Flubot: lo spyware diffuso tramite SMS

Recentemente Flubot, uno spyware che colpisce gli smartphone, si è diffuso in tutto il Regno Unito. Il malware viene veicolato tramite SMS, utilizzando falsi messaggi di consegna pacchi e inducendo gli utenti a scaricare il software dannoso. Gli operatori hanno affermato che milioni di questi testi dannosi sono già stati inviati attraverso le loro reti, provocando abbastanza scalpore da consentire all’NCSC di fornire indicazioni correttive.

Ecco cosa bisogna sapere su Flubot

Flubot è una forma di spyware che può essere utilizzata per assumere il controllo e raccogliere informazioni dai dispositivi, ha anche la capacità di inviare messaggi ai contatti dei dispositivi infetti. Il fatto che questo malware mobile possa interagire con l’elenco dei contatti di un dispositivo significa che all’applicazione sono state concesse autorizzazioni avanzate.

Per questa particolare campagna, gli SMS utilizzati per distribuire Flubot invitavano gli utenti a una pagina web per scaricare un’applicazione di “consegna pacchi”, simile alle tradizionali campagne di smishing. In questo caso, il marchio principale utilizzato è stato DHL, ma ci sono state segnalazioni anche di Royal Mail, FedEx ed Hermes.

L’applicazione si presenta sotto forma di APK, il che significa che interessa solo i dispositivi Android. Come impostazione predefinita, le applicazioni di terze parti sono bloccate dal download automatico sui dispositivi Android, tuttavia, la falsa pagina di download fornisce agli utenti una guida su come aggirare questa funzione di sicurezza, consentendo installazioni da fonti sconosciute.

Come professionista IT, questo è un chiaro segnale di pericolo, tuttavia, le installazioni di app di terze parti sono comuni nel mondo dei consumatori, in particolare perché le app come Fortnite si sono spostate dagli app store ufficiali alle piattaforme self-hosted.

O2, Vodafone, Three, così come una serie di altri operatori si sono rivolti al mondo di Twitter per avvertire il pubblico su Flubot e su cosa fare attenzione.

Cosa fare se avete ricevuto un SMS Flubot?

In primo luogo, non fare clic sul collegamento né installare l’app. In secondo luogo, inoltrare il messaggio al 7726, un servizio gratuito di segnalazione dello spam fornito dagli operatori telefonici. Quindi eliminare il messaggio.

Se avete già scaricato l’app, l’NCSC consiglia di eseguire un ripristino delle impostazioni di fabbrica il prima possibile. Quando viene riprestinato il dispositivo assicurarsi che, se viene eseguito il ripristino da un backup, il backup sia precedente all’installazione dell’applicazione Flubot.

Se avete utlizzato la soluzione Threat Defense di Wandera, allora sarete protetto.

Lezioni da Flubot

Ciò che è chiaro da questa campagna di malware è che smishing e malware continuano a essere una minaccia. Questo è evidente dalle orde di persone che commentano i tweet di Flubot chiedendo cosa fare se hanno cliccato sul collegamento o inserito i loro dati.

Minacce come Flubot attirano l’attenzione sulla sicurezza mobile. Ci sono una serie di idee sbagliate sulla sicurezza mobile che in genere portano i dispositivi mobili a essere non protetti negli ambienti aziendali. I dispositivi mobili sono solo piccoli computer suscettibili alle minacce informatiche. Poiché i dispositivi personali interagiscono sempre di più con gli ambienti IT aziendali, cresce la necessità di garantire la sicurezza senza il sovraccarico di gestione o i problemi di privacy causati da Unified Endpoint Management (UEM).

Capire le autorizzazioni delle app, se è stato eseguito il root o il jailbroken di un dispositivo, se ci sono app dannose o rischiose installate è fondamentale prima di consentire ai dipositivi mobili di connettersi al vostro ambiente.

Non si lascerebbe collegare un computer portatile con malware installato, quindi non dovrebbe essere diverso per un dispositivo mobile. Questo è particolarmente pertinente per i dispositivi non gestiti come BYOD o dispositivi di terze parti.

