Attacchi Remote Desktop: +280% nel 2020 in Italia

attacchi-remote-desktop
attacchi-remote-desktop

L’elevato numero di dipendenti in smart working ha favorito la nascita di nuove vulnerabilità che i criminali informatici hanno prontamente sfruttato con un elevato numero di attacchi verso i remote desktop.

Come nota Kaspersky, il volume del traffico aziendale è cresciuto. Gli utenti, per svolgere il proprio lavoro e scambiare dati con i colleghi, si sono affidati a servizi di terze parti o a reti Wi-Fi potenzialmente non sicure.

Attacchi Remote Desktop: accessi al protocollo RDP

Un’altra sfida per i team di sicurezza informatica è stata, indubbiamente, il numero elevato di persone costrette ad utilizzare strumenti per l’accesso da remoto.

Uno dei protocolli più popolari a livello applicativo per l’accesso alle workstation o ai server Windows è il protocollo proprietario di Microsoft, RDP.

Durante il primo lockdown, il numero dei computer configurati in modo non corretto e messi a disposizione dei dipendenti per lavorare da remoto è cresciuto in modo esponenziale. Di conseguenza sono aumentati anche gli attacchi informatici a loro rivolti.

La tipologia di attacchi riscontrati nella maggior parte dei casi era di tipo brute force. Si tratta di attacchi che cercano di individuare le credenziali di accesso ad un account. Provano infatti quante più combinazioni di caratteri possibili fino a trovare quella corretta. Questi attacchi mirano a ricavare lo username e la password per accedere ai protocolli RDP e quindi ad ottenere l’accesso da remoto al computer violato

A partire dall’inizio di marzo di quest’anno, in Italia il numero di rilevamenti Bruteforce.Generic.RDP individuati è salito vertiginosamente. Complessivamente, tra gennaio e novembre 2020 sono stati rilevati quasi 174 miliardi di attacchi ai server Remote Desktop Protocol.

Attenzione alle false applicazioni di messaggistica e videoconferenza

Oltre agli attacchi ai server RDP, i criminali informatici hanno preso di mira anche gli strumenti di comunicazione online sfruttati ampiamente dai dipendenti durante lo smart working.

Kaspersky ha rilevato 1,66 milioni di file dannosi in tutto il mondo che sono stati diffusi attraverso false applicazioni di messaggistica e videoconferenze molto popolari e tipicamente utilizzate per il lavoro. Una volta installati, questi file caricavano principalmente adware, ovvero programmi che inondano i dispositivi delle vittime con pubblicità indesiderata con l’obiettivo di raccogliere i loro dati personali.

È stato rilevato anche un altro gruppo di file camuffati da applicazioni aziendali, i Downloaders, ovvero applicazioni che non possono essere dannose, ma che sono in grado di consentire il download di altre applicazioni, dai Trojan agli strumenti di accesso remoto.

Alcune utili raccomandazioni da Kaspersky

Tenuto conto che lo smart working è destinato a durare ancora a lungo, Kaspersky raccomanda alle aziende di:

  • Abilitare l’accesso alla rete attraverso una VPN aziendale e, se possibile, abilitare l’autenticazione multi-fattore per rimanere protetti dagli attacchi rivolti ai server RDP
  • Utilizzare una soluzione di sicurezza aziendale dotata di una protezione dalle minacce rivolte alla rete
  • Assicurarsi che i propri dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza da casa e sappiano chi contattare in caso di problemi informatici o di cybersecurity
  • Programmare una formazione di base in materia di sicurezza informatica per i propri dipendenti
  • Aggiornare regolarmente dispositivi, software, applicazioni e servizi
  • Assicurarsi di avere accesso alle più recenti informazioni sulla threat intelligence in grado di rafforzare soluzione di protezione aziendale
  • Oltre agli endpoint fisici, è importante proteggere i workload nel cloud e l’infrastruttura desktop virtuale.

Le regole che i dipendenti dovrebbero assolutamente seguire

È importante che anche i dipendenti osservino alcune regole durante il lavoro da remoto per rimanere protetti:

  • Assicurarsi che il proprio router supporti la trasmissione Wi-Fi a più dispositivi contemporaneamente, anche nel momento in cui più persone sono online e il traffico è intenso (come avviene quando si utilizzano strumenti di videoconferenza)
  • Impostare password complesse per il router e la rete Wi-Fi che includano una combinazione di lettere minuscole e maiuscole, numeri e punteggiatura
  • Se possibile, lavorare solo su dispositivi forniti dall’azienda. L’inserimento di informazioni aziendali su dispositivi personali potrebbe portare a potenziali problemi di sicurezza e privacy
  • Non condividere i dettagli del proprio account aziendale con nessun altro, anche se in qualche occasione potrebbe sembrare una buona idea per velocizzare il lavoro
  • Per proteggere i dispositivi personali, utilizzare una soluzione di sicurezza affidabile.

È possibile leggere il report completo a questo link.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Kasperksy VS Cryptolocker

Kaspersky ha sviluppato uno strumento gratuito che rappresenta una piccola speranza di salvezza per chi si trova vittima di ransomware. Un’arma in più contro quelli attacchi che bloccano tutti i dati e chiedono un riscatto per liberarli.

Kaspersky e la polizia olandese si sono alleate per creare uno strumento che ci libera dal ransomware, forse il peggiore tipo di malware esistente – a parte le cyberarmi ovviamente. Si tratta infatti di attacchi che bloccano i dati con crittografia, dopodiché i criminali chiedono un riscatto, generalmente in Bitcoin o simili. Pagando si riceve la password per sbloccare i propri dati, e non farlo significa rischiare la loro totale perdita.

Lo strumento sviluppato da Kaspersky è gratuito e agisce in particolare contro CoinVault, uno dei ransomware più diffusi. Il lavoro è stato reso possibile dalla National High Tech Crime Unit (NHTCU) olandese, che ha trovato diverse chiavi di decodifica di CoinVault e le ha passate alla società russa.

Non si tratta purtroppo di una soluzione definitiva, ma solo di una possibilità di rimuovere CoinVault. Il lavoro di ricerca è ancora in corso e lo strumento sarà aggiornato in futuro, quindi se oggi non è possibile sbloccare un file può darsi che lo sarà domani.

Non si può che accogliere con piacere un’iniziativa simile, soprattutto considerando quanto stia diventando grave il problema del ransomware. Solo in Olanda ComVault ha colpito oltre 700 computer Windows, ma ci sono vittime in tutto il mondo e molte diverse varianti di questo attacco. Ci sono stati diversi attacchi anche in Italia negli ultimi due anni.

Purtroppo quando si parla di sicurezza informatica le soluzioni non sono mai semplici. Non ci si può limitare a incolpare le vittime, perché troppo ingenue o troppo poco preparate. I computer dopotutto non sono che strumenti per fare cose di ogni genere, e la vera sfida, quella più dura, è proprio trovare il modo d’insegnare a tutti le basi della sicurezza. Come esperti o aspiranti tali, forse è anche compito nostro aiutare tutti a diventare più bravi nello schivare i pericoli.