Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Minacce alla sicurezza informatica che colpiscono le aziende nell’agosto 2023
Le minacce alla sicurezza informatica stanno aumentando rapidamente. Di conseguenza, i leader aziendali devono essere più consapevoli delle potenziali carenze nella loro strategia complessiva di sicurezza informatica. Le query di ricerca delle minacce, offerte come parte dei servizi SOC di Marcum Technology, sono fondamentali per identificare potenziali minacce nell'ambiente di un'organizzazione.
Di seguito sono riportate le quattro principali minacce emerse nell’ultimo mese.
Gli attacchi ransomware rappresentano un problema crescente per le organizzazioni di tutto il mondo, sia per portata che per gravità. Il team Incident Response di Microsoft ha indagato sui recenti attacchi ransomware BlackByte 2.0, rivelando la velocità allarmante e la natura distruttiva di questi attacchi informatici. I risultati indicano che gli hacker possono eseguire l’intero processo di attacco, dall’ottenimento dell’accesso iniziale al causare danni significativi, in soli cinque giorni. Si infiltrano rapidamente nei sistemi, crittografano dati cruciali e richiedono un riscatto per il loro rilascio. Questa tempistica ridotta rappresenta una sfida significativa per le organizzazioni che cercano di difendersi da queste operazioni dannose.
Il ransomware BlackByte viene utilizzato nella fase finale dell'attacco, utilizzando una chiave numerica di 8 cifre per crittografare i dati. Gli aggressori utilizzano una potente combinazione di strumenti e tecniche, sfruttando i server Microsoft Exchange senza patch per ottenere l'accesso e gettare le basi per le loro attività dannose. Il process svuotamento, le strategie di evasione antivirus, le web shell per l'accesso remoto e i beacon Cobalt Strike per le operazioni di comando e controllo migliorano ulteriormente le loro capacità, rendendo più difficile per le organizzazioni difendersi da essi. Inoltre, i criminali informatici utilizzano strumenti che “vivono fuori terra” per camuffare le loro attività ed evitare di essere scoperti. Modificano le copie shadow del volume sulle macchine infette per impedire il ripristino dei dati tramite punti di ripristino del sistema e distribuiscono backdoor personalizzate per l'accesso persistente anche dopo la compromissione iniziale.
Man mano che gli attacchi ransomware diventano più frequenti e sofisticati, gli autori delle minacce possono interrompere rapidamente le operazioni aziendali se le organizzazioni non sono adeguatamente preparate. La gravità di questi attacchi richiede un intervento immediato da parte delle organizzazioni di tutto il mondo e, in risposta a questi risultati, Microsoft fornisce raccomandazioni pratiche. Incoraggia l'implementazione di solide procedure di gestione delle patch per applicare tempestivamente gli aggiornamenti critici di sicurezza. Anche abilitare la protezione dalle manomissioni è fondamentale in quanto rafforza le soluzioni di sicurezza contro tentativi dannosi di disabilitarle o aggirarle. Seguendo le migliori pratiche, come il mantenimento di sistemi aggiornati e la limitazione dei privilegi amministrativi, le organizzazioni possono mitigare in modo significativo il rischio di attacchi ransomware BlackByte e altre minacce simili.
In una recente campagna, denominata “Nitrogen”, si è visto che il sideloading DLL viene sfruttato per le comunicazioni C2. Invece del consueto vettore di phishing, l’attacco è iniziato con un download drive-by da un sito WordPress compromesso. Il file, un'immagine ISO, contiene un file di installazione che deve essere eseguito manualmente dall'utente finale. Il programma di installazione procede quindi a caricare il file msi.dll e decrittografa il file di dati allegato. Una distribuzione Python incorporata e la DLL vengono rilasciate per essere trasferite localmente nel percorso C:\Users\Public\Music\python dell'utente.
Il malware crea quindi un'attività pianificata: "OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003", che esegue pythonw.exe. Ciò garantisce la persistenza del malware. L'attività viene pianificata per essere attivata all'avvio del sistema e scade il 1° dicembre 2029 a mezzanotte.
Una volta stabilita la persistenza, il malware può svolgere i propri compiti. È stato visto utilizzare il sideloading DLL per mantenere una connessione persistente con i server C2 e arrivare al punto di recuperare dati compressi/codificati e quindi eseguirli localmente.
Ad un certo punto, Cobalt Strike è stato osservato come carico utile scelto e sembra che anche altri potrebbero essere implementati. Questo malware ha sicuramente il potenziale per causare gravi danni, ma in questa campagna la consolazione è che l'utente deve eseguire manualmente un file scaricato tramite un download drive-by da un sito Web compromesso. Tuttavia, ciò potrebbe sempre avvenire tramite phishing, che rimane uno dei vettori più comuni grazie alla sua semplicità ed efficacia.