La protezione degli endpoint con un antivirus evoluto è fondamentale, ma per proteggere in maniera efficace l’infrastruttura sono necessarie soluzioni che agiscano tra di loro in maniera sinergica, coprendo tutta la superfice di attacco, e di un SOC che agisca quando i sistemi automatici falliscono.
L’MDR (Managed Detection & Response) è un servizio di sicurezza informatica che combina le competenze di professionisti che operano 24/7 con le capacità e la rapidità di analisi offerte dai sistemi cloud e dall’intelligenza artificiale, per monitorare e contrastare le minacce informatiche a livello di endpoint. È la soluzione emergente in questo ambito.
Tra le minacce più diffuse troviamo:
LOCKBIT: Il ransomware LockBit è un software dannoso progettato per bloccare l’accesso degli utenti a sistemi informatici in cambio del pagamento di un riscatto. LockBit va automaticamente in cerca di obiettivi di valore, diffonde l’infezione e cripta tutti i sistemi informatici accessibili in una rete. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni.
EMOTET: Il trojan Emotet è uno dei malware più pericolosi nella storia della cybersecurity. Chiunque potrebbe essere una potenziale vittima (privati, aziende, istituzioni).
Emotet “inganna” gli antivirus più elementari, rimanendo non identificabile da essi. Una volta infettati i sistemi, il malware si diffonde come un worm cercando di infiltrarsi in altri computer nella rete.
Emotet si diffonde principalmente attraverso e-mail di spam. L’e-mail contiene un collegamento dannoso o un documento infetto.
Il DHS (Dipartimento della sicurezza interna degli Stati Uniti, noto in inglese come Homeland Security) è arrivato alla conclusione che Emotet sia un software dotato di un enorme potere distruttivo.
Emotet è senza dubbio uno dei malware più complessi e pericolosi della storia. Il virus è polimorfico; questo significa che il suo codice cambia leggermente ogni volta che vi si accede e ciò rende difficile l’identificazione del virus tramite i software anti-virus, molti dei quali eseguono ricerche basate sulla firma.
SOCGHOLISH: SocGholish è principalmente noto per il suo stile di download “drive-by” dell’infezione iniziale. Tali attacchi utilizzano JavaScript dannoso, che viene “iniettato” in siti Web compromessi altrimenti legittimi. Se una vittima ignara riceve un’e-mail contenente un collegamento a un sito Web compromesso e fa clic su di esso, il codice JavaScript iniettato verrà eseguito al caricamento della pagina da parte del browser.
Se il browser della vittima soddisfa i requisiti di idoneità per l’infezione, all’utente verrà presentato il download di un file mascherato da aggiornamento del browser. Il prompt di aggiornamento dal dominio previsto rafforza la presunta autenticità dell’aggiornamento.
Una volta eseguito il playload del file dannoso, inizia la terza fase dell’attacco SocGholish. Una serie di chiamate WMI (Windows Management Instrumentation) viene richiamata dal processo padre che esegue il payload JavaScript (in questa generazione corrente è stato osservato wscript sebbene sia possibile sfruttare cscript o altri host di script Windows nativi). Le chiamate WMI servono a profilare il sistema per accertare l’idoneità per ulteriori payload successivi. Dati come trust di dominio, nome utente e nome del computer vengono esfiltrati nell’infrastruttura controllata dall’aggressore.
ANDROID DROPPERS: AndroidDroppers sfrutta app apparentemente innocue in quanto non contenenti propriamente codice malevolo – e, dunque, possono passare senza intralci i controlli di Google – ma minano la sicurezza degli smartphone e degli utenti ignari rimandando l’introduzione del malware a un secondo momento, tramite un fatidico aggiornamento da completare attraverso una pagina fasulla del PlayStore con cui avviene il collegamento ai servizi di accessibilità.
GENIEO: Anche i MAC non sono al sicuro. Genieo è un adware che cambia la homepage del browser Web per visualizzare una pagina personalizzata e raccogliere informazioni personali. Il software in sé è gratuito ma si paga un prezzo altissimo: il cedimento di dati personali senza consenso!
Genieo guadagna con la vendita e la visualizzazione personalizzata di pubblicità disparate, annunci pubblicitari camuffati da articoli.
In sintesi, Genieo tiene traccia di quali siti un utente visita e cerca di guidare le ricerche e la navigazione su importanti siti commerciali.
Volete sapere come proteggervi da tutte queste minacce? Contattateci e saremo a vostra disposizione per chiarimenti e strategie di difesa.
