VxWorks di Wind River e URGENT/11: applicate la patch oggi stesso

Comunicazione: I firewall fisici SonicWall con determinate versioni di SonicOS utilizzano per la gestione remota codice TCP/IP di terzi che contiene le vulnerabilità note come URGENT/11. Al momento non vi sono indicazioni che le vulnerabilità vengono sfruttate in maniera fraudolenta, tuttavia:

SonicWall consiglia VIVAMENTE di applicare immediatamente la patch SonicOS. Sono disponibili patch per tutte le versioni di SonicOS più recenti. Le istruzioni dettagliate sono riportate nel Security Advisory.

SonicWall mette a disposizione gratuitamente le versioni con patch preinstallate di SonicOS, anche per i clienti che attualmente non hanno stipulato alcun contratto di assistenza. SonicWall consiglia inoltre di aggiornare il software all’ultima versione di SonicOS (6.5.4.4), che continua funzionalità di firewall per contribuire a proteggere altri dispositivi vulnerabili a URGENT/11.


VxWorks di Wind River e vulnerabilità URGENT/11

I ricercatori della sicurezza di Armis hanno scoperto e divulgato responsabilmente 11 vulnerabilità nello stack TCP/IP del sistema operativo in tempo reale VxWorks di Wind River, utilizzato da milioni di dispositivi in ogni parte del mondo, e anche nello spazio, su Marte e in alcune versioni di SonicOS. Lo stack TCP/IP VxWorks di Wind River, denominato IPNET, contiene vulnerabilità che sono state chiamate “URGENT/11.” All’unico tipo di vulnerabilità sostanziale che ha riguardato SonicOS viene posto rimedio con il rilascio delle patch.

Ingestibile e non rimediabile tramite patch: il selvaggio West dell’Internet delle cose

VxWorks di Wind River è un sistema operativo in tempo reale che viene ampiamente utilizzato nell’Internet delle cose e integrato in applicazioni, come reti, telecomunicazioni, auto, dispositivi medicali, industriali, elettronica di largo consumo, aerospaziali ed altre ancora.

Il compito dei firewall è quello di proteggere i limiti perimetrali, ma la loro gestione attiva e il loro controllo sono effettuati da appositi dispositivi di solito concentrati in una postazione centralizzata. Per ogni firewall c’è una persona che si sveglia tutte le mattina con questa domanda, “Il firewall funziona? È aggiornato?” Entro pochi giorni da quando viene reso disponibile un aggiornamento, queste persone programmano un intervento di manutenzione per eliminare la lacuna di sicurezza.

Tuttavia, per la stragrande maggioranza degli altri dispositivi, collegati o esposti a Internet, non c’è nessuno che controlla e il numero di questi dispositivi per l’Internet delle cose è maggiore rispetto ai firewall di diversi ordini di grandezza. Ed è proprio il gran numero di dispositivi collegati che non sono gestiti attivamente né vengono aggiornati che costituisce un rischio immane per Internet. Vengono scoperte vulnerabilità anche per il software migliore e la sicurezza di Internet e degli ecosistemi online si basa sulla capacità di mettere a punto e installare gli aggiornamenti.

Nell’aggiornamento semestrale al Rapporto SonicWall 2019 sulle ciberminacce, i ricercatori delle minacce di SonicWall Capture Labs hanno già registrato 13,5 milioni di attacchi all’Internet delle cose, un dato superiore del 54,6% a quello dei primi due trimestri del 2018.

Di questa situazione stanno prendendo atto non solo chi si occupa della sicurezza, ma anche gli enti normativi, dal momento che centinaia di milioni di dispositivi dell’Internet delle cose risultano vulnerabili e non vengono aggiornati.

Si tratta di uno dei lati vulnerabili più a rischio di Internet, provocato dall’enorme diffusione dei dispositivi per l’Internet delle cose, compresi quelli elettronici di largo consumo che vengono frequentemente collegati a Internet e trascurati per un decennio. L’ampia portata di Internet delle cose dovrebbe ripercuotersi su diversi settori industriali come un campanello d’allarme.

“Non trascurare mai gli aggiornamenti”

L’utilizzo come arma delle vulnerabilità note contro il software obsoleto dev’essere un monito per gli utenti a non rimandare gli aggiornamenti che sono una delle misure più importanti da adottare per rendere sicure le infrastrutture contro l’attuale situazione delle minacce in rapida evoluzione.

Non ignorate e non rimandate gli aggiornamenti. Applicate oggi stesso la patch. E fatelo sempre.

