venerdì 24 maggio 2019

GetCrypt: risolvibile il ransomware che tenta il brute-forcing di credenziali


Qualche giorno fa è stato individuato dai ricercatori di Bleeping Computer un nuovo ransomware chiamato GetCrypt. Le analisi hanno svelato che questo ransomware si diffonde tramite campagne di malvertising che reindirizzano la vittima verso l'exploit kit RIG. Una volta che il ransomware è installato sul pc, i file finiscono criptati e compare la richiesta di riscatto. 

Il gioco è semplice: le vittime subiscono l'installazione del ransomware al momento in cui finiscono vittime di una campagna di malvertising chiamata Popcash, che cerca di convincere gli utenti a cliccare su link contenuti in email di spam. Il clic sul link reindirizza l'utente verso siti compromessi contenenti l'exploit kit RIG, che cerca e sfrutta alcune vulnerabilità di sistema piuttosto diffuse per ottenere l'accesso alla macchina.  Se l'exploit ha a successo su sistemi Windows, GetCryp viene immediatamente scaricato ed installato. 

Come cripta il computer

mercoledì 22 maggio 2019

Google ha lasciato in chiaro per 14 anni le password di utenti G Suite


Dopo Facebook e Twitter, Google è il successivo gigante della tecnologia che ha accidentalmente salvato le password dei propri utenti in chiaro sui propri server. Conseguenza è che per tutto il tempo di vigenza del bug, gli impiegati Google hanno avuto la possibilità di accedere ai dati e vedere in chiaro le password, così come può essere successo anche a cyber attaccanti che possono aver avuto accesso ai server, dato il lasso di tempo così lungo. 

E' stata Google stessa a rivelare, con un post sul suo blog, questa problematica della piattaforma G Suite, che ha esposto per 14 anni le password di utenti aziendali: i dati, salvati in server interni, sono finiti in chiaro a causa di un bug nella funzione di recupero della password. 

martedì 21 maggio 2019

TeamViewer conferma una violazione (non divulgata) del 2016


TeamViewer ha confermato ieri di essere stata vittima di un attacco informatico scoperto nell'autunno 2016, ma mai divulgato. Gli attaccanti hanno usato la backdoor Winnti. 

L'azienda dietro uno dei software di gestione da remoto più usato al mondo ha fatto sapere al settimanale Der Spiegel che l'attacco è stato scoperto prima che gli attaccanti fossero in grado di compiere danni e che tutte le indagini svolte per trovare tracce dell'uso di dati rubati durante l'incidente di sicurezza hanno dato esito negativo. 

lunedì 20 maggio 2019

Pioggia di attacchi DDoS contro l'Italia: in alcuni casi richiesto un riscatto


Lo rivela la società tedesca Link11, che si occupa specificatamente di difesa contro attacchi DDoS: Link11, che sta proteggendo molteplici aziende italiane, non specifica né numeri né nomi di aziende, ma indica solo che sono molteplici gli attacchi contro hosting provider italiani, ISP e Data center. Attacco che sta determinando disfunzioni e interruzioni di servizi su migliaia di siti ospitati dai provider sotto attacco. 

L'attacco DDoS è accompagnato dalla ricezione di una email, a nome di Turkish Hacker, che richiede il pagamento di un riscatto in BitCoin al fine di evitare attacchi superiori ai 100 Gbps. Il pagamento viene preteso nell'arco di 24-48 ore. La campagna prosegue ormai da inizio Maggio.

mercoledì 15 maggio 2019

Sito web fake di WhatsApp diffonde backdoor per macOS e Windows


La nuova minaccia per sistemi operativi macOS è stata individuata qualche giorno fa dai ricercatori Dr Web: il malware si chiama Siggen.20 e le analisi hanno indicato che si tratta di una backdoor che consente agli attaccanti di scaricare da un server remoto ed eseguire sul dispositivo del codice Python dannoso. 

Siggen infetta i dispositivi delle vittime tramite siti web compromessi gestiti direttamente dai suoi sviluppatori: la maggior parte di questi siti compromessi sono siti personali di persone inesistenti