https://bit.ly/3qXad6I - 🌐 Cybersecurity firm Bitdefender has conducted an extensive investigation into a targeted cyber attack against East-Asian infrastructure, uncovering the workings of a sophisticated, presumably custom malware dubbed as Logutil backdoor. This operation reportedly ran for over a year, aiming to compromise credentials and exfiltrate data. #Cybersecurity #Bitdefender #LogutilBackdoor 🕵️‍♀️The operation, traced back to early 2022, leveraged multiple tools to achieve its nefarious ends, Logutil being the primary one. Notably, AsyncRat was used during the initial stages of infection. The investigation suggests that CobaltStrike was part of the attackers' arsenal too. The victim of this operation was a company operating in the Technology/IT Services industry in East Asia. #CyberAttack #AsyncRat #CobaltStrike 💾 Modern cybercrime syndicates are increasingly leveraging legitimate components to perpetrate their attacks. For instance, DLL hijacking and misuse of legitimate scheduled tasks and services are commonly employed tactics. Notably, state-affiliated actors such as the APT29 group have used this strategy effectively, substituting a binary responsible for updating Adobe Reader with a malicious component, thus achieving persistence. #CybercrimeTactics #APT29 #AdobeReader 📍 These stealthy tactics were evident in the recent incident as well. The perpetrators deployed malware in locations less likely to be suspected of hosting such threats and more likely to be excluded from the security systems' scrutiny. #MalwareDeployment #CybersecurityChallenge 🔐 In this attack, the actors demonstrated capabilities of collecting credentials from various applications including MobaXterm, mRemoteNG, KeePass, and even Chrome passwords and history. They also attempted data exfiltration from mysql servers by accessing server process memory, and made attempts to dump LSASS memory. #DataExfiltration #CredentialTheft 🔁 The investigation also found that the attackers could infect other systems if an RDP session was established with the infected system, by placing malicious components in \tsclient\c\ subfolders if tsclient share was enabled. This highlights the extent of the attack's complexity and potential for propagation.

HTTPUploadExfil: HTTP Server for Exfiltrating Files/Data | #DataExfiltration #HTTPServer #Pentesting #Hacking

Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile

Estimated reading time: 5 minutes Per mantenere le informazioni segrete fuori dalla portata degli aggressori, le organizzazioni le collocano su dispositivi che non sono collegati ad alcuna rete. Questo per evitare qualsiasi possibilità di comunicazione con Internet. Queste macchine sono definite air-gapped. Per quanto sicuro possa sembrare, infettare una tale macchina o un segmento di rete non è in realtà così difficile. Estrarre le informazioni ottenute è molto più difficile, ma si è scoperto comunque possibile con la tecnica Air-Fi. Per studiare un exploit di questo scenario, entrano in gioco tutti i tipi di metodi intelligenti e Mordechai Guri, un ricercatore dell'Università Ben-Gurion del Negev (Israele), è specializzato nel trovarli. Il dottor Guri non è l'unico, naturalmente, ma negli ultimi anni, è stato coinvolto nella scoperta di alcune decine di questi metodi. Un nuovo studio descrive il modo per estrarre dati da un computer isolato, questa volta utilizzando la tecnologia Wi-Fi (da cui il nome Air-Fi).

Come funziona il metodo Air-Fi

La bellezza dell'Air-Fi è che funziona anche se il computer di destinazione non ha hardware Wi-Fi. Si basa su un malware già installato sul dispositivo che può utilizzare il bus di memoria DDR SDRAM per generare radiazioni elettromagnetiche a una frequenza di 2,4 GHz. Il malware può codificare i dati necessari in variazioni di questa radiazione e qualsiasi dispositivo con un ricevitore Wi-Fi, compreso un altro dispositivo compromesso, può raccogliere e intercettare i segnali generati. Questo altro dispositivo potrebbe essere un normale smartphone o anche una lampadina intelligente. Il metodo Air-Fi è particolarmente sgradevole dal punto di vista della sicurezza informatica. Non richiede diritti di amministratore sul computer isolato; un normale account utente può fare il lavoro. Inoltre, l'utilizzo di una macchina virtuale non fornisce alcuna protezione; le VM hanno accesso ai moduli di memoria.

