martedì 29 novembre 2016
Ransomware Mobef: cripta i file in .KEYH0LES e .KEYZ
Trattiamo brevemente Mobef, un ransomware in circolazione già da tempo, ma del quale si è assistito ad un certo aumento del numero di attacchi: è la famiglia di ransomware di cui fa parte il ransomware LOKMANN.KEY993 (o Parisher), di cui abbiamo già trattato perchè ha colpito svariati utenti italiani.
Come si diffonde...
Mobef viene diffuso sopratutto tramite email di spam, contenenti a loro volta allegati dannosi o link a siti web compromessi.La maggior parte delle email erano finte email di mancata consegna di corrieri come DHL o FedEx nella quali l'allegato conterrebbe le informazioni necessarie al recupero del pacco.
lunedì 28 novembre 2016
SOS RECUPERO DATI ACADEMY: STAGE - recupero e sicurezza dei dati- Bassano 21 Novembre
Grazie a tutti i partecipanti e agli amici di Sos Recupero Dati per l'invito e la disponibilità!
In affitto sul web una botnet Mirai da 400.000 device
Due noti hacker stanno offrendo in affitto una botnet di grandi dimensioni che usa i dispositivi della Internet of Things per portare avanti attacchi DDoS.
Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.
In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.
Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.
In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.
venerdì 25 novembre 2016
Ransomware Cerber: rilasciata la versione 5.0, con alcuni aggiustamenti
E' stata individuata una nuova versione del ransomware Cerber, la 5.0, diffusa tramite l'exploit kit RIG-V.
Come viene diffuso?
Viene diffuso tramite exploit kit RIG-V, il che significa che l'infezione avviene navigando su siti internet dannosi: l'exploit kit è infatti un software che gira sui web server ed ha la funzione di scoprire le vulnerabilità dei software presenti su una macchina, per sfruttarle come vere e proprie "porte di accesso" tramite le quali entrate nel pc ed eseguire azioni di vario genere.
giovedì 24 novembre 2016
Quick Heal Threat's Report terzo trimestre 2016: principali malware per Windows
Ransomware
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.
Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.
Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.
mercoledì 23 novembre 2016
Martedì 29 Novembre H.15.00 | SALES WEBINAR Norman Security Portal - Antivirus in cloud
Come annunciato ormai diverso tempo fa,noi di s-mart, in collaborazione con Mysecurity, distribuiamo in Italia l'antivirus in cloud Norman Security Portal.
Per farvi conoscere al meglio le opportunità offerte, abbiamo deciso di sfruttare lo strumento del webinar per approfondire gli aspetti commerciali di questo servizio. L'endpoint protection nel cloud di Norman Security Portal infatti non va visto come un classico prodotto antivirus, ma come un vero e proprio servizio di protezione.
martedì 22 novembre 2016
Locky' Saga: nuova versione che cripta .AESIR in diffusione via email
E' stata individuata una ennesima campagna di diffusione del ransomware Locky, ormai evidentemente il ransomware "di punta" del cyber-crimine: si tratterebbe di una campagna di email di spam che diffonde una nuova versione del ransomware Locky che cripta i file modificandone l'estensione in .AESIR.
La mail di spam...
La mail vettore della nuova versione si spaccia per la mail di reclamo di una società fornitrice di servizi internet: nel testo, con oggetto "Spam Mailout", si indicherebbe che la mail della vittima invii email di spam. La mail contiene un allegato del tipo logs_[nomedellavittima].zip.
Dentro il file zip si nasconde un file Javascript che, una volta aperto, scarica e esegue il ransomware Locky.
lunedì 21 novembre 2016
Nemucod e Locky in distribuzione su Facebook
Qualche ora fa è stata individuata una campagna di diffusione del ransomware Locky via Facebook.
La campagna di diffusione…
La campagna di diffusione…
Alcuni profili face book sono stati violati: da questi viene inviato un messaggio via chat a profili Facebook amici. Il messaggio contiene un file immagine in formato .svg (il che indica che i filtri per le estensioni di Facebook sono stati bypassati).
venerdì 18 novembre 2016
Ransomware Locky: in distribuzione tramite sito fake per l'aggiornamento di Flash Player
E' stato scoperto un falso sito internet che diffonde il ransomware Locky.
