Sicurezza Informatica
La difesa contro il ransomware non basta: c’è bisogno di una strategia di recupero
Tempo di lettura: 4 minuti. È ora che le organizzazioni guardino oltre gli scudi contro il ransomware e si preparino in modo proattivo a possibili attacchi che potrebbero sfuggire alle maglie della rete.
![](https://www.matricedigitale.it/wp-content/uploads/2021/11/ransomware-1169x828-1169x828-1169x828.jpg)
Molti dirigenti d’azienda non si aspettano di subire una violazione, così come non si aspettano un incidente quando si mettono al volante della loro auto. Ma si spera che tutti si mettano la cintura di sicurezza… per ogni evenienza. Yuen Pin Yeap, CEO di NeuShield, sottolinea l’importanza di una strategia di recupero efficace, poiché la difesa dal ransomware non è sufficiente. L’atteggiamento di precauzione è un meccanismo di protezione che la maggior parte delle persone vive quotidianamente. E per legge, disponiamo di polizze e procedure assicurative nel caso in cui si verifichi un incidente imprevisto. Le organizzazioni guardano oltre gli scudi del ransomware e si preparano in modo proattivo ad affrontare eventuali attacchi che potrebbero passare inosservati. Difesa contro il ransomware supportata dal recupero I tempi di recupero del ransomware variano notevolmente, da uno o due giorni di inattività a mesi. Statista riporta che il tempo medio di inattività di un’azienda dopo un attacco ransomware è di 22 giorni. Quando si tratta di protezioni per la sicurezza informatica, è una follia non essere il più preparati possibile. Le aziende hanno bisogno di sistemi di backup e di una sicurezza a più livelli. Tuttavia, la maggior parte delle vittime non è preparata. In realtà, potrebbero non essere mai del tutto preparati a gestire le conseguenze, e qui sta il problema. Secondo un recente rapporto, il 95% degli attacchi ransomware ha tentato di infettare anche i sistemi di backup. Tutte le violazioni di ransomware degli ultimi anni sono sfuggite alle protezioni di cybersecurity. Se si parla di questo, le hanno superate. Ecco perché le organizzazioni hanno bisogno di strategie di recupero proattive oltre alle misure di sicurezza difensive e reattive. Per saperne di più: Cosa rende così pericolosa la banda di ransomware Hive che ha violato il Costa Rica? La guerra tra i difensori delle aziende e gli hacker nefasti Un residuo duraturo di molte guerre sono i campi minati, esplosivi nascosti in attesa degli ignari. I campi sembrano completamente sicuri, ma sotto di essi si nascondono armamenti che infliggono gravi danni. Qualsiasi organizzazione con risorse digitali opera in un panorama pieno di campi minati per la sicurezza informatica. Ransomware, altre minacce informatiche ed exploit maligni hanno creato un campo di battaglia che sicuramente danneggerà le aziende meno preparate. La sicurezza informatica deve essere agile come la forza lavoro di oggi. Deve garantire una protezione continua e coerente e un’esperienza utente ottimale, indipendentemente dalla posizione dell’infrastruttura, degli utenti e dei dispositivi. Di seguito sono riportate tre aree critiche che ogni organizzazione dovrebbe includere nella propria strategia. Ognuna di esse è parte integrante della creazione di una solida postura di cybersecurity. Cybersecurity difensiva Tecnologia di cybersecurity, processi e formazione degli utenti: Sicurezza degli endpoint, gestione delle identità e degli accessi, sicurezza delle e-mail, firewall, strumenti di crittografia, test di penetrazione, formazione dei dipendenti, ecc. Le misure di cybersecurity difensive includono una sicurezza a più livelli che utilizza diversi componenti distinti, ognuno dei quali ha scopi diversi e protegge aree diverse come dati, endpoint, server, applicazioni e reti.