Man mano che le strategie di accesso e sicurezza maturano per accogliere il lavoro ibrido, le aziende di tutte le dimensioni stanno adottando modelli Zero Trust Network Access (ZTNA), integrando la valutazione dei dispositivi nelle decisioni di accesso alle applicazioni.

Maggiori informazioni sulle soluzioni Threat Defense e Private Access di Wandera.

Fonte: Wandera

Lansweeper – Charity Work in Tanzania

Mi chiamo Maarten Annema, lavoro all’ospedale Tjongerschans di Heerenveen, in Olanda, nel reparto informatico. Due anni fa, Jan Dros (fondatore della Fondazione Multimodus) mi ha chiesto se potevo aiutare un altro ospedale: Il Kilimanjaro Christian Medical Center (KCMC) in Tanzania! La Fondazione Multimodus è una piccola ma efficiente organizzazione di beneficenza.

Questo ospedale si trova adiacente alla città di Moshi, vicino alla leggendaria montagna del Kilimangiaro. KCMC ha circa 700 letti e fornisce assistenza a circa 17 milioni di persone nella zona (i Paesi Bassi hanno 57.000 letti d’ospedale per 17 milioni di persone). Come avrete capito, devono lavorare con meno fondi e risorse di quelle a cui siamo abituati. Ma compensano la mancanza di fondi con persone molto entusiaste.

Quando hanno chiesto il mio aiuto, ho colto al volo l’opportunità e ho dedicato il mio tempo e i miei sforzi a questo progetto triennale per aiutare un altro ospedale condividendo le conoscenze che ho accumulato in circa 20 anni di lavoro nell’informatica. E devo dire che è bello condividere le mie conoscenze. In totale siamo un team di 8 persone, tutte con un background informatico.

L’anno scorso abbiamo portato parecchie apparecchiature: switch, access point, server e storage. Abbiamo preparato tutto a Leeuwarden, nell’ospedale MCL. L’attrezzatura è stata spedita in container in Tanzania e, per nostra fortuna, è arrivata in tempo. Ecco un breve riassunto di ciò che abbiamo fatto: 16 SER sostituiti con nuovi switch, 250 workstation sono state migrate su questa nuova rete, è stato costruito un ambiente VMware per consentire l’uso di macchine virtuali ed è stato implementato un grande storage per l’uso delle immagini di radiologia.

Aggiornamento della connessione Internet

Quindi ci siamo occupati di molte attrezzature, ma poi c’era un problema con la loro connessione internet. Lasciatemi descrivere cosa abbiamo trovato: KCMC aveva una connessione internet da 4 Mbit per la quale pagavano circa 2000 dollari al mese. La connessione era molto lenta, al limite dell’inutilizzabile, e questo era aggravato dal fatto che la gente usava i computer per scaricare film. Abbiamo contattato un Internet Service Provider locale e abbiamo chiesto se potevamo aggiornare questa connessione.

Incredibilmente, nel pomeriggio l’ISP era sul posto. La mattina dopo l’ISP stava scavando per la fibra fino al KCMC e il pomeriggio la connessione internet a 10 Mbit era pronta e funzionante! E per rendere le cose ancora migliori, ora pagano 1200 dollari al mese. È stato incredibile da vedere. Nei Paesi Bassi, ci sarebbero volute settimane o addirittura mesi! Con i nuovi firewall, siamo riusciti a bloccare parecchio traffico e abbiamo riportato lentamente la connessione internet alla vita.

Formazione del personale IT locale

L’attenzione poi si è concentrata sulla formazione del personale IT. Abbiamo diviso la nostra squadra in gruppi, ognuno focalizzato ad aiutare KCMC a capire la rete, il routing, la virtualizzazione e la gestione delle workstation. Ho fornito formazione su Active Directory e Group Policies.  L’obiettivo era quello di portare ogni computer Windows in Active Directory. Ora usano l’assistenza remota e gli utenti non sono più amministratori locali e non possono più installare software.