Riportiamo la notizia perchè è utile ricordare che i ransomware ( e i malware in generale) possono essere diffusi in varie maniere:
-tramite exploit kit, sfruttando le vulnerabilità dei software presenti sulla macchina
-tramite allegati diffusi via email
-tramite siti ingannevoli, come in questo caso.
Questo è il motivo per cui aggiornare i software in uso, saper riconoscere le email di spam e di phishing, navigare solo su siti affidabili/ufficiali sono tre regole essenziali per una esperienza di navigazione online in tutta sicurezza.
Che tipo di sito?
Il sito emula piuttosto verosimilmente il sito web di Adobe attraverso cui, solitamente, vengono distribuiti gli update dei plugin di Flash Player.
In realtà, ad uno sguardo attento della pagina, è possibile notare che l'URL della pagina contiene un errore di ortografia ed è ben diverso dall'URL del sito originale.
L'URL della pagina ufficiale per gli update di Flash Player è https://get.adobe.com/flashplayer/
L'URL della pagina fake è fleshupdate.com
giovedì 17 novembre 2016
Allarme telefoni low-cost, con firmware che ruba i dati degli utenti
Fonte: quick-heal.it
Molti telefoni low-cost in vendita negli Stati Uniti sono dotati di un firmware prodotto da una società cinese che ruba dati e informazioni degli utenti.
Molti telefoni low-cost in vendita negli Stati Uniti sono dotati di un firmware prodotto da una società cinese che ruba dati e informazioni degli utenti.
Il rapporto qualità-prezzo parla chiaro. Di certo, comprando uno smartphone Android da 60 dollari non ci possiamo aspettare un oggetto di chissà quale valore e durata. Tuttavia, da qui, arrivare a dire che nel modello R1 HD prodotto da BLU Products, c'è una backdoor che trasmette periodicamente le nostre informazioni a un server in Cina, lascia alquanto perplessi.
Colpa del firmware...
Responsabile di ciò è il firmware presente su questo modello, che integra un sistema di aggiornamento FOTA (Firmware Over The Air) con caratteristiche molto particolari.
A fornire tale software è un’azienda, la Shanghai Adups Technology Co.Ltd, che sembra particolarmente interessata ai dati degli utenti che decidono di effettuare l’acquisto del telefono a basso costo.
mercoledì 16 novembre 2016
Venerdì 25 H.10.00| TECHNICAL WEBINAR: Xopero QNAP Appliance e Xopero Backup & Restore
Stiamo organizzando un webinar tecnico su Xopero QNAP Appliance e Xopero Backup&Restore, così da poterne illustrare le funzioni e finalità e poter rispondere alle vostre domande o approfondire specifici aspetti.
Il webinar si terrà Venerdì 25 Novembre alle ore 10.00
Che cosa è un webinar?
Un seminario/corso organizzato online su un argomento specifico o più argomenti, tenuto da relatori esperti.
Perché un webinar?
Perché è uno strumento molto semplice e a sforzo ridotto, non richiedendo spostamenti fisici, per formarsi o rimanere informati su uno specifico argomento.
lunedì 14 novembre 2016
Telecrypt: il primo ransomware che comunica sfruttando Telegram
I malware di criptazione si dividono essenzialmente in due gruppi: quelli che necessitano di una connessione internet per completare il processo di criptazione e quelli, invece, che la criptazione la compiono rimanendo offline. E' stato recentemente individuato un nuovo ransomware, ribattezzato TeleCrypt, che rientra nel primo gruppo dei malware, ovvero in quelli che necessitano di connessione per comunicare, in qualche modo, col proprio sviluppatore.
N.B: Sarà utile sapere che questo ransomware, facilmente intercettato dagli antivirus, colpisce quasi esclusivamente utenti russi: ne facciamo quindi una breve trattazione non tanto per la sua pericolosità, quanto perchè è interessante l'utilizzo dell'interfaccia di comunicazione tra server di Telegram.
Perchè TeleCrypt?
Il ransomware è stato così ribattezzato perchè utilizza il protocollo di comunicazione di Telegram per inviare la chiave di decriptazione al proprio sviluppatore.
