Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Come difendersi dal malware che si maschera nel cloud

pittogramma Zerouno

TechTarget Technology HowTo

Come difendersi dal malware che si maschera nel cloud

18 Lug 2017

di Piero Todorovich - fonte TechTarget

Un gruppo di cyber-criminali noto come Carbanak ha usato i servizi cloud di Google per infiltrarsi nei sistemi aziendali. Come sono stati realizzati gli attacchi? Come difendersi in questi casi?

Alcuni ricercatori sul tema sicurezza hanno recentemente rivelato come Carbanak (un gruppo famoso per gli attacchi informatici a istituti finanziari con ingenti sottrazioni di denaro) abbia usato i servizi di cloud di Google per tenere sotto controllo il malware installato in reti protette (la notizia è del gennaio di quest’anno). Per compromettere le reti aziendali i cyber-criminali hanno la necessità di comunicare con il malware installato all’interno, superando i blocchi rappresentati dai meccanismi di whitelist verso gli IP sconosciuti oppure l’ispezione dei flussi-dati in cerca di attività pericolose. Nei casi studiati, i cyber-criminali sono riusciti ad aggirare le protezioni di rete sfruttando alcuni servizi molto diffusi, che hanno libero accesso attraverso i firewall. Qualcosa di simile era accaduto con il malware CloudFanta che usava come exploit il servizio SugarSync. La diffusione ben più ampia dei servizi di Google (per esempio, per condividere dati e progetti con i clienti attraverso le Google Apps) minaccia di avere un impatto ben maggiore.

Come ridurre il rischio del malware nel cloud

Un metodo per bloccare il malware che utilizza il cloud è quello di bloccare i servizi di Google usando le tecniche di whitelist e blacklist, laddove questo non crea interferenze con il business. A meno di non estendere la protezione a tutti i servizi cloud, si tratta comunque di una difesa parziale. Evidenziare il traffico pericoloso da e verso Google è difficile e richiede tempo. Ispezionare il traffico SSL, per esempio, assorbe molta potenza di elaborazione e può ridurre le prestazioni della rete. Il modo migliore per difendersi resta quello di evitare la prima infezione con il malware che i cyber-criminali inviano attraverso gli attach di posta elettronica, come in molti altri attacchi.

Le email sfruttano il social engineering per convincere i dipendenti a cliccare su un file attach: nel caso di Carbanak, un documento Word contenente macro. La linea di difesa consiste nella preparazione dello staff e nell’essere certi che tutti i dipendenti conoscano i rischi nell’aprire gli attach. Oltre alla formazione sono utili test periodici di e-mail phishing per controllare le reazioni e quindi il rischio. Il malware usato dai più avanzati gruppi criminali non è normalmente rilevabile dagli  antivirus o dalle protezioni endpoint. Per questo è utile disabilitare le macro nei prodotti Microsoft e usare dei gateway di filtraggio dell’email per eliminare la gran parte del phishing che finisce nelle inbox dei dipendenti. Le informazioni riguardanti i metodi del gruppo Carbanak sono state date a Google per fermare gli attacchi. Come spesso accade nel settore della sicurezza, i criminali troveranno presto altri trucchi: per questo la difesa più efficace resta quella di lavorare, con formazione e consapevolezza per evitare l’infezione iniziale.

Piero Todorovich - fonte TechTarget

Giornalista professionista dal 91, ha scoperto il Computer negli Anni 80 da studente e se n'è subito innamorato, scegliendo di fare della divulgazione delle tecnologie e dell'informatica la propria professione. Alla passione per la storia delle tecnologie affianca quella per i viaggi e la musica

Argomenti trattati

Approfondimenti

C
Cybercrime
M
Malware

Articolo 1 di 5