Porte non standard sotto attacco

Nei film di supereroi a un certo punto si vedono dei personaggi che parlano di proteggere la loro identità con l’anonimato. Ad eccezione di Iron Man, nascondere la propria identità conferisce ai supereroi una sorta di protezione. La sicurezza delle reti è qualcosa di simile.

“La sicurezza nell’oscurità” è un’affermazione che viene apprezzata ma anche criticata. Se si guida un’auto su strade secondarie anziché in autostrada per evitare incidenti, ci si può sentire sicuri? Si arriva a destinazione in tempo? È possibile, ma ciò non significa poter sempre evitare i problemi.

Differenza tra porte standard e non

Le porte dei firewall vengono assegnate dalla Internet Assigned Numbers Authority (IANA) per fini o servizi specifici.

A fronte delle oltre 40.000 porte registrate, solo poche vengono comunemente utilizzate. Si tratta delle cosiddette porte “standard”. Ad esempio, HTTP (pagine) utilizza 80 porte, HTTPS (siti web che utilizzano codifiche) utilizza la porta 443 ed SMTP (email) la porta 25.

I firewall configurati per dialogare con queste porte sono disponibili per la ricezione del traffico. I cibercriminali lo sanno, per cui molti attacchi prendono di mira le porte comunemente utilizzate. Ovviamente, le aziende normalmente rafforzano queste porte contro le minacce.

In risposta alla moltitudine di attacchi che prendono come bersaglio le porte standard alcune organizzazioni hanno deciso di utilizzare porte “non standard” per i loro servizi. Le porte non standard vengono utilizzate per scopi diversi da quelli prestabiliti. Un esempio è l’uso della porta 8080 al posto della porta 80 per il traffico web.

Si tratta della cosiddetta strategia di “sicurezza nell’oscurità”. Anche se per qualche tempo i cibercriminali restano disorientati, non si tratta di una soluzione a lungo termine. Inoltre essa può rendere più difficile per gli utenti collegarsi ai server web dal momento che i browser sono preconfigurati per utilizzare la porta 80.

Attacchi contro porte non standard

I dati del Rapporto SonicWall 2019 sulle ciberminacce indicano che il numero di attacchi rivolto contro le porte non standard è aumentato. Nel 2017 SonicWall ha riscontrato che più del 17,7% degli attacchi malware è passato attraverso porte non standard.

A fronte del dato del 2018, 19,2%, si è avuto un aumento dell’8,7%. Nel solo mese di dicembre del 2018 la percentuale è salita addirittura al 23%.

Che cosa fare per proteggere le porte non standard?

La miglior difesa contro i ciberattacchi sferrati contro i servizi attraverso porte standard e non, consiste nell’adottare una strategia di difesa multilivello.

La ”sicurezza nell’oscurità” è solo uno di essi. Fare eccessivo affidamento su di essa non garantisce comunque il necessario livello di sicurezza. Può essere d’aiuto contro la scansione delle porte, ma non ferma i ciberattacchi più mirati.

Per questo occorre adottare azioni più incisive, come il cambio frequente delle password, l’uso dell’autenticazione a due fattori e l’installazione di patch e aggiornamenti. E si può anche decidere di utilizzare un firewall in grado di analizzare determinati aspetti anziché tutto il traffico (ad esempio un approccio basato su proxy).

 

Approfondimenti sulle moderne campagne di phishing del 2019

Il mondo della cibersicurezza è dominato dalle notizie relative a malware, ransomware, violazioni di dati, vulnerabilità delle applicazioni, minacce portate sull’Internet delle cose e attacchi botnet. Ma il phishing è stato una seria minaccia sin dai primi anni 2000 ed è ampiamente considerato il vettore di attacco più utilizzato dai cibercriminali.

Attualmente, non si tratta di una questione di volumi, ma questo tipo di minacce di posta elettronica si è specializzato con successo nell’indurre fraudolentemente dei bersagli di elevato valore a compiere determinate azioni: fare clic su un collegamento dannoso, aprire un file contenente del malware, fornire una password o autorizzare transazioni finanziarie.

Nell’attuale corsa ai ciberarmamenti gli autori delle minacce stanno cercando costantemente di aggirare i sistemi di sicurezza. Per quanto riguarda la posta elettronica come vettore delle minacce, il phishing si è evoluto in attacchi di tipo spear-phishing, impersonazione e compromissione delle email aziendali (BEC). Si tratta di messaggi con obiettivi altamente specifici e notevole impegno sul versante dell’ingegneria sociale per scegliere e studiare accuratamente le vittime.

