Tendenza 1: Domini Malware
Nelle ultime settimane sono comparsi sempre più domini che usano parole come "corona" o "covid19". Sono stati osservati tentativi di accedere alle impostazioni del registro di sistema delle applicazioni per ottenere i dati di login o altre informazioni dell'utente. A ciò si aggiungono varie forme di attacchi ransomware contro il sistema sanitario, ma anche contro gli utenti finali a causa del grande bisogno di informazioni della popolazione. Per esempio, il dominio "coronavirusapp[.]sito" diffonde un falso tracker Covid-19. Solo dopo aver pagato 100 dollari in Bitcoin entro 48 ore le vittime ricevono presumibilmente informazioni per decifrare i loro dati. Tuttavia, l'autore del malware non ha scelto nessuna delle solite tattiche di occultamento per nascondere il codice sorgente. La chiave è "4865083501".
Consigli utili
- Per precauzione, disabilitare le regole del firewall sui dispositivi proxy per impedire la comunicazione tra questi domini
- Cambiare le password degli utenti che hanno visitato questi domini
- Alcuni dei domini maligni di COVID 19 sono nuovi e utilizzano solo servizi di intelligence sulle minacce basati sulla comunità, che non forniscono necessariamente una completa trasparenza. Ad esempio, la categorizzazione del dominio "coronavirus-map[.]com" è cambiata da "Varie/Sconosciute" a "Phishing" dal 18 marzo 2020. Si raccomanda di bloccare alcuni di questi domini in generale, indipendentemente dal loro rispettivo punteggio.
Tendenza 2: Phishing
Le e-mail che sembrano provenire da istituzioni ufficiali, contengono aggiornamenti o codici di condotta, spesso contengono malware. Cinque diverse campagne di phishing sono emerse solo nella prima settimana dell'ordine ufficiale dell'home office.
Consigli utili
- Monitorare se il traffico verso i nuovi domini registrati o verso i domini rari è in aumento
- Osservare i segni di attività C2 - entrambe misure efficaci per rilevare i segnali di allarme precoce.
Tendenza 3: Remote/VPN
Una sfida maggiore è rappresentata dall'elevato volume di accesso per le applicazioni multifattoriali. Inoltre, c'è una marea di richieste di supporto tecnico. Gli aggressori hanno rapidamente identificato l'attuale vulnerabilità. Utilizzando familiari tecniche di social engineering che utilizzano informazioni pubblicamente disponibili da reti aziendali come LinkedIn, gli aggressori tentano di ottenere password una tantum o di accedere ai propri dispositivi per l'autenticazione multifattore tramite richieste di supporto apparente.
Consigli utili
- Rilevare le anomalie comportamentali tra gli account utente e il MAE; lo stesso vale per i dispositivi che accedono alla rete tramite MAE da questi account.
- Data la situazione, vale la pena ricordare i metodi comuni di ingegneria sociale e indicare varie opzioni di scaming attuali per supportare i team
- Molti ora lavorano, almeno temporaneamente, dall'ufficio di casa, il che ha portato a un aumento del 50%, a volte anche del 100%, dell'uso delle VPN e di altri metodi di autenticazione remota. Quindi tenere d'occhio le anomalie VPN e controllare tutte le attività che seguono l'autenticazione VPN o l'autenticazione remota.
Tendenza 4: Abuso del conto
I ricercatori della sicurezza hanno osservato come un appaltatore abbia cercato di effettuare il login da diversi paesi attraverso una VPN aziendale. Tuttavia, alcune delle sedi non rientravano nell'ambito delle normali attività dell'azienda. In totale, le registrazioni da 26 paesi diversi hanno avuto luogo in un periodo di 14 giorni attraverso questo account utente. Queste informazioni di localizzazione così diverse sono spesso segno di un conto compromesso.
I sistemi di conferenza telefonica e le opzioni di messaggistica istantanea ad essi associati sono sempre più utilizzati. Ciò aumenta la probabilità che gli utenti installino applicazioni non autorizzate. Secondo i ricercatori della sicurezza, una versione non autorizzata di un popolare messaggero istantaneo ha attivato voci di comando atipiche per l'applicazione. Tali eventi sono spesso difficili da individuare e classificare perché mancano le misure di sicurezza BYOD appropriate.
Consigli utili
Utilizzare il monitoraggio basato sull'utente per rilevare i tentativi di login sospetti in base alle informazioni sulla posizione o al numero di tentativi di login
Comunicare nuovamente le linee guida per l'uso corretto e il potenziale uso improprio delle password - soprattutto in considerazione delle mutate condizioni di lavoro
Rigorosi controlli degli endpoint che impediscono l'utilizzo di applicazioni non autorizzate sui dispositivi aziendali
Infine, alcune raccomandazioni di base
A causa del forte aumento del numero di dipendenti che lavorano da casa, l'importanza della sicurezza VPN è cresciuta enormemente. Le porte VPN di VPN come OpenVPN (1194) o SSL VPN (TCP/UDP 443, IPsec/IKEv2 UDP 500/4500) devono essere meticolosamente monitorate e gli account devono essere protetti al meglio utilizzando l'autenticazione multi-fattore.
(Fonte: SecurityInsider.de)