La città di Peterborourgh nel New Hampshire ha dichiarato di aver perso $ 2,3 milioni dopo che i truffatori hanno ingannato i dipendenti della città facendoli inviare ingenti pagamenti ai conti sbagliati.

Le indagini hanno rivelato che i malfattori hanno utilizzato mail contraffate e documenti falsi per deviare i pagamenti a conti sotto il loro controllo.

Durante le indagini le autorità hanno scoperto che anche altri pagamenti sono stati intercettati, dovevano essere inviati a due appaltatori con il compito di costruire un ponte in città.

I servizi segreti americani, che sono stati contattati per indagare sull’incidente, hanno comunicato agli ufficiali di Peterborourgh che i fondi rubati sono stati lavati e convertiti in criptovaluta.

I dipendenti caduti vittima dell’inganno sono stati temporaneamente congedati, ma si dichiarano estranei ai fatti. I fondi persi probabilmente non verranno coperti dalle assicurazioni.

Quei 2,3 milioni ammontano a circa il 15% del budget annuale della piccola cittadina. Questo tipo di raggiro è chiamato truffa BEC e secondo l’FBI è costato alle aziende 1.8 miliardi nel 2020.

Truffa BEC

La Business mail Compromise (compromissione di mail aziendali) è un sofisticato tipo di truffa rivolta alle aziende che effettuano bonifici bancari e hanno fornitori all’estero. E-mail aziendali di dirigenti, o dipendenti in alto nella catena di comando, o che comunque svolgono attività finanziaria, come l’invio di bonifici, vengono impersonati o compromessi con keylogger o phishing per eseguire trasferimenti di

Una soluzione di endpoint protection sia esso un antivirus, firewall o una soluzione avanzata basata sull’intelligenza artificiale, capace di filtrare le mail di phishing, sono solo una parte delle contromisure necessarie a far fronte ad una minaccia in continua evoluzione. 

La ricerca proattiva di metodi di intrusione è alla base di una sicurezza ben strutturata.

La figura del threat hunter

Il cacciatore di minacce è una figura fondamentare all’interno di un reparto IT poiché, trovandosi all’interno della rete può monitorare attivamente, con l’intenzione di ridurre, la superficie di attacco.

Un team di difesa per essere efficace deve essere composto da più livelli; conosciamo le figure del SOC Specialist , dell’ Ethical Hacker e dell’ Analista Forense , ma alla nostra catena manca ancora un anello.

La figura del cacciatore, a differenza del Penetration Tester o del Soc Specialist, si pone l’obiettivo di scovare dove si sia insidiata la minaccia assumendo che l’attacco sia già avvenuto e l’attaccante sia in attesa del momento giusto per poter causare il maggior danno possibile. Il Threat Hunter stila un profilo comportamentale utilizzando log e tecniche di analisi del traffico, con il fine di rilevare le più piccole variazioni del normale flusso di lavoro con l’obiettivo di eliminare le minacce sul nascere.

Prevenire è meglio che curare

Ciò che distingue la figura del Threat Hunter è la proattività, inutile piangere sul latte versato quando sarebbe bastato davvero poco ad evitare il disastro; un esempio attuale è

Cosa sono gli insider threat

IBM raggruppa le minacce interne in 4 categorie: i pedoni, i fessi, i lupi solitari ed i collaboratori.

La prima categoria, i pedoni, come negli scacchi dei pezzi base, fondamentali per portare a termine attacchi di alto profilo; la categoria comprende tutti i dipendenti ignari di fornire accesso all’infrastruttura e vengono raccolti con una campagna di phishing o manipolati nel fornire informazioni preziose tramite tecniche di social engineering.

I fessi guadagnano questa nomina tutti i dipendenti che si credono al di sopra delle policy di sicurezza e in questo modo finiscono per rendere i dati vulnerabili e consentono un facile accesso ai malintenzionati. I fessi tentano attivamente di bypassare i controlli per loro comodità e sono responsabili del 90% degli incidenti, secondo il resoconto Gartner "Go-to-Market for Advanced Insider Threat Detection" (strategia di riferimento per il rilevamento delle minacce interne).

I lupi solitari sono dipendenti che di propria iniziativa compromettono volontariamente l‘infrastruttura e sono particolarmente pericolosi quando possiedono privilegi elevati, ad esempio amministratori di sistema oppure amministratori di database.

I collaboratori sono tutti i dipendenti che accettano di recare danno all‘azienda dietro la promessa di una ricompensa, molto spesso erogata in criptovaluta, i criminali forniscono mezzi e istruzioni sul come muoversi.

Un episodio degno di nota

Sareste disposti a tradire la vostra azienda dietro la promessa di un milione di dollari in bitcoin? È la domanda che viene posta da un

I ransomware sono la minaccia peggiore che le aziende e i privati possono trovarsi di fronte, un po’ per paura (i.e. i vecchi ransomware polizia di stato) un po’ per aver perso dati preziosi o credibilità. 

Un eroe viene in nostro soccorso: Raccine. 

Cos’e? 

Raccine è un progetto open source atto ad annullare i danni causati dai ransomware creato da Neo23x0; la mente dietro a yargen (strumento per generare automaticamente regole YARA) sfrutta un semplice processo per eliminare il problema dei ransomware, una blacklist di comandi. 

Cosa fa 

I ransomware hanno la scomoda abitudine di cancellare i nostri volumi shadow (una specie di punti di ripristino) rendendo di fatto impossibile il ripristino delle versioni antecedenti, la crittazione dei file. Il sistema è molto semplice, impedisce l’esecuzione di comandi che distruggono le shadow copy. Fra i punti di forza del programma possiamo annoverare l’esecuzione agent-less, ossia il programma agisce senza generare un servizio o mantenere in esecuzione programmi che occupano preziose risorse, la possibilità di eliminare il programma, nel caso non fosse di nostro gradimento, in maniera semplice e la possibilità di essere eseguito su windows 7 o superiori (aggiornate windows 7 vi espone ad ogni genere di attacchi!). 

Le regole YARA 

Yet Another Ridicolous Achronim (un altro ridicolo acronimo) consistono in un linguaggio strutturato riguardante i malware che permette di indentificare i programmi o files che si comportano in un