480x270

Martedì 4 Giugno è stato lanciato un vastissimo attacco di email contenenti un documento excel in cui era nascosto un trojan di ultima generazione.

Le dimensioni dell’attacco: 35.000 email in meno di 24 ore!

Solo sui sistemi gestiti da BLS, che normalmente vedono un flusso di 280.000 mail alla settimana, sono arrivate 35.000 mail infette in meno di 24 ore.

Un Malware che più recente non si può!

Dei 6 Antivirus utilizzati da BLS per filtrare le email (Clamav, ESET, K7, Bitdefender e Total Defense, Sophos), nessuno è riuscito ad identificare il nuovo trojan per 59 minuti dalla ricezione della prima email.
Non solo, persino verificando con VirusTotal, servizio di Google che controlla i file datigli in pasto con ben 59 antivirus, non ha rilevato inizialmente nulla.
Dopo circa un’ora, il database SecuriteInfo utilizzato da Clamav ha riconosciuto il virus.

Nel lasso di tempo trascorso, circa 5000 email avevano passato il primo controllo.

Di queste 5000, hanno raggiunto gli utenti...32 email! Come è possibile?

Le restanti email sono state bloccate dagli ulteriori, molteplici sistemi di filtro di Janusmail:

  • Un secondo motore antispam basato su un database di più di 200.000 firme che riconosce spam, malware e phishing
  • Due Blacklist continuamente aggiornate con indirizzi ip di server che inviano spam, malware e phishing
  • Un sistema da noi sviluppato in grado di valutare la Reputation del server che spedisce le email e bloccare quelle giudicate troppo a rischio

E quelle 32?


Nessuna di queste email ha fatto a tempo a infettare le macchine dei nostri utenti.

Circa la metà aveva raggiungo sistemi Zimbra da noi gestiti: la funzionalità del modulo Zimbra Advanced ha permesso che tali email venissero automaticamente spostate nella cartella Posta indesiderata dell’utente.

Inoltre il sistema ha inviato automaticamente a tutti i destinatari una segnalazione nel report antispam di non aprire quell’email.

Infine, l’assistenza BLS ha segnalato la pericolosità dell’email agli utenti che l’avevano ricevuta non appena rilevato l’attacco.

E Adesso?


15 email su 35.000 che raggiungono l’utente finale equivale ad una efficacia maggiore del 99,999%...qualcuno potrebbe dire che siamo stati bravissimi.

Ma a noi non basta! Noi puntiamo al 100%, e per questo stiamo per implementare due ulteriori sistemi di sicurezza:

  • Riconoscimento rischio file office: un sistema che analizza i file office allegati alle email e ne valuta il rischio, bloccando la consegna qualora sia troppo elevato.
  • Fuzzy hashing: Sistema che confronta rapidamente i potenziali virus allegati con altri virus esistenti e ne rileva le somiglianze.

E voi intanto?


Per migliorare la vostra sicurezza, chiedete subito di attivarvi i moduli di protezione avanzata Janusmail sul server di posta, e nel frattempo fate formazione ai vostri utenti su come riconoscere email pericolose.

BLS può aiutarvi in questo, grazie al servizio Sophos Phish Threat, un sistema che permette di simulare dei tentativi di phishing verso i vostri utenti per valutarne la capacità di riconoscerli.