Volume globale di phishing in calo, con attacchi più mirati

I nostri ricercatori di Capture Labs che si occupano delle minacce hanno registrato 26 milioni di attacchi di phishing su scala mondiale, con un calo del 4,1% rispetto al 2017, secondo i dati pubblicati nel Rapporto SonicWall 2019 sulle ciberminacce. Durante tale periodo, il cliente medio SonicWall si è trovato a dover affrontare 5.488 attacchi di phishing.

Volume globale di attacchi di phishing nel 2018

Dato che le imprese stanno diventando sempre più capaci di bloccare gli attacchi via email, mettendo i dipendenti in grado di individuare e cancellare i messaggi sospetti, i cibercriminali stanno cambiando tattica. I nuovi dati indicano che stanno riducendo il volume complessivo di attacchi e lanciando attacchi di phishing molto più mirati (es., attacchi Black Friday e Cyber Monday).

Vediamo quali sono le cinque tattiche più comuni utilizzate dai phisher per sottrarre credenziali, installare malware, infiltrare le reti e danneggiare i marchi.

  1. URL dannosi e siti web falsi o spoofing dei siti web
    Per via dei miglioramenti delle soluzioni di sicurezza della posta elettronica che riducono il phishing, i cibercriminali stanno cercando metodi innovativi per eseguire attacchi mirati, come utilizzare URL come arma nei messaggi di posta elettronica per installare contenuti dannosi o creare siti web di phishing con false pagine di login per acquisire credenziali di accesso degli utenti. Alla fine del 2017 è stato riferito che ogni mese sono stati creati 1,5 milioni di siti di phishing. Rilevare i siti di phishing è diventato sempre più difficile poiché i phisher dissimulano gli URL di phishing con tutta una serie di reindirizzamenti e di URL abbreviati.Inoltre circa la metà dei siti di phishing utilizza certificati HTTPS e SSL, che facilitano ai cibercriminali il compito d’ingannare le loro vittime.
    Fonte: “PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users,” Avanan, August 2018.

    Secondo il rapporto di Security Intelligence di Microsoft “per gli attacchi vengono usati con sempre maggiore frequenza i siti di condivisione dei documenti e di collaborazione più noti per distribuire contenuti dannosi e falsi moduli d’accesso allo scopo di sottrarre le credenziali degli utenti”.

  2. Gli attacchi di phishing prendono di mira applicazioni ed utenti di Office 365
    Saas e servizi webmail stanno diventando il bersaglio sempre più ambìto delle campagne di phishing. Stando a quanto riferisce l’Anti-Phishing Working Group (APWG), gli attacchi di phishing ai danni di SaaS e servizi webmail sono raddoppiati nel quarto trimestre del 2018. Non sorprende che di pari passo con la crescente diffusione di Office 365 come piattaforma di posta elettronica per cloud  presso le aziende di ogni dimensione e quelle verticali Microsoft sia il marchio più impersonato.“Man mano che aumenta la quota di Microsoft nel mercato dei gateway di posta elettronica sicura (SEG), gli autori degli attacchi intelligenti prendono di mira in modo specifico le difese Microsoft” sostiene Gartner.La cosa non è assurda perché chiunque possieda una carta di credito può sottoscrivere un abbonamento ad Office 365, il che ne rende le caratteristiche di sicurezza decisamente accessibili ai cibercriminali, e, in linea teorica, consente ai gruppi criminali di mettere a punto campagne di phishing in grado di aggirare le difese Microsoft native. In effetti, in un altro studio i ricercatori hanno riscontrato che il 25% delle email di phishing aggirano la sicurezza di Office 365.
  3. Compromissione delle credenzialiA gennaio del 2019 i ricercatori di Troy Hunt hanno scoperto “Collection 1”, un lotto di 773 milioni di indirizzi di posta elettronica e 21 milioni di password in vendita su Hacker Forum. Queste combinazioni di ID e password compromesse vengono utilizzate per condurre attacchi dall’interno. Un attacco tipico comprende la sottrazione di account, che consiste nella compromissione delle credenziali aziendali di un dipendente da parte degli autori dell’attacco lanciando una campagna di phishing delle credenziali contro un’azienda o acquistando le credenziali stesse sul Darkweb a seguito di sottrazioni di dati ad opera di terzi. Gli autori dell’attacco possono utilizzare le credenziali sottratte per ottenere nuovi accessi o ulteriori privilegi. Le credenziali compromesse possono non venire scoperte per mesi e persino anni.
  4. Impersonazione, frodi a carico dei CEO e compromissione della posta elettronica aziendale (BEC)
    Secondo l’FBI la compromissione della posta elettronica aziendale (BEC) è uno scam ai danni di aziende che utilizzano fornitori esteri e/o effettuano regolarmente bonifici internazionali. Questi scam sofisticati vengono perpetrati dai criminali compromettendo gli account di posta elettronica con tecniche d’ingegneria sociale o d’intrusione informatica per effettuare bonifici non autorizzati. Si tratta di attacchi difficili da bloccare perché non contengono collegamenti o allegati dannosi ma un messaggio alla vittima che sembra provenire da un mittente affidabile che chiede di effettuare un bonifico.L’FBI Internet Complaint Center (IC3) ha reso noto l’estate scorsa che da ottobre 2013 a maggio 2018 il totale mondiale delle perdite dovute a scam BEC di cui si è venuti a conoscenza ha raggiunto i 12,5 miliardi di dollari.
  5. Allegati dannosi costituiti da file PDF e documenti Office
    Gli allegati ai messaggi di posta elettronica sono un sistema molto diffuso per l’installazione di contenuti dannosi come ransomware e malware fino a quel momento sconosciuti. I ricercatori di SonicWall Capture Labs hanno recentemente osservato un aumento sostanziale dei file PDF dannosi o fraudolenti. Questa campagna fraudolenta sfrutta la fiducia dei destinatari nei confronti dei file PDF, considerati documenti in formato sicuro ampiamente utilizzati e ritenuti affidabili nelle operazioni commerciali. Consiglio di leggere “New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics”, scritto da Dmitriy Ayrapetov, Executive Director of Product Management, per conoscere ulteriori aspetti di questi tipi di campagne di phishing ed imparare a bloccarli.

