{"id":16030,"date":"2018-07-30T11:25:16","date_gmt":"2018-07-30T09:25:16","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16030"},"modified":"2020-03-27T17:20:10","modified_gmt":"2020-03-27T15:20:10","slug":"powerghost-fileless-miner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/powerghost-fileless-miner\/16030\/","title":{"rendered":"PowerGhost: attenzione al mining fantasma"},"content":{"rendered":"

I nostri esperti hanno scoperto di recente un miner<\/a> maggiormente interessato alle reti aziendali. Grazie alla sua natura \u201cfileless\u201d, PowerGhost pu\u00f2 accedere alla postazione di lavoro della vittima o al server senza essere notato. La maggior parte degli attacchi sono stati registrati in India, Turchia, Brasile e Colombia.<\/p>\n\n

\u00a0<\/p>\n

Dopo essersi insidiato nell\u2019infrastruttura aziendale, PowerGhost prova a collegarsi agli account utente presenti nella rete servendosi del tool legittimo di gestione in remoto Windows Management Instrumentation (VMI). Il malware si appropria di username e password grazie a un tool di estrazione dati chiamato Mimikatz. Inoltre, il miner si pu\u00f2 diffondere anche grazie a EternalBlue. l\u2019exploit<\/a> per Windows sfruttato dai creatori di WannaCry<\/a> ed ExPetr<\/a>. In teoria, questa vulnerabilit\u00e0 \u00e8 risolta da un anno ormai, ma continua a dare i suoi frutti.<\/p>\n

Una volta all\u2019interno del dispositivo della vittima, il malware prova a potenziare i suoi privilegi di accesso sfruttando diverse vulnerabilit\u00e0 del sistema operativo (per i dettagli tecnici, potete leggere il nostro post su Securelist<\/a>). Successivamente, il miner inizia a farsi strada all\u2019interno del sistema e inizia la sua attivit\u00e0 di mining occulto a favore dei suoi creatori.<\/p>\n

Perch\u00e9 PowerGhost \u00e8 pericoloso?<\/h3>\n

Come tutti i miner, PowerGhost utilizza le risorse computazionali per generare criptovaluta, il che inficia le prestazioni del server e dei dispositivi oltre a usurare entrambi, con conseguenti alti costi di sostituzione di questi importanti strumenti di lavoro.<\/p>\n

In confronto ai programmi simili pi\u00f9 diffusi, PowerGhost \u00e8 pi\u00f9 difficile da scoprire, in quanto non implica il download di file dannosi sul dispositivo; ci\u00f2 vuol dire che pu\u00f2 agire indisturbato per molto tempo su server e postazioni, senza che nessuno se ne accorga. I danni derivanti possono essere ingenti.<\/p>\n

Inoltre, in una versione del malware i nostri esperti hanno scoperto un tool per attacchi DDoS. Se si usano i server della compagnia per bombardare una vittima, si pu\u00f2 arrivare a rallentare o paralizzare le attivit\u00e0 aziendali nel loro complesso. Una caratteristica interessante: il malware riconosce se si trova all\u2019interno di un reale sistema operativo o in una sandbox, il che gli permette di bypassare i controlli delle soluzioni di sicurezza standard.<\/p>\n

Come evitare PowerGhost<\/h3>\n

Per evitare che i dispositivi vengano infettati da PowerGhost e altri malware simili (e per proteggerli), dovreste seguire queste importanti regole di sicurezza della rete aziendale:<\/p>\n

    \n
  • Non saltate gli aggiornamenti dei software e del sistema operativo. Tutte le vulnerabilit\u00e0 sfruttate dal miner sono state risolte dalle case produttrici da tempo. Chi si occupa di scrivere nuovi virus spesso si affida a exploit per i quali gi\u00e0 esiste una soluzione;<\/li>\n
  • Formate il personale in tematiche di sicurezza e fate in modo che le loro conoscenze in questo campo siano sempre le pi\u00f9 attuali. La maggior parte degli incidenti informatici sono dovuti al fattore umano, non bisogna mai dimenticarlo;<\/li>\n
  • Affidatevi a soluzioni di sicurezza affidabili dotate di tecnologia di analisi comportamentale (\u00e8 l\u2019unico modo per individuare le minacce fileless). I prodotti per aziende di Kaspersky Lab sono in grado di individuare sia PowerGhost e i suoi singoli componenti, sia altri programmi dannosi, compresi quelli non ancora conosciuti.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    Questo malware fileless infetta le postazioni di lavoro e i server delle reti aziendali.<\/p>\n","protected":false},"author":2484,"featured_media":16031,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2797,2866,496,2898,638,819],"class_list":{"0":"post-16030","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cryptojacking","10":"tag-cryptomining","11":"tag-ddos","12":"tag-malware-bodiless","13":"tag-minacce","14":"tag-miner"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/powerghost-fileless-miner\/16030\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/powerghost-fileless-miner\/13753\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/powerghost-fileless-miner\/11516\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/powerghost-fileless-miner\/15815\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/powerghost-fileless-miner\/14095\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/powerghost-fileless-miner\/13220\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/powerghost-fileless-miner\/16598\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/powerghost-fileless-miner\/20963\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/powerghost-fileless-miner\/5166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/powerghost-fileless-miner\/23310\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/powerghost-fileless-miner\/10782\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/powerghost-fileless-miner\/10561\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/powerghost-fileless-miner\/9531\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/powerghost-fileless-miner\/17369\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/powerghost-fileless-miner\/20964\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/powerghost-fileless-miner\/23714\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/powerghost-fileless-miner\/17032\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/powerghost-fileless-miner\/20678\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/powerghost-fileless-miner\/20676\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce\/","name":"minacce"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16030","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=16030"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16030\/revisions"}],"predecessor-version":[{"id":21108,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16030\/revisions\/21108"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/16031"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=16030"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=16030"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=16030"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}