martedì 27 dicembre 2016

Ransomware Cerber: nuova versione in diffusione in almeno diverse campagne nel mondo


E' stata individuata una versione del ransomware Cerber che presenta differenze comportamentali rispetto alle versioni precedenti. L'individuazione è avvenuta tramite il Microsoft Malware Protection Center, che ha preso in analisi diverse campagne di distribuzione del ransomware Cerber, sia via mail di spam sia via exploit kit. I cambiamenti più importanti sono che non cancella più le Shadow Volume Copies e che non colpisce più tutte le cartelle e file, ma solo alcuni specifici bersagli. Tutt'ora non ci sono soluzioni alle criptazioni di questo ransomware. 


Prende di mira alcune cartelle specifiche...
La nuova versione di Cerber privilegia alcune cartelle rispetto ad altre, nel processo di criptazione. Ecco la lista: 

venerdì 23 dicembre 2016

Proteggere il computer dai ransomware e rendere difficile la vita ai cyber-criminali: 11 consigli

Il 2016 ci lascia una consapevolezza: i ransomware sono qui per restare e la situazione continuerà a peggiorare. Il guadagno ottenuto tramite i ransomware dai cyber-criminali sta assumendo dimensioni sempre più elevate e, guardando un pò l'andamento dei dati, è facile immaginarsi un 2017 costellato di nuovi ransomware e nuove tecniche di infezione. E' sempre più importante non solo avere consapevolezza del problema, ma anche organizzare più livelli di protezione, dalla protezione proattiva fino a sistemi di disaster recovery, passando ovviamente per un solido antivirus. Questo è valido sia per gli utenti home che per le aziende, di qualsiasi dimensione.
Ecco qui alcuni consigli:

1. Assicurati di aver fatto il backup!
Questa accortezza è quella più importante, nonchè l'unico sistema, sicuro al 100% per recuperare i dati una volta che hanno subito la criptazione. La realtà è che se effettui costantemente il backup dei dati, i ransomware più che una minaccia sono solo un fastidio: basterà rimuovere l'infezione, quindi ripristinare i dati da backup. Sfortunatamente non basta aggiungere un hard disk extra al c omputer e eseguire lì il backup dei file. Queesto perchè ormai la maggior parte dei ransomware colpiscono tutti i drive sul pc, inclusi i drive di

giovedì 22 dicembre 2016

DNSChanger sfrutta la vulnerabilità del router per dirottare il traffico web dei dispositivi...


E’ stata individuata una nuova versione di DNSChanger, un malware esistente dal 2012, ma tornato ora ancora più pericoloso. Mentre nella versione precedente mirava ad un solo computer, adesso sfrutta la vulnerabilità dei modem/router di casa dei brand più diffusi per dare accesso ai cyber-criminali al traffico di tutti i dispositivi collegati alla rete locale o al Wi-Fi. La tecnica punta a modificare il sistema di risoluzione degli indirizzi IP
 (DNS ) in modo da poter appunto dirottare il traffico internet dei dispositivi.

Come attacca?

mercoledì 21 dicembre 2016

AiraCrop e Cryptolocker: disponibili tool di decriptazione per alcune versioni


Finalmente, ogni tanto, una buona notizia.
Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: l'ultima versione di Cyrptolocker e il ransomware AiraCrop.

Cryptolocker...
E' una vecchia conoscenza: l'ultima versione, diffusa sopratutto via email di spam, ha la particolarità di criptare ogni singolo file, modificandone l'estensione con sei caratteri random diversi per ogni singolo file.  Siamo in grado di approntare un tool di decriptazione, quindi invitiamo coloro che sono stati vittima di questo a contattarci.

Airacrop....

martedì 20 dicembre 2016

Trojan+ransomware: la nuova minaccia "multitasking" per i dispositivi Android


L'attuale generazione di Trojan bancari per Android ha una caratteristica sempre più comune e diffusa: quella cioè di "portare con sè" anche caratteristiche simili a quelle di un ransomware, ovvero strumenti volti al blocco del dispositivo o, in alcuni casi, alla criptazione dei dati (ma anche entrambe le caratteristiche, in casi per ora rari).

Il fatto che questa tendenza sia in aumento non significa però, si badi bene, che ora i trojan bancari si stanno tramutando in qualcosa di sempre più vicino a un ransomware: rubare credenziali di accesso a conti correnti o dati di carte di credito resta pur sempre la loro funzione principale.
Tuttavia, queste funzioni aggiuntive fanno gola ai truffatori, perchè potrebbero essere ulteriori forme di guadagno.

Ulteriore forma di monetizzazione... 

lunedì 19 dicembre 2016

Trojan e Smartphone Android: quando il trojan è "di serie"



Siamo tutti perfettamente consapevoli del fatto che gli smartphone Android non siano sicuri al 100%.
Che potessero però addirittura contenere malware "di serie" è una novità: eppure Dr Web ha annunciato giusto qualche giorno fa di aver scoperto molti modelli di smartphone Android messi in distribuzione con una serie di malware.