Range e velocità di trasmissione

I ricercatori hanno trasmesso dati senza distorsioni degne di nota a una distanza fino a 2-3 metri (in un caso, fino a 8 metri) e una velocità fino a 100 bit al secondo, a seconda dell'hardware del computer infetto e del tipo di ricevitore. Come la maggior parte dei metodi simili, non è molto veloce. Il trasferimento di un file di 20MB, richiederebbe 466 ore, per esempio. Detto questo, il testo di "Jingle Bells", a 1.300 byte, potrebbe essere trasferito in 90 secondi. In questa luce, rubare un nome utente e una password con questa tecnica sembra del tutto realistico.

Come potrebbe funzionare un attacco

Infettare un sistema con air-gapped con il malware non è difficile. Un malintenzionato può facilmente farlo contaminando un'unità USB, tramite ingegneria sociale o ingannando il personale. Una volta fatto, l'aggressore dovrebbe poi infettare un dispositivo vicino con capacità WiFi per ricevere i dati trapelati. Per questo, l'aggressore può infettare i desktop vicini, i computer portatili o anche gli smartphone del personale che opera il sistema target con air-gapped. Per scongiurare questo tipo di attacchi fisici all'azienda, potresti voler considerare il nostro servizio di test fisico della sicurezza della tua azienda! Dopo un'infezione riuscita, il malware ruba i dati dal sistema air-gapped, facendoli trapelare nell'aria come Wi-Fi per il dispositivo ricevente. Come hanno spiegato i ricercatori: Come parte della fase di esfiltrazione, l'attaccante potrebbe raccogliere dati dai computer compromessi. I dati possono essere documenti, registrazioni di chiavi, credenziali, chiavi di crittografia, ecc. Una volta raccolti i dati, il malware avvia il canale segreto Air-Fi. Codifica i dati e li trasmette nell'aria (nella banda Wi-Fi a 2,4 GHz) utilizzando le emissioni elettromagnetiche generate dai bus DDR SDRAM. Il seguente video mostra un possibile scenario di attacco. https://youtu.be/vhNnc0ln63c

La straordinaria assenza di hardware wi-fi

Come abbiamo visto l’attacco Air-Fi non richiede che sulle macchine bersaglio ci sia installato hardware specifico Wi-Fi. Ma come è possibile? Viene dimostrato che l'attacco usa i bus di memoria DDR SDRAM per generare emissioni elettromagnetiche nella banda di frequenza tipica del protocollo Wi-Fi, ossia 2,4 GHz. Inoltre, è possibile anche codificare i dati in codice binario senza privilegi specifici. Usare una macchina virtuale non aiuta, perché tipicamente hanno comunque accesso all'hardware di memoria RAM. La comunicazione tra CPU e moduli RAM avviene tramite un bus sincronizzato con il clock di sistema. Questo genera una radiazione elettromagnetica che avrà una frequenza correlata alla frequenza di clock. Nel caso dei blocchi di memoria DDR4 si aggira proprio intorno ai 2,4 GHz. Se la frequenza dei moduli non fosse del valore corretto, è comunque possibile effettuare un overclock o downclock della velocità di memoria adeguandola alla frequenza Wi-Fi di 2,4 GHz. Insomma, una macchina che utilizza blocchi RAM potrebbe comunque trovare il modo di utilizzarli per la trasmissione di dati. Certo, tutto parte da una prima compromissione che ha installato un malware sulla macchina.

