25 marzo 2013

Cyber-attacchi in Corea: Trend Micro Deep Discovery ha difeso le aziende dalle minacce più evolute

I recenti attacchi condotti a danno delle banche e dei media in Corea del Sud sono stati ostacolati dalla protezione avanzata della Difesa Personalizzata di Trend Micro
 

Trend Micro Inc. (TYO: 4704;TSE: 4704), leader globale nella sicurezza per il cloud, annuncia che i clienti che utilizzano la soluzione di protezione avanzata Deep Discovery sono stati in grado di identificare e reagire ai recenti cyber-attacchi su larga scala condotti in Corea, prima che danneggiassero le loro organizzazioni.
La scorsa settimana, questi attacchi multipli hanno paralizzato molte delle principali banche e dei media del paese, impedendo ad una grande quantità di abitanti della Corea del Sud di prelevare denaro dagli sportelli bancomat e a chi lavora nei mezzi di comunicazione di poter accedere alle proprie risorse.

Le capacità di network detention e analisi della sandbox personalizzata di Deep Discovery hanno permesso di rilevare le email di spear phishing, identificare il malware che contenevano e scoprire i siti esterni di comando e controllo (C&C) utilizzati dai cybercriminali in questa particolare occasione.
Possedendo queste capacità di intelligence, i clienti hanno potuto fermare immediatamente l’attacco, rimediando a qualsiasi possibile effetto e bloccando tutte le fonti di comunicazione maligne. Il rilevamento e la risposta rapida hanno salvato i clienti di Deep Discovery da un attacco volto a interrompere le normali attività di business disabilitando endpoint e risorse strategiche.

I cyber-attacchi sono al centro dell’attenzione da diverso tempo in Corea del Sud e molte aziende private e agenzie governative hanno implementato misure proattive di rilevamento delle minacce e di risposta. Trend Micro è il principale fornitore di questa tipologia di soluzioni di intelligence e servizi di sicurezza e annovera tra i propri clienti tre delle sei principali banche e più di 80 agenzie governative, che utilizzano già Deep Discovery per proteggersi da tali attacchi.

Anatomia dell'attacco in Corea
Secondo i dati raccolti, molti terminali presso le più importanti banche della Corea del Sud e tre delle principali emittenti TV si sono spenti mercoledì 20 marzo 2013 alle 14 ora locale, le 6 del mattino in Italia. Alcuni schermi hanno anche mostrato l'immagine di un teschio e un avvertimento da parte del gruppo "Whois".

Questo processo di attacco è uno dei numerosi attacchi simultanei indipendenti che affliggono ultimamente la Corea del Sud. La ricerca di Trend Micro ha dimostrato che, in particolare, quanto accaduto mercoledì scorso è il risultato di un attacco malware che ha avuto inizio con la consegna di una email spear phishing camuffata per apparire come il rendiconto mensile di una carta di credito per il mese di marzo.
Il malware collegato a queste email di phishing, che ha portato a collassare i sistemi, sovrascrive il Master Boot Record (MBR), ed è stato impostato per essere eseguito il 20 marzo 2013. Il malware installato prima del 20 marzo rimaneva in sospeso per attivarsi solo in quella data.
Una volta eseguito, il malware paralizza completamente il sistema comportando nella maggior parte dei casi il rebuilt del sistema stesso. Ripulire il MBR può, infatti, rappresentare l’unica scelta rispetto ad un attacco mirato volto a rendere l’analisi e il recupero di questi sistemi più difficile. I ricercatori di Trend Micro hanno dimostrato che i cybercriminali miravano a distruggere non solo sistemi Microsoft Windows, ma anche Linux, IBM AIX, Solaris Oracle e le versioni Hewlett-Packard HP-UX di UNIX.

I clienti di Deep Discovery che temono di poter essere anch’essi colpiti da questo attacco possono esaminare i log di Deep Discovery per le istanze di "HEUR_NAMETRICK.B."

Deep Discovery e la Difesa Personalizzata Trend Micro
Trend Micro Deep Discovery offre il rilevamento personalizzato, l'intelligence e le capacità di risposta necessarie a proteggere i clienti dagli attacchi mirati e dagli Advanced Persistent Threats (APT). I suoi motori di rilevamento e il sandboxing personalizzato identificano e analizzano malware, comunicazioni maligne e comportamenti di attacco che non sono rilevabili dalle soluzioni di sicurezza standard.

Deep Discovery garantisce il completo processo Rilevare – Analizzare - Adattarsi e Rispondere rispetto a questa tipologia di attacco, confrontandosi e integrandosi con gli investimenti di sicurezza esistenti per creare una soluzione completa di Difesa Personalizzata progettata su misura per l'ambiente specifico del cliente. L'integrazione di Deep Discovery e gli aggiornamenti di sicurezza condivisi con la sicurezza della rete, gateway ed endpoint migliorano la protezione e la difesa contro gli attacchi a tutti i livelli.
L’intelligence contro le minacce personalizzata e l’analisi degli eventi di sicurezza di Deep Discovery permettono il contenimento rapido e la bonifica di un attacco. Solo Deep Discovery e la Difesa Personalizzata di Trend Micro offrono questa ampiezza e profondità di protezione.

Informazioni più dettagliate sugli ultimi attacchi in Corea sono disponibili sul blog Trend Micro Security Intelligence al seguente link: http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/
 

Imageware srl - Via Moretto da Brescia, 22 - 20133 Milano - Tel. +39 02.7002.51 Fax + 39 02.7002.540 P.I.08529480157 - e-mail info@imageware.it
Group Company: Img Internet