Non è una novità....
Ne avevamo già parlato qui: giusto qualche settimana fa, l'azienda cinese BLU Products finì nell'occhio del ciclone a causa di una backdoor presente nel modello  di smartphone R1 HD.
Il problema stava nel firmware di questo modello, che integrava un sistema di aggiornamento FOTA (Firmware Over The Air) con caratteristiche molto particolari. Il sistema di aggiornamento si comporta allo stesso modo di un qualunque trojan, permettendo agli autori di portare avanti attività di spionaggio attraverso comandi inviati da remoto: tutti gli sms inviati e ricevuti, o il registro delle chiamate, oltre ai dati identificativi del dispositivo (IMSI e IMEI), ai dati sulla geolocalizzazione, alle informazioni sulle applicazioni installate e alle informazioni personali relative al proprietario del telefono vengono spedite ad un server cinese.

Il nuovo caso...

giovedì 15 dicembre 2016

Microsoft lancia un Mega Update per la sicurezza, ma l'installazione non arriva a termine



Il mega update è composto da 12 aggiornamenti, la metà destinata a correggere problemi di vulnerabilità di vario livello di pericolosità.  Le più pericolose riguardano la possibilità di eseguire codici dannosi da remoto: ci sono infatti delle falle nella sicurezza del Sistema Operativo, nei browser IE ed Edge e nei programmi compresi nel pacchetto office.
Gli aggiornamenti più significativi si riferiscono ad una falla nella gestione della grafica e, appunto, ad Internet Explorer e ad Edge: aggiornamenti simili perchè risolvono falle che permettono l'esecuzione di codici da remoto attraverso siti web infetti o allegati ad hoc.

Elenco degli aggiornamenti:

Internet Explorer (MS16-144)
Edge 
(MS16-145)
Office 
(MS16-148)
Del sistema operativo 
(MS16-146)

Il problema dell'istallazione.. 

mercoledì 14 dicembre 2016

La novità del ransomware Popcorn Time:paga il riscatto o infetta altre due vittime


Pochi giorni fa è stato individuato un nuovo ransomware, chiamato Popcorn Time che fornisce alla vittima la chiave privata per la decriptazione in una maniera molto particolare: infatti si può scegliere di pagare il solito riscatto per i propri file  oppure infettare altre due persone ed ottenere la chiave di decodifica gratuitamente. Inoltre se l'utente inserisce la chiave di decriptazione sbagliata per 4 volte il ransomware comincia ad eliminare i file. Questo ransomware non è assolutamente collegato con l'applicazione Popcorn Time per il download e lo streaming dei film coperti da copyright.

Per ottenere la chiave di decodifica basta essere scorretti...

lunedì 12 dicembre 2016

Il Ransomware Petya torna alla ribalta con la nuova versione GoldenEye



Gli autori dei ransomware Petya e Mischa sono ricomparsi sulla scena con un nuovo ransomware, GoldenEye: la filiazione è solo sospetta, ma verosimile, a giudicare delle forti somiglianze tra GoldenEye e Petya-Mischa. GoldenEye pare essere la nuova versione dei due vecchi ransomware, "sconfitti" dopo poche settimane da un decriptatore rilasciato gratuitamente sul web che ne ha violato l'algoritmo di criptazione.

Come viene distribuito?

martedì 6 dicembre 2016

La nuova versione del ransomware Locky si ispira alla mitologia egiziana con l'estensione OSIRIS


Gli sviluppatori del ransomware Locky hanno nuovamente deciso di cambiare l'estensione dei file crittografati, questa volta il nome scelto si allontana dalle divinità nordiche e si ispira alla mitologia egiziana: viene utilizzata adesso,infatti, l'estenzione .osiris.
La nuova campagna di diffusione avviene tramite email di spam contenenti allegati .xsl: questi file Excel contengono le macro per installare e scaricare il ransomware sul computer della vittima.

Locky Osiris viene distribuito tramite false fatture Excel...

lunedì 5 dicembre 2016

Botnet Mirai: nuova versione del malware mette a rischio 200.000 router/modem in Italia


Già qualche tempo fa abbiamo parlato della botnet Mirai, una botnet composta principalmente da dispositivi IoT (per capirsi ogni dispositivo che usiamo nella vita quotidiana, connesso ad internet: dal frigorifero, all'auto, al videoregistratore ecc..). 
La botnet Mirai si espande grazie ad un malware che, infettando i dispositivi, ne assume il controllo inserendoli come nodo della botnet stessa: è stata usata per lanciare vari attacchi DDoS tra i quali, il più pesante, indubbiamente, quello che mise al buio siti importanti quali Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri) .

Recentemente la botnet è stata pure messa in affitto, a disposizione di chi abbia bisogno di una struttura per lanciare attacchi di vario tipo: prezzo e durata dell'affitto variano in base al tipo di attacco che si vuole effettuare.

