Autori:
Alexander Ivanyuk, Senior Director, Technology
Irina Artioli , Cyber Protection Evangelist, ricercatrice presso TRU
L'Aggiornamento Acronis sulle minacce digitali offre un quadro sulle attività e le tendenze secondo quanto rilevato dagli analisti e dai sensori di Acronis Threat Research Unit (TRU). I dati presentati qui sono state raccolti nel mese di giugno di quest’anno e riflettono sia le minacce da noi rilevate sia notizie provenienti da fonti pubbliche. Il report illustra un quadro globale ed è basato su oltre un milione di endpoint singoli distribuiti in tutto il mondo.
Incidenti del mese
Gli hacker stanno utilizzando una tecnica chiamata Authenticode stuffing, che sfrutta credenziali rubate per trasformare in malware i programmi di installazione legittimi e con firma digitale di ConnectWise ScreenConnect, senza invalidarne le firme. Modificando soltanto la tabella dei certificati per inserire configurazioni malevole, gli attaccanti conservano lo stato di attendibilità del file, che però reindirizzano a server da loro controllati. La tattica, individuata da G DATA, è stata utilizzata in campagne di phishing che distribuiscono documenti falsi che installano client ScreenConnect contenenti trojan. Una volta eseguito, il malware mostra una falsa schermata di Windows Update, mentre stabilisce furtivamente l'accesso remoto. G DATA ha denominato le varianti Win32.Backdoor.EvilConwi e Win32.Riskware.SilentConwi e le ha segnalate a ConnectWise, che non ha risposto pubblicamente. Un metodo simile è stato utilizzato per alterare anche il programma di installazione VPN NetExtender di SonicWall, allo scopo di rubare le credenziali. Questi attacchi mettono in luce un pericoloso cambiamento di strategia, che consiste nell'utilizzare in modo illecito software attendibili per la distribuzione di malware mascherato, aggirando le tradizionali difese antivirus che si basano sulla convalida delle firme. Si consiglia ai team di sicurezza di ispezionare i dati di configurazione nei binari firmati e di limitare l'uso degli strumenti di accesso remoto per ridurre l'esposizione.
Rilevamenti malware di giugno
A giugno, Acronis Cyber Protect ha bloccato oltre 980.000 minacce malware sugli endpoint, con un incremento del 19,8% rispetto a maggio.
Le tabelle seguenti mostrano la percentuale di clienti Acronis che ha segnalato almeno una minaccia malware bloccata sull'endpoint, nonché la percentuale normalizzata di clienti che ha segnalato almeno un rilevamento di malware. Più alta è la percentuale, maggiore è il rischio che un workload in quel paese venga attaccato da malware.
Protezione
Le minacce sopracitate possono essere rilevate e mitigate con le soluzioni di Acronis.
Acronis Cyber Protect Cloud offre protezione sia dalle minacce note che da quelle mai viste prima, grazie a un approccio a più livelli che prevede il rilevamento basato sul comportamento, i rilevamenti addestrati con AI/ML e le euristiche anti-ransomware, in grado di rilevare e bloccare tentativi di crittografia ed eseguire un rollback di qualsiasi file manomesso automaticamente, senza alcuna interazione dell'utente.
La sicurezza delle e-mail e il filtraggio degli URL facilitano la protezione dalle minacce di social engineering. Il #CyberFit Score di Acronis ti aiuta a individuare rapidamente i sistemi che necessitano di intervento, mentre la gestione delle patch integrata semplifica l'aggiornamento del software alle versioni più recenti.
Acronis XDR per Acronis Cyber Protect Cloud fornisce la visibilità necessaria a capire gli attacchi, rende più chiaro il contesto agli amministratori e fornisce misure di correzione efficienti per qualsiasi minaccia.