Gli hacker stanno trovando modi per eludere gli ultimi strumenti di sicurezza informatica

(Bloomberg) -- Poiché l'hacking è diventato sempre più distruttivo e pervasivo, un potente strumento di aziende come CrowdStrike Holdings Inc. e Microsoft Corp. è diventato un vantaggio per il settore della sicurezza informatica.

I più letti da Bloomberg

La Cina prende lo Yuan Global nel tentativo di respingere un dollaro armato

Zelenskiy nega che l'Ucraina abbia inviato droni per colpire Putin e il Cremlino

TD, First Horizon conclude una fusione da 13 miliardi di dollari a causa dello stallo dei regolatori

PacWest sta valutando le opzioni strategiche, inclusa la possibile vendita

Il dramma bancario infuria; Apple sale nel Late Trading: chiusura dei mercati

Chiamato software di rilevamento e risposta degli endpoint, è progettato per individuare i primi segnali di attività dannose su laptop, server e altri dispositivi - "endpoint" su una rete di computer - e bloccarli prima che gli intrusi possano rubare dati o bloccare le macchine.

Ma gli esperti affermano che gli hacker hanno sviluppato soluzioni alternative per alcune forme di tecnologia, consentendo loro di superare prodotti che sono diventati lo standard di riferimento per la protezione dei sistemi critici.

Ad esempio, negli ultimi due anni, Mandiant, che fa parte della divisione Google Cloud di Alphabet Inc., ha indagato su 84 violazioni in cui EDR o altri software di sicurezza degli endpoint sono stati manomessi o disabilitati, ha affermato Tyler McLellan, uno dei principali analisti delle minacce presso l'azienda.

I risultati rappresentano l'ultima evoluzione del gioco del gatto col topo che si svolge da decenni, mentre gli hacker adattano le loro tecniche per superare le più recenti protezioni di sicurezza informatica, secondo Mark Curphey, che ha ricoperto ruoli senior presso McAfee e Microsoft e ora è un responsabile della sicurezza informatica. imprenditore nel Regno Unito.

"L'hacking degli strumenti di protezione della sicurezza non è una novità", ha affermato, aggiungendo che "il premio, in caso di successo, è l'accesso a tutti i sistemi che li utilizzano, per definizione sistemi che vale la pena proteggere".

Gli investigatori di diverse società di sicurezza informatica hanno affermato che il numero di attacchi in cui l’EDR è disabilitato o aggirato è piccolo ma in crescita e che gli hacker stanno diventando più intraprendenti nel trovare modi per aggirare le protezioni più forti che fornisce.

Microsoft a dicembre ha rivelato in un post sul blog che gli hacker hanno ingannato l'azienda inducendola ad applicare il proprio sigillo di autenticità al malware, che è stato poi utilizzato per disabilitare l'EDR dell'azienda e altri strumenti di sicurezza sulle reti delle vittime. Microsoft ha sospeso gli account degli sviluppatori di terze parti coinvolti nello stratagemma e ha affermato che la società sta "lavorando su soluzioni a lungo termine per affrontare queste pratiche ingannevoli e prevenire futuri impatti sui clienti".

A febbraio, Arctic Wolf Networks ha dettagliato un caso indagato alla fine dell'anno scorso in cui gli hacker del gruppo ransomware Lorenz sono stati inizialmente ostacolati dall'EDR della vittima. Gli hacker si sono raggruppati e hanno implementato uno strumento gratuito di analisi forense digitale che ha permesso loro di accedere direttamente alla memoria dei computer e di distribuire con successo il loro ransomware, aggirando l'EDR, ha affermato la società. Arctic Wolf non ha identificato la vittima o l'EDR interessato.

E ad aprile, il gruppo Sophos ha rivelato un nuovo malware scoperto dall'azienda britannica che è stato utilizzato per disabilitare gli strumenti EDR di Microsoft, Sophos stessa e diverse altre società prima di distribuire i ransomware Lockbit e Medusa Locker. "Il bypass dell'EDR e la disattivazione del software di sicurezza sono chiaramente una tattica in aumento", ha affermato Christopher Budd, senior manager della ricerca sulle minacce. "A causa della natura di questo tipo di attacco, è particolarmente difficile da rilevare poiché prende di mira proprio gli strumenti che rilevano e prevengono gli attacchi informatici."

Secondo IDC, il mercato dell’EDR e di altre nuove tecnologie di sicurezza degli endpoint è cresciuto del 27% raggiungendo gli 8,6 miliardi di dollari a livello globale lo scorso anno, guidato da CrowdStrike e Microsoft.

Adam Meyers, vicepresidente senior dell'intelligence di CrowdStrike, ha affermato che il numero crescente di attacchi contro il software EDR dimostra che gli hacker "si sono evoluti". Molti degli attacchi che CrowdStrike ha monitorato – contro i suoi prodotti e quelli offerti dalla concorrenza – coinvolgono errate configurazioni dei sistemi client o vulnerabilità profonde nel software o nel firmware, segnali che gli hacker devono lavorare di più per entrare nelle reti prese di mira, ha affermato.