Come difendersi dall'Air-Fi

L'uso di Air-Fi comporta emissioni elettromagnetiche. È possibile contrastare la strategia utilizzando le seguenti misure: - Non permettere a dispositivi abilitati al Wi-Fi di avvicinarsi ai sistemi air-gapped per nessun motivo - Monitorare i sistemi isolati per processi sospetti - Schermare il computer in una gabbia di Faraday - Utilizzare un SOCaaS per monitorare le macchine in rete - Controllare operazioni e visite in azienda in modo da eliminare la possibilità di infezione tramite USB stick Come tutti i metodi simili, Air-Fi è troppo lento e difficile per essere usato dai comuni criminali informatici per gli attacchi quotidiani. Tuttavia, se la tua azienda sta utilizzando macchine air-gapped per lo stoccaggio di dati, sicuramente è meglio correre ai ripari, vista anche la recente fame di dati della cyber criminalità. Consigliamo di valutare l'adozione di un SOCaaS per prevenire l'uso di malware, eseguire regolari procedure per la verifica della sicurezza aziendale, sia virtuale (Vulnerability Assessment & Penetration Test) sia fisica, come suggerito in precedenza, tramite il nostro apposito servizio di test. Contattaci per sapere come possiamo aiutarti e come i nostri servizi possono mettere al sicuro i dati della tua azienda, saremo lieti di rispondere a qualunque domanda. Read the full article

Vimeo Faces Class-Action Lawsuit Over Unconsented Storage Of Users’ Biometric Data #biometricdata #biometricinformationprivacyact #consent #dataexfiltration #datastorage #facemap #facescan #facetemplate #faceprint #facial #facialrecognition #facialrecognitionlaws #facialrecognitiontrial #illinoisbiometricinformationprivacyact #lawsuit #magisto #magistoapp #vimeo #vimeofacelawsuit #vimeomagistoapp #hacking #hacker #cybersecurity #hack #ethicalhacking #hacknews

Tweeted

Plugin de Latch’sApp para DataExfiltration Toolkit (DET): https://t.co/pn0Y7oxAdd (https://t.co/twyC38TbrB)

— exaforo.com (@exatienda_com) March 30, 2017

https://bit.ly/3tkCG80 - 🔒 Encrypted npm packages were found targeting a major financial institution, raising concerns about the intent behind these publications. Phylum's analysis revealed sophisticated malware-like behavior, with the packages containing an encrypted blob targeted at a specific organization's domain. The situation highlights the complexities in determining the true nature of such cybersecurity threats. #Cybersecurity #MalwareDetection #FinancialInstitutionTargeted 🔎 In early November 2023, Phylum began tracking suspicious npm package publications. These packages executed encrypted payloads using local machine information, suggesting a highly targeted attack. The decrypted payload revealed an embedded binary designed to exfiltrate user credentials to an internal Microsoft Teams webhook of the targeted financial institution. This indicated either an inside job, a red team simulation, or external threat actors with substantial network access. #TargetedCyberAttack #DataExfiltration #CyberThreatAnalysis 🕵️ The attack mechanism was sophisticated, starting with a postinstall hook in the package.json. The code was designed to collect system-related information and use it for AES encryption. The attacker's focus on specific strings and environment variables suggested a detailed knowledge of the target's internal systems. #CyberAttackTactics #EncryptionMethods #SystemVulnerability 👥 After decrypting the payload, Phylum contacted the targeted organization. They discovered that the packages were part of an advanced adversary simulation exercise by the company's red team. While the intent was benign, this incident underscores the importance of vigilance against software supply chain attacks. #RedTeamSimulation #SupplyChainSecurity #CyberDefense 📊 The attack methodology revealed that developers are high-value targets and software libraries are rarely vetted for malicious modifications. This incident shows the effectiveness of software supply chain attacks, even against well-prepared organizations. It emphasizes the need for comprehensive security measures to protect against such sophisticated threats. #DeveloperSecurity #SoftwareSupplyChain #CyberSecurityAwareness 💡 Phylum's analysis of this case highlights the challenges in open source security. Their automatic analysis of packages in open source registries underscores the importance of identifying risks in using these packages. The incident serves as a reminder that today's red team exercise could be tomorrow's genuine threat, urging organizations to be adequately prepared.

