Contenuto
- Perché i trojan di accesso remoto sono una tale minaccia?
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
- Difesa contro i trojan di accesso remoto
- Trojan di accesso remoto e minacce persistenti avanzate
Fonte: Jslavy / Dreamstime.com
Porta via:
Mentre molti pensano ai Trojan come ad attacchi obsoleti che sono stati sostituiti da malware più sofisticati, i Trojan ad accesso remoto (RAT) hanno visto un recente aumento dell'uso.
Qual è la tua più grande preoccupazione quando si tratta di minacce informatiche e malware? Se hai seguito le tendenze della sicurezza informatica negli ultimi anni, il ransomware potrebbe essere il tuo punto focale quando si tratta di rafforzare le difese della rete. (Per ulteriori informazioni sul ransomware, vedere La capacità di combattere il ransomware è diventata molto più dura.)
Mentre il ransomware è ancora una grave minaccia per qualsiasi azienda, la ricerca del 2018 mostra che i criminali informatici stanno spostando l'attenzione.
I dati mostrano che gli attaccanti non sono sempre alla ricerca di un payoff immediato: per la prima volta in assoluto, un Trojan di accesso remoto (RAT), che consente agli hacker di controllare sistemi compromessi ed esfiltrare dati sensibili, è apparso nella "Top 10 Most Wanted" Elenco di malware ".
Anche se esistono da quasi due decenni, la verità è che la maggior parte delle aziende non è preparata per questa potente forma di malware.
Perché i trojan di accesso remoto sono una tale minaccia?
Un Trojan di accesso remoto è simile a qualsiasi altro malware di tipo Trojan in quanto entra nel tuo sistema mascherato da software legittimo. Ma a differenza di altri Trojan, i RAT creano backdoor nei sistemi che offrono agli amministratori degli aggressori il controllo sugli endpoint infetti.
Uno dei motivi per cui i RAT sono diventati così comuni negli ultimi mesi è che è più facile che mai per gli attaccanti costruirli. Esistono centinaia di diversi toolkit che offrono ai criminali informatici tutto ciò di cui hanno bisogno per creare RAT e iniziare a distribuirli attraverso tutti i tipi di attacchi di ingegneria sociale.
È sufficiente un solo dipendente per aprire un allegato dannoso caricato con un Trojan di accesso remoto affinché gli aggressori possano infiltrarsi nella rete. Ciò è particolarmente problematico poiché i RAT si sono rivelati particolarmente difficili da rilevare.
Prendi il RAT più popolare, FlawedAmmyy, come esempio. Poiché FlawedAmmyy è basato sul codice sorgente di Ammyy Admin, un comune software desktop remoto, molti sistemi di sicurezza non identificheranno attività sospette sulla rete.
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
Una volta che un RAT come FlawedAmmyy ha infettato le tue macchine, gli aggressori possono rimanere a terra per giorni o addirittura settimane, mettendo a repentaglio la loro capacità di:
- Monitora il tuo comportamento installando keylogger e spyware attraverso la backdoor
- Rubare informazioni riservate, dati personali e credenziali
- Spiarti attivando sia la webcam che il microfono sul tuo endpoint
- Cattura schermate di attività sullo schermo
- Esfiltrare i dati sensibili accedendo agli strumenti di gestione dei file
- Riconfigurare i driver di dispositivo per creare nuove vulnerabilità nella rete
Con l'ascesa di ransomware e cryptominer, le minacce basate sui dati come i RAT sembravano diventare meno attraenti per i criminali informatici. Tuttavia, il responsabile del gruppo di intelligence sulle minacce di Check Point Maya Horowitz, afferma che non è più il caso:
Mentre i cryptominer rimangono la minaccia dominante, ciò può indicare che dati come credenziali di accesso, file sensibili, informazioni bancarie e di pagamento non hanno perso il loro appello redditizio ai criminali informatici.
Ma solo perché gli aggressori stanno creando RAT per sembrare un software legittimo non significa che sei condannato a subire un attacco. Esistono dei passaggi pratici che puoi adottare per proteggere te stesso (e la tua rete) dall'ascesa di Trojan di accesso remoto. (Per saperne di più sul cryptomining, controlla Hacking Cryptocurrencies.)