Una nuova versione del malware Mirai...

venerdì 2 dicembre 2016

[Vulnerabilità] Risolta grave vulnerabilità in Firefox e Tor Browser che "de-anonimizzava" gli utenti Tor


Gli ingegneri di Mozilla hanno rilasciato la patch per un exploit 0-day che è stato usato per "deanonimizzare" gli utenti di Tor Browser.  Gli ingegneri sia di Mozilla sia di Tor Browser sono venuti a conoscenza di questa vulnerabilità dopo che un utente anonimo ha postato online l'exploit code.

"Questo è un exploit Javascript usato ORA contro Tor Browser. Consiste in un file HTML e in un file CSS, entrambi riportati qua sotto e de-oscurati. L'esatta funzionalità è sconosciuta, ma riesce ad ottenere l'accesso a "Virtual Alloc" nel kernel32.dll e da lì parte. Vi prego di sistemare il problema" ha scritto l'utente anonimo.

martedì 29 novembre 2016

Ransomware Mobef: cripta i file in .KEYH0LES e .KEYZ



Trattiamo brevemente Mobef, un ransomware in circolazione già da tempo, ma del quale si è assistito ad un certo aumento del numero di attacchi: è la famiglia di ransomware di cui fa parte il ransomware LOKMANN.KEY993 (o Parisher), di cui abbiamo già trattato perchè ha colpito svariati utenti italiani.

Come si diffonde...
Mobef viene diffuso sopratutto tramite email di spam, contenenti a loro volta allegati dannosi o link a siti web compromessi.La maggior parte delle email erano finte email di mancata consegna di corrieri come DHL o FedEx nella quali l'allegato conterrebbe le informazioni necessarie al recupero del pacco.

lunedì 28 novembre 2016

SOS RECUPERO DATI ACADEMY: STAGE - recupero e sicurezza dei dati- Bassano 21 Novembre

Grazie a tutti i partecipanti e agli amici di Sos Recupero Dati per l'invito e la disponibilità!

In affitto sul web una botnet Mirai da 400.000 device

Due noti hacker stanno offrendo in affitto una botnet di grandi dimensioni che usa i dispositivi della Internet of Things per portare avanti attacchi DDoS.



Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.

In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.

venerdì 25 novembre 2016

Ransomware Cerber: rilasciata la versione 5.0, con alcuni aggiustamenti


E' stata individuata una nuova versione del ransomware Cerber, la 5.0, diffusa tramite l'exploit kit RIG-V.

Come viene diffuso?
Viene diffuso tramite exploit kit RIG-V, il che significa che l'infezione avviene navigando su siti internet dannosi: l'exploit kit è infatti un software che gira sui web server ed ha la funzione di scoprire le vulnerabilità dei software presenti su una macchina, per sfruttarle come vere e proprie "porte di accesso" tramite le quali entrate nel pc ed eseguire azioni di vario genere.

giovedì 24 novembre 2016

Quick Heal Threat's Report terzo trimestre 2016: principali malware per Windows

Ransomware
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.

Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.



mercoledì 23 novembre 2016

Martedì 29 Novembre H.15.00 | SALES WEBINAR Norman Security Portal - Antivirus in cloud


Come annunciato ormai diverso tempo fa,noi di  s-mart, in collaborazione con Mysecurity, distribuiamo in Italia l'antivirus in cloud Norman Security Portal. 

Per farvi conoscere al meglio le opportunità offerte, abbiamo deciso di sfruttare lo strumento del webinar per approfondire gli aspetti commerciali di questo servizio. L'endpoint protection nel cloud di Norman Security Portal infatti non va visto come un classico prodotto antivirus, ma come un vero e proprio servizio di protezione. 

martedì 22 novembre 2016

Locky' Saga: nuova versione che cripta .AESIR in diffusione via email



E' stata individuata una ennesima campagna di diffusione del ransomware Locky, ormai evidentemente il ransomware "di punta" del cyber-crimine: si tratterebbe di una campagna di email di spam che diffonde una nuova versione del ransomware Locky che cripta i file modificandone l'estensione in .AESIR.

La mail di spam...
La mail vettore della nuova versione si spaccia per la mail di reclamo di una società fornitrice di servizi internet: nel testo, con oggetto "Spam Mailout", si indicherebbe che la mail della vittima invii email di spam.  La mail contiene un allegato del tipo logs_[nomedellavittima].zip.
Dentro il file zip si  nasconde un file Javascript che, una volta aperto, scarica e esegue il ransomware Locky.

lunedì 21 novembre 2016

Nemucod e Locky in distribuzione su Facebook

Qualche ora fa è stata individuata una campagna di diffusione del ransomware Locky via Facebook.

La campagna di diffusione…

Alcuni profili face book sono stati violati: da questi viene inviato un messaggio via chat a profili Facebook amici. Il messaggio contiene un file immagine in formato .svg (il che indica che i  filtri per le estensioni di Facebook sono stati bypassati).

venerdì 18 novembre 2016

Ransomware Locky: in distribuzione tramite sito fake per l'aggiornamento di Flash Player



E' stato scoperto un falso sito internet che diffonde il ransomware Locky. 
Riportiamo la notizia perchè è utile ricordare che i ransomware ( e i malware in generale) possono essere diffusi in varie maniere:

-tramite exploit kit, sfruttando le vulnerabilità dei software presenti sulla macchina
-tramite allegati diffusi via email
-tramite siti ingannevoli, come in questo caso.

