Microsoft ha pubblicato una nuova "
security guidance" adattata ai tempi del coronavirus.
Indicando quali minacce si stanno intensificando a seguito della pandemia. Il primo vettore di attacco messo in evidenza è prevedibilmente il
phishing. Le mailbox di tutti sono piene di mail riguardanti Covid-19: notizie, policy aziendali, proposte di servizi. Si clicca spesso senza pensare troppo. E per questo, spiega Microsoft,
aumenta il tasso di successo delle campagne di phishing e social engineering.
Gli attaccanti non stanno usando nuovi sistemi. Stanno riconvertendo i tool che già usano in modo che mostrino richiami al coronavirus. I nuovi attacchi
sono quindi repliche di attacchi precedenti. Leggermente modificati per
sfruttare il traino della pandemia. Magari semplicemente cambiando l'oggetto di una mail. O impersonando entità come l'OMS.
La conseguenza è che, come la pandemia, anche i nuovi attacchi sono globali. Ogni nazione ha registrato
almeno una nuova campagna di phishing mirato. La telemetria di Microsoft indica che Cina, Russia e Stati Uniti sono i bersagli preferenziali. Nelle nuove campagne si usano varianti di malware già di dimostrata efficacia. Come Trickbot ed
Emotet, rilevati in
76 varianti collegate a campagne a tema Covid-19.
Microsoft stima che ogni giorno circolino in rete qualcosa come
60 mila mail di phishing a tema coronavirus. Un numero che sembra elevato ma che è meno del 2% del totale delle minacce rilevate ogni giorno. Sempre quotidianamente, Microsoft "filtra" circa
18 mila URL a tema pandemia che rimandano a contenuti ostili. Queste URL sono modificate molto di frequente, al momento. In modo da evitare le funzioni di protezione basate su machine learning. E in questa fase colpisce particolarmente il fatto che ad essere bersagliate siano anche le realtà
medico-sanitarie.
Microsoft sottolinea che il phishing viene usato come
vettore di attacco. Ma l'azione degli hacker ostili è
molto più estesa. Non basta quindi avere soluzioni concentrate solo sulla protezione della mail. Una volta entrati nella rete della azienda-bersaglio, i malware possono spostarsi al suo interno. E usare modalità di diffusione e persistenza anche molto articolate. Serve quindi avere
visibilità e controllo su varie parti dell'IT. Dall'endpoint al cloud.
Per chi utilizza piattaforme Microsoft, il suggerimento è attivare
tutte le forme di protezione e controllo possibili. Ad esempio, Microsoft Defender ATP per gli endpoint. Le funzioni di Azure Active Directory per l'accesso protetto alle risorse in cloud e on-premise. Office 365 ATP per la protezione delle mail. Microsoft Cloud App Security per gli attacchi cloud-nativi. E ovviamente le piattaforme che
combinano tutti i dati di sicurezza per dare una visione integrata della situazione. Come Microsoft Threat Protection, Azure Security Center e Azure Sentinel.