Kaspersky Lab scopre PowerGhost, il nuovo cryptominer “fileless” che colpisce reti aziendali in tutto il mondo

(Roma, 26 luglio 2018) - I ricercatori di Kaspersky Lab hanno scoperto un nuovo cryptominer - PowerGhost - che ha già colpito le reti aziendali di diverse regioni del mondo, soprattutto in America Latina. Questa è solo l'ultima novità nell'ambito di una preoccupante tendenza che vede i criminali informatici impiegare sempre di più i miner nei loro attacchi mirati per scopi economici. Con la crescita di questo trend, le imprese saranno sempre più a rischio, perché i miner sono in grado di sabotare e rallentare le reti dei computer aziendali, danneggiando in generale le operazioni e riuscendo ad ottenere un guadagno economico nel corso del processo. Il mining di criptovalute è oggi uno dei temi più caldi sul fronte della cybersicurezza. Questo tipo di software specializzato nel “fare mining” può creare nuova moneta digitale sfruttando la potenza di calcolo di un PC vittima o di dispositivi mobili. I miner malevoli fanno la stessa cosa, ma a spese degli utenti, sfruttando sempre la potenza di calcolo dei computer e dei dispositivi, ma all'insaputa dei loro proprietari. Negli ultimi tempi la minaccia è cresciuta in modo vertiginoso, arrivando a prendere il posto del ransomware come caso di software più dannoso, come dimostrato anche da una precedente ricerca di Kaspersky Lab. Tuttavia, l'emergere di un nuovo cryptominer come PowerGhost, aggiunge alcune novità a questa tendenza. PowerGhost dimostra che gli sviluppatori di miner malevoli stanno spostando la loro attenzione verso l'impiego in attacchi mirati per ottenere maggiori profitti sul fronte economico, come avevano già previsto i ricercatori di Kaspersky Lab. PowerGhost viene distribuito all'interno delle reti aziendali, infettando sia le workstation sia i server. Per ora sembra che le principali vittime di questo tipo di attacco siano stati utenti di aziende in Brasile, Colombia, India e Turchia. È interessante notare come PowerGhost utilizzi diverse tecniche “fileless” per introdursi in modo discreto nelle reti aziendali: questo significa che il miner non scarica sul disco di memoria alcun file, rendendo più difficile le operazioni di rilevamento e remediation. L'infezione di una macchina avviene da remoto, tramite exploit o strumenti di remote administration. Quando una macchina viene colpita, la parte principale del miner viene scaricata ed eseguita senza essere memorizzata su disco rigido. Una volta che questo processo è avvenuto, i cybercriminali possono predisporre l'aggiornamento automatico del miner, la sua diffusione all'interno della rete e l'avvio del processo di cryptomining. "PowerGhost attacca le aziende con l'obiettivo di installare i miner, sollevando nuove preoccupazioni sui software di criptovalute. Il miner che abbiamo esaminato indica che colpire gli utenti ora non basta più e che i cybercriminali stanno rivolgendo la loro attenzione anche alle imprese. E questo fa del mining di criptovalute una vera minaccia per l'intera business community", ha dichiarato Vladas Bulavas, malware analyst di Kaspersky Lab. I prodotti Kaspersky Lab rilevano questa minaccia fornendo i seguenti responsi: • PDM:Trojan.Win32.Generic • PDM:Exploit.Win32.Generic • HEUR:Trojan.Win32.Generic • not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen Per diminuire il rischio di una possibile infezione da miner malevoli, Kaspersky Lab consiglia di: 1. Provvedere sempre agli aggiornamenti su tutti i device in uso. Per impedire ai miner di sfruttare le vulnerabilità, utilizzare strumenti in grado di rilevare proprio le vulnerabilità e di scaricare e installare le patch in modo automatico. 2. Non trascurare obiettivi che possono sembrare meno scontati di altri, come i sistemi di gestione delle file, i terminali POS, persino i distributori automatici. Anche questo tipo di apparecchiature possono essere attaccate per fare mining di criptovalute. 3. Utilizzare una soluzione di sicurezza dedicata, che disponga di funzionalità di controllo delle applicazioni, di rilevamento “behaviour-based” e di componenti di prevenzione dagli exploit, che possano monitorare azioni sospette delle applicazioni e l'esecuzione di blocchi di file malevoli. Una soluzione come Kaspersky Endpoint Security for Business include questo tipo di funzionalità. 4. Per proteggere l'ambiente digitale della propria azienda, è fondamentale informare ed educare i dipendenti e il team IT, tenendo separati i dati sensibili e limitando l'accesso. Per saperne di più su una nuova minaccia come PowerGhost, è disponibile unblogpost dedicato su Securelist.com. Informazioni su Kaspersky Lab Kaspersky Lab è un'azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l'expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell'azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Seguici su: https://twitter.com/KasperskyLabIT http://www.facebook.com/kasperskylabitalia https://plus.google.com/+KasperskyItKL https://www.linkedin.com/kasperskylabitalia https://t.me/KasperskyLabIT