicure, attacchi di ingegneria sociale,
del Lavoro da Remoto: una modalità sfruttarle a proprio vantaggio, cosa ecc.) per accedere in modo non
operativa che si è fatta spazio nella c’è meglio di un’emergenza globale autorizzato a dati e informazioni o
vita di milioni di persone, con i suoi che ha improvvisamente costretto le impedire il corretto funzionamento dei
benefici, le sue difficolta ed i suoi Aziende ad introdurre nuovi strumenti servizi aziendali. Questi pericoli sono
rischi. operativi o estendere l’uso di quelli maggiori per le imprese di dimensioni
già adottati? minori, dove non è sempre presente
Lavoro da Remoto Per questo motivo l’applicazione del personale con competenze specifiche
Lavoro da Remoto richiede controllo nell’ambito della Cyber Security.
L’introduzione del Lavoro da Remoto e preparazione, ma soprattutto la
è un processo lento e complesso, conoscenza dei rischi di Cyber- Misure minime di sicurezza
che richiede lo svolgimento di diverse Security connessi a questa nuova
attività preparatorie: riorganizzazione modalità operativa e delle azioni Quali sono, dunque, le misure di
dei processi, digitalizzazione delle necessarie per mitigarli. sicurezza che ogni Azienda deve
attività, adozione di tecnologie adottare in questo particolare
abilitanti (es. piattaforme di Vulnerabilità e contromisure momento ed in generale quando
collaborazione, Cloud, VOIP, ecc.) s’intende affrontare la sfida del
e di adeguati sistemi di sicurezza, Il Lavoro da Remoto presenta diversi Lavoro da Remoto? La sicurezza
istituzione di regole, formazione dei rischi (es. difficolta di interazione, di questa modalità operativa deve
dipendenti, ecc. sovrapposizione di vita privata e essere affrontata considerando tre
Ma cosa succede quando le Aziende vita lavorativa, solitudine derivante dimensioni fondamentali: persone,
sono esposte ad un rischio concreto dall’abbandono delle consuetudini, processi, tecnologie.
di interruzione del proprio Business ecc.). Tuttavia, per quanto ci riguarda,
che le costringe all’adozione quasi il podio è sicuramente ricoperto Persone
forzata del Lavoro da Remoto? Le dai pericoli informatici, che trovano
priorità vengono rimescolate, la massima espressione negli attacchi Ciascun utente deve essere informato
continuità del Business assume la di Cyber-Criminali a danno delle sulle modalità di svolgimento delle
prevalenza sul resto e in molti casi, Aziende. proprie attività al di fuori del contesto
la tutela delle informazioni e dei dati aziendale e sensibilizzato sui rischi
personali è messa in secondo piano. Tra i principali fattori di rischio a cui va incontro nel momento in cui
Il Lavoro da Remoto offre infatti ricordiamo l’utilizzo di dispositivi utilizza lo strumento del Lavoro da
un’ampia serie di benefici alle personali che spesso non assicurano Remoto. Soprattutto, deve essere
Aziende che l’hanno sperimentato il rispetto degli Standard di sicurezza reso consapevole del proprio ruolo
e lo applicano nel modo corretto. definiti dall’Azienda, la vulnerabilità come partecipante attivo nella
6
“catena” della sicurezza delle periodici per minimizzare il
informazioni che, come insegnerebbe Tecnologie rischio di perdita di informazioni
qualsiasi Cyber-Criminale, è tanto e dati personali in caso
forte quanto il suo anello più debole. L’ultima dimensione è la più di malfunzionamento del
complessa da gestire, perché dispositivo;
Agire sulle persone significa richiede l’individuazione e l’adozione • Aggiornamento: l’aggiornamento
prepararle ad affrontare una platea di tecnologie idonee a consentire costante del sistema operativo e
di minacce sempre più numerosa, il Lavoro da Remoto in sicurezza. del software di sicurezza assicura
fornendo loro gli strumenti necessari Per fare ciò, occorre considerare i una protezione continua contro
per proteggersi e le procedure seguenti elementi “chiave”: i pericoli del Cyber-Spazio (es.
