Microsoft sta ora bloccando la backdoor Sunburst utilizzata nell'attacco informatico di SolarWinds che ha causato numerose vittime in tutto il mondo.
La backdoor Sunburst è una caratteristica chiave dell'attacco alla catena di approvvigionamento in corso e il rilascio di una firma di malware globale dovrebbe ridurre notevolmente la minaccia.
Cos'è il cyberattacco SolarWinds?
Nel dicembre 2020, numerose agenzie governative statunitensi hanno annunciato di essere state vittime di un'ampia operazione di hacking. La backdoor per l'attacco è stata inserita utilizzando un aggiornamento dannoso tramite il software di gestione IT e monitoraggio remoto di SolarWinds Orion.
Al momento in cui scrivo, l'hack di SolarWinds ha rivendicato il Tesoro degli Stati Uniti, insieme ai dipartimenti di Homeland Security, Stato, Difesa e Commercio come vittime, con il potenziale per di più rivelazioni.
Relazionato: Questi esperti di sicurezza ti stanno rendendo la vita più sicura
Molti "esperti di sicurezza" non hanno l'esperienza che affermano. Qui ci sono diversi esperti di sicurezza che fanno e cosa stanno facendo per migliorare la sicurezza.
La vera portata dell'attacco SolarWinds non è ancora nota. Parlando con il BBC, il professor Alan Woodward, ricercatore sulla sicurezza informatica, ha dichiarato: "Dopo la guerra fredda, questa è una delle penetrazioni potenzialmente più grandi dei governi occidentali di cui sono a conoscenza".
Cos'è la backdoor Sunburst?
Un attacco così vasto ha richiesto mesi, se non anni, di pianificazione. L'attacco è stato avviato con la consegna di un aggiornamento dannoso non scoperto al software SolarWinds Orion.
All'insaputa di SolarWinds e dei suoi utenti, molti dei quali sono dipartimenti governativi, un attore di minacce aveva infettato un aggiornamento.
L'aggiornamento è stato distribuito ad almeno 18.000 e potenzialmente fino a 300.000 clienti. Quando attivato, l'aggiornamento ha attivato una versione trojan del software Orion, consentendo all'aggressore di accedere al computer e alla rete più ampia.
Questo processo è noto come attacco alla catena di approvvigionamento. L'hacking è stato scoperto da FireEye, anch'egli vittima di una relativa violazione dei dati di alto profilo nel dicembre 2020.
Relazionato: FireEye, azienda leader nel settore della sicurezza informatica, è stata colpita da un attacco da uno stato nazionale
Il Rapporto FireEye si legge in sintesi:
Gli attori dietro questa campagna hanno avuto accesso a numerose organizzazioni pubbliche e private in tutto il mondo. Hanno avuto accesso alle vittime tramite aggiornamenti trojan del software di monitoraggio e gestione IT Orion di SolarWind. Questa campagna potrebbe essere iniziata già nella primavera del 2020 ed è attualmente in corso. L'attività post compromissione a seguito di questa compromissione della catena di approvvigionamento ha incluso movimenti laterali e furto di dati.
Sunburst, quindi, è il nome con cui FireEye sta monitorando l'attacco informatico e il nome dato al malware distribuito tramite il software SolarWinds.
In che modo Microsoft sta bloccando la backdoor Sunburst?
Microsoft sta implementando i rilevamenti per i suoi strumenti di sicurezza. Una volta che la firma del malware viene distribuita a Sicurezza di Windows (in precedenza Windows Defender), i computer che eseguono Windows 10 avranno protezione dal malware.
Secondo il Team di Microsoft 365 Defender Threat Intelligence blog:
A partire da mercoledì 16 dicembre alle 8:00 PST, Microsoft Defender Antivirus inizierà a bloccare i file binari dannosi noti di SolarWinds. Questo metterà in quarantena il file binario anche se il processo è in esecuzione.
Microsoft offre anche i seguenti passaggi di sicurezza aggiuntivi se incontri il malware Sunburst:
- Isolare immediatamente il dispositivo oi dispositivi infetti. È probabile che se trovi il malware Sunburst, il tuo dispositivo è probabilmente sotto il controllo di un utente malintenzionato.
- Se sono stati utilizzati account sul dispositivo infetto, è necessario considerarli compromessi. Reimposta qualsiasi password relativa all'account o disattiva completamente l'account.
- Se possibile, inizia a indagare su come il dispositivo è stato compromesso.
- Se possibile, inizia a cercare gli indicatori che il malware si è spostato su altri dispositivi, noto come movimento laterale.
Per la maggior parte delle persone, i primi due passaggi di sicurezza sono i più importanti. È inoltre possibile trovare ulteriori informazioni sulla sicurezza in SolarWinds posto.
Non vi è alcuna conferma dell'identità degli aggressori, ma si ritiene che il lavoro sia opera di un team di hacker di stato-nazione altamente sofisticato e dotato di risorse adeguate.
L'assicurazione contro i crimini informatici è un settore in espansione che molte organizzazioni stanno esplorando. Ma è un investimento utile?
- Sicurezza
- Notizie tecniche
- Windows Defender
- Malware
- Porta sul retro
Gavin è il Junior Editor per Windows e Technology Explained, un collaboratore regolare del Really useful Podcast, ed è stato l'editor per il sito gemello criptato di MakeUseOf, Blocks Decoded. Ha una laurea in scrittura contemporanea con pratiche di arte digitale saccheggiate dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Gli piacciono abbondanti quantità di tè, giochi da tavolo e calcio.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.