Uso Lansweeper professionalmente da qualche anno e sono molto soddisfatto della soluzione e del valore che porta a un team IT. Nella mia eccitazione, ho contattato il team di Lansweeper e ho chiesto se mi avessero aiutato con KCMC. Aggiunge così tanto a quelle persone! Vedere quale software è installato, quanti computer hanno, l’intero inventario di tutti i computer in un unico posto è essenziale.

Lansweeper ha accettato di aiutare questo ospedale e ci ha fornito una licenza gratuita. Così durante la nostra visita, ho installato Lansweeper e con una stanza piena di persone ho mostrato loro cosa poteva fare. È stato molto bello vedere le reazioni, comprese alcune bocche aperte. Un esempio: in passato, avevano difficoltà a mettere i computer da scansionare in Active Directory, ma ora usano LsAgent per portare tutte le informazioni dei computer locali a Lansweeper. Più computer aggiungono ad Active Directory, più informazioni otterranno da Lansweeper.

Grazie a Lansweeper per l’aiuto e la cura. Il capo dell’IT, Mark Denning, ti è molto grato e vorrebbe ringraziarti.

Asante Sane (che significa: grazie mille).

Fonte: Lansweeper

La sicurezza delle password protegge le reti elettriche e le altre infrastrutture critiche dal ransomware

La minaccia del ransomware incombe da anni sulle infrastrutture critiche, come i servizi pubblici e le reti di trasporto. Un rapporto del 2018 dell’American Petroleum Institute ha avvertito dei rischi terribili per l’industria nazionale del gas e del petrolio, e il mese scorso, il Dipartimento dell’Energia degli Stati Uniti ha annunciato un’iniziativa mirata per modernizzare la rete elettrica della nazione per migliorare la visibilità, il rilevamento e la risposta ai cyberattacchi.

Il 7 maggio, i timori degli esperti di sicurezza si sono realizzati quando la Colonial Pipeline Company, che fornisce quasi la metà del petrolio della costa orientale degli Stati Uniti, è stata colpita da un attacco ransomware che l’ha costretta a spegnere alcuni sistemi e sospendere temporaneamente tutte le operazioni dell’oleodotto. L’attacco, rivendicato dal gruppo DarkSide, ha spinto il Department of Transportation degli Stati Uniti ad emettere un ordine di emergenza che revoca alcune norme sui conducenti che trasportano carburante in 17 stati e nel distretto di Columbia.

La convergenza IT-OT alimenta i cyberattacchi alle utility

Questo non è il primo attacco ransomware ad una società energetica statunitense. L’anno scorso, la Cybersecurity and Infrastructure Security Agency (DHS CISA) del Dipartimento di Homeland Security ha emesso un avviso dopo che un attacco ransomware su un impianto di compressione del gas naturale ha colpito “gli asset di controllo e comunicazione sulla rete di tecnologia operativa (OT) della struttura”, costringendola a chiudere per due giorni. L’avviso continua spiegando che l’attacco è iniziato con uno schema di spearphishing, con cui i criminali informatici hanno violato la rete IT della struttura, poi hanno usato questo accesso per passare ai sistemi OT e introdurre il ransomware.

Storicamente, i sistemi IT erano isolati dai sistemi OT, l’hardware industriale altamente specializzato e il software utilizzato dai servizi pubblici. I sistemi OT erano tipicamente air gapped, cioè non erano collegati ai sistemi IT o a Internet. Tuttavia, con la trasformazione digitale dei servizi pubblici e di altre organizzazioni che gestiscono infrastrutture critiche, i sistemi OT sono stati collegati ai sistemi IT e collegati a Internet.

Questa convergenza IT-OT ha permesso alle utility di fornire energia in modo più efficiente, a beneficio sia dei consumatori che dell’ambiente, ma ha anche permesso ai criminali informatici di utilizzare i sistemi IT come backdoor nei sistemi OT. Mentre i cyberattacchi ai sistemi IT sono costosi e distruttivi, la maggior parte di essi non mette in pericolo la vita delle persone. Lo stesso non si può dire per gli attacchi ai sistemi OT, che hanno ramificazioni nel mondo reale. I cyberattacchi ai servizi pubblici possono danneggiare le risorse della rete, causando interruzioni di corrente, contaminando le forniture di acqua, danneggiando l’ambiente e mettendo a rischio la salute umana e la vita.