Questo è il motivo per cui aggiornare i software in uso, saper riconoscere le email di spam e di phishing, navigare solo su siti affidabili/ufficiali sono tre regole essenziali per una esperienza di navigazione online in tutta sicurezza.

Che tipo di sito?
Il sito emula piuttosto verosimilmente il sito web di Adobe attraverso cui, solitamente, vengono distribuiti gli update dei plugin di Flash Player.
In realtà, ad uno sguardo attento della pagina, è possibile notare che l'URL della pagina contiene un errore di ortografia ed è ben diverso dall'URL del sito originale.

L'URL della pagina ufficiale per gli update di Flash Player è https://get.adobe.com/flashplayer/
L'URL della pagina fake è fleshupdate.com

giovedì 17 novembre 2016

Allarme telefoni low-cost, con firmware che ruba i dati degli utenti

Fonte: quick-heal.it
Molti telefoni low-cost in vendita negli Stati Uniti sono dotati di un firmware prodotto da una società cinese che ruba dati e informazioni degli utenti.









Il rapporto qualità-prezzo parla chiaro. Di certo, comprando uno smartphone Android da 60 dollari non ci possiamo aspettare un oggetto di chissà quale valore e durata. Tuttavia, da qui, arrivare a dire che nel modello R1 HD prodotto da BLU Products, c'è una backdoor che trasmette periodicamente le nostre informazioni a un server in Cina, lascia alquanto perplessi.

Colpa del firmware...
Responsabile di ciò è il firmware presente su questo modello, che integra un sistema di aggiornamento FOTA (Firmware Over The Air) con caratteristiche molto particolari.
A fornire tale software è un’azienda, la Shanghai Adups Technology Co.Ltd, che sembra particolarmente interessata ai dati degli utenti che decidono di effettuare l’acquisto del telefono a basso costo.

mercoledì 16 novembre 2016

Venerdì 25 H.10.00| TECHNICAL WEBINAR: Xopero QNAP Appliance e Xopero Backup & Restore

Stiamo organizzando un webinar tecnico su Xopero QNAP Appliance e Xopero Backup&Restore, così da poterne illustrare le funzioni e finalità e poter rispondere alle vostre domande o approfondire specifici aspetti.

 Il webinar si terrà Venerdì 25 Novembre alle ore 10.00  
Che cosa è un webinar?
Un seminario/corso organizzato online su un argomento specifico o più argomenti, tenuto da relatori esperti. 

Perché un  webinar?
Perché è uno strumento molto semplice e a sforzo ridotto, non richiedendo spostamenti fisici, per formarsi o rimanere informati su uno specifico argomento.

Programma

lunedì 14 novembre 2016

Telecrypt: il primo ransomware che comunica sfruttando Telegram

I malware di criptazione si dividono essenzialmente in due gruppi: quelli che necessitano di una connessione internet per completare il processo di criptazione e quelli, invece, che la criptazione la compiono rimanendo offline. E' stato recentemente individuato un nuovo ransomware, ribattezzato TeleCrypt, che rientra nel primo gruppo dei malware, ovvero in quelli che necessitano di connessione per comunicare, in qualche modo, col proprio sviluppatore.

N.B: Sarà utile sapere che questo ransomware, facilmente intercettato dagli antivirus, colpisce quasi esclusivamente utenti russi: ne facciamo quindi una breve trattazione non tanto per la sua pericolosità, quanto perchè è interessante l'utilizzo dell'interfaccia di comunicazione tra server di Telegram.

Perchè TeleCrypt?
Il ransomware è stato così ribattezzato perchè utilizza il protocollo di comunicazione di Telegram per inviare la chiave di decriptazione al proprio sviluppatore.


Che cosa fa?

giovedì 10 novembre 2016

Trojan.Encorder.6491: cripta i file in .enc. Abbiamo la soluzione!


Chi ha subito infezioni da ransomware Trojan.Encoder.6491 invii alla mail alessandro@nwkcloud.com due file criptati e la richiesta di riscatto: la criptazione è infatti risolvibile. Consigliamo a chi è stato colpito dal ransomware di conservare i file criptati.


Estensioni di criptazione:
Trojan.Encoder.6491       .enc
-------------------------------------------------------


Gli specialisti di Dr Web hanno individuato il primo ransomware scritto in .Go, linguaggio di programmazione open source sviluppato da Google.
Il ransomware viene individuato come Trojan.Encorder.6491 e cripta in file modificandone l'estensione in .enc. Stavolta però, esiste una soluzione!

