Il "dwell time" è un termine chiave che si riferisce al periodo di tempo che intercorre tra il momento in cui un attaccante riesce a infiltrarsi in un sistema e il momento in cui viene rilevato. Questo indicatore è di cruciale importanza perché, quanto più lungo è il dwell time, tanto maggiore è il danno potenziale che un attaccante può infliggere all'infrastruttura compromessa. Questo può includere il furto di dati sensibili, l'installazione di malware, e la preparazione di attacchi successivi, tra gli altri.

La riduzione del dwell time è quindi un obiettivo fondamentale per le aziende che cercano di rafforzare le loro difese contro le minacce. Un tempo di permanenza ridotto significa che le intrusioni vengono scoperte e mitigate più rapidamente, limitando così il danno potenziale e aumentando la sicurezza complessiva.

Le Scoperte del Rapporto "M-Trends 2024" di Mandiant

Il rapporto "M-Trends 2024" di Mandiant ha fornito alcune rivelazioni significative e numeri dettagliati riguardo alla situazione attuale del dwell time e di altre metriche di sicurezza. Ecco i punti salienti:

• Riduzione del Dwell Time: Nel 2023, il tempo medio globale di permanenza degli attaccanti è stato il più basso registrato dal 2011, quando Mandiant ha iniziato a tracciare questa metrica. Il dwell time è diminuito di quasi una settimana, passando dai 16 giorni del 2022 ai 10 giorni del 2023. Questa diminuzione rappresenta un miglioramento significativo nelle capacità di rilevazione e risposta delle organizzazioni.

• Miglioramento del Rilevamento Interno: Il rilevamento interno di intrusioni è migliorato nel 2023, con il tempo medio globale di rilevamento che è sceso a 9 giorni dai 13 giorni dell'anno precedente. Questo indica che le organizzazioni stanno diventando più efficaci nel rilevare gli attacchi internamente, senza dover dipendere esclusivamente da segnalazioni esterne.
• Aumento dei Ransomware: Nonostante la riduzione del dwell time, il rapporto ha notato un aumento dell'attività di ransomware. Le indagini che coinvolgono il ransomware sono cresciute fino al 23% nel 2023, rispetto al 18% del 2022. Questo ritorna ai livelli già osservati nel 2021, dimostrando una persistente minaccia di ransomware nonostante i tentativi di mitigazione.
• Focus sulle Tecniche di Evasione e sfruttamento dei Zero-Day: I criminali informatici stanno aumentando il loro focus su tecniche di evasione avanzate, incluso lo sfruttamento di vulnerabilità zero-day. Nel 2023, quando è stato identificato un vettore iniziale di intrusione, nel 38% dei casi era da attribuirsi ad un exploit zero day. Questo indica una crescente sofisticazione degli attaccanti che mirano a sfruttare vulnerabilità non ancora note o non patchate per portare avanti le loro operazioni.
• Tendenze e Precauzioni: Il rapporto ha anche evidenziato un aumento nell'uso di tattiche "living off the land", dove gli attaccanti utilizzano prodotti legittimi e strumenti esistenti all'interno dell'ambiente bersaglio per muoversi lateralmente e accedere a dati sensibili.

La cattiva notizia è che l'aumento dell'uso di exploit, specialmente quelli che sfruttano vulnerabilità zero-day, indica che gli attori delle minacce stanno diventando sempre più sofisticati e capaci di bypassare le misure di sicurezza tradizionali. Questo impone alle organizzazioni di rimanere sempre all'avanguardia nella difesa delle loro infrastrutture critiche e nel garantire che le patch e gli aggiornamenti di sicurezza siano applicati tempestivamente.

Ma la buona notizia è che l'industria della sicurezza informatica sta rispondendo con miglioramenti significativi nelle tecnologie di rilevamento e risposta. L'aumento delle capacità di rilevamento interno, come evidenziato dal calo del dwell time, dimostra che le organizzazioni non solo stanno diventando più veloci nel rilevare gli attacchi, ma stanno anche migliorando la loro capacità di intervenire efficacemente prima che gli attacchi possano causare danni gravi. Questi progressi sono essenziali per costruire una resilienza più forte contro le minacce future.

Secondo quanto riportato da "The Register", una grave #vulnerabilità di #sicurezza colpisce le serrature intelligenti gestite dal software di #Chirp Systems, permettendo a estranei di sbloccarle da remoto. Questa criticità si manifesta a causa delle password e delle chiavi private incorporate staticamente nell'app Android di Chirp. Chiunque sia a conoscenza o scopra queste credenziali può utilizzarle per interfacciarsi con un'API del fornitore di serrature intelligenti #August, consentendo l'apertura remota delle serrature alimentate da Chirp.

La gravità della situazione è evidenziata dal fatto che il sistema di Chirp è attualmente utilizzato in oltre 50.000 abitazioni. Le implicazioni di questa #vulnerabilità sono particolarmente serie in quanto permettono l'accesso fisico illimitato agli ambienti protetti da queste serrature. Inoltre, la #vulnerabilità in questione è stata classificata con un punteggio di gravità CVSS di 9.1 su 10, un valore estremamente elevato che sottolinea il rischio significativo per la #sicurezza degli utenti.