https://bit.ly/46JsW4x - 🚨 Cactus Ransomware Targets Qlik Sense: Arctic Wolf Labs reports a new Cactus ransomware campaign exploiting vulnerabilities in Qlik Sense, a cloud analytics platform. This campaign marks the first known instance of Qlik Sense being targeted for ransomware deployment. #CactusRansomware #CyberSecurity #QlikSenseExploit 🔍 Intrusion Analysis and Exploitation Details: The intrusions involve exploiting known vulnerabilities (CVE-2023-41266, CVE-2023-41265, CVE-2023-48365) in Qlik Sense for initial access. The execution chain consistently involves the Qlik Sense Scheduler service, triggering uncommon processes and downloading malicious tools. #ThreatIntelligence #VulnerabilityExploitation ⚙️ Malicious Activity and Tools Used: Attackers use PowerShell and BITS for downloading tools like ManageEngine UEMS, AnyDesk, and PuTTY Link for persistence and remote control. These tools are disguised as legitimate Qlik files and downloaded using various PowerShell commands. #MalwareTactics #CyberAttackTools 🔑 Ransomware Deployment and Lateral Movement: Following successful exploitation, Cactus ransomware is deployed. Attackers use RDP for lateral movement and tools like WizTree and rclone for disk analysis and data exfiltration. All attacks show significant overlaps, pointing to a single threat actor. #RansomwareAttack #DataExfiltration 🛡️ Indicators of Compromise (IoCs) Identified: Several IoCs, including IP addresses, domain names, and file paths, are associated with this campaign. These IoCs are crucial for organizations to detect and respond to similar threats. #CyberDefense #IoCs 🧠 Insights from Arctic Wolf Researchers: Stefan Hostetler, Markus Neis, and Kyle Pagelow from Arctic Wolf Labs contribute their expertise in threat intelligence and forensic analysis to this investigation, providing vital insights into sophisticated cyber threats. #CybersecurityExperts #ArcticWolfLabs The continuous monitoring and analysis of this campaign emphasize the importance of proactive cybersecurity measures and the need for constant vigilance in the face of evolving cyber threats.

https://bit.ly/3MC9n77 - 🔒 Cybersecurity researchers have identified a series of cyberattacks by the Iranian-backed Advanced Persistent Threat (APT) group “Agonizing Serpens,” targeting the Israeli education and tech sectors. The group aims to steal sensitive data for various purposes, including financial gain, identity theft, espionage, and causing disruption. These attacks involve rendering endpoints unusable and sometimes publishing stolen information on social media platforms. #Cybersecurity #APTGroups #DataTheft 🕵️‍♂️ Agonizing Serpens, active since 2020, employs sophisticated methods such as wipers and fake ransomware. Known by other names like Agrius, BlackShadow, and Pink Sandstorm, the group initially gains access through web server exploitation and deploys web shells for reconnaissance and network mapping. Tools like Nbtscan, WinEggDrop, and NimScan are commonly used for this purpose. #DigitalEspionage #HackerTactics #NetworkSecurity 🔐 The group's attack strategies include trying to gain admin credentials using methods like Mimikatz, SMB password spraying, and dumping the SAM file. They also use tools like Plink, WinSCP, and a custom sqlextractor for lateral movement and data exfiltration, targeting personal information like ID numbers and passport scans. Despite their efforts, many of their methods were blocked by Cortex XDR, showcasing the evolving battle between cybersecurity defenses and hacker tactics. #CyberDefense #DataExfiltration #InfoSec 🖥️ Agonizing Serpens has shown increased sophistication by employing new techniques to bypass Endpoint Detection and Response (EDR) systems. They developed custom tools like agmt.exe, a loader for the GMER driver, to terminate specific target processes. After failing to exploit the GMER driver, they turned to drvIX, leveraging a vulnerable driver from a public Proof of Concept (PoC) tool. #MalwareDevelopment #EDRBypass #CyberAttackTrends 💥 Unit 42 researchers discovered new wipers and tools used by Agonizing Serpens, including MultiLayer wiper, PartialWasher wiper, and BFG Agonizer wiper, as well as Sqlextractor, a custom tool for extracting information from database servers. These discoveries indicate the group's continual development of new tools to enhance their data theft and disruption capabilities.