L’apocalisse del cryptojacking: La disfatta dei Quattro Cavalieri del cryptomining

Nonostante le fluttuazioni dei prezzi del bitcoin e delle altre criptovalute, il cryptojacking continua ad essere una grave minaccia – spesso sottovalutata – per le grandi aziende, le PMI ed il consumatore in genere.

Il tipo più subdolo di queste minacce è costituito dal cryptomining tramite browser, nel quale le forme più diffuse di malware cercano di trasformare i dispositivi in mining bot di criptovalute a tempo pieno denominato cryptojacker.

Per cercare di farvi capire in che cosa consiste questa minaccia, vi presento una sintesi dei miei classici insegnamenti sull’argomento, prendendomi la libertà di enfatizzare la situazione. Se ritenete che l’avanzata del cryptojacking sia stata un’apocalisse come credono alcuni di coloro che ne sono rimasti vittima, i Quattro Cavalieri costituiscono altrettante minacce per i vostri endpoint e le vostre aziende:

  • Cavallo bianco: L’energia consumata e sprecata
  • Cavallo rosso: La perdita di produttività dovuta alle risorse limitate
  • Cavallo nero: I danni che possono provocare al sistema
  • Cavallo verdastro: Implicazioni di sicurezza dovute alle vulnerabilità introdotte

Diversamente dal ransomware, che è pensato per essere visibile (per richiedere il pagamento), il lavoro del cryptojacker si svolge in modo invisibile dietro le quinte (anche se il diagramma delle prestazioni della CPU o la ventola del dispositivo possono indicare un’attività anomala).

Negli ultimi due anni gli autori di ransomware hanno cambiato marcia, nel senso di un maggiore ricorso al cryptojacking, poiché l’efficacia turbativa del ransomware e il ritorno sull’investimento diminuiscono man mano che lo stesso finisce sui canali di scansione pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività decisamente redditizia, i cibercriminali devono trovare sempre nuovi metodi per realizzare i loro obiettivi finanziari. Il cryptojacking viene utilizzato esattamente per tale scopo.

Ad aprile del 2018 SonicWall ha iniziato a tenere sotto controllo le tendenze del cryptojacking, soprattutto l’uso di Coinhive nel malware. Nel corso dell’anno abbiamo visto che il cryptojacking ha avuto alti e bassi. Durante tale periodo SonicWall ha registrato circa 60 milioni di attacchi di cryptojacking, di cui 13,1 milioni nel solo mese di settembre 2018. Come è stato pubblicato nel Rapporto SonicWall 2019 sulle ciberminacce, il volume degli attacchi è calato nell’ultimo trimestre del 2018.

Attacchi di cryptojacking a livello globale da aprile a settembre del 2018

L’attrattiva del cryptomining

Le operazioni di cryptomining sono diventate sempre più diffuse, tanto da rappresentare circa la metà dei consumi mondiali di energia elettrica. Nonostante le notevoli oscillazioni di prezzo, circa il 60% del costo delle attività legittime di mining dei bitcoin è costituito dalla bolletta energetica. In effetti, al momento della redazione di queste, il prezzo di un bitcoin è inferiore al costo delle sue legittime attività di mining.