Come cripta i file: 
Una volta lanciato, come prima operazione,  cancella la cartella %APPDATA%\Windows_Update per crearne, al suo posto, una con lo stesso nome. In questa cartella copia se stesso sotto il nome di Windows_Security.exe. Qualora il file Widows_Security.exe fosse già presente, elimina l'originale sostituendosi allo stesso. Esegue quindi una seconda copia di se stesso nella cartella
%TEMP%\\Windows_Security.ex.Il processo di criptazione è lanciato dalla cartella %TEMP%. Cripta quindi i file (vedi sotto) e ne modifica l'estensione in .enc. 

mercoledì 9 novembre 2016

Aggiornamenti e vulnerabilità:prodotti Microsoft, Flash Player e Android


In pochissimi giorni (meno di 5)  molte sono state le case produttrici di software che hanno rilasciato patch: una corsa sempre più veloce, dato che il cyber-crimine sta sempre più sfruttando le vulnerabilità dei software per tentare exploit che ottengano privilegi di amministrazione su una determinata macchina e per eseguire attacchi (che siano ransomware, furti di credenziali,  furto diretto di denaro ecc…). Vulnerabilità scoperte “in laboratorio”, vulnerabilità scoperte in-the-wild (ovvero già sfruttate nella realtà), vulnerabilità zero day…tutte potenziali e reali falle nella vostra sicurezza. Ribadendo la necessità di mantenere sempre aggiornati i propri software (almeno quelli più utilizzati e importanti), ecco un breve prospetto degli update più importanti pubblicati l’8 Novembre:

1) Aggiornamenti prodotti Microsoft
2) Aggiornamento critico per Adobe Flash Player
3) Aggiornamenti per SO Android

lunedì 7 novembre 2016

ANDROID.LOCKSCREEN: blocca il tuo Android e chiede un riscatto per sbloccarlo



E' stata rilevata una nuova versione di Android.Lockscreen, uno dei pochi ransomware che colpisce i dispositivi Android. Il ransomware era già stato rilevato nel 2015, ma ha in seguito subito modifiche per affinare la capacità di ingannare gli utenti ed ampliamenti costanti di funzioni.

Le prime versioni erano facilmente risolvibili in quanto entro l'app si trovava una password codificata utile per lo sblocco del dispositivo: ai ricercatori di sicurezza è bastato decodificare la password per avere la possibilità di sbloccare tutti i dispositivi infetti. Al contrario, le versioni successive invece erano dotate di un algoritmo di generazione di password casuali, diverse quindi di volta in volta per ogni dispositivo infetto, complicando di non poco la vita dei ricercatori.

Come si diffonde

giovedì 3 novembre 2016

Joomla sotto attacco: exploit di massa e centinaia di siti sotto controllo di cyber-crminali



La scorsa settimana Joomla ha rilasciato unaggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto. 

Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili  da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste  vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile. 

E la patch…

mercoledì 2 novembre 2016

Ransomware Alert: rilasciata la versione 4.1.0 del ransomware Cerber



Il ransomware Cerber non è di certo una novità: al contrario è un ransomware che fa dannare  i ricercatori di sicurezza perché, dalla versione 3.0 nessuno è riuscito a trovare una falla del suo algoritmo di cifratura. In sunto non esiste, attualmente, soluzione all’infezione da Cerber.

Pochi giorni fa è stata rilasciata una ulteriore versione, la 4.1.0, che ha la particolarità di mostrare la versione del ransomware di cui si è stati vittima direttamente nel testo dell’immagine che viene mostrata, a fine del processo di criptazione, come sfondo del dektop per Windows.

Come cripta i file?

giovedì 27 ottobre 2016

Mac non inattaccabili come sembrano? Prova Quick Heal Total Security per Mac!

I Mac non sono così invulnerabili come pare. Eppure tuttora continua ad essere largamente diffusa e popolare la credenza secondo cui, in caso di utilizzo di un Mac, non ci dovremmo affatto preoccupare di virus e malware.
Purtroppo per gli utenti Mac, il numero di malware progettati per attaccare webcam e microfoni delle macchine Mac, così da registrare le loro attività senza che ne siano consapevoli, è in costante aumento.
Di conseguenza si rivela necessario mantenere il dispositivo al sicuro da worm, trojan e altri programmi dannosi.

La soluzione? Quick Heal Total Security per il Mac. 


Quick Heal Total security per Mac è un antivirus che, come suggerisce il nome stesso, è creato appositamente per proteggere il vostro Mac. Come altri prodotti di rimozione delle minacce, permette di navigare sicuri, bloccando tutte le mail indesiderate e l’accesso a siti web compromessi e/o di phishing, cosicché non vengano commessi furti delle vostre informazioni personali. Ma c’è molto di più!

Innanzitutto, nel caso si utilizzi il Desktop Parallelo per Mac, è utile sapere che tra le sue caratteristiche principali rientra anche la chiave di prodotto singola. Ciò ti permette di usare la tua chiave di attivazione di Quick Heal Total Security per Mac per attivare anche una copia di Quick Heal Total Security per Windows.

Questo antivrirus, però, non si limita solo alla protezione del tuo dispositivo e alle funzioni appena esposte, si preoccupa anche di proteggere i vostri figli dalle diverse minacce online, vista la presenza di siti sempre più inopportuni e diseducativi. La funzione Parental Control dà la possibilità di controllare, pianificare e gestire l’accesso a Internet dei vostri bambini: potete bloccare l’accesso a determinati siti web, in base alle loro caratteristiche e per categorie, inserendone l’URL in una blacklist.

