Trend Micro, leader globale nella sicurezza per il cloud, annuncia che i clienti che utilizzano la soluzione di protezione avanzata Deep Discovery sono stati in grado di identificare e reagire ai recenti cyber-attacchi su larga scala condotti in Corea, prima che danneggiassero le loro organizzazioni. Le scorse settimane, questi attacchi multipli hanno paralizzato molte delle principali banche e dei media del paese, impedendo ad una grande quantità di abitanti della Corea del Sud di prelevare denaro dagli sportelli bancomat e a chi lavora nei mezzi di comunicazione di poter accedere alle proprie risorse.
Le capacità di network detention e analisi della sandbox personalizzata di Deep Discovery hanno permesso di rilevare le email di spear phishing, identificare il malware che contenevano e scoprire i siti esterni di comando e controllo (C&C) utilizzati dai cybercriminali in questa particolare occasione.
Possedendo queste capacità di intelligence, i clienti hanno potuto fermare immediatamente l’attacco, rimediando a qualsiasi possibile effetto e bloccando tutte le fonti di comunicazione maligne.
Il rilevamento e la risposta rapida hanno salvato i clienti di Deep Discovery da un attacco volto a interrompere le normali attività di business disabilitando endpoint e risorse strategiche. I cyber-attacchi sono al centro dell’attenzione da diverso tempo in Corea del Sud e molte aziende private e agenzie governative hanno implementato misure proattive di rilevamento delle minacce e di risposta. Trend Micro è il principale fornitore di questa tipologia di soluzioni di intelligence e servizi di sicurezza e annovera tra i propri clienti tre delle sei principali banche e più di 80 agenzie governative, che utilizzano già Deep Discovery per proteggersi da tali attacchi.
Anatomia dell'attacco in Corea
Secondo i dati raccolti, molti terminali presso le più importanti banche della Corea del Sud e tre delle principali emittenti TV si sono spenti mercoledì 20 marzo 2013 alle 14 ora locale, le 6 del mattino in Italia. Alcuni schermi hanno anche mostrato l'immagine di un teschio e un avvertimento da parte del gruppo "Whois".
Questo processo di attacco è uno dei numerosi attacchi simultanei indipendenti che affliggono ultimamente la Corea del Sud. La ricerca di Trend Micro ha dimostrato che, in particolare, quanto accaduto mercoledì scorso è il risultato di un attacco malware che ha avuto inizio con la consegna di una email spear phishing camuffata per apparire come il rendiconto mensile di una carta di credito per il mese di marzo.
Il malware collegato a queste email di phishing, che ha portato a collassare i sistemi, sovrascrive il Master Boot Record (MBR), ed è stato impostato per essere eseguito il 20 marzo 2013. Il malware installato prima del 20 marzo rimaneva in sospeso per attivarsi solo in quella data. Una volta eseguito, il malware paralizza completamente il sistema comportando nella maggior parte dei casi il rebuilt del sistema stesso. Ripulire il MBR può, infatti, rappresentare l’unica scelta rispetto ad un attacco mirato volto a rendere l’analisi e il recupero di questi sistemi più difficile.
I ricercatori di Trend Micro hanno dimostrato che i cybercriminali miravano a distruggere non solo sistemi Microsoft Windows, ma anche Linux, IBM AIX, Solaris Oracle e le versioni Hewlett-Packard HP-UX di UNIX. I clienti di Deep Discovery che temono di poter essere anch’essi colpiti da questo attacco possono esaminare i log di Deep Discovery per le istanze di "HEUR_NAMETRICK.B". In uno scenario diverso, i ricercatori di Trend Micro hanno acquisito più esemplari (rilevati come TROJ_KILLMBR.SM), che a loro avviso sono stati responsabili delle schermate vuote dei computer che si sono verificate in alcuni enti sudcoreani.
Questo malware sovrascrive il Master Boot Record con una serie di stringe "HASTATI" e "PRINCPES". Nell'uso normale, l'MBR contiene le informazioni necessarie per qualsiasi sistema operativo di avviarsi correttamente. Esso quindi riavvia automaticamente il sistema. Al riavvio del sistema, a causa dell'MBR danneggiato, il sistema non è in grado di avviarsi. Anche se questa routine che prende di mira l'MBR non è nuova (non è inusuale nei ransomware, che blocca i sistemi fino a quando gli utenti effettuano pagamenti a bande di criminalità informatica), questo rende la pulizia del sistema più difficile e richiede del tempo.