https://bit.ly/450kuxE - 🛡️ A recent cybersecurity analysis highlighted a surge in "Realst" infostealer malware attacks, specially targeting macOS devices. The malware, hidden within fake blockchain games, is designed to extract cryptocurrency wallet data and browser passwords. Notably, the campaign seems prepared for the upcoming macOS 14 Sonoma release. #CyberSecurity #MacOS #Malware #RealstInfostealer 🕹️ The distribution strategy of Realst involves numerous malicious websites advertising illegitimate blockchain games, each with associated social media accounts. Potential victims are directly contacted via social media, tricking them into installing the infostealer under the guise of a game. #CyberThreat #SocialEngineering 📦 Infostealer malware is primarily distributed through malicious .pkg installers containing a trio of harmful scripts. The scripts act as a Firefox infostealer, a password extractor, and an uninstaller. Surprisingly, the uninstaller was found to be non-malicious. #CyberAttack 🚀 Other versions of the Realst stealer come packaged within applications via .dmg disk images. Some malware samples were even code-signed with an Apple Developer ID, which has since been revoked. However, ad-hoc code-signed samples will continue to launch since their signatures cannot be remotely revoked. #AppleSecurity #CodeSigning 💻 From a behavior standpoint, Realst samples appear similar across variants and exfiltrate key user data. Targeted browsers include Firefox, Chrome, Opera, Brave, and Vivaldi, with Safari being notably absent. Also, the Telegram app seems to be on the hit list. #BrowserSecurity #DataExfiltration 🔍 Analysis identified 16 variants of Realst across 59 samples, classified into four major families (A, B, C, and D). Each variant utilizes unique tactics, but their main goal remains to steal users' data and credentials. About a third of the samples are prepped for macOS 14 Sonoma. #MalwareAnalysis 🚨 The efforts invested in the Realst campaign, the creation of fake game sites, and the use of social engineering indicate a serious threat targeting macOS users for data and crypto wallet theft. As blockchain games rise in popularity, users and security teams must exercise extreme caution when downloading and running such games.

QueenSono: Data Exfiltration with ICMP Protocol | #DataExfiltration #ICMP #Network #Networking #Web

Data Loss Prevention: definizione e utilizzi

Estimated reading time: 7 minutes La data loss prevention (DLP) è un insieme di strumenti e processi utilizzati per garantire che i dati sensibili non vengano persi, usati in modo improprio o diventino accessibili da utenti non autorizzati. Il software DLP classifica i dati regolamentati, riservati e critici per l'azienda e identifica le violazioni delle politiche definite dalle organizzazioni o all'interno di un pacchetto di politiche predefinito. Le politiche predefinite sono in genere dettate dalle conformità normative come HIPAA, PCI-DSS o GDPR. Una volta che queste possibili violazioni vengono identificate, la DLP applica il "rimedio" con avvisi, crittografia e altre azioni di protezione. Lo scopo è semplice: impedire agli utenti finali di condividere accidentalmente o maliziosamente i dati che potrebbero mettere a rischio l'azienda. Il software e gli strumenti di data loss prevention monitorano e controllano le attività degli endpoint, filtrano i flussi di dati sulle reti aziendali e monitorano i dati nel cloud per proteggere i dati a riposo, in movimento e in uso. La DLP fornisce anche report per soddisfare i requisiti di conformità e di auditing. Uno strumento molto utile anche per identificare le aree di debolezza e le anomalie per la risposta agli incidenti.

È necessario usare strumenti per DLP?

