Bitdefender ha rilasciato una ricerca su una campagna di spionaggio attiva legata alla Russia. La campagna, condotta dal gruppo identificato come UAC-0063, utilizza tattiche sofisticate per infiltrarsi in importanti realtà, tra cui enti governativi e missioni diplomatiche in Asia centrale e in diversi Paesi europei, tra cui Germania, Regno Unito, Romania e Paesi Bassi.
UAC-0063 utilizza documenti Microsoft Word resi pericolosi, il malware loader HATVIBE, malware personalizzato e altre tecniche sofisticate per infiltrarsi nelle istituzioni governative e nelle ambasciate.
Bitdefender invita gli enti governativi e gli altri soggetti che operano in questi paesi a mantenere il massimo stato dall’erta e consiglia di implementare un’architettura di difesa a più livelli e in profondità:
- Prevenzione: un primo passo fondamentale per mitigare il rischio di attacchi informatici è ridurre al minimo la superficie di attacco. La gestione proattiva dei rischi, che comprende un’accurata modellazione delle minacce e valutazioni delle vulnerabilità, è fondamentale per identificare e mitigare le potenziali minacce prima che possano essere sfruttate da criminali informatici come UAC-0063.
- Protezione: distribuendo più livelli di sicurezza su tutti i dispositivi e gli utenti, le aziende possono creare ostacoli significativi per i criminali informatici che riescono a eludere le difese iniziali. È essenziale trovare il giusto equilibrio tra il blocco delle attività dannose e la segnalazione di comportamenti sospetti, riducendo al minimo i falsi positivi e l’impatto sulle prestazioni.
- Rilevamento e risposta: la maggior parte degli attacchi moderni richiede almeno giorni, in genere settimane, per violare e compromettere completamente una rete. Una parte significativa di questo tempo viene impiegata per lo spostamento laterale, in cui gli hacker ottengono l’accesso ad altri sistemi e dati. Le indagini di Bitdefender rivelano sistematicamente che i criminali informatici generano tipicamente indicatori di compromissione sufficienti per essere rilevati. Tuttavia, due insidie comuni ostacolano una risposta efficace.
- In primo luogo, l’assenza di soluzioni solide di rilevamento e risposta degli endpoint (EDR) o di rilevamento e risposta estesa (XDR). Le soluzioni EDR e XDR sono progettate per ridurre il tempo in cui i criminali informatici rimangono inosservati, analizzando e correlando i comportamenti sospetti, anche se non possono essere immediatamente classificati come dannosi.
- In secondo luogo, mentre gli strumenti di rilevamento come EDR e XDR sono in grado di identificare le anomalie, sono necessarie operazioni di sicurezza efficaci per indagare, stabilire le priorità e rispondere a questi alert. I team della sicurezza sotto organico o sovraccarichi possono avere delle difficoltà ad analizzare questi avvisi, aumentando il rischio che gli incidenti si trasformino in gravi violazioni della sicurezza. Investendo in team operativi di sicurezza dedicati o in servizi di rilevamento e risposta gestiti (MDR) più accessibili, le aziende possono ridurre significativamente il rischio di queste violazioni.
L’articolo del blog sulla ricerca è disponibile qui.