La scoperta di questa falla risale a tre anni fa, ad opera di Matt Brown, un ingegnere senior di Amazon Web Services. Brown ha indagato l'app di Chirp dopo che il suo edificio residenziale ha adottato tali serrature nel marzo 2021. La sua analisi ha rivelato che l'app Android di Chirp conteneva credenziali di #sicurezza salvate in modo non protetto all'interno del codice sorgente, una pratica che espone a rischi elevati l'integrità del sistema.

Nonostante l'avvertimento dell'Agenzia per la #Sicurezza delle Infrastrutture e della #Cybersecurity degli Stati Uniti (CISA), che ha anche emesso un alert riguardo a questa situazione, Chirp non ha risposto alle richieste di intervento per mitigare la problematica. Tuttavia, a seguito dell'alert di CISA, Chirp ha aggiornato l'app Android introducendo "correzioni di bug e miglioramenti alla stabilità", il che potrebbe indicare che la #vulnerabilità è stata risolta, sebbene non vi sia conferma ufficiale.

Oltre a questa falla, l'articolo di "The Register" mette in luce altre problematiche legate alla #sicurezza delle serrature intelligenti. Ad esempio, anche se Chirp offre una chiave basata su NFC come alternativa all'app, questa soluzione non è esente da rischi. Infatti, il chip NFC trasmette le credenziali in testo chiaro, rendendo altrettanto semplice compromettere la #sicurezza delle serrature.

La gestione della crisi da parte di Chirp e la sua capacità di rispondere in modo efficace alle sfide di #sicurezza vengono ulteriormente complicate dal fatto che l'azienda è ora parte di una società di private equity, Thoma Bravo, a seguito dell'acquisizione di RealPage nel 2020. Questa struttura proprietaria potrebbe influenzare la rapidità e l'efficacia delle risposte alle questioni di #sicurezza.

La sicurezza dei nostri smartphone è una preoccupazione di tutti, e minimizzare il numero di app installate sui propri dispositivi mobili è essenziale non solo per ottimizzare le prestazioni, ma anche per aumentare la sicurezza. Meno applicazioni significano meno porte d'ingresso per possibili attacchi malware e minori probabilità di incorrere in violazioni della privacy.

Scaricare applicazioni solo da fonti attendibili è vitale, in quanto gli store ufficiali come Google Play eseguono controlli di sicurezza per filtrare app dannose. Tuttavia, l'anno scorso, secondo un report di Bleeping Computer ,Google ha dovuto affrontare la sfida di bloccare la pubblicazione di 2,28 milioni di app Android che presentavano violazioni delle politiche, che potevano minacciare la sicurezza degli utenti. Questo dimostra che, nonostante gli sforzi, anche le piattaforme ufficiali possono essere soggette a tentativi di infiltrazioni dannose.

Il colosso di Mountain View ha anche identificato e bloccato 333.000 account che avevano caricato malware o app fraudolente, o che erano coinvolti in ripetute gravi violazioni delle politiche. Nel 2022, erano state bloccate 1,5 milioni di app nocive e sospesi 173.000 account di sviluppatori.

Queste azioni fanno parte degli sforzi continui di Google per mantenere sicuro l'ecosistema di Google Play, che è fondamentale dato che miliardi di persone dipendono da queste app per rendere i loro dispositivi più utili. Il gigante della ricerca basa questi sforzi sui principi 'SAFE', che comprendono la salvaguardia degli utenti (Safeguard Users), la protezione degli sviluppatori (Advocate fo Developer Protection), il sostegno all'innovazione responsabile (Foster Responsible Innovation) e l'evoluzione delle difese della piattaforma (Evolve Platform Defenses).

Tra le iniziative recentemente introdotte per rafforzare la sicurezza ci sono state:

• Un processo di registrazione e verifica dell'identità degli sviluppatori più rigoroso.
• L'introduzione di revisioni di sicurezza indipendenti e badge per le app VPN Android.
• L'aggiunta di scanning in tempo reale per bloccare l'esecuzione di malware.
• Il rinforzo del firmware per rendere più difficile sfruttare i difetti a livello di SoC.
• L'espansione dell'indice SDK, che ora copre 6 milioni di app, per aiutare gli sviluppatori a scegliere SDK sicuri per i loro progetti.

In aggiunta, Google ha rifiutato o corretto 200.000 richieste di app che chiedevano accesso a permessi rischiosi come il contenuto di SMS e la localizzazione in background senza motivazioni valide. Queste misure sottolineano l'importanza di una selezione cautelosa delle app, anche su piattaforme affidabili, e confermano il bisogno di vigilanza costante contro le minacce alla sicurezza digitale.

