Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni

    Zendesk è stato attaccato da email-bomba, gli attacchi basati su browser sono in aumento e gli hacker dell'NK si infiltrano in aziende di droni

    by Cheryl Zupan
    roundup-Blog.jpg

    Key Points

    • I criminali informatici hanno sfruttato la configurazione di Zendesk che consente agli utenti anonimi di inviare ticket di assistenza, utilizzandola per inviare migliaia di e-mail dannose.
    • Gli attacchi basati sul browser, tra cui ClickFix e i falsi schemi CAPTCHA, stanno diventando un metodo prevalente per i criminali informatici per violare la sicurezza.
    • Gli hacker nordcoreani, identificati come Lazarus Group, si sono infiltrati in diverse aziende europee coinvolte nello sviluppo e nella difesa dei droni.

    In questa edizione di Human Risk Roundup, ci immergiamo in tre eventi recenti di alto profilo e degni di nota - continui a leggere per maggiori informazioni.

    Le bombe via e-mail sfruttano un'autenticazione poco rigorosa in Zendesk

    I criminali informatici hanno sfruttato impostazioni di autenticazione poco rigorose nella piattaforma di assistenza clienti di Zendesk per inondare le caselle di posta elettronica con migliaia di e-mail dannose, sfruttando gli account di clienti legittimi di Zendesk. Questo abuso mette in evidenza i rischi di consentire l'invio di ticket anonimi senza un'adeguata verifica, che possono offuscare i marchi e sopraffare gli obiettivi.

    Cosa è successo

    I criminali informatici hanno sfruttato la configurazione di Zendesk che consente agli utenti anonimi di inviare ticket di assistenza, utilizzandola per inviare migliaia di e-mail dannose. Queste e-mail, inviate da account legittimi di clienti Zendesk come The Washington Post e NordVPN, hanno sommerso le caselle di posta elettronica con spam e messaggi dannosi. Gli aggressori hanno sfruttato la mancanza di convalida dell'indirizzo e-mail nel processo di creazione dei ticket di Zendesk, consentendo loro di utilizzare indirizzi di mittente falsi. Nonostante le misure di limitazione del tasso di Zendesk, gli aggressori sono riusciti a inviare un elevato volume di e-mail in breve tempo. Zendesk ha riconosciuto il problema e ha raccomandato ai clienti di implementare flussi di lavoro autenticati per evitare abusi. Tuttavia, l'attuale configurazione della piattaforma privilegia la convenienza rispetto alla sicurezza, lasciando spazio a tali attacchi.

    Perché è importante

    Questo incidente sottolinea l'importanza critica di applicare l'autenticazione e la convalida nei sistemi rivolti ai clienti. Il personale addetto alla cybersecurity deve riconoscere che anche le piattaforme affidabili come Zendesk possono essere utilizzate come armi se configurate in modo errato. L'attacco dimostra come le impostazioni di sicurezza poco rigorose possano danneggiare sia le persone prese di mira che i marchi i cui account vengono sfruttati. Evidenzia inoltre la necessità di misure proattive, come la limitazione del tasso e la convalida delle e-mail, per mitigare gli abusi. Per i team di cybersecurity, questo serve a ricordare di verificare regolarmente gli strumenti di terze parti e di assicurarsi che siano in linea con le best practice di sicurezza. In definitiva, l'evento sottolinea l'equilibrio tra usabilità e sicurezza, esortando i professionisti a dare priorità alle salvaguardie senza compromettere la funzionalità.

    Quattro consigli pratici per i leader della sicurezza

    1. Applicare la convalida dell'e-mail: Si assicuri che tutti i sistemi rivolti ai clienti convalidino gli indirizzi e-mail prima di elaborare le richieste, per evitare abusi.
    2. Implementare l'autenticazione per l'invio di ticket: Chieda agli utenti di autenticarsi prima di inviare i ticket di assistenza, per ridurre il rischio di abusi anonimi.
    3. Verifichi regolarmente gli strumenti di terze parti: Esegua revisioni periodiche di piattaforme come Zendesk per identificare e risolvere potenziali lacune nella sicurezza.
    4. Istruire i team sulle migliori pratiche di configurazione: Istruisca il personale per configurare i sistemi in modo sicuro, bilanciando l'usabilità con solide misure di sicurezza.

    Per saperne di più sull'attacco.

    Analizzare ClickFix: la tecnica basata sul browser alla base delle violazioni degli infostealer

    Gli attacchi basati sul browser, come ClickFix e i falsi schemi CAPTCHA, che sfruttano le interazioni degli utenti con script dannosi per diffondere malware come infostealer e keylogger, sono una minaccia crescente. Questi attacchi spesso portano al furto di dati, alla diffusione di ransomware e alla doppia estorsione, ponendo sfide significative ai team di cybersecurity per quanto riguarda il rilevamento e la risposta.

    Cosa è successo

    Questi attacchi basati sul browser stanno diventando un metodo prevalente per i criminali informatici per violare la sicurezza. Inducono gli utenti a interagire con script dannosi, consentendo l'invio di malware come infostealer, keylogger e software di accesso remoto. Una volta entrati, gli aggressori rubano i cookie di sessione e le credenziali per compromettere le applicazioni e i servizi aziendali. I dati rubati vengono spesso utilizzati per il riscatto, con il ransomware che a volte viene utilizzato come tattica di estorsione secondaria.

