News

Infostealer: mitigare il rischio grazie a un SOC proattivo

L’infostealer è un software sempre più diffuso che estrapola le informazioni personali della vittima. Questa minaccia può essere neutralizzata grazie alle capacità di ricerca proattiva e di intervento di un SOC.

Gli attacchi con infostealer sono sempre più diffusi

In un panorama informatico sempre più complesso dal punto di vista della cybersecurity, il software malevolo denominato “infostealer” è una delle tecniche di attacco più utilizzate. L’infostealer agisce infettando i sistemi delle vittime e rubando i loro dati personali, come dati bancari e credenziali.

Secondo il report di Cert-Agid, il 78% dei malware diffusi in Italia nel 2023 appartiene alla categoria degli infostealer. Un dato emblematico, che sottolinea l’importanza di aggiornare costantemente le proprie strategie di difesa per non trovarsi impreparati contro le minacce emergenti.

In quest’ottica, un Security Operations Center (SOC) può fornire un supporto qualificato nelle attività di prevenzione delle minacce e aggiornamento delle strategie di cybersecurity aziendale. Questo grazie a esperti sempre attivi nell’individuazione e nell’analisi degli infostealer presenti in rete.

Diffusione e metodo di attacco di un infostealer

Come si diffondono gli infostealer

Sono le campagne di phishing il veicolo più usato per la diffusione degli infostealer, che si introducono in un sistema con grande facilità sfruttando nella maggior parte dei casi le singole vulnerabilità di un’utente, una su tutte la mancanza di formazione in ambito di rischio cyber.

A questa vulnerabilità si aggiunge un’errata gestione delle password personali. Questo elemento spiana la strada per gli infostealer, che sono in grado di eseguire un credential dump in pochi minuti, prendendo di mira le password salvate nel browser, conservate all’interno di file e memorizzate nei password manager.

Allegati e siti truffa: in che modo un infostealer inganna l’utente

Gli infostealer si nascondono principalmente negli allegati di e-mail create ad hoc per raggirare la vittima e all’interno di siti web falsi che puntano a imitare i contenuti attendibili di banche e istituzioni. Queste caratteristiche spingono un utente a scaricare un allegato o inserire dati in un portale senza accorgersi di una possibile truffa nascosta.

Una volta scaricato e avviato, un infostealer in esecuzione ruba i dati dell’utente in modo pressoché istantaneo. L’infostealer è in grado di estrapolare dati da browser come credenziali, numeri di carta e dati per il riempimento automatico dei moduli, informazioni sensibili del dispositivo come nomi utente, indirizzo IP e dettagli del sistema operativo, oltre a informazioni come dati di VPN e applicazioni di vario tipo.

La protezione dell’utente: MFA e gestione delle password

Di fronte a questo tipo di minaccia, l’unica soluzione praticabile a livello di utente è acquisire maggiore consapevolezza sui rischi cyber. Riconoscere da subito e-mail false e siti web non attendibili riduce notevolmente il rischio di scaricare un infostealer mediante file o software infetti.

A queste misure deve aggiungersi, ove possibile, l’implementazione della procedura di autenticazione a due fattori, che consente di aver un controllo ancora maggiore degli accessi e una barriera di protezione aggiuntiva contro il furto di credenziali.

Difendersi dagli infostealer con il supporto di un SOC

Come illustrato nei paragrafi precedenti, la mitigazione del rischio di furto delle proprie credenziali o dei propri dati personali non può essere affidata unicamente a un utente. Gli infostealer moderni sono infatti in grado di superare anche gli strumenti di protezione più avanzati, come i password manager.

In ambito aziendale, pianificare una strategia per mitigare internamente il rischio costituto degli infostealer è ugualmente complicato. Le minacce sono in continua evoluzione, e per un reparto IT è difficoltoso ed estremamente oneroso rimanere aggiornato in termini di tecnologie ed expertise.

Ecco perché la soluzione migliore è sempre quella di affidarsi a un partner IT esperto in cybersecurity e provvisto delle più recenti tecnologie di cyber threat intelligence, che consentono di eseguire attività costante di threat hunting, e di competenze specifiche necessarie per identificare gli infostealer diffusi in rete.

La threat intelligence di un SOC può rilevare e identificare gli infostealer

Sorveglianza del dark web e protezione proattiva

Il primo strumento a disposizione di un’azienda che si affida a un SOC sono ovviamente le informazioni reperite dall’attività di cyber threat intelligence, ossia la ricerca continua di nuove minacce nel dark web la successiva produzione di dati di intelligence con le informazioni ricavate.

Tra le minacce ricercate dalla CTI figurano anche gli infostealer, che si moltiplicano a ritmo crescente e contro i quali è richiesta vigilanza costante. L’attività di threat hunting di un SOC offre quindi uno strumento di identificazione proattiva degli infostealer.

Gli esperti del SOC eseguono quindi una ricerca avanzata degli infostealer diffusi sul dark web, li identificano mediante un processo di malware analysis, e infine li analizzano per comprenderne il comportamento. In questo modo, l’azienda possiede sempre un patrimonio di informazioni aggiornate sulle minacce emergenti.

Un intervento mirato per bloccare gli infostealer

L’intervento del SOC non si limita al rilevamento e all’identificazione degli infostealer, ma anche all’isolamento e al blocco della minaccia. L’attività di threat intelligence è infatti finalizzata al riconoscimento sia della firma dei software malevoli, sia del loro comportamento.

Una volta identificate queste informazioni, come ad esempio le telemetrie lasciate dall’infostealer o la sua presenza all’interno di più processi, gli esperti del SOC sono in grado di intervenire puntualmente per mitigare la minaccia agendo direttamente sulle anomalie che suggeriscono la presenza del software malevolo.

Solo la competenza in ambito IT degli esperti del SOC può garantire un controllo specifico e costante sui processi, che sarebbe impossibile per un reparto IT sprovvisto di strumenti di cybersecurity avanzati. Come già sottolineato in precedenza, molti infostealer agiscono silenziosamente, senza lasciare tracce visibili a un occhio inesperto.

Il ruolo del SOC in un piano di cybersecurity ibrida

La protezione contro gli infostealer è uno dei molteplici tasselli che compongo un piano di cybersecurity ibrida aziendale a più livelli, che protegge un’azienda a 360 gradi sia dalle minacce che attaccano in tempo reale, sia da quelle diffuse in rete che costituiscono un potenziale pericolo.

In un piano sicurezza informatica integrata, il SOC è l’elemento che orchestra le tecnologie e i processi, monitorando costantemente gli endpoint tramite soluzioni come il Managed Extended Detection and Response (MXDR). Grazie a un approccio ibrido che unisce competenze IT e di cybersecurity, gli esperti del SOC sono il valore aggiunto rispetto a un servizio di cybersecurity standard.

Contattaci per approfondire le soluzioni di sicurezza più adatte alla tua azienda

Richiedi una consulenza