Con simili costi e rischi zero rispetto a dover acquistare e mantenere le apparecchiature, i cibercriminali sono fortemente incentivati a generare criptovalute utilizzando risorse altrui. Infettare 10 macchine con un cryptominer può produrre guadagni netti fino a 100 dollari al giorno, per cui la sfida per i cryptojacker è triplice:

  1. Individuare gli obiettivi, vale a dire organizzazioni che dispongono di numerosi dispositivi sulla stessa rete, soprattutto scuole e università.
  2. Infettare il maggior numero di macchine possibile.
  3. Restare nascosti più a lungo possibile (diversamente dal ransomware, con modalità più simili al malware tradizionale).

I cryptojacker utilizzano tecniche simili a quelle del malware per intrufolarsi negli endpoint: download drive-by, campagne di phishing, sfruttamento delle vulnerabilità dei browser e plugin dei browser, per citarne solo qualcuno. E, ovviamente, fanno affidamento sull’anello debole della catena, le persone, sfruttando tecniche di social engineering.

Come si fa a sapere se si è vittime dei cryptominer?

I cryptominer sono interessati a sfruttare la potenza di elaborazione delle loro vittime ed i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. Di quante risorse della vostra CPU si impossesseranno dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro. Rubarne di più fa crescere i prodotti. In entrambi i casi le prestazioni ne risentono, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere tra un miner e un software legittimo.

Gli amministratori aziendali possono tenere conto dei processi sconosciuti nei loro ambienti, mentre gli utenti finali in Windows dovrebbero far girare un Sysinternals Process Explorer per vedere che cosa c’è in esecuzione. Per la stessa ragione gli utenti Linux e macOS dovrebbero tenere sotto controllo rispettivamente l’uso del System Monitor e dell’Activity Monitor.

Come difendersi dai cryptominer

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware sul gateway, tramite firewall o email security (sicurezza perimetrale), che è uno dei metodi più efficaci per sventare le minacce note basate su file.

Poiché si tende a riutilizzare vecchio codice, un altro primo semplice passo consisteva anche nello stanare cryptojacker come Coinhive. Ma a febbraio del 2019, Coinhive ha reso noto pubblicamente che avrebbe cessato l’attività l’8 marzo. I responsabili hanno dichiarato che “non era più conveniente economicamente” continuare il servizio e che l’attività aveva fortemente risentito del crollo delle criptovalute.

Nonostante ciò, SonicWall prevede che vi saranno sempre nuove varianti e nuove tecniche di cryptojacking per colmare il vuoto. Il cryptojacking potrebbe ancora diventare uno dei metodi preferiti per i cibercriminali per il fatto di essere nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano il tempo durante il quale gli attacchi andati a buon fine producono benefìci.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato ad una sandbox per la verifica della sua natura.

L’ambiente sandbox Capture Advanced Threat Protection (ATP) multi-engine di SonicWall è stato progettato espressamente per identificare e bloccare malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non si trova dietro a questa configurazione tipica (ad esempio, se sta effettuando il roaming all’aeroporto o in albergo), si deve installare un prodotto di sicurezza endpoint che comprende la funzione di rilevamento comportamentale.

I cryptominer possono agire nei browser o essere consegnati tramite attacchi senza file, per cui le soluzioni tradizionali preinstallate sui computer non sono in gradi di vederli.

Gli antivirus di tipo comportamentale come SonicWall Capture Client sono in grado di rilevare se il sistema intende effettuare il mining delle valute e quindi interrompere il funzionamento. Gli amministratori possono facilmente mettere in quarantena e cancellare il malware o, se si tratta di qualcosa in grado di danneggiare i file di sistema, riportare quest’ultimo all’ultima configurazione funzionante prima che venisse eseguito il malware.

Abbinando tutta una serie di difese perimetrali all’analisi comportamentale le organizzazioni possono contrastare le nuove forme di malware, indipendentemente da quelle che sono le loro tendenze o finalità.

Cryptocurrency, Ransomware and the Future of Our Economy

History is full of people who’ve labored over missed opportunities. Like all other non-bitcoin-owning people, I am one of them.

I first heard of cryptocurrency in early 2013 and scoffed at the idea that something with no intrinsic or collectable value would trade for $20. The concept of owning a portion of a cryptographic code — and it having actual value — is still hard for many to swallow.

Now that an available bitcoin (BTC) is valued at over $19,000 (USD), I languish the fact that an investment of $1,000 in 2013 would have net me half of a million dollars today. Furthermore, had I been tuned into the movement in 2010, I would be a billionaire today. You too. Stings a little, doesn’t it?

