cerca CERCA
Giovedì 28 Marzo 2024
Aggiornato: 20:37
10 ultim'ora BREAKING NEWS

Comunicato stampa

Kaspersky: il 22% degli incidenti informatici avvenuti in Italia è stato condotto con strumenti legittimi impiegati in modo improprio

06 agosto 2020 | 14.57
LETTURA: 5 minuti

Il team Global Emergency Response di Kaspersky ha scoperto che circa un quinto (22%) degli attacchi informatici avvenuti in Italia e analizzati nel 2019 sono stati condotti tramite strumenti legittimi di gestione e amministrazione a distanza. La percentuale sale al 25% per l’Europa e al 30% a livello globale. Grazie all’impiego di strumenti legittimi per lanciare gli attacchi, gli attaccanti possono passare inosservati per un periodo maggiore di tempo. Ad esempio, i ripetuti attacchi di spionaggio informatico e il furto di dati riservati hanno avuto una durata media di 122 giorni. Questi risultati sono tratti dal nuovo Incident Response Analytics Report di Kaspersky . (1)

Il software di monitoraggio e gestione aiuta gli amministratori IT e di rete a svolgere le loro attività quotidiane, come la risoluzione dei problemi e il supporto tecnico ai dipendenti. Tuttavia, i criminali informatici possono anche sfruttare questi strumenti legittimi impiegandoli negli attacchi informatici all'infrastruttura di un'azienda. Questi software consentono loro di eseguire delle operazioni sugli endpoint, accedere ed estorcere informazioni sensibili, bypassando i diversi controlli di sicurezza che hanno lo scopo di rilevare i malware.

L'analisi complessiva dei dati anonimi dei casi di incident response (IR) ha evidenziato che gli attaccanti hanno utilizzato 18 diversi strumenti legittimi per scopi illeciti. Il più utilizzato è stato PowerShell (25% dei casi). Questo potente strumento di amministrazione può essere utilizzato per molteplici scopi, dalla raccolta di informazioni all'esecuzione di malware. Un secondo strumento, PsExec, console application progettata per eseguire operazioni su endpoint da remoto, è stato invece sfruttato nel 22% degli attacchi. Il terzo strumento più utilizzato è stato SoftPerfect Network Scanner (14%), destinato al recupero di informazioni sugli ambienti di rete.

Le percentuali sono maggiori se calcolate sui casi analizzati in Europa. PowerShell e PsExec sono stati utilizzati nel 50% dei casi, mentre SoftPerfect Network Scanner ha registrato il 37.5%.

Individuare gli attacchi condotti con strumenti legittimi è un compito difficile per le soluzioni di sicurezza, perché queste operazioni possono rientrare sia tra le attività pianificate di cybercrime che tra le regolari attività di un amministratore di sistema. Ad esempio, nel caso degli attacchi che si sono protratti per più di un mese, i cyber-incidenti hanno avuto una durata media di 122 giorni. Proprio perché non sono stati individuati, i criminali informatici hanno potuto acquisire i dati sensibili delle vittime.

Tuttavia, gli esperti di Kaspersky hanno osservato che in alcuni casi le azioni malevole compiute con software legittimo possono essere rilevate piuttosto rapidamente. Ad esempio, spesso vengono utilizzati negli attacchi ransomware e le conseguenze sono piuttosto evidenti. La durata mediana dell'attacco nei casi di azioni di breve durata è stata di un giorno.

"Per sfuggire al rilevamento e rimanere invisibili in una rete compromessa il più a lungo possibile, gli attaccanti utilizzano di frequente software sviluppato per la regolare attività dell'utente, i compiti dell'amministratore e la diagnostica del sistema. Grazie a questi strumenti gli attaccanti possono raccogliere informazioni sulle reti aziendali e quindi effettuare movimenti laterali, modificare le impostazioni di software e hardware o anche effettuare azioni dannose di vario tipo. Ad esempio, potrebbero utilizzare un software legittimo per criptare i dati dei clienti. I software legittimi possono anche aiutare gli attaccanti a eludere i controlli dei security analyst, che spesso rilevano l'attacco solo dopo che sia avvenuto. Anche se non è possibile proibire l’utilizzo di questi strumenti per varie ragioni, i sistemi di rilevamento e monitoraggio correttamente implementati possono contribuire a rilevare attività sospette nella rete e attacchi complessi nelle fasi iniziali", ha dichiarato Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.

Per rilevare e rispondere tempestivamente a questo tipo di attacco, tra i possibili provvedimenti da prendere le aziende dovrebbero valutare la possibilità di implementare una soluzione di Endpoint Detection and Response con una funzionalità MDR. La ricerca MITRE ATT&CK® Round 2 Evaluation, che ha valutato diverse soluzioni tra cui Kaspersky EDR e Kaspersky Managed Protection service, può aiutare i clienti a scegliere i prodotti EDR che meglio rispondono alle esigenze specifiche delle loro aziende. I risultati della valutazione ATT&CK Evaluation dimostrano l'importanza di una soluzione completa che combina un prodotto di sicurezza a più livelli completamente automatizzato e un servizio manuale di threat hunting.

Per ridurre al minimo le possibilità che un software di gestione remota venga utilizzato per penetrare in un'infrastruttura, Kaspersky raccomanda di adottare le seguenti precauzioni:

• Limitare l'accesso agli strumenti di gestione remota da indirizzi IP esterni e assicurarsi che le interfacce di controllo remoto siano accessibili solo da un numero limitato di endpoint

• Applicare una politica rigorosa sulle password per tutti i sistemi IT ed implementare l'autenticazione a più fattori

• Assegnare ai dipendenti account con privilegi limitati e concedere privilegi elevati solo a coloro che ne hanno bisogno per svolgere le loro mansioni.

Per avere maggiori informazioni su Kaspersky EDR è possibile visitare il sito ufficiale. Il report completo "Incident Response Analytics" è invece disponibile al seguente link.

(1) L'Incident Response Analyst Report fornisce informazioni sulle indagini sugli incidenti condotte da Kaspersky nel 2019. Kaspersky fornisce una serie di servizi per aiutare le organizzazioni nell'incident response, nell'analisi forense digitale e nell'analisi dei malware. I dati forniti nel report si basano sulle verifiche eseguite giornalmente con le aziende che richiedono assistenza nell'incident response o consulenza di esperti per i team interni di incident response. Le operazioni di Kaspersky Digital Forensics and Incident Response sono condotte dal Global Emergency Response Team (GERT), Computer Incidents Investigation Unit (CIIU) e Global Research and Analysis Team (GReA T), che vanta esperti in Europa, Asia, Sud e Nord America, Medio Oriente e Africa.

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 250.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

Contatto di redazione:

Noesis

kaspersky@noesis.net

Riproduzione riservata
© Copyright Adnkronos
Tag
Vedi anche


SEGUICI SUI SOCIAL



threads whatsapp linkedin twitter youtube facebook instagram
ora in
Prima pagina
articoli
in Evidenza