Che cosa fa?
N.B: Sarà utile sapere che questo ransomware, facilmente intercettato dagli antivirus, colpisce quasi esclusivamente utenti russi: ne facciamo quindi una breve trattazione non tanto per la sua pericolosità, quanto perchè è interessante l'utilizzo dell'interfaccia di comunicazione tra server di Telegram.
Perchè TeleCrypt?
Il ransomware è stato così ribattezzato perchè utilizza il protocollo di comunicazione di Telegram per inviare la chiave di decriptazione al proprio sviluppatore.
Che cosa fa?
giovedì 10 novembre 2016
Trojan.Encorder.6491: cripta i file in .enc. Abbiamo la soluzione!
Chi ha subito infezioni da ransomware Trojan.Encoder.6491 invii alla mail alessandro@nwkcloud.com due file criptati e la richiesta di riscatto: la criptazione è infatti risolvibile. Consigliamo a chi è stato colpito dal ransomware di conservare i file criptati.
Estensioni di criptazione:
Trojan.Encoder.6491 .enc
-------------------------------------------------------
Gli specialisti di Dr Web hanno individuato il primo ransomware scritto in .Go, linguaggio di programmazione open source sviluppato da Google.
Il ransomware viene individuato come Trojan.Encorder.6491 e cripta in file modificandone l'estensione in .enc. Stavolta però, esiste una soluzione!
Come cripta i file:
Una volta lanciato, come prima operazione, cancella la cartella %APPDATA%\Windows_Update per crearne, al suo posto, una con lo stesso nome. In questa cartella copia se stesso sotto il nome di Windows_Security.exe. Qualora il file Widows_Security.exe fosse già presente, elimina l'originale sostituendosi allo stesso. Esegue quindi una seconda copia di se stesso nella cartella
%TEMP%\\Windows_Security.ex.Il processo di criptazione è lanciato dalla cartella %TEMP%. Cripta quindi i file (vedi sotto) e ne modifica l'estensione in .enc.
mercoledì 9 novembre 2016
Aggiornamenti e vulnerabilità:prodotti Microsoft, Flash Player e Android
1) Aggiornamenti prodotti Microsoft
2) Aggiornamento critico per Adobe Flash Player
3) Aggiornamenti per SO Android
lunedì 7 novembre 2016
ANDROID.LOCKSCREEN: blocca il tuo Android e chiede un riscatto per sbloccarlo
E' stata rilevata una nuova versione di Android.Lockscreen, uno dei pochi ransomware che colpisce i dispositivi Android. Il ransomware era già stato rilevato nel 2015, ma ha in seguito subito modifiche per affinare la capacità di ingannare gli utenti ed ampliamenti costanti di funzioni.
Le prime versioni erano facilmente risolvibili in quanto entro l'app si trovava una password codificata utile per lo sblocco del dispositivo: ai ricercatori di sicurezza è bastato decodificare la password per avere la possibilità di sbloccare tutti i dispositivi infetti. Al contrario, le versioni successive invece erano dotate di un algoritmo di generazione di password casuali, diverse quindi di volta in volta per ogni dispositivo infetto, complicando di non poco la vita dei ricercatori.
Come si diffonde
giovedì 3 novembre 2016
Joomla sotto attacco: exploit di massa e centinaia di siti sotto controllo di cyber-crminali
La scorsa settimana Joomla ha rilasciato unaggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto.
Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile.
E la patch…
mercoledì 2 novembre 2016
Ransomware Alert: rilasciata la versione 4.1.0 del ransomware Cerber
Il ransomware Cerber non è di certo una novità: al contrario è un ransomware che fa dannare i ricercatori di sicurezza perché, dalla versione 3.0 nessuno è riuscito a trovare una falla del suo algoritmo di cifratura. In sunto non esiste, attualmente, soluzione all’infezione da Cerber.
Pochi giorni fa è stata rilasciata una ulteriore versione, la 4.1.0, che ha la particolarità di mostrare la versione del ransomware di cui si è stati vittima direttamente nel testo dell’immagine che viene mostrata, a fine del processo di criptazione, come sfondo del dektop per Windows.
Come cripta i file?
Iscriviti a:
Post (Atom)