Per la versione prova di un mese del prodotto, clicca qui

mercoledì 26 ottobre 2016

Locky's Saga: nuova versione del ransomware cripta in .THOR

A meno di due giorni dal rilascio della versione di Locky che cripta i file e ne modifica l’estensione in .shit, ci troviamo di fronte al rilascio di una ulteriore versione. Questa volta le estensioni dei file vengono modificati in .THOR.

Come viene distribuita?
Anche questa versione di Locky viene distribuita tramite una varietà di campagne di spam: le email contengono allegati VDB, JS e altri tipi. Una campagna, intercettata dai collaboratori di Bleeping Computer, ha come oggetto della mail “Budget forecast”  e contiene un allegato denominato
"budget-xls_[serie random di caratteri].zip."


L’archivio .zip allegato contiene in questo caso uno script VBS chiamato A32aD85 xls.vbs

Come cripta i file?

martedì 25 ottobre 2016

Locky's Saga: nuova versione del ransomware cripta in .shit



E’ stata rilasciata un’ulteriore versione del ransomware Locky.
Questo ransomware è tra i più temuti avversari dei ricercatori di sicurezza perché ha un algoritmo di criptazione che, a tutt’oggi, pare inviolabile: le versioni precedenti sono riconoscibili da estensioni quali .odin o .locky o .zepto (qui le "puntate precedenti"della saga di Locky).
La nuova versione, in un eccesso di “simpatia” dei cyber-crminali, cripta in .SHIT.

Come le versioni precedenti, questo ransomware viene installato usando un DLL che viene eseguito tramite Rundll32.exe. Una volta eseguito cripterà tutti i file bersaglio (secondo l'estensione) e ne modificherà l’estensione. Non infetta macchine sulle quali, come lingua in uso, è impostato il russo.




Come si diffonde?

lunedì 24 ottobre 2016

Attacco DDoS mette offline negli Usa siti come Twitter, New York Times, eBay, Netflix e altri

Un attacco clamoroso che rende l’idea della vulnerabilità dei siti occidentali più cliccati.



Per cominciare il contesto.
Un attacco di tipo DDoS (distributed denial  of service) ha colpito l’infrastruttura DNS di Dyn, non una azienda a caso, ma uno dei colossi del web hosting negli Stati Uniti. Il risultato dell’attacco è stato pesantissimo, mostrando nei fatti la debolezza dei grandi colossi occidentali.

Oscurati per due ore circa

L’attacco contro l’infrastruttura di Dyn ha avuto come conseguenza il fatto che centinaia di siti sono finiti offline per circa 120 minuti. Ma non stiamo parlando del blog di cucina o del piccolo portale, ma di siti del calibro di Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri)

giovedì 20 ottobre 2016

Ransomware alert! Exotic cripta anche i file eseguibili

NB: al momento non esistono soluzioni per la decriptazione dei file.

È in diffusione un nuovo malware chiamato Exotic ransomware.

Che tipo di ransomware è questo Exotic Malware?
Si tratta di un ransomware che non presenta caratteristiche molto dissimili o originali rispetto agli altri ransomware ad oggi in circolazione, fatta eccezione per il fatto che  cerca e cripta anche i file eseguibili: si rende così impossibile avviare i programmi il cui eseguibile viene criptato. La buona notizia è che la maggior parte degli eseguibili sono contenuti in cartelle che non sono un bersaglio previsto di questo ransomware: se vi capita però di avere degli eseguibili nella cartella dei Download, ad esempio, in caso di attacco saranno criptati.
Attualmente è in diffusione in modalità di sviluppo, con ben tre differenti versioni messe in diffusione in appena tre giorni. Richiede un riscatto di circa 50 dollari.
Rientra a pieno titolo nella categoria, sempre più numerosa, dei ransomware low-quality (ne abbiamo scritto qui).

Il processo di crittografia di Exotic Ransomware:

martedì 18 ottobre 2016

Ransomware low-quality: perché sono fonte di profitto nonostante bug e errori di programmazione?


Un tempo esistevano ransomware del calibro di  Cyrptolocker, di TeslaCrypt o di CBT Locker.
Ransomware
ben progettati, solidi, efficaci (valutazione, ovviamente, limitata al punto di vista tecnico).

E’ caduto il monopolio di CryptoLocker
Cryptolocker e CBT Locker sono ancora in circolazione, ma non sono più “monopolisti” nel mercato dei ransomware, TeslaCrypt “è stato suicidato” dai suoi stessi programmatori che ne hanno rilasciato pubblicamente la master key per motivi sconosciuti.
Questa situazione ha creato ampi spazi di “movimento” a nuovi, inesperti programmatori di ransomware, che si stanno accapigliando per lanciarsi nella mischia dell’affare RAAS (ransomware as a service): basso sforzo e guadagno garantito.

