venerdì 10 luglio 2020

Ransomware Conti: è arrivato il successore di Ryuk?


Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

giovedì 9 luglio 2020

Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif


Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

mercoledì 8 luglio 2020

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid


Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

lunedì 6 luglio 2020

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni


E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent

giovedì 2 luglio 2020

Cosa possiamo fare per sostenere la digitalizzazione della scuola?


Digitalizzare la scuola pare, in Italia, un'impresa titanica: se ne parla da decenni ma, a parte qualche virtuoso esempio, la maggior parte delle scuole e istituti arranca. Le difficoltà sono molte, ma ne possiamo individuare due centrali: la mancanza di fondi e di competenze tecniche. Eppure la digitalizzazione della scuola pare urgente e necessaria, per adattarsi ai tempi, per formare gli studenti ad un uso consapevole di quella tecnologia con la quale si confrontano già nel tempo libero e con la quale avranno a che fare nel mondo del lavoro e per l'intero corso della vita. 

Qualcosa però si muove: finalmente è in arrivo un grande piano di investimenti per garantire alle scuole una componente essenziale della digitalizzazione, ovvero la connettività.

Il Piano Scuola: finalmente l'Italia investe sul digitale