I recenti sforzi di Google per migliorare la sicurezza su Google Play illustrano un impegno critico e in crescita per proteggere gli utenti da app dannose e violazioni delle politiche. Nonostante gli store ufficiali offrano un livello significativo di sicurezza, gli utenti devono rimanere vigili e informati. È fondamentale continuare a educare gli utenti sulla sicurezza delle app, incoraggiando pratiche sicure come il download di software solo da fonti affidabili, la verifica dei permessi delle app e l'installazione di aggiornamenti regolari.

Minimizzare il numero di app installate non solo può aiutare a proteggere i dati personali, ma anche migliorare le prestazioni generali del dispositivo. Inoltre, la collaborazione tra sviluppatori, fornitori di piattaforme e gli stessi utenti è essenziale per costruire un ecosistema di app più sicuro.

Man mano che la tecnologia continua a evolversi, così deve evolvere la nostra comprensione e gestione della sicurezza informatica. L'impegno di Google nel rafforzare le sue difese e nel promuovere pratiche sicure rappresenta un passo importante verso un ambiente digitale più sicuro per tutti.

#GooglePlaySecurity #AppSafety #MalwarePrevention #DigitalSafety #TechSecurity #AndroidApps #SafeDownloading #UserProtection #CybersecurityAwareness #SecureTech #CybersecurityUP

Il team di #BleepingComputer ha identificato un #malware specializzato nel furto di informazioni, il quale mira a sottrarre dati dai #browser delle vittime, incluse credenziali salvate, # cookie, informazioni su portafogli di #criptovalute, dati di autocompletamento e informazioni sulle carte di credito. Questi dati vengono poi venduti nei mercati del #darkweb o utilizzati per violare gli account online delle vittime, favorendo ulteriori truffe o frodi.

Il team ha rilevato che la portata di queste campagne è impressionante, specie in un periodo di forte interesse verso l'intelligenza artificiale, un campo in rapido sviluppo che rende difficile per il pubblico distinguere gli annunci legittimi da quelli falsi. 

In uno specifico caso monitorato, una pagina #Facebook che impersonava #Midjourney ha raccolto 1,2 milioni di follower e è rimasta attiva per quasi un anno prima della sua rimozione. Originariamente, i malintenzionati hanno dirottato un profilo esistente nel giugno 2023, trasformandolo in una falsa pagina Midjourney, la quale è stata successivamente chiusa da Facebook l'8 marzo 2024. 

Numerosi post hanno indotto gli utenti a scaricare gli #infostealer, promuovendo una versione desktop dello strumento che non esiste. Alcuni post annunciavano il rilascio della V6, che non è ancora disponibile ufficialmente, con l'ultima versione rilasciata essendo la V5. 

In altri casi, sono state promosse opportunità di creare arte NFT e monetizzare le proprie creazioni. Esaminando i parametri di targeting degli annunci di Facebook nella Meta Ad Library, il team ha scoperto che gli annunci miravano a un demografico di uomini tra i 25 e i 55 anni in diversi paesi europei, tra cui Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania e Svezia. 

Invece di utilizzare link di #Dropbox e #GoogleDrive per ospitare i #payload, i malintenzionati hanno configurato più siti che clonavano la pagina ufficiale di atterraggio di #Midjourney, ingannando gli utenti a scaricare quella che credevano fosse l'ultima versione dello strumento di generazione artistica tramite un link #GoFile. In realtà, scaricavano #Rilide v4, un'estensione che si spaccia per Google Translate per il browser web, nascondendo efficacemente il #malware che sottraeva cookie di Facebook e altri dati in background. 

Nonostante la rimozione di questa pagina, i criminali hanno lanciato una nuova pagina ancora attiva con oltre 600.000 membri, promuovendo un falso sito #Midjourney che distribuisce malware. 

Dopo la chiusura della pagina impostora con oltre 1,2 milioni di follower, il team di BleepingComputer ha osservato che i criminali informatici hanno rapidamente impostato una nuova pagina che impersonava Midjourney tra l'8 e il 9 marzo 2024. La pagina è stata impostata dopo aver preso il controllo dell'account Facebook di un altro utente, che ha anche avvertito gli altri utenti nella sezione recensioni che l'account era stato hackerato. Durante l'indagine, sono state rilevate altre quattro pagine Facebook che tentavano di impersonare #Midjourney, alcune delle quali sono state rimosse dalla piattaforma. 

L'ultima pagina maliziosa che impersonava Midjourney sembra sia stata presa dagli attaccanti il 18 marzo, quando i criminali informatici hanno cambiato il nome originale della pagina Facebook originale. Al 26 marzo, il profilo truffa contava 637.000 follower. 

Questo caso evidenzia la sofisticazione delle strategie di malvertising basate sui social media e sottolinea l'importanza della vigilanza nell'interazione con le pubblicità online. La vasta scala delle reti sociali come Facebook, unita a una moderazione insufficiente, permette a queste campagne di persistere per lunghi periodi, facilitando la diffusione incontrollata di malware che porta a danni estensivi derivanti dalle