da attivare in caso di emergenza Virus, Malware, Trojan, ecc.);
(es. rilevazione di un incidente di • Sicurezza dei dispositivi: • Sicurezza delle connessioni:
sicurezza). utilizzare preferibilmente la scarsa sicurezza delle reti
È anche importante analizzare le dispositivi aziendali, configurati domestiche può essere in parte
competenze interne e affidarsi a secondo gli Standard di sicurezza mitigata attraverso l’utilizzo di
Partner competenti, in grado di definiti dall’Azienda (es. antivirus, connessioni crittografate (es.
supportare l’Azienda dal punto di backup, aggiornamenti, ecc.); VPN, SSH, HTTPS, ecc.).
vista operativo e di sicurezza. • Autenticazione: i sistemi
dell’Azienda devono poter Un occhio alla Privacy
Processi essere acceduti solo dagli
utenti autorizzati, verificandone Le misure elencate devono essere
L’attuale emergenza sottolinea l’identità degli stessi (es. progettate ed adottate in conformità
l’importanza di definire piani e autenticazione multifattoriale); con le norme vigenti in tema Privacy,
regole che permettano all’Azienda di • Autorizzazione: utenze e privilegi analizzando gli impatti delle nuove
garantire la continuità del Business devono consentire agli utenti modalità di lavoro sulla protezione dei
e che orientino il comportamento di accedere solo ai sistemi, alle dati personali e adottando adeguate
degli utenti, al fine di mantenere gli informazioni e ai dati personali contromisure.
Standard di sicurezza definiti anche necessari per lo svolgimento
nei momenti più critici. Per fare dell’attività lavorativa; Conclusioni
ciò occorre analizzare i processi • Crittografia: la cifratura del disco
interni, verificare se possono fisso offre la garanzia che, in Di fronte all’emergenza COVID-19,
essere digitalizzati o resi più sicuri, caso di furto del dispositivo, le molte Aziende si sono viste costrette a
formalizzarli e definire le regole informazioni e i dati personali ricorrere al Lavoro da Remoto senza
che devono essere rispettate nello non possano essere acceduti in seguire l’approccio sopra descritto.
svolgimento degli stessi. modo non autorizzato; Terminata la crisi occorrerà affrontare
• Sicurezza fisica: i dispositivi questa tematica in modo strutturato,
In mancanza del tempo necessario incustoditi devono essere dotati cogliendo appieno i benefici che il
per svolgere queste attività, si di automatismi per il blocco dello Lavoro da Remoto offre all’Azienda e
suggerisce di predisporre un schermo in caso di inattività ai lavoratori.
disciplinare rivolto agli utenti, usando dell’utente, in modo da impedirne
come riferimento i principali Standard l’utilizzo da parte di soggetti terzi;
in tema di sicurezza delle informazioni • Backup: i documenti devono
(es. ISO 27001). essere sottoposti a Backup
7
Perché le aziende devono
diventare Cyber-Resilienti
di Davide Giribaldi
L’esperienza del Covid-19 è premesse, cosa dovremmo continuare ad offrire “fiducia” ai
destinata a condizionare le nostre aspettarci dal prossimo futuro? nostri clienti dipenderà in buona
vite per diverso tempo e da un certo parte dalla nostra capacità ad
punto di vista cambierà in maniera Da questo punto di vista mi individuare, gestire e mitigare i rischi
irreversibile il nostro modo di essere sento ottimista perché avremo cyber delle nostre infrastrutture in
imprenditori, ma fortunatamente la possibilità di migliorare i nostri un ecosistema che si estenderà
ci lascerà l’opportunità di un servizi e di crearne nuovi, di studiare ben oltre il nostro perimetro ma che
cambiamento epocale trasformando diversi modelli di business e cercare dovrà necessariamente coinvolgere
la cybersecurity e la governance strategie più efficaci per rendere più anche i nostri fornitori, i nostri
dei rischi nel nostro più importante competitive le nostre aziende e tutto partner ed ovviamente i nostri clienti,
fattore di successo post pandemia. ciò dipenderà dalla velocità e dalla in una sorta di collaborazione a 360
profondità con cui sapremo adattarci gradi in cui le sorti di ognuno di noi
I motivi sono diversi e primo fra ad un nuovo contesto. dipenderanno anche dalla capacità
tutti un nuovo e diverso bisogno di degli altri di fare squadra.
