venerdì 24 gennaio 2020

Sistemi macOS: uno su dieci è infettato col trojan Shlayer


Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando... in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato. 

Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l'attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% - 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato. 

Qualche dettaglio tecnico

martedì 21 gennaio 2020

FTcode torna alla carica: la nuova versione ruba anche le credenziali di login


FTcode
è un ransomware individuato per la prima volta nel 2013, ma tornato in diffusione soltanto tra Settembre e Ottobre del 2019 dopo anni di silenzio. Ne avevamo parlato qui, perchè il Cert-PA aveva individuato una campagna di email di spam che distribuiva il payload del ransomware soltanto contro utenti italiani. 

Parliamo di un ransomware già molto insidioso completamente sviluppato in PowerShell, che non necessità di scaricare alcun componente aggiuntivo per criptare i dispositivi ma che può anche essere facilmente modificato dai suoi sviluppatori per aggiungere nuove funzionalità . Ed è successo proprio questo. Ecco le novità.

Nuova versione ruba le credenziali salvate
E' stata individuata, già in diffusione, una nuova versione di FTcode che mostra l'aggiunta di una nuova componente dannosa: parliamo di una funzionalità di furto dati che consente al malware di raccogliere ed esfiltrare le credenziali di login salvate sulla macchina bersaglio prima dell'avvio del meccanismo di criptazione. 

venerdì 17 gennaio 2020

L'exploit kit di WannaCry torna alla carica: il ransomware 5ss5c recupera EternalBlue


Ricorderete sicuramente WannaCry, il ransomware con capacità di diffusione simili a un worm che registrò così tante infezioni e mostro virulenza tale da essere a tutt'oggi considerato l'attacco ransomware più devastante della storia. L'impressionante virulenza di WannaCry derivava dall'uso di un exploit kit ben preciso, EternalBlue appunto. 


EternalBlue in breve
EternalBlue è un exploit kit sviluppato dalla divisione cyber dell'NSA, l'Agenzia di Sicurezza nazionale degli Stati Uniti. Rientrava in una più ampia serie di tool che gli Stati Uniti usavano per questioni di sicurezza nazionale: peccato che nel 2016 tutti questi tool sono stati rubati dai server NSA. Il furto, avvenuto per opera del gruppo di hacking Shadow Broker, ha avuto come conseguenza la perdita di controllo da parte dell'NSA di tutti gli exploit kit sottratti e, ovviamente, l'impiego degli stessi da parte del cyber crimine. 

giovedì 16 gennaio 2020

Ransomware: si diffonde la pratica della pubblicazione dei dati rubati per chi non paga il riscatto


Il capofila, ne abbiamo parlato ampiamente, è stato il ransomware Maze. Fin dal primo "colpo grosso" contro Allied Universal, una delle principali aziende di servizi di sicurezza statunitense, Maze si è distinto per la pratica di rendere pubblica una parte dei dati sottratti dai sistemi infetti, come forma di pressione ulteriore al fine di convincere la vittima a pagare il riscatto. Di questa pratica gli attori di Maze, ransomware usato ormai a cascata contro obiettivi mirati come enti pubblici e aziende, scuole e ospedali negli U.S.A, ne hanno fatto una specializzazione, al punto da aver perfino aperto un "sito di news" dove pubblicare i dati: questo anche perché ben presto la stampa di settore (e non solo) ha deciso di non dare più spazio a questa tipologia di ricatto e di non far girare alcun database di dati rubati e pubblicati a fini estorsivi. 

La tecnica funziona, purtroppo, e si cominciano a registrare casi di emulazione da parte di nomi altisonanti nel panorama delle cyber minacce: primo tra tutti Sodinokibi, ma appena due giorni fa anche gli attori dietro al ransomware Nemty hanno effettuato le prime operazioni di pubblicazione dati.

martedì 14 gennaio 2020

Data breach e data leak: quali sono le differenze?


E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019. 

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo