Ransomware as a service: gli utenti Windows possono ancora reagire

ransomware windows
Grazie alle regole dell'Attack Surface Reduction di Windows 10 e 11 (e ad altre modifiche), gli utenti possono rendere più efficace la protezione contro i ransomware.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Ransomware. Una parola che può far rabbrividire chiunque, dai vertici aziendali agli utenti privati. A volte è difficile farsi un’idea dell’intero settore dei ransomware (e sì, ora è un settore). Tuttavia, in base alle analisi aneddotiche dei forum e dei social media, sembra che gli attacchi contro i singoli individui stiano rallentando ed è quindi possibile che gli aggressori si siano resi conto che puntare su obiettivi “unici” non sia il miglior piano commerciale. Infatti, in un recente seminario online di Microsoft Secure (è necessaria la registrazione), Jessica Payne e Geoff McDonald discutono di come il ransomware sia ormai un grande business, offerto come servizio da chi vende ad altri l’accesso alle reti compromesse.

Quando gli aggressori si accaniscono su bersagli famosi, spesso creano una cattiva pubblicità per l’industria del ransomware, che per questo motivo si sta coordinando per evitare i titoli dei giornali che potrebbero indurre i fornitori e i provider a rafforzare la sicurezza, gli utenti finali a applicare le patch e le aziende a implementare soluzioni di sicurezza più efficaci.

Inoltre, gli aggressori stanno prendendo di mira i risultati delle ricerche per ottenere le informazioni di cui i team IT hanno bisogno per svolgere il loro lavoro. Un risultato di ricerca potrebbe, ad esempio, indirizzare gli amministratori verso uno strumento dannoso che li induce a installare una potenziale backdoor. Tale accesso viene poi venduto sul mercato nero. Sebbene le aziende stiano facendo un lavoro migliore per quanto riguarda le patch dei sistemi operativi e delle suite Office, fanno ancora troppo affidamento sul fatto che gli utenti finali siano sufficientemente attenti. Se gli utenti non sono almeno un po’ paranoici, ovvero si fermano a riflettere prima di cliccare su link di phishing, le reti rimangono vulnerabili.

Il ransomware può entrare nei sistemi anche a causa di configurazioni errate della sicurezza o di vulnerabilità trascurate. Payne ha fornito ulteriori informazioni in un post del 2022 dal titolo Ransomware as a Service. Le regole dell’Attack Surface Reduction (ASR) rimangono un insieme di strumenti che molte aziende non sfruttano. In realtà questo set di regole può essere attivato nelle versioni Professional di Windows 10 e 11 per incrementare la capacità di Windows di bloccare gli aggressori.

ransomware-fatebenefratelli-sacco-lombardia

Anche se non siete clienti di Microsoft 365 Defender, potete implementare le regole ASR specifiche che mirano ai processi ransomware:

  • Bloccare l’esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
  • Bloccare il furto di credenziali dal sottosistema dell’autorità di sicurezza locale di Windows (lsass.exe)
  • Bloccare la creazione di processi provenienti da comandi PsExec e WMI
  • Utilizzare una protezione avanzata contro il ransomware.

Le regole ASR, che di solito non causano effetti collaterali al normale funzionamento del PC, possono essere impostate per “controllare” i sistemi piuttosto che imporre restrizioni. Questo è un modo per verificare l’impatto su una rete. Inoltre, Microsoft ha apportato delle modifiche a Office per rallentare la diffusione del ransomware. Una recente modifica riguarda le macro VBA. Come ha sottolineato Microsoft, “le macro VBA sono un modo comune per gli attori malintenzionati di ottenere l’accesso per distribuire malware e ransomware. Pertanto, per contribuire a migliorare la sicurezza di Office, Microsoft sta modificando il comportamento predefinito delle applicazioni di Office per bloccare le macro nei file provenienti da Internet. Con questa modifica, quando gli utenti aprono un file proveniente da Internet, ad esempio un allegato di un’e-mail, e tale file contiene macro, verrà visualizzato un avviso rosso nella parte superiore del file aperto”.

Gli utenti devono identificare i file di cui hanno bisogno per il lavoro e assicurarsi che non siano più considerati sospetti e che siano contrassegnati come affidabili (potete consultare questa guida per assicurarvi di non bloccare i file di cui avete bisogno). Come si legge nella presentazione, “QakBot ed Emotet si sono entrambi basati pesantemente su macro dannose per l’accesso iniziale. Ma dopo che Microsoft ha disabilitato le macro a livello globale, sono passati ad altre tecniche, come l’utilizzo di link diretti ai payload e alle e-mail di phishing o l’inserimento di allegati di OneNote a tali e-mail di phishing”.

Questo mese, inoltre, OneNote su Windows sarà dotato di protezioni aggiuntive per gli utenti che aprono o scaricano un file incorporato in OneNote. Gli utenti riceveranno una notifica dei file considerati pericolosi, una modifica pensata per migliorare l’esperienza di protezione dei file in OneNote. È chiaro che Microsoft sta cercando di stare un passo avanti agli aggressori.