Difesa contro i trojan di accesso remoto
La buona notizia per quanto riguarda i RAT è che puoi difenderti nello stesso modo in cui tieni lontano da qualsiasi altra minaccia malware. Tuttavia, il volume e la raffinatezza delle minacce malware odierne hanno complicate strategie di sicurezza informatica. E per i Trojan ad accesso remoto, la posta in gioco è più alta di quanto non lo siano per le forme minori di malware.
Innanzitutto, una strategia di difesa RAT dipende dalla formazione sulla consapevolezza della sicurezza a livello aziendale. L'errore umano è la causa sottostante di oltre il 90 percento degli incidenti di sicurezza e non ci sono eccezioni quando si tratta di RAT. Poiché questo malware viene generalmente eseguito tramite collegamenti e allegati infetti nelle campagne di phishing, è necessario che i dipendenti siano iper-vigili per evitare di compromettere involontariamente la rete.
Tuttavia, la formazione sulla consapevolezza della sicurezza ti porterà solo finora. Indipendentemente dalla formazione in cui investi, le persone continueranno a fare errori. È necessaria una strategia di difesa a più livelli che combina diverse appliance di sicurezza e soluzioni software per fornire una protezione efficace per gli endpoint. Per difendersi da RAT e altri malware pericolosi, la tua difesa a più livelli dovrebbe includere:
- Rigorose procedure di controllo dell'accesso: I RAT vengono spesso utilizzati per compromettere le credenziali di amministratore che forniscono l'accesso a dati più preziosi sulla rete. Con rigorosi controlli di accesso, è possibile limitare l'impatto delle credenziali compromesse. Ciò significa implementare la verifica in due passaggi per andare oltre le semplici password durante i tentativi di accesso, autorizzare gli indirizzi IP per gli utenti autorizzati, implementare soluzioni antivirus più avanzate e rendere più rigide le configurazioni del firewall.
- Soluzioni di accesso remoto sicuro: Ogni nuovo endpoint che si collega alla rete rappresenta un potenziale sistema per gli hacker che possono compromettere l'utilizzo di RAT. Per limitare la superficie di attacco, l'accesso remoto dovrebbe essere consentito solo tramite connessioni protette create con gateway sicuri rinforzati o reti private virtuali (VPN). Ma oltre a ciò, aiuta a utilizzare una soluzione di accesso remoto senza client che non richiede software e plug-in aggiuntivi sui dispositivi degli utenti finali, che sono facili bersagli per gli aggressori.
- Tecnologie di sicurezza zero-trust: I modelli di sicurezza a fiducia zero hanno guadagnato terreno, grazie al loro approccio "mai fidarsi, verificare sempre". Invece di fornire agli amministratori le credenziali per un accesso totale attraverso la rete, le soluzioni di sicurezza zero-trust forniscono un controllo granulare sui movimenti laterali che gli aggressori usano per trovare dati preziosi.
Queste tre strategie si combinano per creare un ambiente più sicuro per i lavoratori sia in loco che remoti. Mentre è ancora importante che i dipendenti prestino molta attenzione a messaggi e link sospetti, l'integrazione di questi componenti di una strategia di difesa a più livelli ti aiuterà a evitare il disastro anche quando entra in gioco l'errore umano.
Trojan di accesso remoto e minacce persistenti avanzate
Un'ultima nota importante sui RAT è che non sono solo strumenti per guadagni finanziari a breve termine da parte dei criminali informatici. Mentre ransomware e cryptominer hanno offerto agli hacker molti modi per eseguire attacchi rapidi e redditizi, non puoi dimenticare i pericoli delle minacce persistenti avanzate (APT).
Compromettere una macchina con un accesso remoto Trojan può essere solo l'inizio di un attacco. Poiché è così difficile rilevare i RAT, le backdoor possono rimanere aperte per lunghi periodi di tempo. Ciò offre agli aggressori la possibilità di compromettere altri dispositivi, spostarsi lateralmente all'interno della rete ed esfiltrare ulteriori dati sensibili che si traducono in incidenti più costosi.
Non lasciare che i RAT aprano la tua organizzazione al rischio di violazioni dei dati da svariati milioni di dollari. Adottare tutte le misure necessarie per preparare la forza lavoro a queste minacce e rafforzare i sistemi per resistere agli errori umani che creano vulnerabilità da sfruttare per i RAT.