fiducia. Tutto ciò si chiama resilienza ed è lì Raggiungere e mantenere la “cyber-
Da alcuni anni le aziende di ogni che ci giocheremo una buona parte resilience” implica la capacità di
settore economico e di qualsiasi del nostro futuro imprenditoriale. comprendere e gestire il rischio
dimensione, hanno intrapreso Se pensiamo all’evoluzione degli associato ad ogni singolo elemento
un processo di trasformazione ultimi 24 mesi, uno degli aspetti dell’infrastruttura digitale attraverso il
digitale che l’emergenza Covid-19 più significativi della nostra quale sono distribuiti i servizi e sono
ha improvvisamente accelerato, trasformazione digitale è stato gestite le informazioni; per questo
costringendoci a trasferire dentro l’aumento esponenziale della dovremo imparare sempre più ad
le mura domestiche una parte delle quantità di dati e d’informazioni che individuare le priorità e rendere
infrastrutture aziendali con il risultato abbiamo avuto a disposizione e che sicure le applicazioni i processi e le
di averle indebolite e di avere creato abbiamo dovuto gestire. infrastrutture.
un’immensa superficie di attacco per Cosa dovremo fare?
gli hacker che mai prima d’oggi si La loro diffusione è stata possibile
sono trovati davanti opportunità così grazie ad alcune tecnologie come Dovremo elaborare ed integrare
ghiotte. il cloud e lo sarà ancora di più piani strategici di Governance, Risk,
con la diffusione del 5G ed è Compliance e Cybersecurity per
Lo stress derivante dalla forzata avvenuta lungo alcune direttrici comprendere l’impatto dei rischi sul
clausura, unito alla preoccupazione come il segmento mobile, l’IoT ed business, per definire nuove policy
per qualcosa di improvviso e dal ovviamente l’intelligenza artificiale. ed adeguare i budget a nuove sfide
forte impatto sociale come questo La conseguenza è stata un aumento che potranno essere vinte solo con
nuovo ed inaspettato virus, hanno considerevole delle superfici di l’allineamento dei rischi cyber alla
notevolmente abbassato le nostre attacco e quindi una maggiore mission ed alla vision aziendale.
difese; l’impossibilità di trasferire vulnerabilità ed una più accentuata
in così poco tempo “la sicurezza” esposizione a pericoli, tanto è Dovremo quindi allineare le strategie
aziendale dentro le nostre case ha vero che negli ultimi 18 mesi si è di business a quelle della cyber
fatto il resto, trasformando questo registrato un considerevole aumento security, prendere coscienza di
periodo in un incubo professionale di attacchi sempre più complessi ed nuovi rischi, valutarne l’impatto e
per i responsabili delle infrastrutture onerosi per le aziende che li hanno considerare ogni possibile danno
IT. subiti. a partire da quello reputazionale,
distinguere le diverse priorità
Ma con tutte queste ingenerose E’ quindi chiaro che la sfida per e trattarle adeguatamente, ma
8
soprattutto dovremo formare, ancora applicabile o necessiterà Dovremo infine compiere lo
istruire e mantenere costantemente di accorgimenti e di variazioni, sforzo più importante: cambiare le
preparati tutti i nostri collaboratori successivamente dovremo valutare nostre abitudini imprenditoriali con
ad un modo più efficace di gestire nuovi minacce ed opportunità, coraggio ma con estrema fiducia
l’azienda, che non potrà che calcolare il loro possibile impatto nelle capacità dei nostri collaboratori
svilupparsi solo attraverso una sulle nostre aziende e valutare se e dalle cui competenze dipende una
profonda consapevolezza dei rischi. come trattare questi nuovi scenari di buona parte della cyber resilienza
rischio. aziendale.
Come potremo farlo?