Questo approccio multidimensionale è progettato per difendere le operazioni e proteggere le infrastrutture e i servizi. Tuttavia, queste soluzioni non sono impermeabili. Ricordate che praticamente tutte le violazioni di ransomware hanno aggirato le protezioni di cybersecurity negli ultimi anni. Cybersecurity reattiva Recupero manuale dei sistemi: Il ripristino manuale dei sistemi violati richiede che gli utenti portino i loro dispositivi in ufficio per consentire all’IT di recuperare i dati e i sistemi operativi. Poiché la maggior parte dei dipendenti lavora da casa, il ripristino manuale dei sistemi comporta costi elevati e tempi eccessivi (settimane e talvolta mesi) per riportare tutti i sistemi allo stato precedente alla violazione. Una violazione ransomware cripta tutti i dati presenti su un computer, non solo uno o due file. Questo potrebbe non essere un grosso problema per un singolo sistema o addirittura per una manciata di computer. Ma gli hacker non si concentrano su un solo dispositivo. Cercano di controllare il maggior numero possibile di computer. Questo può significare decine, centinaia e, per le grandi organizzazioni, migliaia di sistemi. Indipendentemente dalle dimensioni dell’azienda, praticamente tutte le organizzazioni non dispongono di personale sufficiente per gestire una violazione estesa. Di conseguenza, saranno sopraffatte e non saranno mai completamente preparate a gestire le conseguenze. Sistemi di backup: Il backup dei dati è fondamentale per qualsiasi azienda, grande o piccola che sia. I dati possono essere documenti Word, fogli di calcolo, e-mail, database, dati dei clienti e altri file, come immagini, musica, ecc. In caso di disastro naturale o di incidente, le postazioni di backup dei dati scollegate e fuori sede conservano i dati copiati da una postazione primaria. Si tenga presente che il backup dei dati non è progettato per il recupero delle violazioni informatiche. E anche se i fornitori promuovono che il ripristino può essere effettuato in quindici minuti, non è certo il caso di recuperare da una violazione di ransomware con il 100% dei dati crittografati. Quando si esegue un test di backup, non è cambiato molto. Quindi, ovviamente, il test può durare solo quindici minuti. Ma ci vuole molto più tempo per ripristinare un singolo sistema quando ci sono due gigabyte di dati modificati. Il ransomware cripta l’intero sistema, quindi tutti i dati sono persi. Se si moltiplica questo dato per centinaia o migliaia di sistemi violati, è facile capire perché il ripristino del backup non è una cosa da poco. È necessario formattare i sistemi, reinstallare o reimpostare i sistemi operativi e ricollegarli alla rete. A questo si aggiunge il tempo necessario per capire quale sia stata la violazione e quali sistemi siano stati colpiti. Quando centinaia di computer sono infetti, il tentativo di recuperarli tutti in una volta congestionerà la larghezza di banda della rete, ostacolando i normali flussi di lavoro aziendali e sovraccaricando e stressando il personale IT. Per saperne di più: Il futuro della difesa dai ransomware: A Primer for Business Leaders Cybersecurity proattiva Tecnologia di recupero immediato: C’è una grande differenza tra un attacco informatico e una violazione informatica. Sebbene le violazioni di ransomware non siano prevenibili al cento per cento, possono essere reversibili. Non possiamo sempre prevenire un attacco informatico, ma possiamo evitare la perdita di dati dovuta a una violazione. È qui che entra in gioco il recupero istantaneo, componente fondamentale di uno stack di sicurezza a più livelli. Un sistema che recuperi i dati e i sistemi operativi in pochi minuti, indipendentemente dalla quantità di dati crittografati, farà risparmiare tempo e denaro. Un sistema di recupero istantaneo aggiunge un overlay ai file e ai sistemi operativi come barriera protettiva per evitare che vengano modificati dagli hacker. Il personale IT non deve recuperare i dati dai sistemi di backup e reimpostare manualmente i sistemi operativi. Inoltre, elimina la necessità di recuperare i dati attraverso la rete, conservando la larghezza di banda ed eliminando la congestione. Ogni organizzazione con risorse digitali dovrebbe avere una strategia di cybersecurity a più livelli che includa capacità di difesa, risposta e ripristino. Queste sono essenziali per ottenere una solida postura di cybersecurity che sia agile e contribuisca a garantire una protezione continua e coerente, consentendo al contempo esperienze utente di qualità.
*** Tradotto con www.DeepL.com/translator (versione gratuita) ***
Sicurezza Informatica
OVHcloud mitiga attacco DDOS da 809 mpps
Tempo di lettura: 3 minuti. Scopri come Akamai e OVHcloud stanno mitigando gli attacchi DDoS più grandi mai registrati e l’ascesa degli attacchi basati su packet rate.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/ddos.jpg)
Negli ultimi anni, gli attacchi DDoS sono diventati sempre più sofisticati e devastanti. Recentemente, Akamai ha mitigato l’attacco DDoS basato su packet per second (PPS) più grande mai registrato, mentre OVHcloud ha osservato un aumento significativo degli attacchi basati su packet rate. Questo articolo esplora questi sviluppi e le implicazioni per la sicurezza informatica.