    Perché è importante

    Gli attacchi basati sul browser rappresentano un'evoluzione significativa delle minacce informatiche, mirando alle interazioni degli utenti per aggirare le misure di sicurezza tradizionali. Sfruttano le vulnerabilità del comportamento umano e della sicurezza del browser, rendendole difficili da rilevare e prevenire. Per il personale addetto alla cybersecurity, questo significa adattarsi a un nuovo panorama di minacce in cui le difese tradizionali potrebbero non essere più sufficienti. L'uso di cookie di sessione e credenziali rubate per infiltrarsi nei sistemi aziendali rappresenta un rischio diretto per i dati sensibili e la continuità operativa. Il modello di doppia estorsione, che combina il riscatto dei dati con il ransomware, amplifica il danno finanziario e reputazionale per le vittime. Comprendere e mitigare queste minacce è fondamentale per mantenere solide difese di cybersecurity in un ambiente di attacco sempre più sofisticato.

    Quattro consigli pratici per i leader della sicurezza

    1. Educare gli utenti: Istruisca i dipendenti a riconoscere e ad evitare di interagire con richieste sospette del browser, come i falsi CAPTCHA o le azioni inaspettate di copia-incolla.
    2. Migliorare gli strumenti di rilevamento: Investa in sistemi di rilevamento avanzati in grado di identificare script dannosi e comportamenti insoliti del browser.
    3. Monitorare l'attività di sessione: Implementa soluzioni di monitoraggio per rilevare l'uso non autorizzato dei cookie di sessione e delle credenziali.
    4. Si prepari alla doppia estorsione: Sviluppi piani di risposta agli incidenti che affrontino sia gli scenari di riscatto dei dati che quelli di ransomware, per minimizzare l'impatto.

    Per saperne di più su queste violazioni.

    Gli hacker nordcoreani si infiltrano nelle aziende di sviluppo dei droni

    Gli hacker nordcoreani, probabilmente del Gruppo Lazarus, hanno preso di mira le aziende europee di sviluppo di droni in una campagna di cyber-spionaggio per rubare la tecnologia proprietaria degli UAV. Gli attacchi, che coinvolgono l'ingegneria sociale e il malware come ScoringMathTea, mirano a rafforzare le capacità dei droni della Corea del Nord per uso militare.

    Cosa è successo

    Il Gruppo Lazarus si è infiltrato in diverse aziende europee coinvolte nello sviluppo e nella difesa dei droni. Questi attacchi, iniziati a marzo, hanno preso di mira le aziende dell'Europa sud-orientale e centrale, comprese quelle che producono UAV utilizzati nel conflitto in Ucraina. Gli hacker hanno utilizzato tattiche di social engineering per distribuire malware, come ScoringMathTea, garantendo loro il pieno controllo del sistema. Le prove suggeriscono che la campagna mirava a rubare il know-how di produzione e la tecnologia proprietaria dei droni. La Corea del Nord ha dato priorità all'avanzamento delle sue capacità UAV, come dimostra la recente presentazione di droni che assomigliano a modelli militari statunitensi. Gli attacchi evidenziano la dipendenza del regime dal cyber-spionaggio per accelerare i suoi progressi militari.

    Perché è importante

    Questa campagna sottolinea la minaccia persistente rappresentata da attori di Stati-nazione come la Corea del Nord, in particolare nei settori critici come la difesa e l'aerospaziale. L'uso del social engineering e del malware evidenzia la necessità di una solida formazione dei dipendenti e di misure di sicurezza degli endpoint. Le tattiche del Gruppo Lazarus, come l'Operazione Dream Job, sfruttano le vulnerabilità umane, rendendole difficili da individuare e prevenire. Il furto di tecnologia proprietaria non solo compromette le aziende prese di mira, ma ha anche implicazioni più ampie per la sicurezza globale e l'equilibrio militare. Il personale addetto alla sicurezza informatica deve rimanere vigile contro le minacce in evoluzione, soprattutto quelle che fanno leva su sofisticate tecniche di spionaggio. Questo incidente serve a ricordare il ruolo critico della cybersecurity nella protezione della proprietà intellettuale e della sicurezza nazionale.

    Quattro consigli pratici per i leader della sicurezza

    1. Migliorare la formazione dei dipendenti: Istruisca il personale sul riconoscimento e l'evitamento delle tattiche di social engineering, come le false offerte di lavoro e i tentativi di phishing.
    2. Implementare la protezione degli endpoint: Implementare strumenti avanzati di rilevamento e risposta degli endpoint (EDR) per identificare e mitigare i malware come ScoringMathTea.
    3. Monitorare le attività insolite: Verifichi regolarmente il traffico di rete e i registri di sistema alla ricerca di segni di accesso non autorizzato o di infiltrazione di dati.
    4. Rafforzare la sicurezza di fornitori e partner: Si assicuri che i fornitori e i partner terzi aderiscano a rigorosi protocolli di cybersecurity per prevenire le vulnerabilità della catena di approvvigionamento.

    Per saperne di più sulla campagna.

    22BLOG_1.jpg
    Up Next
    Security Awareness Training |
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management

    Related Articles

    Security Awareness Training
    Come misurare l'Human Risk: 7 metriche chiave
    Security Awareness Training
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management
    Security Awareness Training
    Human Risk Roundup: Un worm autoreplicante, un arresto nel Regno Unito e un allarme per un account Facebook

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top