At no point in history has it been so easy to become extremely wealthy out of thin air. And it is not just people like you and me who think about this, but criminals as well. This is not only causing major shifts in financial markets, but also in malware development.

What is Cryptocurrency?

With all of the noise about cryptocurrency, here is what we know as we near 2018:

  • There are, or have been, over 1,300 other cryptocurrencies on the market. These are called altcoins.
  • Most people have never owned a single “coin” from any blockchain.
  • Most have no basis for value, which means it’s subjective and speculative (e.g., like a baseball card or an artistic sketch). The community dictates the value.
  • Some are tied to a real currency (e.g., 1 Tether coin = $1 USD).
  • Governments struggle with regulation and don’t want to encourage the use of decentralized currencies.
  • They often function like startups. Founders get an early crack at the supply chain and hold an equitable stake in the algorithm. Instead of a stock IPO they release them as part of an Initial Coin Offering (ICO).
  • Most of the popular coins cannot be mined by your computer anymore. Today, it’s only achieved through professional-grade mining operations.
  • No one knows how high or low bitcoins and cryptocurrency will go; either they will die or become the basis for our future economy.
  • The popular coins today are desired by cybercriminals and are the main form of payment within ransomware.
  • Like a TLS digital certificate, cracking the actual encryption is nearly impossible. Bitcoins are, however, fairly easy to steal and even easier to lose or destroy.
  • Malware is used to steal coins and to also turn infected endpoints into mining bots.

Bitcoin Is the Great Ransomware Enabler

Because cryptocurrency is virtually un-trackable, holds great value and is easily traded online, they are the preferred way to get paid on the black market. Without the value of bitcoin, you wouldn’t have heard about ransomware.

Ransomware is responsible for causing billions of dollars (USD) in damage across the world. Furthermore, the actual cost of the problem isn’t the cost of bitcoin to return your files (if you ever get them back), but the fallout from an attack.

Ransomware is fun for the media because you can easily quantify the ransoms and take photos of the demand screens, but not so fun for hackers. Through the development, updates and propagation of the malware, only between five and 10 percent of people pay the demands. But there is another way.

Bitcoin Mining

Instead of having your victims pay you once, what about having your victims unknowingly work for you? Well, that is what a lot of malware is doing today. By leveraging a portion of your compute power to form a bitcoin mining pool, hackers don’t have to kill the goose that lays the golden egg.

The result? The home computer has less power to run normal processing and incurs higher energy costs. When this approach works its way into a corporate network, it could cause major productivity and service issues.

For some hackers, these two attack vectors are small-time thinking. Instead of counting on a distributed attack vector across a global landscape of endpoints with mixed vulnerabilities, what about a single targeted attack?

Hackers don’t attack the algorithm behind the coins, they attack where they are stored. Cryptocurrency banks and exchanges are ripe targets for attacks. If you factor in the price of a bitcoin (at the time of I started writing it was $8,160 and after editing its $16,000) — the second Mt. Gox attack emptied bitcoin wallets to the tune of over $11 billion USD. Wow! At the time, the bitcoin haul was nearly 744,000 coins worth $436 million USD and caused the value of bitcoin to fall to a three-month low.

Cryptocurrency: Is it the Future?

Like most dual-sided arguments, those inside a social ecosystem are bullishly optimistic. Those outside remain pessimistic. I’m in between. I see the opportunity to capitalize on the attention, but recognize the many limitations behind cryptocurrencies that cap their viability into the future.

I’ve never owned a bitcoin coin but have entered into a few key platforms for the short-term. As mentioned, the value is purely subjective, much like an arbitrary piece of art, which can be a good investment as long as there is a large pool of people with the financial ability to support and bloat its value.

What is the difference in value between this rare Honus Wagner T206 card ($3.12 million USD) and the common Dusty Baker’s 1987 Topps card ($0.70 USD)? The answer lies in the availability of the item and the demand from the consumer.

Bitcoin, Ethereum and Monero all have value because a community of people feels it does. The more people who enter this pool, the greater the potential value. Some are investors and others are victims buying a ransom. But what truly drives the cost of bitcoin is attention — just like a piece of sports memorabilia. When you mirror Google’s search trend data to the historical price of BTC, you see a direct correlation.

What does this tell me? Once the attention fades, people will lose interest. At that point, the price will come down, similar to a Derek Jeter autographed baseball. Additionally, as ransomware becomes less effective, fewer people will buy bitcoin for the sake of digital freedom. And that freedom is the primary thing cryptocurrency can buy.