La data loss prevention risolve tre obiettivi principali che sono punti dolenti comuni per molte organizzazioni: protezione delle informazioni personali / conformità, protezione della proprietà intellettuale e visibilità dei dati. Protezione delle informazioni personali / conformità La tua azienda raccoglie e memorizza informazioni di identificazione personale (PII), informazioni sanitarie protette (PHI) o informazioni sulle carte di pagamento (PCI)? Se è così, è più che probabile che siate soggetti a normative di conformità, come HIPAA (per PHI) e GDPR (per i dati personali dei residenti UE), che richiedono di proteggere i dati sensibili dei vostri clienti. La data loss prevention può identificare, classificare ed etichettare i dati sensibili e monitorare le attività e gli eventi che circondano quei dati. Inoltre, le capacità di reporting forniscono i dettagli necessari per le verifiche di conformità. Protezione proprietà intellettuale (IP) L'azienda detiene importanti proprietà intellettuali e segreti commerciali o di stato che potrebbero mettere a rischio la salute finanziaria e / o l'immagine del vostro marchio in caso di perdita o furto? Una soluzione DLP può classificare la proprietà intellettuale sia in forma strutturata che non strutturata. Con le politiche e i controlli in atto, è possibile proteggere contro l'esfiltrazione indesiderata di questi dati. Visibilità dei dati L'azienda sta cercando di ottenere ulteriore visibilità sul movimento dei dati? Una soluzione DLP aziendale completa può aiutare a vedere e tracciare i vostri dati su endpoint, reti e cloud. Questo fornirà visibilità su come i singoli utenti all'interno della vostra organizzazione interagiscono con i dati. Come abbiamo visto altre volte parlando di ingegneria sociale, sapere come gli utenti si comportano è molto utile. Serve per tracciare un profilo di base e monitorare che non ci siano anomalie che potrebbero indicare compromissione dell'account. Quelli elencati qui sopra sono casi d'uso principali. Ma la DLP può rimediare a una varietà di altri punti dolenti tra cui le minacce interne, l'analisi del comportamento di utenti ed entità e le minacce avanzate.

Perché adottare la data loss prevention?

Nel Gartner Magic Quadrant for Enterprise DLP del 2017, si è stimato che il mercato totale della data loss prevention avrebbe raggiunto $1,3 miliardi nel 2020. La dimensione è stata di circa $2,64 miliardi. Il mercato DLP non è nuovo, ma si è evoluto per includere servizi gestiti, funzionalità cloud e protezione avanzata dalle minacce, tra le altre cose. Tutto questo, unito alla tendenza all'aumento delle grosse violazioni aziendali, ha impennato l'adozione della DLP come mezzo per proteggere i dati sensibili. Ecco nove tendenze che stanno guidando l'adozione della DLP. Crescita dei CISO Sempre più aziende assumono Chief Information Security Officer (CISO) che riferiscono al CEO. Quest'ultimi vogliono conoscere il piano strategico per la prevenzione delle fughe di dati. Gli strumenti di data loss prevention forniscono chiaro valore in questo senso e dà ai CISO le capacità di reporting necessarie per fornire aggiornamenti regolari. Evoluzione delle richieste di compliance I regolamenti globali sulla protezione dei dati cambiano costantemente e ogni organizzazione deve essere adattabile e preparata. Negli ultimi anni i legislatori dell'UE hanno approvato il GDPR. In USA è avvenuto un evento analogo quando lo Stato di New York ha adottato il NYDFS Cybersecurity Regulation. Queste nuove regolamentazioni hanno entrambe inasprito i requisiti di protezione dei dati. Le soluzioni DLP permettono alle organizzazioni la flessibilità di evolvere con i cambiamenti dei regolamenti globali. Aumento dei "luoghi" in cui i dati sono custoditi L'aumento dell'uso del cloud, delle complicate reti della supply chain e di altri servizi su cui non si ha più il pieno controllo ha reso più complessa la protezione dei dati. La visibilità degli eventi e del contesto che circonda i dati prima che lascino l'organizzazione è importante per evitare che i vostri dati sensibili finiscano nelle mani sbagliate. Frequenza dei data breach Gli avversari degli stati nazionali, i criminali informatici e gli insider malintenzionati prendono di mira i vostri dati sensibili per una serie di motivi, come lo spionaggio aziendale, il guadagno finanziario personale e il vantaggio politico. La data loss prevention può proteggere da tutti i tipi di avversari, malintenzionati o meno. Negli ultimi anni, ci sono state migliaia di violazioni di dati e molti altri incidenti di sicurezza. Miliardi di record sono stati persi in gigantesche violazioni di dati come: l'errata configurazione del database che ha fatto trapelare quasi 200 milioni di record di elettori statunitensi nel 2015, la violazione dei dati Equifax che ha continuato a ingrandirsi, e la violazione di Yahoo che ha colpito 3 miliardi di utenti. Questi sono solo alcuni dei molti titoli che sottolineano la necessità di proteggere i dati della vostra organizzazione.

