Microsoft ha pubblicato una nuova "security guidance" adattata ai tempi del coronavirus. Indicando quali minacce si stanno intensificando a seguito della pandemia. Il primo vettore di attacco messo in evidenza è prevedibilmente il phishing. Le mailbox di tutti sono piene di mail riguardanti Covid-19: notizie, policy aziendali, proposte di servizi. Si clicca spesso senza pensare troppo. E per questo, spiega Microsoft, aumenta il tasso di successo delle campagne di phishing e social engineering.

Gli attaccanti non stanno usando nuovi sistemi. Stanno riconvertendo i tool che già usano in modo che mostrino richiami al coronavirus. I nuovi attacchi sono quindi repliche di attacchi precedenti. Leggermente modificati per sfruttare il traino della pandemia. Magari semplicemente cambiando l'oggetto di una mail. O impersonando entità come l'OMS.

La conseguenza è che, come la pandemia, anche i nuovi attacchi sono globali. Ogni nazione ha registrato almeno una nuova campagna di phishing mirato. La telemetria di Microsoft indica che Cina, Russia e Stati Uniti sono i bersagli preferenziali. Nelle nuove campagne si usano varianti di malware già di dimostrata efficacia. Come Trickbot ed Emotet, rilevati in 76 varianti collegate a campagne a tema Covid-19.

Microsoft stima che ogni giorno circolino in rete qualcosa come 60 mila mail di phishing a tema coronavirus. Un numero che sembra elevato ma che è meno del 2% del totale delle minacce rilevate ogni giorno. Sempre quotidianamente, Microsoft "filtra" circa 18 mila URL a tema pandemia che rimandano a contenuti ostili. Queste URL sono modificate molto di frequente, al momento. In modo da evitare le funzioni di protezione basate su machine learning. E in questa fase colpisce particolarmente il fatto che ad essere bersagliate siano anche le realtà medico-sanitarie.

Microsoft sottolinea che il phishing viene usato come vettore di attacco. Ma l'azione degli hacker ostili è molto più estesa. Non basta quindi avere soluzioni concentrate solo sulla protezione della mail. Una volta entrati nella rete della azienda-bersaglio, i malware possono spostarsi al suo interno. E usare modalità di diffusione e persistenza anche molto articolate. Serve quindi avere visibilità e controllo su varie parti dell'IT. Dall'endpoint al cloud.

Per chi utilizza piattaforme Microsoft, il suggerimento è attivare tutte le forme di protezione e controllo possibili. Ad esempio, Microsoft Defender ATP per gli endpoint. Le funzioni di Azure Active Directory per l'accesso protetto alle risorse in cloud e on-premise. Office 365 ATP per la protezione delle mail. Microsoft Cloud App Security per gli attacchi cloud-nativi. E ovviamente le piattaforme che combinano tutti i dati di sicurezza per dare una visione integrata della situazione. Come Microsoft Threat Protection, Azure Security Center e Azure Sentinel.