L’Attacco DDoS di Akamai
Akamai ha mitigato un attacco DDoS che ha raggiunto un picco di 809 milioni di pacchetti al secondo (Mpps), rendendolo il più grande attacco di questo tipo mai registrato. L’attacco è stato altamente distribuito, provenendo da diverse fonti in tutto il mondo, e ha preso di mira uno dei clienti di Akamai.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-44.png)
La chiave del successo di Akamai nella mitigazione di questo attacco è stata la sua capacità di distribuire il traffico malevolo attraverso la sua rete globale di server, riducendo l’impatto sul bersaglio principale. Questo approccio ha permesso ad Akamai di assorbire l’immenso volume di traffico senza compromettere la qualità del servizio per gli altri clienti.
Ascesa degli Attacchi Basati su Packet Rate – OVHcloud
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-45.png)
OVHcloud ha rilevato un aumento significativo degli attacchi DDoS basati su packet rate, con una particolare attenzione agli attacchi che superano i 100 Mpps. Questi attacchi mirano a sovraccaricare i motori di elaborazione dei pacchetti dei dispositivi di rete vicino alla destinazione, piuttosto che saturare la larghezza di banda disponibile.
Le origini degli attacchi basati su Packet Rate
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-48.png)
Gli attacchi basati su packet rate sono diventati una minaccia crescente, poiché richiedono risorse di elaborazione significative per essere mitigati. Questi attacchi sfruttano dispositivi compromessi, come router core, che possono generare un numero elevato di pacchetti al secondo.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-46.png)
OVHcloud ha osservato che molti di questi attacchi provengono da dispositivi MikroTik compromessi. Questi router, spesso utilizzati in contesti di rete aziendale, sono vulnerabili a diversi exploit che consentono agli attaccanti di utilizzarli per generare traffico DDoS ad alta velocità.
Impatto degli Attacchi Basati su Packet Rate
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-47.png)
Gli attacchi DDoS basati su packet rate sono particolarmente efficaci perché i dispositivi di rete, come i bilanciatori di carico e i sistemi anti-DDoS, faticano a gestire un elevato numero di pacchetti. Questo può portare a latenza e perdita di prestazioni, anche se la larghezza di banda totale non è saturata.
Mitigazione e Difese
Per mitigare questi attacchi, OVHcloud ha sviluppato appliance di rete personalizzate utilizzando FPGA e software userland (DPDK). Questi dispositivi sono progettati per gestire alti tassi di pacchetti, migliorando la capacità di OVHcloud di mitigare efficacemente gli attacchi DDoS.
Gli attacchi DDoS basati su packet rate rappresentano una sfida significativa per la sicurezza delle reti. Sia Akamai che OVHcloud hanno dimostrato che con infrastrutture adeguate e soluzioni innovative, è possibile mitigare questi attacchi e proteggere i servizi online. Tuttavia, l’evoluzione continua delle tecniche di attacco richiede una vigilanza costante e un continuo sviluppo di nuove strategie di difesa.
Sicurezza Informatica
NoName057: accordo con il ransomware italiano AzzaSec. L’analisi
Tempo di lettura: 4 minuti. Analisi del ransomware AzzaSec e le implicazioni geopolitiche di un accordo con NoName057 che modifica il concetto di Hacktivismo
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/aldebaran33_hacktivism_6afa1033-cc46-4764-ab14-1888f365dbef.jpg)
Il 26 giugno 2024, il gruppo NoName057 ha annunciato una nuova alleanza con AzzaSec, un team di hacker italiani, aumentando la loro visibilità nel panorama del cybercrime. AzzaSec, noto per i vari defacement di siti web, ha lanciato il proprio ransomware il 23 giugno 2024. Un report di Meridian Group fornisce un’analisi approfondita del sample ottenuto del ransomware AzzaSec, delle sue funzionalità e delle sue implicazioni per la sicurezza informatica.
Meridian Group: analisi del ransomware AzzaSec
Abbiamo creato un report interno per i nostri clienti che analizza l’alleanza tra il gruppo Noname057 e AzzaSec, che ha recentemente lanciato il proprio ransomware.” dichiara a Pietro di Maria di Meridian Group che ha condiviso il report in esclusiva con la redazione. “Questo ransomware, sviluppato in Visual Basic e Dotnet, è progettato per cifrare i file delle vittime, eliminare le shadow copy di Windows e modificare lo sfondo del desktop con messaggi di riscatto intimidatori“.
