Uno dei consigli di sicurezza informatica più diffusi è effettuare gli aggiornamenti di sistema, un’operazione abituale che intende prevenire l’accesso di malware nei dispositivi utilizzando patch utili a chiudere le falle pericolose per la sicurezza.
L’aggiornamento è quindi fondamentale per gli utenti, ecco probabilmente perché gli hacker si sono organizzati, creando dei Fake Updates.
Ancora una volta sono gli errori dei dipendenti a portare all’interno del perimetro cyber aziendale le minacce, proprio come rilevato dal Report Beyondtrust 2019.
Cosa sono?
Si tratta di malware interni ai sistemi CMS (Content Management System) che reindirizzano gli utenti da un sito compromesso a pagine che promuovono aggiornamenti software fake. L’hacking ha interessato migliaia di siti provenienti da piattaforme come WordPress, Squarespace e Joomla (le più usate nel settore).
Gli utenti vengono invitati a cliccare su un pulsante per effettuare l’update e, scaricando un file Javascript presente su Dropbox sul proprio dispositivo, permettono al malware di accedere ad esso.
Questa tipologia di malware si può considerare “nuova”, dato che è stata diffusa solo da dicembre 2017.
La sua creazione è sicuramente la risposta ad una sempre più alta consapevolezza delle buone norme di sicurezza informatica, tra cui vediamo appunto proprio la prerogativa di aggiornare i sistemi.
Questo è sicuramente uno degli aspetti più insidiosi del crimine informatico: non fermandosi mai, risponde sempre molto velocemente alle novità relative al settore della cybersecurity, che ogni giorno cresce. Daniel Rozenek conferma: “Ecco perché è importante rimanere sempre informati e imparare a riconoscere i segnali di un cyber-attacco. Dal nostro osservatorio del Pronto-Intervento Cyber rileviamo che alla base di un attacco andato a buon fine vi è la disattenzione di un dipendente che clicca qualcosa di sbagliato. Per questa ragione è importante formare ed informare il personale in modo continuativo sul tipo di minacce.
Domen: il toolkit del cybercrime
Si tratta di un sofisticato toolkit che si basa sull’ingegneria sociale e che utilizza siti web compromessi per infettare i dispositivi. Il cybercriminale, utilizzando Domen, chiede all’utente di scaricare ed installare un qualsiasi aggiornamento NetSupport RAT (Remote Access Trojan). Grazie a questo aggiornamento, l’hacker può assumere il controllo del dispositivo anche a distanza. Domen supporta oltre 30 lingue diverse ed è progettato sia per gli utenti che navigano su PC che da mobile. Potete quindi immaginare che il “target” a cui aspirano è molto ampio.
Si parla di oltre 100.00 sistemi infettati.
I consigli di Tekapp
Cosa dovete fare se incorrete in questa problematica?
Intanto è importante mettere sempre in dubbio le “buone intenzioni” di un link se non ne si conosce bene l’origine. Se si dubita della richiesta di aggiornamento, è bene prima di tutto chiudere il sito ed il browser.
In linea di massima, questo tipo di problematica dovrebbe essere rilevata, ad esempio, da un sistema di “difesa proattiva”, al fine di rispondere attivamente alle minacce mentre si evolvono, modificando il risultato dell’attacco in tutte le fasi della catena dell’endpoint.
Se si è malauguratamente scaricato il file infetto, è importante spegnere il computer, in quanto eliminarlo prima che venga concluso il download (solo quando il file è installato può cominciare a “fare il suo lavoro”), diventa rischioso su download molto rapidi (anche pochi secondi).
Inoltre è possibile controllare se per il browser che si sta utilizzando è effettivamente disponibile un aggiornamento direttamente dal provider.
Infine è importante ricordarsi sempre che è impossibile fare tutto da soli!
La sicurezza informatica è un ambito complesso, in costante evoluzione e che prevede molto lavoro.
Fare tutto da soli, spesso, è impossibile. Ecco perché è importante affidarsi ad aziende specializzate, in grado di rispondere velocemente ad ogni problematica in cui le aziende potrebbero incorrere.
Noi di Tekapp abbiamo cercato di rispondere a questa esigenza creando un servizio di Pronto Intervento Cyber dedicato alle imprese, il primo in Italia.
Se volete scoprire di più su questo servizio, visitate il nostro sito.