Il valore dei dati è molto alto I dati rubati sono spesso venduti sul Dark Web, dove individui e gruppi di criminali possono acquistarli e usarli a proprio vantaggio. Con alcuni tipi di dati venduti fino a migliaia di dollari, c'è un chiaro incentivo finanziario per il furto di dati. Ci sono più dati da rubare La definizione di cosa sia un dato sensibile si è ampliata nel corso degli anni. I dati sensibili ora includono beni intangibili, come i modelli di prezzo e le metodologie di business. Dal 1975 al 2015, la quantità di asset intangibili è cresciuta dal 17% all'84% del valore del mercato, secondo uno studio di Ocean Tomo. Questi beni hanno anche raggiunto un record di $21 trilioni nel 2018. Questo significa che la tua azienda ha molti più dati da proteggere e l'uso di un data loss prevention potrebbe solo aiutare in questo senso. C'è scarsità di personale specializzato La carenza di talenti nel campo della sicurezza non si risolverà tanto presto e probabilmente c'è già stato un impatto sulla vostra azienda. Infatti, in un sondaggio ESG e ISSA del 2017, il 43% degli intervistati ha detto che le loro organizzazioni sono state colpite dalla mancanza di personale specializzato. La carenza sta peggiorando con 3,5 milioni di posizioni di sicurezza non occupate previste entro la fine del 2021. I servizi di data loss prevention gestiti agiscono come estensioni remote del vostro team per colmare questa carenza di personale.

Adottare un SIEM per implementare la DLP

Ormai il prodotto di più alto valore di un'azienda sono i dati che gestisce. Il rischio di data exfiltration e conseguente perdita economica e d'immagine è dietro l'angolo. È facile a dirsi che basta proteggere i propri dati, la realtà è che diventa ogni giorno più complicato. Aumentano i luoghi in cui i dati sono utilizzati e stoccati, le modalità di accesso e di consultazione. La tecnologia, in generale, ci rende più facile la vita esponendo allo stesso tempo i nostri dati. Le infrastrutture aziendali non sono da meno, anzi, proprio per la natura di grande valore dei dati raccolti, sono soggette a un maggiore rischio. L'adozione di un sistema di sicurezza adeguato è imprescindibile e le soluzioni a disposizione sono molteplici. Noi di SOD, parlando di data loss prevention, consigliamo di adottare un SIEM che comprende i tool necessari per implementare tecniche di DLP. Per una protezione ancora migliore e un controllo più granulare dei dati degli utenti, il SOC as a Service fornisce anche analisi comportamentale eseguita da un sistema di intelligenza artificiale (UEBA). Per sapere come questi servizi possono aiutare la tua azienda a proteggere i dati e la propria infrastruttura, non esitare a contattarci, saremo lieti di rispondere a ogni domanda. Link utili: Machine learning and cybersecurity: UEBA applications and security Avoid Ransomware: That's why it's best not to take any risks Read the full article

Data Exfiltration: defense against data theft

A common definition of data exfiltration is the theft, removal, or unauthorized movement of any data from a device. Data exfiltration typically involves a cybercriminal stealing data from personal or corporate devices, such as computers and cell phones, through various cyberattack methods. Failure to control information security can lead to data loss which can cause financial and reputational damage to an organization.

How does a data exfiltration happen?

Data exfiltration occurs in two ways, through attacks from outsiders and through threats from within. Both are major risks, and organizations need to ensure their data is protected by detecting and preventing data exfiltration at all times. An attack from outside the organization occurs when an individual infiltrates a network to steal corporate data or user credentials. This is typically the result of a cybercriminal injecting malware into a device connected to a corporate network. Some malware strands are designed to spread across an organization's network and infiltrate others, seeking sensitive data in an attempt to extract. Other types of malware remain dormant on a network to avoid being detected by organizations' security systems until data is subversively extracted or information is gradually collected over a period of time. Attacks can result from malicious insiders stealing your organization's data and sending documents to your personal email address. Typically the data is then sold to cyber criminals. They can also be caused by inattentive employee behavior that sees corporate data fall into the hands of bad actors.