Struttura del ransomware AzzaSec
Il ransomware di AzzaSec è costituito da un unico elemento che include tutto il codice necessario per cifratura, comunicazioni HTTPS e persistenza nel sistema. È scritto in Visual Basic (VB) e Dotnet (.NET).
- Visual Basic (VB): Utilizzato per creare script che possono accedere, modificare e cifrare i file di sistema e interagire con l’utente.
- Dotnet (.NET): Fornisce capacità avanzate per la gestione e la cifratura dei dati, compatibilità con diverse versioni di Windows e facilità di integrazione con servizi web.
Azioni del malware
- Creazione della persistenza: Il malware crea un file nella cartella di avvio automatico di Windows per assicurare l’esecuzione ad ogni riavvio.
- Comunicazione e cifratura: Il malware inizia due procedure di comunicazione remota (RPC) per cifrare i file e eliminare le shadow copy.
- Modifica dello sfondo: Imposta un’immagine personalizzata come sfondo del desktop con le istruzioni per il pagamento del riscatto.
- Ransom Note: Visualizza un documento intimidatorio che spiega cosa è accaduto al PC e fornisce istruzioni per il pagamento del riscatto.
Le comunicazioni del malware avvengono principalmente tramite connessioni HTTPS, inviando informazioni critiche come la chiave di cifratura ai server degli hacker. Tuttavia, il campione analizzato mostra una semplicità che suggerisce una fase iniziale di sviluppo, ma non va sottovalutata la minaccia che rappresenta.
Analisi delle funzionalità di cifratura del Ransomware
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-42.png)
Il ransomware utilizza l’algoritmo AES (Advanced Encryption Standard) per la cifratura e la decifratura dei file. La funzione centrale EncryptOrDecryptFile gestisce sia la cifratura che la decifratura.
Analisi delle funzionalità Anti-Emulatore del Ransomware
Il ransomware implementa tecniche anti-emulatore per evitare l’esecuzione in ambienti controllati come emulatori, sandbox e macchine virtuali. Include funzioni per rilevare debugger, ambienti Sandboxie, macchine virtuali e piattaforme di analisi dinamica come Any.Run.
“Durante l’analisi, sono state rilevate diverse funzionalità anti-emulatore, che impediscono al ransomware di essere eseguito in ambienti controllati come sandbox e macchine virtuali. Nonostante la sua complessità, il ransomware non utilizza tecniche avanzate di evasione, rendendo possibile l’analisi e il reverse engineering del suo codice”.
Azioni sui processi
Il malware avvia e termina diversi processi durante la sua esecuzione, dimostrando la capacità di manipolare il sistema operativo. Le sessioni TCP stabilite tra il malware e il server dell’acquirente vengono utilizzate principalmente per lo scambio di informazioni critiche, come il nome del sistema infetto e la chiave di cifratura.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-43.png)
Per intercettare e analizzare le comunicazioni tra il malware e il server dell’acquirente, è possibile utilizzare un proxy con un certificato SSL trusted dal computer infetto. Questa tecnica permette di sniffare i pacchetti HTTPS e risalire alla chiave di cifratura utilizzata dal ransomware.
AzzaSec e XTEAM1916
L’analisi delle stringhe estratte dal ransomware suggerisce una possibile collaborazione tra AzzaSec e XTEAM1916, un gruppo di cybercriminali con base in Afghanistan.
Giudizio di Meridian Group sul ransomware AzzaSec
Il sample analizzato dalla società di sicurezza appare piuttosto spartano e privo di molti sistemi di sicurezza avanzati. La mancanza di comunicazioni complesse con server esterni indica che il malware è suscettibile all’analisi e al reverse engineering, suggerendo una possibile fase iniziale di sviluppo o una competenza tecnica limitata degli autori.
L’accordo con NoName057 e le implicazioni geopolitiche
NoName057 è stato intervistato in esclusiva più volte da Matrice Digitale agli albori del conflitto ucraino e nel corso di questi mesi ha sferrato diversi attacchi contro alcuni siti web della pubblica amministrazione italiana, alcuni bucati più volte. L’aspetto che emerge da questo gemellaggio, meritando un’analisi, è quella attuale nello scacchiere geopolitico dei gruppi Hacktivisti di nuova generazione che intraprendono scelte politiche e di appartenenza contro apparati di potere.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-44.jpg)
Questo concept subentra alla consolidata percezione che si ha dell’Hacktivismo stesso dove in passato i gruppi o i collettivi hanno sposato delle cause etiche come la lotta alla pedofilia, alla zoofilia, alla censura globale e di Internet in particolare, o si sono schierati in favore dei i diritti delle categorie minori oppure hanno esercitato azioni dimostrative a tutela della privacy.
