Cisco Talos, il centro di ricerca cybersecurity di Cisco, ha reso pubblici nuovi aggiornamenti su VPNFilter , un malware di alto profilo, sofisticato e complesso già in precedenza analizzato e reso pubblico da Cisco Talos .
Le novità sono principalmente due:
1-L’elenco dei dispositivi colpiti si amplia
2-La pericolosità del malware aumenta
Questa ricerca è il frutto di mesi di lavoro che Talos ha svolto insieme a partner che si occupano di threat intelligence sia del settore pubblico e privato.
L’analisi non è ancora stata completata ma la portata di tale minaccia è tale che Talos ha deciso di darne evidenza pubblica il 23 maggio pubblicando tutti i dettagli scoperti in questo blog.
La protezione della fiducia che i clienti e partner ripongono in Cisco guida il modo in cui facciamo e comunichiamo le nostre ricerche: per questo Talos ha deciso il 23 maggio di condividere tutti i dettagli di questa scoperta con tutti gli altri fornitori di cybersecurity membri del Cyber Threat Alliance così che tutti possano condividere e lavorare su questa minaccia.
Che cosa è VPNFilter
Il malware è stato chiamato “VPNFilter” perché si autoinstalla in una directory chiamata /vpnfilter/.
Ha una capacità distruttiva importante perché se viene attivato è in grado di danneggiare o distruggere i dispositivi colpiti. Inoltre permette di ispezionarne il traffico, rubarne i file e potenzialmente entrare nel network connesso a questi dispositivi.
Chi attacca VPNFilter – l’elenco dei dispositivi si amplia
Lavorando insieme ai nostri partner che stanno partecipando a questa analisi Cisco Talos stima che:
- Il numero di dispositivi colpiti sia di 500.000 in almeno 54 paesi. Ai dispositivi già precedentemente individuati quali Linksys, MikroTik, NETGEAR e TP-Link si aggiungono SUS, D-Link, Huawei, Ubiquiti, UPVEL, e ZTE.
- Le soluzioni Cisco non risultano esser state infettate.
- Il target di questo malware sembrano essere
- Le Piccole e Medie Imprese visto che questi dispositivi sono presenti principalmente nel segmento Small and Home Office -SOHO
- Le aziende che hanno dipendenti o partner che usano questi dispositivi per connettersi al loro network
- Le aziende che hanno un Network attached storage (NAS) ovvero un dispositivo collegato alla rete la cui funzione è quella di consentire agli utenti di accedere e condividere una memoria costituita da uno o più dischi rigidi, all’interno della propria rete o dall’esterno
VPNFilter: ancora più pericoloso
Sono state scoperte da Cisco Talos due varianti importanti nel propagare del contenuto malevolo quando il malware arriva all’ultimo stadio dell’attacco, ovvero al terzo:
- VPNFilter può iniettare del contenuto malevolo direttamente nel traffico web attraverso il dispositivo infettato. Cisco Talos conferma che in questo modo la minaccia non si limita a danneggiare il dispositivo colpito, bensì attraverso lo stesso la minaccia arriva direttamente al dispositivo connesso. Questa variante è definita “SSLER” e viene spiegata nel blog
- Nel caso VPNFilter non riesca a passare lo stadio due dell’attacco ovvero la disabilitazione del dispositivo, questa variante permette di rimuovere ogni traccia del malware dal dispositivo, così che non sia possibile capire se si è stati attaccati da VPNFilter, per poi renderlo in ogni caso inutilizzabile. Il nome di questa variante è “dstr” .
Suggerimenti
Consigliamo a tutte le aziende che utilizzano dispositivi presenti nella lista dei router menzionati e che possono essere stati impattati di seguire i suggerimenti indicate nel post di Cisco Talos.
Come può aiutarvi Cisco
Le soluzioni Cisco che aiutano a difendersi da questo come altri malware sono:
- Le soluzioni della prima linea di difesa come Umbrella, e Web Security Appliance in quanto bloccano i domini di tipo call back command e control(C2) conosciuti
- Le soluzioni Next Generation Firewall and Next Generation IPS per bloccare il malware proteggendo il network
- Stealthwatch Enterprise e Stealthwatch Cloud sono in grado di identificare i dispositivi che stanno comunicando con C2 noti. I dettagli del coverage specifico per questo malware si trovano nel Talos blog
- Se avete il sospetto che siete stati attaccati e volete agire ora per riparare immediatamente un possibile danno il nostro servizio di Cisco Incident Response è a vostra disposizione al numero 1-844-831-7715
Perchè le Piccole e Medie Imprese devono prestarvi attenzione
Sono due le ragioni principali che vanno considerate:
- È la prima volta che un malware così sofisticato e pericoloso attacca il settore delle piccole e medie aziende. E proprio questo ha spinto Talos a pubblicare i risultati della ricerca in anticipo rispetto alla loro conclusione. Quello a cui stiamo assistendo è una evoluzione nella tipologia di target da parte dei criminali informatici che non può essere sottostimata da parte delle PMI. Ricordiamo infatti che l’ultimo stadio del malware VPNFilter è la messa fuori uso dei dispositivi colpiti, e non il fatto di tenerli in stand by in attesa di vedersi pagare un riscatto come nel caso di WannaCry.
- Lo scenario normativo in tema di data privacy è cambiato grazie al regolamento europeo GDPR : ora una azienda ha 72 ore per notificare al garante della privacy l’avvenuta violazione della privacy dei dati in proprio possesso e il piano di recovery messo in piedi. Ogni PMI dovrebbe chiedersi se ha gli strumenti e i processi adeguati per fare questo.
Questo attacco malware dimostra ancora una volta che, nonostante non si possa azzerare il rischio di un attacco, una tecnologia integrata di cybersecurity permette di prevenirlo e un piano efficace di Incident Response di risolverlo.
——————————————–
Se hai letto questo post potrebbe interessarti anche
Gli switch Cisco obiettivi di attacchi informatici
Guida per le PMI: come far crescere la propria azienda con le soluzioni Cisco
Come investire budget e tempo nella sicurezza informatica