Η tecnologia Prevenzione automatica degli exploit di Kaspersky Lab - che è integrato nella maggior parte delle soluzioni di sicurezza dell'azienda per i terminali - ha rilevato una serie di attacchi digitali mirati. Gli attacchi sono stati tentati da un nuovo malware che ha sfruttato una diffusa vulnerabilità zero-day nel sistema operativo Microsoft Windows 10. L'intenzione dei criminali informatici era di ottenere il pieno accesso ai sistemi delle vittime in Medio Oriente. Questa vulnerabilità è stata risolta da Microsoft il 9 ottobre.
Un attacco zero-day è una delle forme più pericolose di minacce informatiche, poiché implica lo sfruttamento di una vulnerabilità che non è stata ancora scoperta e identificata. Se scoperta da un agente di minaccia, una vulnerabilità zero-day potrebbe essere utilizzata per creare un exploit che potrebbe dare accesso all'intero sistema informatico dell'azienda e del settore dell'attaccante. Questa forma di attacco è diffusa dagli agenti di attacco ART avanzati ed è stata utilizzata anche in questo caso.
L'exploit, scoperto nel software Microsoft Windows, ha raggiunto le vittime attraverso una backdoor di PowerShell. L'exploit è stato quindi effettuato affinché il mittente ottenesse i privilegi necessari per essere presente nei sistemi delle vittime. Il codice malware era di alta qualità e scritto per facilitare il funzionamento efficiente del maggior numero possibile di Windows.
La scorsa estate gli attacchi digitali hanno preso di mira meno di una dozzina di importanti organizzazioni in Medio Oriente. Si pensa che la squadra dietro l'attacco sia FruityArmor, poiché la backdoor di PowerShell è stata utilizzata esclusivamente da questa squadra in passato. Subito dopo la scoperta, gli esperti di Kaspersky Lab hanno immediatamente segnalato la vulnerabilità a Microsoft.
I prodotti Kaspersky Lab hanno rilevato questo exploit in modo profilattico utilizzando le seguenti tecnologie:
- Tramite il motore di rilevamento del comportamento di Kaspersky Lab e gli strumenti di diffusione della prevenzione automatica disponibili su tutti i prodotti di sicurezza dell'azienda.
- Tramite Advanced Sandboxing e il meccanismo Antimalware disponibile sulla piattaforma Kaspersky Anti Targeted Attack.
Come ha detto Anton Ivanov, specialista della sicurezza di Kaspersky Lab,
"Quando si tratta di vulnerabilità zero-day, è importante monitorare attivamente il panorama delle minacce per i nuovi exploit. In Kaspersky Lab, la continua ricerca di minacce intelligenti ci aiuta non solo a trovare nuovi attacchi, ma anche a prendere di mira diverse minacce digitali. Intendiamo anche scoprire quali tecnologie dannose stanno utilizzando questi criminali. "Come risultato della nostra ricerca, disponiamo di un potente strumento di rilevamento tecnologico che ci consente di prevenire attacchi, come quello che intendeva sfruttare questa vulnerabilità".
Per evitare exploit zero-day, Kaspersky Lab consiglia le seguenti misure tecniche:
- Evita di utilizzare software che è noto per essere vulnerabile o che è stato recentemente utilizzato in attacchi digitali.
- Assicurati che il software utilizzato dalla tua azienda sia regolarmente aggiornato alle ultime versioni. I prodotti di sicurezza con funzionalità di valutazione delle vulnerabilità e gestione delle patch possono aiutare ad automatizzare questi processi.
- Utilizza una potente soluzione di sicurezza, come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento basate sul comportamento per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.