Il fenomeno dei ransomware open-source
Bisogna anche ricordare che ormai si trovano interi codici, o pezzi di codice, in giro per la rete, non necessariamente solo nel deep web (abbiamo parlato qui della discussione che ha scosso i ricercatori di GitHub riguardo alla funzionedei ransomware didattici) , che permettono anche a programmatori meno esperti di mettere insieme o ottenere il codice di un ransomware.

L’ingegneria sociale

lunedì 17 ottobre 2016

Ransomware alert! In diffusione una nuova versione di DXXD che attacca i server Windows



Il ransomware DXXD  ha colpito vari server e criptato i dati su questi ospitati almeno dalla fine di settembre. Se ne è parlato molto poco per il semplice fatto che, pochissimi giorni dopo il rilascio del ransomware e in conseguenza alle prime infezioni, alcuni ricercatori di sicurezza erano riusciti ad approntare un tool di decriptazione
Da qualche giorno è in circolazione una nuova versione del ransomware che, con alcune modifiche all’ algoritmo di criptazione, rende inefficace il tool di decriptazione.

La buona notizia è che gli stessi ricercatori sono riusciti a creare un nuovo decryptor per questa nuova variante: viene però distribuito privatamente ai soggetti che sono stati vittime del ransomware, così da impedire al programmatore del ransomware stesso di identificare la falla nel metodo di criptazione da lui pensato e prevenire quindi la possibilità che l’algoritmo venga nuovamente modificato (sotto ulteriori info)

venerdì 14 ottobre 2016

Exploit as a Service: perchè exploit kit e ransomware sono ormai coppia fissa

Era il 2013 quando si presentò nel mercato del cyber-crimine una combinazione di strumenti destinata a far sudare freddo varie aziende e enti: l’unione cioè dell’exploit kit BlackHole e del ransomware CryptoLocker.

Poco tempo dopo altri exploit kit fecero il loro debutto sulla scena: i temibili e assai diffusi Angler e Neutrino, i meno conosciuti ma altrettanto pericolosi Magnitude e Sundown.
Ad oggi si può affermare con certezza che circa il 20% dei ransomware viene diffuso via exploit, ma storicamente, gli exploit kit hanno diffuso una vasta gamma di malware differenti e con finalità diverse.

 

La top ten degli exploit

6.000 siti di e-commerce nelle mani di cyber-criminali


Le informazioni riguardanti i sistemi di pagamento online, come ben sappiamo, sono nel mirino dei criminali informatici.

mercoledì 12 ottobre 2016

Aggiornamenti per prodotti Microsoft, Adobe Flash Player e Acrobat Reader


Nella giornata di ieri, 11 ottobre 2016, Microsoft ha emesso alcuni bollettini di sicurezza per alcuni suoi prodotti, e Adobe ha rilasciato aggiornamenti per Flash Player e Acrobat Reader.

martedì 11 ottobre 2016

Ransomware Alert: CryLocker usa Imgur per inviare le informazioni sulle vittime


La maggior parte dei ransomware inviano direttamente le informazioni ai loro server Command&Control (C&C): da qualche tempo però abbiamo assistito alla diffusione di alcuni ransomware che non seguono più “questo protocollo”, ma che, invece, usano altri sistemi per recuperare le informazioni delle vittime.

Una delle ultime famiglie di ransomware, CryLocker (che viene solitamente rilevato come RANSOM_MILICRY.A) ad esempio sfrutta, per questo funzione, il famoso sito di image hosting  gratuito Imgur che permette agli utenti di caricare e condividere online con altri utenti.

E’ questa la prima volta che si osserva  l’uso del formato PNG per raccogliere informazioni relative ad un sistema infetto: questo ransomware cioè invia il file PNG contenete le informazioni sulla vittima in uno specifico album su Imgur, meccanismo che garantisce una più ampia possibilità di evadere all’individuazione di restare nascosto nel sistema.

Imgur è stato informato dell’uso che viene fatto del proprio servizio, ovviamente.
Attualmente si conoscono già circa 8000 casi di infezione, sparsi nel mondo: a meno di cambiamenti, non pare quindi essere in corso una campagna mirata verso alcuni tipi specifici di utenti. 

lunedì 10 ottobre 2016

Steam hacked! Alcuni account violati diffondono trojan

Alcuni utenti hanno segnalato la diffusione di un trojan nella famosa piattaforma di distribuzione digitale Steam: sono stati segnalati diversi account, evidentemente compromessi, dai quali vengono aperte sessioni di chat volte a convincere le potenziali vittime a fare clic su link esterni alla piattaforma. Secondo le segnalazioni, dagli account violati vengono inviati ( a insaputa dell’utente) una serie di messaggi di SPAM come quello visibile nella foto sotto: in questi messaggi si cerca di convincere la vittima a navigare sul sito videomeo.pw e guardare un video.



Quando la vittima apre la pagina, si apre una schermata che avvisa della necessità dell’aggiornamento dei plugin di Flash Player per poter visualizzare il video.

venerdì 7 ottobre 2016

Ransomware Locky: indicazioni per un ripristino parziale dei dati.

Fonte: tradotto e riadattato da bleepingcoomputer.com. Non possiamo garantire la totale efficacia di questi ripristini.


