Autore: Alexander Ivanyuk, Senior Director, Technology
L'Aggiornamento Acronis sulle minacce digitali offre un quadro sulle attività e le tendenze secondo quanto rilevato da Acronis Threat Research Unit (TRU) e dai sensori Acronis. I dati presentati qui sono stati raccolti nel mese di settembre di quest'anno e riflettono sia le minacce rilevate da Acronis sia notizie provenienti da fonti pubbliche. Il report illustra un quadro globale ed è basato su oltre un milione di endpoint singoli distribuiti in tutto il mondo.
Incidente del mese
È stato recentemente rilasciato uno strumento PoC (Proof-of-Concept) denominato EDR-Freeze che mostra come gli hacker possono abusare della tecnologia Segnalazione errori di Windows per sospendere di nascosto gli strumenti di sicurezza, senza neanche la necessità di un driver vulnerabile. Contrariamente alla sempre più diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver), che prevede l'installazione di driver legittimi ma vulnerabili, questo metodo funziona interamente in modalità utente, sfruttando i componenti legittimi di Windows. Il metodo avvia un processo di segnalazione degli errori protetto che richiama la funzione MiniDumpWriteDump su un'applicazione di sicurezza, sospendendone temporaneamente tutti i thread. L'attaccante può quindi interrompere il processo di segnalazione prima che possa riavviarsi, bloccando l'EDR o l'antivirus di destinazione a tempo indefinito.
I ricercatori hanno dimostrato la tecnica su Windows 11: è stato sospeso persino Microsoft Defender. Poiché la tecnica si basa sul comportamento previsto di Windows, la soluzione non è una semplice correzione di vulnerabilità. I difensori potrebbero dover monitorare un'attività di segnalazione insolita relativa a WER (Windows Error Reporting) o limitare il modo in cui gli strumenti di dumping interagiscono con i processi sensibili.
È importante sottolineare che, sebbene questo attacco possa disabilitare molti EDR, Acronis EDR non è vulnerabile. I test dimostrano infatti come il nostro EDR sia in grado di rilevare e bloccare il tentativo di attacco, restando pienamente operativo e immune a questa tecnica di blocco.
Rilevamenti di malware di settembre
A settembre, Acronis Cyber Protect ha bloccato quasi cinque milioni di minacce malware sugli endpoint.
Le tabelle seguenti mostrano la percentuale di clienti Acronis che ha segnalato almeno una minaccia malware bloccata sull'endpoint, nonché la percentuale normalizzata di clienti che ha segnalato almeno un rilevamento di malware. Più alta è la percentuale, maggiore è il rischio che un workload in quel paese venga attaccato da malware.
Protezione
Le minacce sopracitate possono essere rilevate e mitigate con le soluzioni di Acronis.
Acronis Cyber Protect Cloud offre protezione sia dalle minacce note che da quelle mai viste prima, grazie a un approccio a più livelli che prevede il rilevamento basato sul comportamento, i rilevamenti addestrati con AI/ML e le euristiche anti-ransomware, in grado di rilevare e bloccare tentativi di crittografia ed eseguire un rollback di qualsiasi file manomesso automaticamente, senza alcuna interazione dell'utente.
La sicurezza delle e-mail e il filtraggio degli URL facilitano la protezione dalle minacce di social engineering. Il #CyberFit Score di Acronis ti aiuta a individuare rapidamente i sistemi che necessitano di intervento, mentre la gestione delle patch integrata semplifica l'aggiornamento del software alle versioni più recenti.
Acronis XDR per Acronis Cyber Protect Cloud fornisce la visibilità necessaria a capire gli attacchi, rende più chiaro il contesto agli amministratori e fornisce misure di correzione efficienti per qualsiasi minaccia.