Dovremo simulare gli incidenti, Il covid lascerà certamente delle
Anche se non credo esista una ricetta verificare i nostri piani di backup e cicatrici, ma soprattutto immense
perfetta è probabile che un approccio soprattutto testare ogni possibile possibilità di migliorare ciò che non
per fasi sia la chiave di lettura ottimale scenario in un contesto di ha funzionato, cambiare ciò che
per garantire la continuità operativa miglioramento continuo e seguendo era sbagliato e creare ciò che non
delle aziende anche in situazioni il più classico degli approcci al project esisteva, in fondo anche questa è la
mutate come quelle post covid-19; management: plan, do, check, act! mission degli imprenditori!
prima di tutto dovremo valutare se
il nostro modello di business sarà
9200 minacce informatiche
distribuite sfruttando i nomi
di note applicazioni di social
meeting
di Kaspersky Lab
A seguito della progressiva adozione Oltre all’adware, in alcuni casi per i social meeting online venga
di misure di distanziamento sociale, gli esperti di Kaspersky hanno scaricato da una fonte legittima,
gli esperti di Kaspersky hanno individuato delle minacce nascoste configurato correttamente e non
esaminato il panorama delle sotto forma di file .lnk, ovvero presenti gravi vulnerabilità senza
minacce rivolte ad applicazioni di abbreviazioni per applicazioni. In patch”, ha dichiarato Denis Parinov,
videoconferenza per assicurarsi realtà la maggior parte di queste security expert di Kaspersky.
che gli utenti siano protetti e che minacce è stata rilevata come
la loro esperienza d’uso di queste Exploit.Win32.CVE-2010-2568, un
piattaforme di comunicazione sia codice malevolo abbastanza datato,
positiva. ma ancora diffuso, che consente
agli attaccanti di infettare alcuni
Le analisi condotte hanno rilevato computer con un ulteriore malware.
circa 1.300 file con nomi simili ad Skype è l’applicazione di social
applicazioni molto conosciute come meeting il cui nome è il più utilizzato
Zoom, Webex e Slack. Le applicazioni dai criminali informatici per distribuire
di social meeting attualmente offrono minacce informatiche. Gli esperti di
alle persone un modo semplice per Kaspersky hanno individuato120.000
comunicare tramite video, audio o diversi file sospetti che utilizzano
messaggi di testo in un frangente in il nome di questa applicazione.
cui non sono disponibili altri mezzi di Inoltre, a differenza dei nomi di altre
comunicazione. Da questa situazione applicazioni, il nome Skype viene
non hanno esitato a trarne vantaggio utilizzato per distribuire non solo
anche i criminali informatici, adware, ma anche vari malware, in
tentando di distribuire varie minacce particolare Trojan.
informatiche sfruttando il nome di
note applicazioni. “E’ bene precisare che non è stato
rilevato un picco drastico nel numero
Dall’analisi di questi 1.300 file di attacchi o nel numero di file
sono state rilevate 200 minacce. etichettati come note applicazioni di
Le più diffuse sono quelle legate a comunicazione. Il numero effettivo
due famiglie di adware, DealPly e di file rilevati in-the-wild che stiamo
DownloadSponsor. osservando è piuttosto moderato.
La situazione cambia quando,
Si tratta in entrambi i casi di installer invece, si tratta di Skype, ma questo
che mostrano annunci o scaricano è riconducibile alla popolarità
moduli adware. Questi software dell’applicazione, che, per molti anni,
appaiono solitamente sui dispositivi è sempre stata presa di mira dagli
degli utenti dopo essere stati autori delle minacce informatiche.