E’ possibile decriptare gratuitamente file criptati da Locky?
Sfortunatamente non è ancora disponibile un tool di decriptazione che rimetta in chiaro i file criptati dal ransomware Locky. Se ne potrà parlare quando qualcuno riuscirà a recuperare sulla chiave di decriptazione dal server Command&Control di Locky. Tenete quindi da parte i file, così da poterli recuperare non appena verrà rilasciato un sistema gratuito di decriptazione.

Mac inattaccabile? Individuati malware che possono rubare audio e video degli utenti


Rispetto a Windows, i computer Apple Mac sono considerati molto più sicuri in quanto sostanzialmente inattaccabili e inviolabili. Semplicemente, però, questa affermazione non è più veritiera: la colpa non è da imputare a Mac OS X, bensì ai cyber-criminali che stanno sempre più affinando le proprie tecniche.

giovedì 6 ottobre 2016

Yahoo! si fa rubare i dati di 500 milioni di account: se hai una mail Yahoo! leggi qui!

A fine Settembre Yahoo! ha annunciato il furto dei dati di 500 milioni di utenti: questo numero deriverebbe dalla somma di due attacchi avvenuti nel 2014 sui quali c’è il forte sospetto ci sia lo zampino di uno Stato, nel dettaglio la Russia. 













E’ stato il Wall Street Journal a rivelare il collegamento tra questo enorme furto di dati e la Russia; nell’Autunno del 2014 i tecnici di Yahoo! individuarono un attacco informatico finalizzato a cercare di ottenere i dati di una 40ina di utenti registrati: immediata fu la denuncia da parte di Yahoo! all’Fbi. Giusto qualche settimana dopo, gli stessi data center furono di nuovo attaccati e furono per l’appunto sottratti i dati di circa 500 milioni di account: impossibile stabilire se la fonte dell’attacco fosse la stessa del primo, ma il sospetto è grande.

La particolarità è che è in corso una trattativa di vendita tra la Ceo di Yahoo!, Marissa Mayer, e Verizon ed è proprio in questo contesto che sta emergendo la verità: Verizon è stata tenuta all’oscuro di questa enorme fuga di dati fino a pochissimi giorni fa. Anche perché negli Stati Uniti, la legislazione sulla privacy è molto meno stringente che in Europa: Yahoo! non era tenuta a comunicare la violazione dei propri data center poichè non sarebbe stato sottratto alcun dato finanziario.

mercoledì 5 ottobre 2016

Un nuovo ransomware open source per Linux divide la comunità di Infosec.

I ricercatori di sicurezza non sono stati in grado di decidere se pubblicare il ransomware open source su GitHub fosse una buona o cattiva idea. 


AGGIORNAMENTO: Zaitsev ha chiesto a Softpedia di rimuovere il progetto da GitHub poco dopo la pubblicazione dell’articolo che potete trovare qua sotto. 

CryptoTooper, un kit open source per la costruzione di un ransomware per Linux ha diviso la comunità Infosec a metà.

 La patata bollente al centro del dibattito è la stessa problematica che circondava i kit di programmazione dei ransomware EDA2 e Hidden Tear per Windows di Utku Sen.  Ovvero: è accettabile e corretto che ricercatori di sicurezza creino “ransomware a scopi didattici” e distribuirli poi su GitHub?

Ransomware alert: rilasciata la nuova versione di Cerber


La scorsa settimana è stata rilasciata una nuova versione del ransomware Cerber che presenta nuove funzionalità.  

lunedì 3 ottobre 2016

Rilasciata la versione 53.0.2785.143 di Google Chrome


È stata rilasciata la versione 53.0.3785.143 di Google Chrome per Windows, OS X e Linux.
Le vulnerabilità risolte da questo aggiornamento possono essere sfruttate per eseguire codici da remoto.

venerdì 30 settembre 2016

Nuovo ransomware LOKMANN.KEY993


In questi giorni è stato segnalato un nuovo ransomware che, anche se non ha ancora un nome, è probabilmente una variante del cryptovirus Mobef, già in circolo da Aprile 2016.

giovedì 29 settembre 2016

Komplex: nuovo trojan per OS X


Si chiama Komplex il  trojan scoperto dai ricercatori di Palo Alto Networks, che colpisce i sistemi OS X di Apple. Komplex viene diffuso attraverso email di phishing, il cui testo contiene un messaggio in cui si promette di  rivelare dettagli sul futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro comparti aerospaziali che utilizzano pc Apple.

Komplex: come agisce? 

Le email di phishing contengono al loro interno un allegato in forma di eseguibile: il .exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di 17 pagine scritto in russo (“rosokosmos_2015-2025.pdf”).


Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di dropper, che a sua volta installa un terzo componente eseguibile (“/Users/Shared/.local/kextd”), oltre ad un file plist (“/Users/Shared/com.apple.updates.plist”) ed uno script (“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.

Il malware esegue poi alcuni controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una sandbox: uno di questi controlli, tramite  l’invio di una richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col server C&C.

In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.

Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.