La protezione delle password è molto importante per proteggere le infrastrutture critiche dai ransomware

Secondo un recente studio di Coveware, circa il 75% degli attacchi ransomware inizia in uno dei due modi, entrambi i quali sfruttano le credenziali di accesso compromesse:

Compromettendo i servizi RDP (Remote Desktop Protocol), sfruttando una vulnerabilità priva di patch o utilizzando una password rubata o indovinata.
Attraverso il phishing via e-mail.

Questo significa che semplicemente mettendo in sicurezza le loro password, i fornitori di energia e altre organizzazioni di infrastrutture critiche possono ridurre sostanzialmente il loro rischio di un attacco ransomware. Inoltre, poiché le credenziali di accesso compromesse sono anche responsabili di oltre l’80% delle violazioni di dati riuscite, difenderanno contemporaneamente i loro sistemi dalle violazioni di dati.

Keeper aiuta i fornitori di energia e altre organizzazioni di infrastrutture critiche a proteggere i loro sistemi OT mettendo al sicuro la parte più vulnerabile delle loro reti IT, le password dei loro dipendenti. La piattaforma Keeper zero-knowledge di crittografia e sicurezza delle password di livello enterprise offre agli amministratori IT una visibilità completa delle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle stesse e di applicare le politiche di sicurezza delle password in tutta l’organizzazione, comprese password forti e uniche e l’autenticazione a più fattori (2FA). I controlli di accesso granulari consentono agli amministratori di impostare le autorizzazioni dei dipendenti in base ai loro ruoli e responsabilità, nonché di impostare cartelle condivise per singoli gruppi, come le classificazioni di lavoro o i team di progetto.

Per una maggiore protezione, le organizzazioni possono implementare preziosi add-on come Keeper Secure File Storage, che consente ai dipendenti di archiviare e condividere in modo sicuro documenti, immagini, video e persino certificati digitali e chiavi SSH, e BreachWatch™, che analizza i forum del Dark Web e notifica agli amministratori IT se le password dei dipendenti sono state compromesse in una violazione pubblica dei dati.

Fonte: Keeper Security

Next-Generation Enterprise Service Management

Che cos’è l’ESM?

L’ESM rende gli strumenti di service management, che spesso sono utilizzati solo all’interno del dipartimento IT, disponibili per tutti i servizi dell’azienda. I dipendenti fanno fatica a capire perché possono presentare una richiesta quando il WiFi smette di funzionare, ma non quando hanno una domanda su una busta paga, un contratto che deve essere rivisto dall’ufficio legale, o una spia sul cruscotto che indica che qualcosa non va con la loro auto aziendale.

L’aspettativa all’interno dell’impresa digitale è che sia disponibile un’app per il supporto sullo smartphone di ogni dipendente. I dipendenti possono usare quell’app, o il loro desktop, per qualsiasi domanda senza dover sapere se è una domanda per l’IT o una domanda relativa all’HR. Questo è l’enterprise service management. I dipendenti possono ottenere aiuto per ogni servizio che l’azienda mette loro a disposizione.

Il panorama cambia

Molto è cambiato da quando i dipartimenti IT hanno iniziato a creare i loro help desk. A quel tempo, l’obiettivo era semplice: assicurarsi che i dipendenti con una domanda o un problema IT potessero tornare al lavoro il più rapidamente possibile. Oggi, anche altri dipartimenti aziendali, come le risorse umane, l’ufficio acquisti e il facility management, vedono i vantaggi di questo approccio. Non aspettatevi però che istituiscano un help desk tradizionale.

Un dipendente moderno non vuole necessariamente chiamare o inviare un’e-mail all’help desk. Prendendo il suo smartphone, si aspetta di trovare rapidamente la risposta alla sua domanda o, se necessario, un’opzione di assistenza.

