Ransomware: aziende svizzere nel mirino.

Il fatto che gli hacker criminali non si prendano una pausa estiva è stato notato da diverse società svizzere nelle ultime settimane. Come riportato dall’Ufficio Indagini Statistiche MELANI della Confederazione, gli hacker hanno attaccato diverse aziende, infiltrandosi con successo nelle loro reti aziendali e criptando i loro dati per estorcerle. Gli scenari di attacco sono noti, ma si possono adottare misure di difesa.

  #Cloud Security   #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture   #SIEM   #Cyber Defense Center   #Vulnerability Management  

 

Secondo quanto riportato dai media, le aziende interessate includono tra l'altro il fornitore di software per applicazioni bancarie Crealogix[i] e la società di servizi per l‘edilizia Meier Tobler[ii]. Crealogix ha confermato che il malware inserito ha reso inutilizzabili i loro sistemi Windows interni. I clienti, i servizi del data center o il codice sorgente del software interno non sono stati colpiti e l'attacco è stato rapidamente messo sotto controllo. Sembra che l‘azienda Meier Tobler sia stata colpita più duramente in quanto, dopo un attacco da parte di un Cryptotrojan, le operazioni sono state in gran parte paralizzate: il sistema centrale di gestione delle merci SAP, il sistema di gestione del magazzino, la telefonia di rete fissa, il sito web e tutti gli account di posta elettronica sono stati bloccati. Nel frattempo l’azienda è di nuovo operativa e, secondo i piani di emergenza esistenti, continua a lavorare a pieno ritmo per ricostruire l’infrastruttura, secondo quanto riportato sul sito web dell’azienda.

 

Spear phishing in aziende svizzere

In realtà, gli attacchi informatici alle aziende svizzere non rappresentano un problema nuovo. Tuttavia, secondo la Federal Intelligence Service [iii], sono stati segnalati sempre più attacchi informatici in cui gli aggressori hanno adottato un approccio diverso. Sono noti i seguenti scenari di attacco:

  • Gli aggressori inviano intenzionalmente e-mail dannose a società svizzere (spear phishing) [iv], per infettarle con ransomware. Queste generalmente contengono un collegamento a un sito web dannoso o ad un file allegato.
  • Nei forum Internet pertinenti viene offerto l’accesso a computer infetti presso delle aziende svizzere. Questi sono solitamente infettati da „emotet“, „trickbot“ o anche „qbot“. I gruppi criminali pagano l'accesso a questi computer infetti al fine di infiltrarsi nella rete della vittima su larga scala.
  • Gli aggressori scansionano Internet alla ricerca di server VPN e terminali aperti e cercano di accedervi tramite attacchi di forza bruta.
  • In tutti questi approcci sopra descritti, gli aggressori utilizzano strumenti d’attacco aggiuntivi come „cobalt strike“ o „metasploit“ per ottenere i diritti di accesso necessari per l’azienda. Se ciò avviene correttamente, un ransomware viene inserito nei sistemi, che quindi crittografa completamente i dati.

 

Prevenire è meglio che curare

A causa dell'attuale situazione di pericolo, MELANI avverte nuovamente e con urgenza le aziende svizzere contro il ransomware e raccomanda vivamente di attuare quanto prima le seguenti misure:

  • Eseguire regolarmente backup dei dati, ad esempio su un disco rigido esterno. Assicurarsi di scollegare fisicamente dal computer o dalla rete il supporto su cui si genera la copia di sicurezza dopo il backup. In caso contrario, sussiste il pericolo che gli aggressori possano anche accedere ai dati del backup, criptarli o cancellarli.
  • Le soluzioni di backup basate sul cloud devono garantire che siano inaccessibili ai ransomware, ad esempio richiedendo l'autenticazione a due fattori per le operazioni critiche.
  • Verificare la qualità dei backup e importare i dati per evitare di perdere tempo in caso di emergenza.
  • I sistemi operativi e tutti i programmi installati sui computer o sui server devono essere aggiornati in modo coerente e immediato. Proteggere inoltre tutte le risorse accessibili da Internet con un secondo fattore (in particolare i terminali, gli accessi RAS e VPN). Mettere un server di terminale dietro un portale VPN.
  • Bloccare la ricezione di allegati di posta elettronica pericolosi sul vostro account, inclusi i documenti di Office con macro. Un elenco degli allegati da bloccare è disponibile qui [v].

 

UMB analizza la vostra situazione in materia di sicurezza

UMB è in grado di rilevare le vulnerabilità sui vostri sistemi, di analizzare e di monitorare il traffico dei dati e la vostra rete con tecnologie avanzate di gestione dei log e dei rischi. Possiamo scoprire i profili dei vostri aggressori e trovare pericoli nascosti prima che possano causare danni alla vostra azienda. Scegliete oggi stesso un'analisi di sicurezza di UMB Security Intelligence. Contattateci.

 

[i]inside-it.ch: Crealogix dopo un attacco di phishing

[ii](Giornale di Lucerna) Meier Tobler: Domande in sospeso su attacchi informatici

[iii]Aggiornamento Melani Ransomware

[iv]Wikipedia: Cosa è Spear-phishing?

[v]Liste: Quali tipi di file devono essere bloccati?