4 azioni di mitigazione necessarie in questo periodo di incremento delle attività dei gruppi cybercrime e per contrastare due nuovi malware: HermeticWiper e Cyclops Blink
CybergON, business unit di Elmec Informatica dedicata alla sicurezza informatica, ha stilato 4 principali azioni di mitigazione che le aziende devono mettere in atto per alzare la difesa contro i gruppi di cybercriminali.
Questi gruppi stanno sfruttando il momento di crisi per attaccare indistintamente e violentemente le aziende di qualsiasi dimensione. Diventa sempre più necessario mettere in campo politiche di difesa, specialmente nel caso in cui un’azienda abbia filiali e relazioni dirette con la Russia e l’Ucraina.
Le quattro principali pratiche di mitigazione che ogni impresa dovrebbe adottare
1) Innalzare il livello di priorità nel monitoraggio di eventi che coinvolgano sistemi presenti in Ucraina e/o Russia.
2) Prestare attenzione a eventi che coinvolgono IP pubblici indicati nelle liste del CERT e in generale da IP pubblici assegnati a Russia o Ucraina.
3) Monitorare tutti gli accessi a piattaforme sensibili, come Office 365 e Azure, che provengono dai paesi a rischio
4) Mantenere aggiornati gli Indicator Of Compromise (IOC) identificati a livello internazionale e consigliati dal CERT Europeo sugli strumenti di detection.
Infine, è importante adottare pratiche di patching dei tool con vulnerabilità note e innalzare il livello di consapevolezza interno dei rischi legati; ad esempio, le email di phishing, contribuiranno a diminuire il rischio e la superficie di attacco.
Hermetic Wiper e Cyclops Blink: le due minacce emergenti
Queste azioni contribuiranno a contrastare l’azione anche di due nuove minacce specifiche: i malware HermeticWiper e Cyclops Blink che, oltre allo sfruttamento di vulnerabilità, phishing, attacchi DDoS e naturalmente altre tipologie di ransomware già in circolazione, potrebbero essere sfruttati da gruppi criminali che approfittano della situazione di emergenza per colpire.
Il primo malware, noto come Hermetic Wiper, è nato in occasione del conflitto e ha uno scopo distruttivo: CSIRT Italia indica che l’obiettivo di Hermetic Wiper è di distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione. Non si tratta quindi di un ransomware “classico”, che fornirebbe la speranza di poter ripristinare i sistemi e recuperare i dati, ma di un attacco potenzialmente devastante per l’azienda.
Il secondo, noto invece come Cyclops Blink, è stato analizzato congiuntamente dal National Cyber Security Centre (NCSC) del Regno Unito, della Cybersecurity and Infrastructure Security Agency (CISA), della National Security Agency (NSA) e del Federal Bureau of Investigation (FBI) e viene indicato come un “pezzo di malware altamente sofisticato che è stato sviluppato professionalmente”. La distribuzione del malware sembra avvenire verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo, che garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati.
WatchGuard, in collaborazione con CISA, FBI, NSA e NCSC UK, ha reso disponibili a questo link le indicazioni necessarie all’identificazione e la rimozione di Cyclops Blink sui dispositivi interessati.