Vantaggi competitivi

La soddisfazione dei dipendenti non è l’unico vantaggio di implementare una soluzione ESM all’interno di un’organizzazione. Il self-service e l’automazione dei servizi possono ridurre notevolmente i costi operativi e diminuire i tempi di inattività. I servizi interdipartimentali possono essere gestiti centralmente e essere completamente standardizzati.

Quando i dipendenti utilizzano un unico punto per tutti i servizi, la comunicazione tra le persone e i reparti può essere molto più efficace, aumentando la collaborazione e la responsabilità. E infine, un’efficace soluzione di enterprise service management fornisce un mezzo semplice per gestire i livelli di servizio in tempo reale.

Trasparenza e protezione delle informazioni

In 4me, ogni organizzazione o dipartimento ha il proprio account separato, che può essere configurato indipendentemente dagli altri account. Per esempio, il dipartimento HR potrebbe voler utilizzare le funzionalità di project management di 4me, mentre il dipartimento IT potrebbe voler attivare e personalizzare le funzionalità del CMDB di 4me. Ognuno può rendere disponibili le proprie richieste di servizio standard e i knowledge articles per i dipendenti dell’azienda. La trasparenza e la protezione delle informazioni per i singoli dipendenti è assicurata. Tutti possono monitorare lo stato di avanzamento di tutte le loro richieste, sia che queste arrivino al dipartimento IT o alle risorse umane. Allo stesso tempo, gli specialisti IT non possono vedere le richieste HR dei dipendenti.

Collaborazione tra i domini di supporto

Una volta che più domini di supporto sono in uso, i team possono concordare di consentire la collaborazione tra i loro account 4me su richieste, change, progetti e/o assets. Pensate, per esempio, a una richiesta per l’inserimento di un nuovo dipendente. Questa richiesta può innescare un flusso di lavoro con compiti per l’HR per impostare lo stipendio, per l’IT per fornire un computer portatile e un account di posta elettronica, e per le facilities per rendere disponibile una scrivania. I dettagli di questa richiesta sono completamente trasparenti in ogni momento per i dipendenti coinvolti, mentre le informazioni personali sul nuovo assunto saranno schermate per chiunque al di fuori delle risorse umane. Questa collaborazione genererà più efficienza, migliore comunicazione e una solida base per gli accordi sul livello di servizio tra i dipartimenti.

Account di supporto aggiuntivi

Nel corso del tempo, la maggior parte delle organizzazioni vede sempre più dipartimenti chiedere un dominio di supporto. Impostare un account di dominio di supporto aggiuntivo è facile in 4me. Tutti i dati dei dipendenti, del dipartimento e del sito sono già disponibili nell’account della directory di 4me. Così come il portale self-service e la configurazione single sign-on. L’impostazione di un dominio di supporto aggiuntivo 4me non costa nulla e può essere fatto internamente.

Aggiornamenti semplici

La vera architettura SaaS e multi-tenant di 4me permette una facile transizione dalla soluzione ITSM alla soluzione ESM. Consente anche aggiornamenti regolari, a costo zero, con zero tempi di inattività. Per una panoramica delle capacità del nostro software, date un’occhiata alla nostra soluzione IT Service Management.

SIAM: Service Management oltre l’azienda

Nell’attuale mercato della specializzazione dei servizi, la vostra azienda probabilmente si affiderà ai servizi di fornitori interni ed esterni per essere d’aiuto ai propri clienti. L’inclusione di queste parti esterne nel vostro service management si chiama Service Integration and Management, o SIAM. 4me è stato costruito da zero per permettere ai fornitori di servizi interni ed esterni delle imprese di collaborare mentre 4me tiene traccia di tutti i livelli di servizio.

Fonte: 4me

World Password Day 2021: perché la sicurezza delle password è importante

Il World Password Day, che viene osservato ogni anno il primo giovedì di maggio, è un ottimo promemoria per ricordare che le password continuano a svolgere un ruolo chiave nel mantenere sicuri i sistemi e i dati online. Il World Password Day è il momento perfetto per riconoscere l’importanza dell’umile password e raddoppiare gli sforzi per mantenere sicure le nostre password e la nostra identità digitale.