Oggi si entra in una nuova dimensione dove i gruppi svolgono attività vicine a quelle dei criminali cibernetici, vedi l’utilizzo di un ransomware, ed in alcuni casi sembrerebbero strumentali ai governi come se fossero degli attori statali qualsiasi impegnati nelle dinamiche della guerra cibernetica.
Condivide questa osservazione anche Pietro di Maria che rincara la dose sulle qualità di realizzazione del ransomware “Nonostante sia necessario prestare sempre la massima attenzione alle attività criminali e ai nuovi gruppi, è importante considerare che fino a qualche anno fa un gruppo come AzzaSec sarebbe stato etichettato come un gruppo di troll. Oggi, invece, viene considerato da alcuni come un gruppo di hacktivisti e da altri come una APT (Advanced Persistent Threat). Forse serve maggiore attenzione anche nella definizione delle minacce e dei gruppi criminali. Quello che emerge dalla nostra ricerca è che i gruppi hacktivisti non sono pericolosi come si potrebbe pensare.“
Sicurezza Informatica
Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com
Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un clone della truffa: idealong.com
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-30.png)
Nelle settimane precedenti abbiamo raccontato la truffa di Mazarsiu: un portale dove si offre lavoro online, ma in realtà si chiedono soldi ai poveri malcapitati con la promessa che otterranno una somma maggiore di quella investita, ma adesso la truffa sembra aver raggiunto la massa con un nuovo portale denominato idealong.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-1024x689.png)
Dopo l’attività di Matrice Digitale e la maggiore conoscenza in rete grazie ai nostri articoli sulla truffa, il sito Internet è scomparso.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-1-1024x730.jpg)
Tutto finito? Assolutamente no, in realtà Mazarsiu, come abbiamo già spiegato, è un vero e proprio metodo che contatta utenti anche attraverso Whatsapp, anche noi lo siamo stati dagli stessi truffatori. L’aspetto più interessante è che il sito sembrerebbe aver cambiato le richieste nei confronti di coloro che vengono cooptati a questo tipo di attività.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-473x1024.jpg)
Alcuni utenti nell’ultimo periodo hanno segnalato un cambio di strategia criminale perchè dichiarano di essere impiegati nell’effettuare conferme di ordine attraverso la piattaforma senza alcuna richiesta di soldi. La truffa consiste nel prestare un lavoro senza essere pagati.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-30-1-461x1024.jpg)
Grazie a queste nuove segnalazioni abbiamo scoperto non solo che Mazarsiu non esiste più, ma che è nato un altro portale da evitare assolutamente perché replica la stessa truffa: www.idealong.com. non è dato sapere come sia possibile che non vengano chiesti i soldi alle persone , ma sappiamo che svolgendo questi ultimi un lavoro, molto probabilmente vengono prestati a confermare eventuali ordini effettuati da altri che invece hanno investito i propri soldi. Sembrerebbe un modo per uscirne puliti, creando un filtro tra un’eventuale attività investigativa ed i criminali composto da persone che inconsapevolmente si prestano alla truffa.
Continuate ad inviarci le segnalazioni alla redazione in modo tale da poter non solo smascherare e denunciare nuove piattaforme simili, ma anche per continuare a studiare le tattiche e le strategie criminali che si nascondono dietro questo metodo.
- Smartphone1 settimana fa
Aggiornamenti e novità per i Galaxy A54, A05s, Watch 6 e S24
- Smartphone1 settimana fa
Samsung One UI 7.0 e One UI 6.1: novità e miglioramenti
- Smartphone1 settimana fa
Samsung Galaxy S25 Ultra: design nuovo e specifiche potenti
- Smartphone1 settimana fa
Novità SmartTag 2 e per il Galaxy S25 Ultra
- Economia1 settimana fa
DnF Mobile sbanca la Cina: 100 Milioni di Dollari in 10 Giorni
- Smartphone6 giorni fa
Aggiornamenti Software per Galaxy A53, A55 e specifiche del nuovo A06
- Smartphone1 settimana fa
Ultime dal Galaxy Z Flip 6 e Fold 6, ma la novità sono i sensori ISOCELL e l’S25
- Economia1 settimana fa
Julian Assange riceve una donazione di 500K in Bitcoin da un Anonimo