La carrellata sulla sicurezza informatica di marzo include discussioni sulla guerra informatica nel conflitto Russia-Ucraina, che il governo degli Stati Uniti avverte come possibile estendere per influenzare le risorse Internet di aziende e istituzioni in altri paesi, compresi quelli americani. Discutiamo anche di come le organizzazioni possono proteggersi da queste minacce informatiche emergenti.
I siti web del governo ucraino ricevono attacchi DDoS
Nella prima settimana di marzo, i siti web del governo ucraino sono stati oggetto di continui attacchi DDoS (Distributed Denials of Service) da parte di sospetti hacker russi. Inizialmente sono stati effettuati massicci attacchi DDos ai siti Web dei siti Web e delle banche del governo ucraino segnalati lo scorso 24 febbraio. Un attacco DDos si verifica quando più macchine interrompono i servizi di un host connesso a una risorsa di rete sovraccaricando il computer di destinazione con il traffico fino a quando non si arresta in modo anomalo. Gli obiettivi comuni sono i principali server Web come banche e siti governativi; i servizi interessati includono l'online banking, l'e-mail e l'accesso al sito web. Il Servizio statale ucraino per le comunicazioni speciali e la protezione delle informazioni (SSSCIP) ha rivelato che gli attacchi DDoS di marzo hanno preso di mira i siti web delle istituzioni governative, tra cui il parlamento, la presidenza e il gabinetto. Da asporto di SSL.com: Il metodo migliore per i governi per proteggere i propri siti Web, dati e transazioni consiste nell'acquisire un'infrastruttura a chiave pubblica collaudata (PKI) servizi di professionisti della sicurezza informatica. Vai al ns PKI e certificati digitali per il governo articolo per scoprire come aiutiamo le istituzioni governative a rafforzare la loro sicurezza informatica PKI.Il malware wiper attacca le aziende ucraine
Lo scorso 22 marzo, il Computer Emergency Response Team of Ukraine (CERT-UA) ha avvertito di un nuovo tipo di malware wiper utilizzato per attaccare le organizzazioni ucraine. Chiamato DoubleZero, questo malware invade i computer attraverso tattiche di phishing e procede alla cancellazione dei registri di Windows e alla chiusura del sistema infetto. Nel loro Avviso del 22 marzo, CERT-UA spiega come opera DoubleZero: “Utilizza due metodi per distruggere i file: sovrascrivendo i file con zero blocchi di 4096 byte (metodo FileStream.Write) o usando le chiamate API NtFileOpen, NtFsControlFile (codice: FSCTL_SET_ZERO_DATA). Innanzitutto, tutti i file non di sistema su tutti i dischi vengono sovrascritti. Dopodiché viene compilato l'elenco dei file di sistema su una maschera, viene effettuato il loro ordinamento e la successiva riscrittura nella sequenza corrispondente. I seguenti rami del registro di Windows vengono distrutti: HKCU, HKU, HKLM, HKLM \ BCD. Alla fine, il computer si spegne". SSL.com's Takeaway: Consigliamo a tutte le organizzazioni di prestare attenzione alle potenziali campagne di phishing che vengono spesso utilizzate per fornire malware paralizzante come i wiper. Puoi leggere il nostro articolo Proteggiti dal phishing per scoprire come rilevare e contrastare gli attacchi di phishing.Certificati di firma del codice NVIDIA rubati utilizzati per firmare malware
Due certificati di firma del codice di NVIDIA vengono utilizzati per firmare vari tipi di malware dopo che sono stati rilasciati online. La fuga di notizie online è stata commessa dalla banda di criminali informatici Lapsus$ che è stata in grado di entrare in possesso dei certificati attraverso il suo attacco ransomware del 23 febbraio su NVIDIA. I due certificati di firma del codice sono stati utilizzati da NVIDIA per firmare i propri driver ed eseguibili e facevano parte di 1 TB di dati privati dell'azienda che Lapsus$ è stata in grado di rubare. Hanno fatto trapelare i certificati dopo che NVIDIA si è rifiutata di avviare trattative con loro. Dopo la perdita dei certificati di firma del codice da parte di Lapsus$, altri hacker hanno iniziato a utilizzarli per firmare diversi tipi di malware tra cui Mimikatz, trojan di accesso remoto e beacon Cobalt Strike. Un hacker lo era essere trovato di aver utilizzato il certificato per firmare un trojan di accesso remoto Quasar. Lapsus$ è anche noto per aver attaccato i siti web del Ministero della Salute e dell'Impresa del Brasile (il più grande conglomerato mediatico del Portogallo), oltre a aver rubato 190 GB di dati da Samsung. Takeaway di SSL.com: come spiegato da BleepingComputer, Microsoft richiede che i driver in modalità kernel siano firmati in codice prima che possano essere caricati dal sistema operativo. È qui che i certificati Extended Validation Code Signing di SSL.com possono offrire una protezione aggiuntiva. I nostri certificati di firma del codice EV offrono il massimo livello di autenticazione e sicurezza disponibile nel codice di firma. Dai un'occhiata al funzionalità complete dei nostri certificati di firma del codice EV.SSL Manager Viene aggiornato alla versione 3.2
SSL Manager è l'applicazione Windows multiuso di SSL.com designed per rendere intuitiva la gestione, l'installazione e la distribuzione dei certificati digitali. Con SSL Manager essendo aggiornato alla versione 3.2, ora può collaborare con Yubikey per ottenere ai clienti i loro certificati più velocemente in un token. Prima, i clienti dovevano eseguire l'attestazione su una Yubikey direttamente su Yubikey Manager, inviarla manualmente al sito Web SSL.com, informare il team di supporto e attendere la nuova emissione. Adesso, SSL Manager 3.2 può eseguire tutti i processi menzionati direttamente per Yubikey. SSL Manager 3.2 ora consente completamente di generare coppie di chiavi e ordinare e installare Firma del codice EV e attendibile da Adobe firma del documento certificati su token USB FIPS YubiKey. Nello specifico, SSL Manager 3.2 può:- Genera coppia di chiavi nel dispositivo Yubikey (RSA2048, ECCP256, ECCP384)
- Genera l'attestazione della chiave utilizzando il dispositivo Yubikey
- Creare un ordine per un certificato con attestazione chiave
- Importa il certificato sul dispositivo Yubikey