La cattiva gestione delle password è dilagante

Poiché le password sono ancora molto importanti e lo saranno per il prossimo futuro, sia gli individui che le organizzazioni devono tenerle al sicuro. Tuttavia, il Workplace Password Malpractice Report di Keeper, condotto a febbraio, dimostra che la negligenza sulle password sta lasciando le organizzazioni vulnerabili ai cyberattacchi. Ecco alcuni dei punti salienti:

Più della metà dei dipendenti americani (57%) sta attualmente scrivendo le password relative al lavoro su post-it, e il 67% ha perso questi foglietti adesivi in passato, rendendo impossibile sapere chi alla fine ha accesso a informazioni aziendali potenzialmente sensibili.
Nel frattempo, il 62% degli intervistati usa un quaderno o un diario per memorizzare login e password, e la stragrande maggioranza (82%) afferma di tenere questi quaderni accanto o vicino ai propri dispositivi di lavoro.
Questo è diventato ancora più un problema dato che molti americani continuano a lavorare da casa. La maggior parte dei lavoratori (66%) dice che è più probabile che scriva le password relative al lavoro mentre lavora da casa, piuttosto che in ufficio. Oltre a scrivere le password relative al lavoro, i dipendenti statunitensi stanno anche salvando i loro login elettronicamente in una varietà di modi che presentano un rischio significativo. Quasi la metà (48,9%) sta salvando le password relative al lavoro in un documento nel cloud.
La metà degli intervistati (51%) dice che attualmente salvano le loro password in un documento sul loro desktop, mentre più della metà degli intervistati (55%) attualmente salvano le password relative al lavoro sul loro telefono.

Le password sono ancora importanti, anche quando si usa la biometria

La “tecnologia senza password”, come gli scanner biometrici, dipende ancora dalle password per autenticare gli utenti. Gli scanner di impronte digitali, il riconoscimento facciale e dell’iride non “sostituiscono” le password; fanno solo in modo che gli utenti finali non debbano digitarle in continuazione. La password viene ancora usata per l’autenticazione; l’utente finale semplicemente non la vede.

Notate che quando si imposta la biometria, l’autenticatore richiede all’utente di scegliere una password o un PIN. Oltre a permettere all’utente finale di bypassare la biometria e digitare la password o il PIN, la password o il PIN sono richiesti. Uno sguardo a come funzionano le cose dietro le quinte dimostra il perché:

L’utente finale scansiona la sua impronta digitale, l’iride o il viso.
L’autenticatore biometrico determina se la scansione corrisponde a ciò che ha in archivio.
In caso di esito positivo, l’autenticatore decifra la password dell’utente dal portachiavi del dispositivo e la trasmette all’app, che esegue un’autenticazione finale basata su quella password.

Le password legate a questi dati biometrici possono essere indovinate o rubate. I database contenenti dati biometrici possono essere e sono stati violati. Mentre una password può essere cambiata se viene rubata, un’impronta digitale, l’iride o il volto no. Per queste ragioni, la biometria non dovrebbe mai essere usata come opzione di login a sé stante, ma solo come parte di una configurazione di autenticazione a più fattori.

Anche le migliori tecnologie senza password si basano su una buona gestione delle password e una piattaforma di crittografia forte

Le migliori tecnologie “senza password” si basano ancora sulla sicurezza della password e sulla piattaforma di crittografia come le soluzioni di Keeper. Oltre a compilare automaticamente le password (e anche i codici 2FA) su siti web e app, Keeper genera automaticamente password forti e casuali, rendendo facile per gli utenti utilizzare password forti e uniche per ogni sito. Come con gli autenticatori biometrici, le password sono ancora lì, ma gli utenti non devono memorizzarle tutte, e sono memorizzate all’interno di una cassetta di sicurezza a cui si può accedere da qualsiasi dispositivo. Keeper supporta il login biometrico con Windows Hello, Touch ID e Face ID per un comodo accesso.

Fonte: Keeper Security