venerdì 21 febbraio 2020

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult


E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta. 

mercoledì 19 febbraio 2020

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam


E' stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un'altra, pericolosa, famiglia di ransomware chiamata Crysis. E' inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l'installazione tramite RDP hackerati. 

La campagna è stata individuata da più fonti e, dall'analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif. 

Le email di spam

martedì 18 febbraio 2020

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!


Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l'impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la "storica" famiglia di ransomware Xorist, individuata per la prima volta nel 2016. 

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell'infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione:  l'estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato "HOW TO DECRYPT FILES.txt", l'email di contatto pronis@cock.li. 

Qualche informazione tecnica

lunedì 17 febbraio 2020

Anonymous attacca le PA in Basilicata, LulzSec Ita colpisce tre università: le carenze della protezione dati in Italia


Anonymous torna a farsi sentire e lo fa contro le trivellazioni petrolifere in Basilicata, compiendo una lunga serie di attacchi informatici ai danni della Pubblica Amministrazione in Basilicata. Gli hacktivisti sono riusciti ad avere accesso ai database della Giunta e del Consiglio Regionali ma anche dell'azienda di promozione turistica regionale e di diversi comuni della Val D'Agri, il sito prescelto per le future trivellazioni. Accusata numero uno è l' ENI: il comunicato col quale gli hacktivisti rivendicano l'attacco parla apertamente, infatti, di  "scempio, disastro, ecatombe, tutto firmato dall'italiana Eni". 

L'operazione segue di qualche giorno una serie di attacchi del gruppo LulzSecITA, affiliato ad Anonymous, che nelle scorse settimane ha attaccato  i sistemi dell'Università della Basilicata, di Napoli e di Roma 3, diffondendo poi i dati ottenuti e criticando apertamente la debolezza dei sistemi protettivi e la scarsa attenzione posta dagli atenei italiani nella protezione dei dati di studenti, docenti e dipendenti. 

Operation GreenRights

venerdì 14 febbraio 2020

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni


Nel corso di un convegno organizzato dall'Università LUISS di Roma la Polizia Postale ha lanciato l'allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come "una emergenza assoluta". 

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell'utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come "tappa intermedia" per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale.