Perché le minacce commodity ti devono preoccupare
Gli attacchi mirati suscitano molta attenzione. L’idea che un attaccante possa mettere fuori gioco l’attività di un’azienda, prendendola di mira, facendo ricerche sui suoi dipendenti e creando email di phishing mirate per entrare nella sua rete è sicuramente intrigante.
Ma la maggior parte delle minacce che la tua azienda deve affrontare quotidianamente non è mirata specificatamente alla tua attività. E può comunque causare danni che costeranno in termini di tempo e risorse.
La stragrande maggioranza di minacce là fuori – il 99.9% – sono minacce commodity. Questi strumenti di cybercrime pacchettizzati vengono venduti e acquistati sul Dark Web, a disposizione di attaccanti che non hanno competenze avanzate ma vogliono guadagnare soldi velocemente. Non si tratta di strumenti di attacco avanzati, ma sono comunque efficaci contro sistemi che non sono stati opportunamente aggiornati con patch o che non presentano soluzioni efficaci di protezione degli endpoint.
Ma se a queste minacce manca la precisione, e non sono mirate a danneggiare in particolare la tua azienda, perché un’azienda dovrebbe preoccuparsi delle minacce commodity?
Il ransomware è un buon esempio del perché bisognerebbe farlo. E se da un lato il ransomware ha perso lo status di “minaccia prevalente” rispetto all’anno scorso, dall’altro è ancora una minaccia potente che non dovrebbe essere ignorata. Attualmente viene utilizzato in modo più mirato, e le aziende dovrebbero assolutamente proteggersi dal ransomware che è anche disponibile come una minaccia commodity, spiega Sean Sullivan, security advisor di F-Secure.
“Un attacco a un singolo endpoint causato da un ransomware può portare alla compromissione di tutta la tua rete,” spiega Sullivan. “E dato che i criminali non hanno pianificato di colpire una rete, il malware non può essere qualcosa che può essere risolto pagando il riscatto. I ransomware commodity sono conosciuti per colpire ripetutamente gli endpoint in alcuni casi. Non è possibile trovare una soluzione, ed è anche difficile recuperare i dati dal backup poiché diventa più difficile capire cosa è stato perso.”
Anche il cryptojacking, la tendenza che in questi giorni sembra stia prendendo il posto del ransomware, dovrebbe essere tenuto in seria considerazione, poiché potrebbe consumare risorse di calcolo importanti e costare in termini di prestazioni dell’hardware. E i criminali preferiscono che i loro cryptominer infettino le aziende, afferma Paivi Tynninen, ricercatore nei Laboratori F-Secure.
“Le risorse che utenti normali possono fornire non sono così buone come quelle che possono fornire data center di aziende,” ha dichiarato Tynninen nel 10° episodio della serie di podcast Cyber Security Sauna. Tynninen ha spiegato che è diventato comune trovare reti aziendali che vengono colpite da malware cryptomining. “Vengono infestate con miner di valuta che si muovono lateralmente da un computer all’altro, e in pochi minuti compromettono tutta la rete.”
Fare in modo che gli endpoint dell’organizzazione non diventino parte di una botnet è un altro valido motivo per proteggersi dalle minacce commodity. Un’infezione di malware che porti un criminale ad avere controllo remoto degli endpoint della tua organizzazione può consentire a questi “bad boys” di usarli per un numero indefinito di scopi fraudolenti – inviare spam, lanciare attacchi DDoS, cryptojacking, mettere in atto frodi e molto altro ancora.
Le minacce commodity hanno molto da guadagnare dall’infrastruttura della tua azienda che andrà ad arricchire i criminali, spiega Bert Steppe, ricercatore nei Laboratori F-Secure. “Quando un malware commodity fa il suo ingresso in un’organizzazione o nel sistema domestico di un utente la motivazione è dettata solitamente dai soldi: denaro che può derivare dal pagamento del riscatto nel caso del ransomware e degli screen locker, oppure si vogliono ottenere entrate nel caso dei cryptominer, o rubare soldi dall’account bancario di qualcuno nel caso dei trojans bancari.”
In generale, le minacce commodity costano tempo alle aziende. Ogni caso deve essere preso in esame da qualcuno del dipartimento IT. E perdita di tempo significa perdita di denaro e di produttività. Sprecare tempo cercando di rimettere in funzione un notebook di un dipendente in modo che possa tornare a lavorare consuma anche energie che potrebbero essere spese per casi più grandi o cose più utili. Come prepararsi quindi per questi attacchi mirati? Occorre, per esempio, fare una campagna sull’importanza della sicurezza, per istruire il personale ad applicare in modo appropriato l’igiene delle password e riconoscere email di phishing. Oppure si può implementare una soluzione affidabile di rilevazione e risposta per l’1% di attacchi avanzati che arriveranno dal tuo perimetro.
Secondo AV-TEST, lo sviluppo di malware è raddoppiato dal 2017, con un aumento nel malware per Windows, Mac, e Android. Secondo il Verizon Data Breach Investigations Report del 2017, il 51% di tutte le violazioni ha visto coinvolto il malware: aggiungi questo dato a quello precedente e avrai un sacco di ragioni per proteggere la tua azienda.
E tante ragioni per implementare un software di protezione degli endpoint efficace.
“Ciò che fa una soluzione di protezione degli endpoint è proteggere dalle minacce conosciute e fornire della tecnologia che possa bloccare più minacce non ancora conosciute possibili,” sotttolinea Sullivan. “E in F-Secure facciamo bene questo lavoro, molto più ora che in passato visto il numero considerevole di minacce in circolazione.”
E vedrai dalla nostra infografica come un buon programma di sicurezza includa una combinazione di protezione endpoint per bloccare minacce commodity e mantenere la tua rete pulita, la gestione delle vulnerabilità per trovare e applicare patch alle falle di sicurezza, e la rilevazione e risposta alle minacce per fermare attacchi avanzati che possono portare il maggior danno.
Scarica l'infograficaCategorie