Deep Discovery e la Difesa Personalizzata Trend Micro
Trend Micro Deep Discovery offre il rilevamento personalizzato, l'intelligence e le capacità di risposta necessarie a proteggere i clienti dagli attacchi mirati e dagli Advanced Persistent Threats (APT). I suoi motori di rilevamento e il sandboxing personalizzato identificano e analizzano malware, comunicazioni maligne e comportamenti di attacco che non sono rilevabili dalle soluzioni di sicurezza standard. Deep Discovery garantisce il completo processo Rilevare - Analizzare - Adattarsi e Rispondere rispetto a questa tipologia di attacco, confrontandosi e integrandosi con gli investimenti di sicurezza esistenti per creare una soluzione completa di Difesa Personalizzata progettata su misura per l'ambiente specifico del cliente.
L'integrazione di Deep Discovery e gli aggiornamenti di sicurezza condivisi con la sicurezza della rete, gateway ed endpoint migliorano la protezione e la difesa contro gli attacchi a tutti i livelli. L’intelligence contro le minacce personalizzata e l’analisi degli eventi di sicurezza di Deep Discovery permettono il contenimento rapido e la bonifica di un attacco. Solo Deep Discovery e la Difesa Personalizzata di Trend Micro offrono questa ampiezza e profondità di protezione. Informazioni più dettagliate sugli ultimi attacchi in Corea sono disponibili sul blog Trend Micro Security Intelligence al seguente link: http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/
Trend Micro Deep Discovery offre il rilevamento personalizzato, l'intelligence e le capacità di risposta necessarie a proteggere i clienti dagli attacchi mirati e dagli Advanced Persistent Threats (APT). I suoi motori di rilevamento e il sandboxing personalizzato identificano e analizzano malware, comunicazioni maligne e comportamenti di attacco che non sono rilevabili dalle soluzioni di sicurezza standard. Deep Discovery garantisce il completo processo Rilevare - Analizzare - Adattarsi e Rispondere rispetto a questa tipologia di attacco, confrontandosi e integrandosi con gli investimenti di sicurezza esistenti per creare una soluzione completa di Difesa Personalizzata progettata su misura per l'ambiente specifico del cliente.
L'integrazione di Deep Discovery e gli aggiornamenti di sicurezza condivisi con la sicurezza della rete, gateway ed endpoint migliorano la protezione e la difesa contro gli attacchi a tutti i livelli. L’intelligence contro le minacce personalizzata e l’analisi degli eventi di sicurezza di Deep Discovery permettono il contenimento rapido e la bonifica di un attacco. Solo Deep Discovery e la Difesa Personalizzata di Trend Micro offrono questa ampiezza e profondità di protezione. Informazioni più dettagliate sugli ultimi attacchi in Corea sono disponibili sul blog Trend Micro Security Intelligence al seguente link: http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/
Informazioni su Trend Micro
Trend Micro Incorporated (TYO: 4704;TSE: 4704), leader globale nella sicurezza per il cloud, crea un mondo sicuro nel quale scambiare informazioni digitali, fornendo a imprese e utenti privati soluzioni per la sicurezza dei contenuti Internet e la gestione delle minacce. Pioniere nella sicurezza server con un'esperienza ultra ventennale, Trend Micro propone un'offerta completa per la sicurezza a livello client, server e cloud in grado di soddisfare le esigenze di clienti e partner, bloccare le nuove minacce con rapidità e proteggere i dati all'interno di ambienti fisici, virtualizzati e cloud.
Basati sul framework di data mining Smart Protection Network™ di Trend Micro per la raccolta e identificazione del minacce da una rete globale, le soluzioni e i servizi per la sicurezza Trend Micro bloccano le minacce là dove emergono, su Internet, e sono supportati da oltre 1.000 esperti di threat intelligence di tutto il mondo.
Informazioni aggiuntive su Trend Micro Incorporated e su soluzioni e servizi sono disponibili su TrendMicro.it. In alternativa, tenetevi informati sulle nostre novità tramite Twitter all’indirizzo @TrendMicroItaly.
Copyright © 1989-2013 Trend Micro Incorporated. All rights reserved.
Nessun commento:
Posta un commento