Alcuni operatori di ransomware stanno inoltre passando all’estorsione. Dimostrando a un’azienda di poter distruggerne i dati sia in sede, sia nel cloud (senza poi farlo davvero), gli aggressori possono ottenere un compenso senza infliggere danni. Anche per affrontare questa ennesima minaccia, Microsoft ha organizzato un evento di follow-up dall’11 al 13 aprile per approfondire gli argomenti trattati nel corso di Microsoft Secure. Per ulteriori risorse e informazioni, l’organizzazione SANS offre un Ransomware Summit gratuito di un giorno, il 23 giugno, per discutere i vettori di accesso iniziali e le tecniche di difesa.

ransomware as a serviceSicurezzaWindows 10
Aziende:
Microsoft
// Data pubblicazione: 04.04.2023
Condividi:
 

Darktrace/Email migliora la difesa contro gli attacchi potenziati dall’IA generativa

Darktrace/Email
Le nuove funzionalità di Darktrace/Email sono state sviluppate per affrontare i nuovi attacchi via email e le comunicazioni malevole sempre più complesse potenziate dall'IA generativa.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Darktrace ha annunciato un nuovo aggiornamento del suo prodotto di sicurezza Darktrace/Email con funzionalità migliorate che difendono le organizzazioni dall’evoluzione delle minacce informatiche, tra cui la compromissione generativa delle email aziendali (BEC) e nuovi attacchi di social engineering. Tra le nuove funzionalità vi sono un ciclo di feedback tra IA e dipendenti, la protezione contro l’acquisizione di account, le informazioni provenienti da endpoint, rete e cloud e i rilevamenti comportamentali di e-mail errate. L’aggiornamento arriva in seguito alla crescente preoccupazione per la capacità dell’IA generativa (come ChatGPT e altri modelli linguistici di grandi dimensioni) di potenziare gli attacchi di phishing via e-mail e di offrire agli attori delle minacce la possibilità di creare campagne più sofisticate e mirate su larga scala.

Le nuove funzionalità di Darktrace/Email consentono di rilevare gli attacchi non appena vengono lanciati. Secondo Darktrace, infatti, il sistema non è addestrato a riconoscere l’aspetto storico del “pericolo” sulla base di attacchi passati, ma apprende i normali modelli di vita di ogni singola organizzazione. Questa caratteristica è fondamentale per affrontare i nuovi attacchi via e-mail e le comunicazioni malevole linguisticamente complesse potenziate da ChatGPT e da altri strumenti LLM. Inoltre, Darktrace/Email è in grado di rilevare i nuovi attacchi via e-mail con 13 giorni di anticipo (in media) rispetto agli strumenti di sicurezza e-mail che si basano sulla conoscenza delle minacce passate.

Con questo aggiornamento, Darktrace Cyber AI Analyst combina l’attività anomala delle email con altre fonti di dati, tra cui endpoint, rete, cloud, app e OT, per automatizzare le indagini e la segnalazione degli incidenti. Grazie a un contesto più ampio per le sue scoperte, l’IA di Darktrace è ora in grado di prendere decisioni più informate, con algoritmi che forniscono un quadro dettagliato della “normalità” basato su molteplici prospettive per produrre conclusioni altamente affidabili che sono contestualizzate e attuabili.

Le nuove funzionalità di Darktrace/Email includono:

  • Acquisizione di account e protezione delle e-mail in un unico prodotto
  • Rilevamento comportamentale delle e-mail errate, per evitare che la proprietà intellettuale o le informazioni riservate vengano inviate al destinatario sbagliato
  • Ciclo dipendente-IA che sfrutta le intuizioni dei singoli dipendenti per informare l’intelligenza artificiale di Darktrace e fornire approfondimenti in tempo reale e nel contesto, nonché consapevolezza della sicurezza
  • Gestione intelligente della posta per migliorare la produttività contro la posta indesiderata, lo spam e le newsletter che ingombrano le caselle di posta.
  • Flussi di lavoro ottimizzati e integrazioni per i team di sicurezza, compresa l’applicazione mobile Darktrace
  • Indagini automatizzate sugli incidenti di posta elettronica con altre aree di copertura grazie al Cyber AI Analyst

email-problemi-libero

Preoccupazione diffusa per gli attacchi e-mail e le attività dannose potenziate da ChatGPT

Dal lancio di ChatGPT da parte di OpenAI lo scorso anno, si sono diffusi dibattiti e preoccupazioni sulla capacità del chatbot di rendere gli attacchi di social engineering/phishing più sofisticati, più facili da portare a termine e con maggiori probabilità di successo. I dati di Darktrace hanno rivelato un aumento del 135% degli attacchi di social engineering su migliaia di clienti attivi nel settore delle e-mail da gennaio a febbraio 2023, proprio in corrispondenza con l’adozione di massa di ChatGPT.

Secondo Darktrace, questi attacchi hanno comportato l’uso di sofisticate tecniche linguistiche, tra cui l’aumento del volume del testo, della punteggiatura e della lunghezza delle frasi. Inoltre, l’82% dei 6.711 dipendenti globali intervistati da Darktrace ha dichiarato di temere che gli aggressori possano utilizzare l’IA generativa per creare e-mail truffaldine indistinguibili dalle comunicazioni autentiche.

La scorsa settimana, l’Europol ha inoltre avvertito che la capacità di ChatGPT di redigere testi altamente realistici lo rende uno strumento utile per il phishing, mentre la capacità dei LLM di riprodurre modelli linguistici può essere utilizzata per impersonare lo stile di linguaggio di individui o gruppi specifici. “Questa capacità può essere sfruttata su larga scala per ingannare le potenziali vittime e indurle a riporre la loro fiducia nelle mani di attori criminali”, ha dichiarato l’Europol.

A febbraio infine, uno studio condotto da BlackBerry su 500 responsabili IT del Regno Unito, ha rivelato che il 72% dei rispondenti è preoccupato dal potenziale utilizzo di ChatGPT per scopi malevoli e la maggior parte ritiene che Stati stranieri stiano già utilizzando il chatbot contro altre nazioni. Inoltre, il 48% degli intervistati ha previsto che un cyberattacco di successo sarà attribuito a ChatGPT entro i prossimi 12 mesi e l’88% ha affermato che i governi hanno la responsabilità di regolamentare tecnologie avanzate come ChatGPT.

attacchi emailDarktrace/Emailia generativa
// Data pubblicazione: 03.04.2023
Condividi: