venerdì 5 giugno 2020

NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt


Il ransomware QNAPCrypt è stato individuato per la prima volta nel Giugno 2019, ma è stato quasi subito "sconfitto": dopo le segnalazioni di alcuni utenti colpiti dall'infezione ransomware, alcuni ricercatori avevano prodotto un tool capace di decriptare i file. L'algoritmo di criptazione presentava dei bug, nella nota di riscatto era presente la chiave pubblica di criptazione: tutti strumenti che furono utili al tempo per scardinare la criptazione e riportare i file in chiaro senza pagare il riscatto.


In questi giorni è in corso però una nuova campagna di diffusione del ransomware: i dati provenienti da ID-Ransomware (servizio di supporto alle vittime di ransomware), parlano chiaro. Dal 1°Giugno è in corso una campagna di diffusione di una nuova versione del ransomware e le segnalazioni hanno subito una forte impennata. 

Gli attacchi sono mirati:  l'operatore di QNAPCrypt tenta di accedere ai dispositivi sia sfruttando vulnerabilità conosciute ma anche col più classico attacco di brute-forcing di credenziali deboli. Una volta ottenuto l'accesso, procede all'installazione del ransomware, che si attiva subito e cripta tutti i file presenti nel dispositivo. L'estensione di criptazione aggiunta ai file criptati non è cambiata dalla versione precedentemente in diffusione ed è ancora .encrypted: il nome file invece non viene modificato.

giovedì 4 giugno 2020

Nasce il cartello delle estorsioni: gli operatori ransomware di gruppi diversi si coalizzano



Vari gruppi attivi negli attacchi ransomware si stanno coalizzando per formare un vero e proprio "cartello delle estorsioni": la piattaforma del ransomware Maze è diventata una vera e propria infrastruttura condivisa dove alcuni gruppi di cyber criminali pubblicano i dati rubati alle vittime e condividono tattiche di attacco, di ricatto e intelligence. 

Dalla criptazione dei dati al data breach
Era il Novembre 2019 quando gli operatori del ransomware Maze pensarono di anticipare la criptazione vera e propria (l'attacco ransomware) con un furto dati (data breach): in quell'occasione, poichè la vittima si era rifiutata di pagare il riscatto per riavere i file in chiaro, gli attaccanti avevano proceduto alla pubblicazione di una parte dei dati rubati in una fase dell'attacco precedente alla della criptazione stessa. Una specie di doppio ricatto: con la criptazione la vittima viene "esclusa" dall'accesso ai propri file, ma se si rifiuta di pagare, questi file vengono anche resi pubblici oltre che inaccessibili al proprietario.  

venerdì 29 maggio 2020

Smart working: 7 lavoratori su 10 lo preferiscono al tornare in ufficio. Boom del cloud, mentre l'IT si fa strategico


Censuswide ha realizzato un sondaggio (consultabile qui) su un campione di 3.700 executive del settore IT in diversi paesi, per tratteggiare quelli che sono i timori e le aspettative per il post lockdown. I dati più salienti sono che, per i 75% degli interessati, gli impiegati non torneranno a lavorare allo stesso modo di prima in ufficio; inoltre, per il 72% il Covid è stato un vero e proprio acceleratore per la trasformazione digitale delle aziende. 

La maggior parte degli intervistati dichiara di aver registrato un forte aumento della domanda di lavoro flessibile: l'aspettativa è che gli impiegati saranno molto riluttanti a tornare a lavorare in ufficio. La conseguenza sarà la necessità di elaborare e implementare modelli di organizzazione del lavoro sempre più flessibile, comportando una netta riorganizzazione del lavoro. 

Il 69% dei manager IT dichiara anche che lavorare da casa non è stato molto complesso per la maggioranza del personale, il 71% è convinto che le tecnologie utilizzate abbiano consentito di lavorare come si fosse in presenza fisica. 

La conseguenza? Il 62% degli intervistati dichiara che sta assistendo una vera e propria impennata del ricorso ai sistemi in cloud. 

Smart working post covid: le prospettive

mercoledì 27 maggio 2020

Italia sotto attacco: il ransomware [F]Unicorn si diffonde camuffandosi da app di contact tracing Immuni


E' stato individuato un nuovo ransomware, rinominato [F]Unicorn, che sta colpendo esclusivamente utenti italiani: l'attacco inizia con una email che sembra inviata dalla Federazione Ordini farmacisti italiani e cerca di convincere gli utenti a scaricare la versione beta dell'app Immuni, scelta dal governo italiano per il contact tracing dei contagi Covid. 

La campagna di attacco è stata individuata dal CERT e dall'Agenzia per l'Italia Digitale, segnalata poi tramite specifico alert. Un campione delle email fake è visibile sotto:

martedì 26 maggio 2020

Installer fake di Zoom per diffondere backdoor e botnet: come il cyber crime sfrutta app legittime per azioni illegittime


Abbiamo parlato spesso di Zoom, l'app per le videoconferenze che ha registrato un boom improvviso, forse inaspettato ai suoi stessi sviluppatori, in piena epidemia Covid. Ne abbiamo parlato a causa dei bug e della scarsa consapevolezza nell'utilizzo che ne hanno dimostrato gli utenti, fattori che hanno reso questa applicazione un vero e proprio ghiotto bersaglio per i cyber attaccanti, tra dati rubati e accessi illegittimi a conferenze (per approfondire consigliamo di leggere qui e qui). 

Avevamo però segnalato anche un diverso modo di abusare di Zoom, ovvero quello di aprire domini fake sui quali attirare utenti per poi convincerli a installare versioni fake e dannose dell'app. Qualche giorno fa sono state individuate online da alcuni ricercatori di sicurezza due installer fake di Zoom che integrano l'installer ufficiale con codice dannoso: codice dannoso che consente agli attaccanti di prendere il controllo da remoto della macchina. Uno di questi riguarda l'installazione della botnet Devil Shadow sul dispositivo.