In the past year, every time the price of bitcoin dropped the Chicken Littles of the world wanted to be the first to cry out, “The sky is falling!” I do believe there will come a time when bitcoins will have the value the 1986 Topps Traded Pete Ladd sitting in the back of your closet (less than $1), but its value won’t crumble in a day.
With the remaining 1,000-odd altcoin cryptocurrencies (that currently hold value) out there with a collective market cap of over $400 billion (at the time of writing), it would take a lot for crypto-investors to create the needed fire sale that would cause the market’s topple. Instead, I see it like the Ice Age; built in stages and then a slow recession.

The altcoins wouldn’t exist today if bitcoin wasn’t popular and a goldmine for the early investors. The creators of these algorithms are like the leaders of pyramid scams. They created the rules and the ecosystem to make money and only exist if their supporters exist, much like an Amway Double-Dutch Triple-Black Platinum Diamond Founder’s Crown Elite Wizard. These will be the first to die. The beginning of their end is when bitcoin hits a plateau lasting more than two months.

In the Ice Age analogy, bitcoin is much like a large glacier that icicles attach to. As the sun shines, they will melt, leaving only the strongest cryptocurrencies to linger. I see bitcoin and Ethereum lasting for years, but only at a small price point. The coins in active circulation will be mostly in the possession of cyber criminals (if they aren’t already) and will be sold to the victims of cybercrimes to pay ransoms until the practice to buy cryptocurrency is outlawed country by country.

And, with that, the official death of ransomware.

Death in a Cathedral

Thirty years from now when we look back at cryptocurrency, we will reminisce about the second coming of the roaring ‘20s. Without the presence of Babe Ruth and the Charleston, we’ll have great unregulated wealth that comes to a crash.

In my conservative outsider-ish advice, I recommend minor, short-term cryptocurrency investments that you are not afraid to lose. Watch the price of bitcoin. When you see a plateau lasting a month, sell. (However, I’m not a financial advisor and I have no fiduciary duties to you. Please do your own research.)

Remember the old adage: movements are built in caves and die in cathedrals. Bitcoin is in the cathedral phase of its life. And if you understand the politics and history of cathedrals, you would be wary of entry. If not, read The Gothic Enterprise: A Guide to Understanding the Medieval Cathedral. Pay attention to fallout surrounding the bankrupt Bishop Milo de Nanteuil.

The Marriage Between Malware & Cryptocurrency

Another adage I was raised with, “make hay when the sun shines,” is what hackers are doing today. As the flames of bitcoin flare, more moths will be drawn to its light. The illicit creation, extortion and theft of digital coins will drive the price to an all-time high.

Because of the outrageous volume of ransomware infections of 2016, and the infamous attacks in 2017, malware defense is at an all-time high too, but it is not enough. Network and end-point security needs to be a serious topic of discussion.

At SonicWall, we’ve made great strides to get ahead of the cryptocurrency attacks; far before a hunk of digital code was valued at dollar volumes higher than what your grandfather paid for his first home.

Before the public release of Zcash, we released the SonicWall Capture Advanced Threat Protection service, which is a cloud-based network sandbox that works in line with SonicWall next-gen firewalls to run and test suspicious code in an isolated environment to prevent newly developed ransomware attacks (and other forms of malware too).

To bolster endpoint protection, we created an alliance with SentinelOne to provide an enhanced endpoint security client framework to provide next-generation anti-virus capabilities to our current endpoint offerings.

To learn more on how SonicWall can prevent malicious attacks, please read our solution brief, Five Best Practices for Advanced Threat Protection. If you’d like to discuss this blog, the marriage between malware and cryptocurrency, and to send your potentially future-worthless digital collectibles, reach out to me on Twitter.

 

SonicWall Firewall As A Service Offers New GMS Infrastructure

Today, customers are looking for more security and insight into the traffic on their network, without the burden of managing it on their own. Increasingly managed service providers (MSPs) are being asked to deliver network perimeter protection. Meeting this demand, SonicWall Firewall as a Service (FWaaS) now offers new SonicWall Global Management Systems (GMS) as a Cloud managed services. Immediately available from SonicWall are three unique options of the Global Management System Infrastructure solution: Monitoring, Monitoring and Reporting and Fully Managed. The undeniable benefits of all of these choices is that each lower upfront costs through the monthly subscription pricing. Customers also gain enterprise-level network security to defend against the relentless global threats and malware attacks without having to worry about maintenance or support. These solutions simplify customer management and deployment of SonicWall products. These new offerings will be provided by Solutions Granted Inc. and Western NRG, Inc., our selected infrastructure providers.

SonicWall Security’s Firewall-As-as-Service bundle includes a  SonicWall next-generation firewall appliance, Total Secure/Comprehensive Gateway Security Software (CGSS) and SonicWall Global Management System (GMS). What is new is that we are giving you more options on where and how to run the SonicWall GMS, allowing you to rapidly deploy and centrally manage the SonicWall next-gen firewall. This highly effective system provides real-time monitoring and alerts, along with comprehensive policy and compliance reporting in a solution that can easily be deployed as a hosted solution.

Option number one provides GMS infrastructure with monitoring. Option number two delivers more comprehensive security with both monitoring and reporting. With these 2 options the Managed Service Provider (MSP) will run GMS and is responsible for the workload, but uses the SonicWall GMS infrastructure. The value is to eliminate the cost of the GMS infrastructure, with a monthly price instead of an upfront cost, scaling over time to accommodate growth.

The third and most comprehensive option consists of a fully managed GMS instance and execution of the managed firewall service for the VAR/MSP. The value of this service is a VAR can now participate without being an MSP. With this option you sell the service, but the delivery of that service is handled by the new SonicWall GMS managed services offerings. This expands your business as a VAR. These options all complement and extend SonicWall security products and services provider, while optimizing your business security, managing growth and easing the administrative burdens.

We invite you to tune in for a live webcast on how the new offerings in the FWaaS partner program will help you increase your sales on, Thursday Nov. 5, 2015 at 11 a.m. Pacific/2 pm Eastern.

Meet us in-person at the upcoming IT Nation 2015 conference, Nov. 11 – 13, 2015 at the Hyatt Regency in Orlando, where SonicWall Security Solutions experts will demonstrate our SonicWall Firewall-as-a-Service (FWaaS) and SonicWall Global Systems Management next week.

How to Transform Your Network Security Infrastructure To Be Future-Ready

As an IT leader, you understand how new disruptive technologies can improve your company’s competitive positioning and drive overall business value. Technology trends such as cloud, mobility, social and big data compel companies to move quickly to define and implement next-generation data center architectures and security defense strategies to take advantage of these new technologies. While these trends have proven to boost commerce and operational efficiencies for many businesses who are early adopters, they also introduce security loopholes that give cyber-criminals an easy path to inject malware into the network, evade detection, and steal data.

For example, when new software and network designs are implemented to enable BYOD initiatives, companies quickly find themselves at higher risk due to the increasing number of vulnerable web applications and unsafe systems and endpoint devices that are added to their network. They’re now forced to grapple with a significantly higher volume of connected devices accessing their networks which have the potential to slow performance as well as productivity. Not only can users consume an enormous amount of bandwidth with multiple connections per device and time-wasting, productivity-draining applications such as social media and video streaming, they also collectively create a much larger attack surface for cyber-criminals to exploit. To fully benefit from BYOD and other business enabling technologies, next-generation data centers must be agile, scalable, manageable, flexible, and most importantly, secure against the ever-changing global threat environment including network attacks that use encryption to bypass security controls. After all, a security system cannot stop what it cannot decipher.

To meet these challenges, the network security layer must be highly extensible to support the largest of data centers’ bandwidth consumption with absolutely near zero downtime. Such requirements have justified necessary networking security architectures that can be incrementally deployable and horizontally scalable. In other words, there might not be a single SonicWall Next-Generation Firewall (NGFW) with the scale to meet the performance requirements of some compute- and bandwidth-intensive networks such as large institutions, government agencies, and global enterprises. A more practical way to scale the performance beyond capabilities of a single SonicWall NGFW device is to combine multiple SonicWall NGFW devices into a network cluster for full redundancy, failover and failback to ensure there is no single point of failure in the design. In this infinite scale-out model, adding additional security compute resources should ideally be a matter of easily adding more firewalls to the system in a very cost-effective way.

If you are currently tasked with implementing big-bet initiatives to improve growth and competitiveness and feel that security is your biggest barrier for implementing these programs, SonicWall invites you to download this exclusive “A Massively Scalable Approach to Network Security” white paper to help you implement your future-proofed, network-based scale-out security layer architecture. This is a highly resilient design that offers transparent security services to augment existing security solutions, separate security functions and provide added capacity via N+1 redundancy to solve your most complex and demanding data center requirements. The solution provides the following benefits:

  1. Scalable performance to support 10, 40 and/or 100+ Gbps data centers
  2. Assured availability of internet services and connectivity without compromising security
  3. Deep security through SSL inspection and prevention of intrusions, malware, botnets, etc.
  4. Visualization of all applications, users, groups traversing the firewalls
  5. Cost savings up to 82%* lower than Cisco and 65% lower than Palo Alto Networks and 57% lower than Fortinet