Gli ambienti di lavoro stanno diventando sempre più digitali grazie all’uso dei cosiddetti dispositivi endpoint (PC desktop, PC portatili, notebook, laptop, tablet, stampanti e smartphone).

I dispositivi endpoint stanno diventando sempre più la preda preferita dagli hacker, quindi il sillogismo è presto fatto: gli ambienti di lavoro digitali sono sempre più sotto attacco.

È quello che è emerso anche dal Threat Insights Report di HP Wolf Security, il nuovo programma di HP dedicato alla sicurezza degli endpoint, svolto nell’ultimo trimestre del 2021.

Threat Insights Report di HP WOLF SECURITY: che cosa è emerso in sintesi

HP Wolf Security ha dimostrato che negli ultimi tre mesi del 2021 c’è stata un’evoluzione delle minacce informatiche.

I cyber attacchi più numerosi sono stati fatti nei confronti di documenti Office: un 6% di minacce in più rispetto al trimestre precedente contro Microsoft Word e un 4% in più contro file Excel.

La posta elettronica è rimasta il principale vettore di infezione, con il 77% delle minacce isolate dalla funzione HP Sure Click di HP Wolf Security, mentre gli archivi sono risultati meno popolari come vettore di malware, con un calo del 10%.

Il 13% delle minacce è stato scaricato tramite un browser Web, mentre l’11% è stato avviato dall’utente, ad esempio, aprendo un file che si è rivelato dannoso.

HP Wolf Security

Quali sono stati gli attacchi più comuni?

Tra i vari tipi di attacchi informatici, quelli alla supply chain sono diventati più comuni: i fornitori di servizi gestiti (Managed Service Provider, MSP) continuano infatti a essere un attraente vettore di propagazione per gli hacker.

Ma rispetto agli attacchi alla catena di approvvigionamento di qualche mese fa, che tendevano a concentrarsi sul furto di informazioni, l’impatto degli attacchi recenti è stato maggiore a causa della popolarità del ransomware come metodo di monetizzazione.

Il ransomware – il cui significato deriva dalla crasi di ransom (riscatto) e malware -, indica un virus che danneggia il dispositivo limitandone l’accesso, la cui rimozione avviene solo dietro pagamento di un riscatto.

Il ransomware è rimasto lo strumento preferito dai criminali informatici per monetizzare l’accesso alle reti, tanto che ricordiamo benissimo uno degli attacchi informatici più famosi che ha colpito la Colonial Pipeline nel maggio 2021.

In quell’occasione sono stati rubati 100 GB di dati dal gruppo DarkSide, con circa 5 milioni di dollari pagati in riscatto, tanto che il presidente degli Stati Uniti Biden ha emesso l’Executive Order 14028 per migliorare la cybersecurity del governo federale degli Stati Uniti.

Il Malware Ursnif che ha colpito l’Italia falsificando BRT

A proposito di virus e minacce informatiche al settore logistico, nel quarto trimestre HP Wolf Security ha rilevato un’ampia campagna di malware proveniente dalla botnet Cutwail che ha fornito Ursnif, un trojan bancario in grado di rubare le credenziali di accesso ai siti.

La campagna ha colpito principalmente 248 aziende italiane operanti nel settore manifatturiero e nelle amministrazioni locali: gli hacker avevano infatti falsificato il dominio di BRT, la società di corriere italiana, per indurre gli utenti ad aprire le loro e-mail.

Ogni messaggio di posta elettronica, il cui oggetto riportava l’espressione regolare BRT – Abbiamo preso in carico la tua spedizione, conteneva un allegato di un foglio di calcolo Excel (.XLS) denominato in base all’espressione regolare XSG\d{7}\.xls: aprendo l’allegato, il trojan Ursnif si attivava e rubava le credenziali dell’utente.

I malware ai componenti aggiuntivi di excel isolati da HP WOLF SECURITY

Tra i malware isolati da HP Wolf Security, tuttavia, non c’era solo il trojan Ursnif diffuso tramite mail, ma anche malware che colpivano direttamente i componenti aggiuntivi di Excel.

Nel corso del quarto trimestre del 2021, infatti, sono state identificate sette famiglie di malware – Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook e Bitrat – distribuite proprio tramite componenti aggiuntivi di Excel.

In particolare, è stato rilevato un aumento di quasi sei volte (588%) di malware che utilizzano file di componenti aggiuntivi Microsoft Excel (XLL) corrotti per danneggiare i sistemi IT rispetto al trimestre precedente.

Ma cosa sono i componenti aggiuntivi? Sostanzialmente sono dei componenti che forniscono comandi e funzionalità facoltative a Microsoft Excel tramite API (Application Programming Interface), le quali vengono sfruttate dagli hacker per abusare delle funzionalità legittime dei software.

In pratica, il malware viene inviato tramite mail, la quale contiene in allegato file XLL o collegamenti dannosi simili e se l’utente fa doppio clic sull’allegato si apre Microsoft Excel, che richiede di installare e attivare il componente aggiuntivo.

Gli hacker inseriscono il loro codice nella funzione xlAutoOpen, che viene eseguita immediatamente dopo l’attivazione del componente aggiuntivo.

Questa tecnica è pericolosa perché è necessario un solo clic per eseguire il malware, a differenza delle macro VBA che richiedono all’utente di disabilitare la visualizzazione protetta di Microsoft Office e abilitare il contenuto delle macro. Come difendersi, quindi, da questi attacchi informatici?

Installando la soluzione HP Wolf Pro Security, oppure configurando il gateway e-mail in modo che blocchi le e-mail in entrata contenenti allegati XLL, configurando Microsoft Excel in modo che solo autori attendibili possano creare componenti aggiuntivi, oppure configurando Microsoft Excel per disabilitare completamente i componenti aggiuntivi proprietari.

.

Per maggiori informazioni su HP Wolf Security, visita la pagina ufficiale

Da non perdere

Comments are closed.