Router Wireless ed Access Point sono i dispositivi IT più vulnerabili
Oggi, il numero e la diversità dei dispositivi connessi continuano a crescere nelle aziende, indipendentemente dal settore in cui operano. Ciò ha creato una nuova sfida per le organizzazioni poiché devono comprendere e gestire i rischi a cui sono esposte.
Continuiamo a dire che la superficie di attacco si sta espandendo, e questo perché ora copre Information Technologies, Internet-of-Things e Operational Technology per la maggior parte delle aziende, con l'aggiunta di IoMT (Internet of medical Things) nel settore sanitario. Tuttavia, i dispositivi IT sono ancora l'obiettivo principale del malware, incluso il ransomware, e sono considerati il principale vettore di ingresso sfruttato inizialmente dagli attori delle minacce.
A questo proposito, un recente rapporto sui dispositivi connessi più rischiosi per le reti aziendali ha osservato che i router con interfaccia Wireless e gli Access Point stanno diventando i punti di ingresso più comuni per malware e minacce persistenti avanzate.
Recentemente è venuto alla luce un nuovo modus operandi per una campagna di attacco nota come ZuoRAT che è riuscita a volare sotto il radar per quasi due anni. Questa tecnica di minaccia è estremamente sofisticata e si rivolge principalmente ai router di piccoli uffici o uffici domestici, utilizzando gli stessi come vettore di ingresso. Come funziona?
- Innanzitutto, un file MIPS (Microprocessor without Interlocked Pipelined Stages) compilato viene inviato ai router. Questo file è un malware chiamato ZuoRAT, progettato per raccogliere informazioni sui dispositivi e sulla LAN al fine di ottenere l'accesso dopo aver infettato il computer.
- Una volta installato, il malware enumera gli host e la LAN interna. Può anche catturare i pacchetti di rete trasmessi attraverso il dispositivo compromesso e lanciare un attacco man-in-the-middle, come il dirottamento DNS e HTTP, basandosi su un insieme predefinito di regole. L'operazione di dirottamento fa sì che i dispositivi connessi acquisiscano e distribuiscano programmi di caricamento shellcode sulle macchine nella rete locale.
- Lo Step successivo è passare dal router alle workstation sulla rete, distribuendo un caricatore di Windows utilizzato per scaricare ed eseguire uno dei tre trojan: CBeacon, GoBeacon o CobaltStrike.
Questa campagna si rivolge in genere ad organizzazioni statunitensi ed europee. Almeno 80 obiettivi sono stati colpiti in un periodo di nove mesi, ma si sospetta che molti di più possano essere stati presi di mira.
Questa minaccia può essere mitigata solo implementando soluzioni di rilevamento ben configurate e aggiornate.
Reti wireless impenetrabili e una rete aziendale sicura
L'aumento del lavoro da casa o piu’ in generale dello Smart-Working, ha cambiato il modo in cui i dipendenti si connettono ad Internet e complica la gestione del rischio per i responsabili IT. Gli utenti appartenenti ai vari gruppi di lavoro aziendali ora accedono costantemente ad Internet da una rete domestica spesso non protetta anziché dalla rete protetta dell'ufficio fisico.
Ciò genera nuove esigenze di sicurezza che possono essere soddisfatte incorporando punti di accesso Wireless sicuri e software di gestione della rete wireless in grado di offrire una connettività ottimizzata. Oltre a fornire un set completo e pratico di funzioni wireless, forniscono la crittografia sicura richiesta dagli ambienti di lavoro odierni. Ma il vantaggio principale è l'elevato livello di visibilità, che consente il monitoraggio dettagliato e il reporting dell'ambiente wireless, fornendo agli amministratori IT le informazioni di cui hanno bisogno per determinare le prestazioni dell’intera infrastruttura Wi-Fi. Ciò rende possibile visualizzare lo stato del dispositivo e, cosa più importante, la salute del dispositivo, in maniera tale che sia più facile tenere il passo con gli aggiornamenti ed evitare potenziali vulnerabilità.
La combinazione di questa soluzione con un firewall protegge gli utenti da attacchi sofisticati come ZuoRAT, poiché impedisce a qualsiasi malware nascosto nel traffico crittografato di accedere alla rete aziendale. In Akubra, un'azienda che progetta, produce e distribuisce iconici cappelli australiani, sapevano che questa era la strada che dovevano intraprendere per ridurre significativamente il numero di minacce che prendono di mira i loro server. Le soluzioni WatchGuard hanno consentito al team IT di Akubra di prendere sempre le giuste decisioni e mantenere livelli di sicurezza ottimali, con conseguente aumento della produttività e soddisfazione dei dipendenti.
Come dimostra il caso Akubra, avere le giuste soluzioni di protezione significa che le aziende possono concentrare i propri sforzi su altre aree, aggiungendo valore alla propria attività. Tutte le aziende oggi hanno bisogno di un accesso ad Internet. Il modo migliore per proteggere i dispositivi connessi più rischiosi nel loro ambiente è cercare un fornitore di sicurezza informatica che offra le soluzioni avanzate di cui hanno bisogno.