Types of Data Exfiltration

Data exfiltration occurs in various ways and through multiple attack methods, mostly on the Internet or on a corporate network. The techniques cybercriminals use to extract data from organizations' networks and systems are becoming increasingly sophisticated. These include: anonymous connections to servers, Domain Name System (DNS) attacks, Hypertext Transfer Protocol (HTTP) tunneling, Direct Internet Protocol (IP) addresses, fileless attacks, and remote code execution. Let's see in detail some attack techniques to know what we are talking about specifically. 1. Social engineering and phishing attacks Social engineering attacks and phishing attacks are popular network attack vectors. They are used to trick victims into downloading malware and entering their account credentials. Phishing attacks consist of emails designed to appear legitimate and often appear to come from trusted senders. They usually contain an attachment that injects malware into the device. Other types contain a link to a website that appears legitimate but is forged to steal the login credentials entered. Some attackers even launch targeted phishing attacks to steal data from a specific user. Often the targets are the executives of a company or known individuals. To defend against these types of attacks, it's best to recognize them immediately and trash the emails. In a company it is possible to help the process through an ad hoc training course, based on data collected internally by the company through a controlled test. SOD also offers this service, if you are interested, you will find more information on the page of the service itself. 2. Outgoing email Cybercriminals check e-mails to retrieve any data coming out of organizations' e-mail systems. The recovered data can be calendars, databases, images and planning documents. These provide sensitive information of value or information that is useful for recovering valuable data. 3. Download to unsafe devices This method of data exfiltration is a common form of accidental insider threat. The attacker accesses sensitive corporate information on his trusted device, then transfers the data to an insecure device. The insecure device could be an external drive or smartphone that is not protected by corporate security solutions or policies, which puts it at risk of data exfiltration. Smartphones are also susceptible to data exfiltration. Android devices are vulnerable to the installation of malware that take control of the phone to download applications without the user's consent. 4. Upload to external devices This type of data exfiltration typically comes from bad guys. The internal attacker can extract data by downloading the information from a secure device, then uploading it to an external (insecure) device. This external device could be a laptop, smartphone, tablet or USB stick. 5. Human error and unsafe behavior on the network The cloud provides users and businesses with a multitude of benefits, but together there are significant risks of data exfiltration. For example, when an authorized user accesses cloud services in an insecure way, it allows an attacker an access route from which he can retrieve data and take it off the secure network. Human error also plays a role in data mining, because appropriate protection may no longer be in place.

How to spot a data exfiltration attack

Depending on the type of attack method used, detecting data exfiltration can be a difficult task. Cybercriminals using more difficult-to-detect techniques can be mistaken for normal network traffic. This means that they can lurk in networks unnoticed for months and even years. Data exfiltration is often only discovered when the damage has already been caused. To detect the presence of at-risk users, organizations must use tools that automatically discover malicious or unusual traffic in real time. One tool with this capability is SOC (also offered as a service: SOCaaS) which implements an intrusion monitoring system, as well as an automatic system that verifies user behavior. When the SOC detects a possible threat, it sends an alert to the organization's IT and security teams who can take action and investigate the situation. SOC works by searching for and detecting anomalies that deviate from regular network activity. They then issue an alert or report so administrators and security teams can review the case. In addition to detecting automatic threats, organizations can also construct the entire sequence of an event as it occurred, including mapping to a known kill chain or attack framework. Using a SOCaaS, for a company that manages sensitive data, is an advantage from many points of view. Being offered as a service, the company will not have to invest in setting up a specialized IT department for its SOC, will not have to hire additional personnel and will be able to count on security systems that are always updated with qualified and always available operators. For more information, do not hesitate to contact us. Useful links: Test your business with ethical phishing attacks UEBA: Behavior Analysis Explained   Contact us Read the full article

Tweeted

Latch’sApp: Un hack para exfiltrar datos con Latch elevenpaths #latch #hacking #dataexfiltration: https://t.co/WPEBtgjqxA (exaforo…

— exaforo.com (@exatienda_com) March 27, 2017