Aggiornamenti recenti Maggio 26th, 2020 11:16 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Bug nel 70% delle applicazioni a causa delle librerie open source
- Nuovo jailbreak per iOS. E funziona anche sulla nuova versione 13.5
- RagnarLocker: il ransomware usa VirtualBox per sfuggire all’antivirus
- Allarme di Microsoft: “proteggete i server DNS da NXNSAttack
- Attacchi di phishing con un trojan “legale”
Attacco agli MSP per colpire i loro clienti con un ransomware
I pirati informatici hanno violato i sistemi di tre Managed Service Provider e hanno usato il controllo in remoto per diffondere il malware.
L’allarme è partito ieri su Reddit, in una sezione dedicata agli MSP. Nonostante la “normale” confusione del sito, la vicenda ricostruita (e tutt’altro che conclusa) ha del clamoroso. Un gruppo di pirati informatici sarebbe infatti riuscito a colpire un numero imprecisato di aziende utilizzando come vettore di attacco tre Managed Service Provider.
I MSP sono soggetti che forniscono servizi di vario genere (tra cui quelli di sicurezza) attraverso un sistema di abbonamento e che utilizzano sistemi di controllo remoto per la gestione delle infrastrutture dei clienti.
Un sistema che permette di centralizzare il controllo di tutti gli aspetti legati all’IT e che (normalmente) garantisce un maggior livello di sicurezza ed efficienza rispetto a una gestione tradizionale. Questa volta, però, le cose sono andate decisamente male e gli stessi MSP sono diventati il “cavallo di troia” che ha permesso gli attacchi.
La segnalazione è arrivata da Kyle Hanslovan, CEO di Huntress Lab. Secondo Hanslovan, i cyber-criminali avrebbero come prima cosa utilizzato dei sistemi di Remote Desktop Endpoints per violare i sistemi di almeno tre MSP.
Dopo aver ottenuto i privilegi di amministratori e aver disattivato i software antivirus, avrebbero rubato le credenziali per gli account di Webroot SecureAnywhere, il software di sicurezza Webroot che sfrutta un sistema di controllo centralizzato con numerose funzioni di controllo remoto. Tra queste, la possibilità di scaricare e installare applicazioni sui computer su cui è in funzione.
Proprio questa funzionalità sarebbe la “testa di ponte” usata in seguito per attaccare i clienti degli MSP, distribuendo sui loro computer un ransomware.
Il malware si chiama Sodinokibi ed è comparso per la prima volta lo scorso aprile. Si tratta di un classico crypto-ransomware, che dopo aver codificato i file presenti sulla macchina infetta, chiede un riscatto in Bitcoin minacciando un aumaneto del denaro richiesto se il pagamento non viene effettuato entro 2 giorni.
Ora la partita si sta giocando su due piani: da una parte l’impegno per sbloccare i computer colpiti dal ransomware, dall’altra gli sforzi per arginare gli attacchi portati attraverso Webroot SecureAnywhere.
Sotto quest’ultimo aspetto, la società di sicurezza ha preso le sue contromisure inviando un’email a tutti i suoi utenti e forzando l’implementazione del sistema di autenticazione a due fattori (2FA) per l’accesso. Il sistema 2FA in Webroot è infatti disponibile, ma non è attivato come impostazione predefinita. Lo stratagemma, si spera, dovrebbe bloccare l’attività dei pirata.
Condividi l'articolo
Online gli strumenti per hackerare le scuole
Nuovo crypto-miner usa Cron per assicurarsi la persistenza
Articoli correlati
Altro in questa categoria
Sicurezza Gestita: servizio enterprise a una frazione del costo
Approfondimenti
-
CyberArk: prima di tutto proteggere gli account Nell’ecosistema IT gli utenti non sono tutti uguali. Ecco... -
Nuova campagna di truffe per i buoni spesa gratuiti In questi giorni di lockdown, dove le persone sono tenute a... -
Vulnerability Management, cos’è e come implementarlo Quando si tratta di verificare l’esposizione ad attacchi... -
La “nuova normalità” della security secondo Trend Il rapporto della società di sicurezza fa il punto sul... -
Lutech: “ecco il nostro SOC di nuova generazione” L’azienda milanese inaugura il suo nuovo Security...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Bug nel 70% delle applicazioni a causa delle librerie open... L’uso intensivo di librerie “aperte” e il riutilizzo... -
Nuovo jailbreak per iOS. E funziona anche sulla nuova... Si chiama unc0ver 5.0 e .0 sfrutta una vulnerabilità... -
RagnarLocker: il ransomware usa VirtualBox per sfuggire... La curiosa tecnica messa a punto dai pirati informatici... -
Allarme di Microsoft: “proteggete i server DNS da... La nuova tecnica di DDoS consente ai pirati informatici... -
Attacchi di phishing con un trojan “legale” La campagna di phishing sfrutta l’emergenza Covid-19 per...
Attacchi di phishing con un trojan “legale”
La campagna di phishing sfrutta l’emergenza Covid-19 per distribuire NetSupport... Continua →
Vocabolario della sicurezza
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....