scaricati da marketplace non ufficiali. Nonostante ciò, riteniamo che sia
Sebbene l’adware non sia un tipo di importante far conoscere l’esistenza
software dannoso, può comunque di tali minacce. Nello scenario attuale,
costituire un rischio per la privacy. in cui la maggior parte delle persone
I prodotti di Kaspersky rilevano e lavora da casa, è estremamente
bloccano con successo DealPly e importante assicurarsi che ciò che
DownloadSponsor. viene utilizzato come strumento
10Share of files that spread under the guise
of popular social meeting applications
11Cyber Bulletin Regione Toscana: falsa ordinanza del presidente della giunta regionale Fonte: Commissariato di PS. Online Ancora una notizia falsa. Sta circolando una fake news della Regione Toscana, secondo la quale sarebbe stata revocata la possibilità di svolgere attività motoria nella regione per il contrasto e contenimento del covid19. La Regione Toscana, che ha completamente smentito il documento, ha presentato una segnalazione di reato alla Polizia Postale di Firenze. Si invitano gli utenti a verificare le notizie consultando esclusivamente il portale www.regione.toscana.it diffidando da messaggi o news che non siano direttamente riscontrabili rispetto alla fonte di provenienza. Sapete cos’è il Captcha? Fonte: Commissariato di PS. Online Il Captcha è un acronimo che sta per “completely automated public Turing test to tell computers and humans apart”, ovvero “un test completamente automatico (Turing Pubblico) per distinguere i computer dagli umani”. il Captcha è un box di lettere e numeri, spesso di difficile lettura, che ci viene chiesto di decifrare e riscrivere prima di concludere un’operazione online. Il Captcha aiuta a rendere più sicuri i siti web e a limitare bot, spam e tentativi di accesso non autorizzato ai siti internet. Nato per scopi di sicurezza, questo strumento è talvolta utilizzato anche dai cyber-criminali, interessati a “proteggere” le proprie pagine di phishing, con le quali compiere le ben note frodi informatiche su larga scala, da indagini “indesiderate” compiute attraverso sistemi di analisi automatizzate. Occorre dunque prestare massima attenzione, comprendendo che l’utilizzo di un captcha non vuol dire, di per sé, che il sito che stiamo visualizzando sia attendibile o sicuro. 12
Campagna Malware Android
con riferimenti a INPS e COVID-19
(BL02/200407/CSIRT-ITA)
Fonte: csirt.gov.it
Descrizione
INPS ha comunicato in un tweet nella giornata di ieri della presenza di una campagna volta a diffondere un’applicazione
Android malevola. La campagna si appoggia al dominio inps-informa.online, palesemente falso. La homepage contiene un
link per il download di una fantomatica applicazione per richiedere un bonus in denaro, se installata l’applicazione è in grado
di infettare il telefono. L’applicazione è diffusa anche tramite QR code che rimandano al link per il download.
Impatto potenziale
Il malware cerca di indurre l’utente ad installare un servizio di accessibilità con il quale è in grado di leggere il contenuto
dello schermo, fungendo da keylogger, e di simulare eventi di input (tocchi) per la dismissione di finestre di warning e
l’elevazione ad applicazione Device Admin.
Inoltre è in grado di :
• leggere gli SMS ed occultare gli SMS ricevuti per carpire i pin 2FA;
• mutare tutti i volumi del cellulare e bloccare lo schermo come forma di riscatto;
• esfiltrare informazioni come numero di telefono, operatore e modello di cellulare;
• disinstallare applicazioni;
• mostrare pagine di phishing all’apertura di determinate applicazioni (di home banking, IM e client e-mail);
• impedire la propria disinstallazione (chiudendo la finestra di sistema ogni volta che ci si prova).
• Soluzione
L’applicazione (per i payload osservati dal CERT-PA) non utilizza exploit per l’elevazione a root, per cui è di facile rimozione
con strumenti tipo ADB.
Vulnerabilità ad alta criticità su Cisco Firepower Threat
Defense e relativo software Adaptive Security Appliance
(AL01/200511/CSIRT-ITA)
Fonte: csirt.gov.it
Descrizione
Nelle giornate del 6 e 7 maggio 2020, Cisco ha rilasciato un aggiornamento che corregge diverse vulnerabilità considerate
altamente critiche, individuate in alcuni prodotti dedicati alla sicurezza delle reti. In particolare, sono risultati vulnerabili il
software Cisco Firepower Threat Defense (FTD), che fa parte della sua suite di prodotti per la sicurezza della rete e la
gestione del traffico, e il relativo software Adaptive Security Appliance (ASA), il sistema operativo dedicato alla sicurezza
delle reti aziendali.
Impatti potenziali
Le vulnerabilità, se efficacemente sfruttate, potrebbero consentire a un utente malintenzionato di provocare esaurimento
della memoria, avere accesso, modificare, cancellare dati sensibili o informazioni riservate, aggirare i meccanismi di
autenticazione o creare condizioni di Denial of Service (DoS) sul dispositivo interessato.
Soluzione
Si raccomanda di procedere all’aggiornamento dei prodotti interessati.
13ANNO 1
Aprile/Giugno
2020
CYBER MagazinePuoi anche leggere
