martedì 29 novembre 2016

Ransomware Mobef: cripta i file in .KEYH0LES e .KEYZ



Trattiamo brevemente Mobef, un ransomware in circolazione già da tempo, ma del quale si è assistito ad un certo aumento del numero di attacchi: è la famiglia di ransomware di cui fa parte il ransomware LOKMANN.KEY993 (o Parisher), di cui abbiamo già trattato perchè ha colpito svariati utenti italiani.

Come si diffonde...
Mobef viene diffuso sopratutto tramite email di spam, contenenti a loro volta allegati dannosi o link a siti web compromessi.La maggior parte delle email erano finte email di mancata consegna di corrieri come DHL o FedEx nella quali l'allegato conterrebbe le informazioni necessarie al recupero del pacco.

lunedì 28 novembre 2016

SOS RECUPERO DATI ACADEMY: STAGE - recupero e sicurezza dei dati- Bassano 21 Novembre

Grazie a tutti i partecipanti e agli amici di Sos Recupero Dati per l'invito e la disponibilità!

In affitto sul web una botnet Mirai da 400.000 device

Due noti hacker stanno offrendo in affitto una botnet di grandi dimensioni che usa i dispositivi della Internet of Things per portare avanti attacchi DDoS.



Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.

In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.

venerdì 25 novembre 2016

Ransomware Cerber: rilasciata la versione 5.0, con alcuni aggiustamenti


E' stata individuata una nuova versione del ransomware Cerber, la 5.0, diffusa tramite l'exploit kit RIG-V.

Come viene diffuso?
Viene diffuso tramite exploit kit RIG-V, il che significa che l'infezione avviene navigando su siti internet dannosi: l'exploit kit è infatti un software che gira sui web server ed ha la funzione di scoprire le vulnerabilità dei software presenti su una macchina, per sfruttarle come vere e proprie "porte di accesso" tramite le quali entrate nel pc ed eseguire azioni di vario genere.

giovedì 24 novembre 2016

Quick Heal Threat's Report terzo trimestre 2016: principali malware per Windows

Ransomware
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.

Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.



mercoledì 23 novembre 2016

Martedì 29 Novembre H.15.00 | SALES WEBINAR Norman Security Portal - Antivirus in cloud


Come annunciato ormai diverso tempo fa,noi di  s-mart, in collaborazione con Mysecurity, distribuiamo in Italia l'antivirus in cloud Norman Security Portal. 

Per farvi conoscere al meglio le opportunità offerte, abbiamo deciso di sfruttare lo strumento del webinar per approfondire gli aspetti commerciali di questo servizio. L'endpoint protection nel cloud di Norman Security Portal infatti non va visto come un classico prodotto antivirus, ma come un vero e proprio servizio di protezione. 

martedì 22 novembre 2016

Locky' Saga: nuova versione che cripta .AESIR in diffusione via email



E' stata individuata una ennesima campagna di diffusione del ransomware Locky, ormai evidentemente il ransomware "di punta" del cyber-crimine: si tratterebbe di una campagna di email di spam che diffonde una nuova versione del ransomware Locky che cripta i file modificandone l'estensione in .AESIR.

La mail di spam...
La mail vettore della nuova versione si spaccia per la mail di reclamo di una società fornitrice di servizi internet: nel testo, con oggetto "Spam Mailout", si indicherebbe che la mail della vittima invii email di spam.  La mail contiene un allegato del tipo logs_[nomedellavittima].zip.
Dentro il file zip si  nasconde un file Javascript che, una volta aperto, scarica e esegue il ransomware Locky.

lunedì 21 novembre 2016

Nemucod e Locky in distribuzione su Facebook

Qualche ora fa è stata individuata una campagna di diffusione del ransomware Locky via Facebook.

La campagna di diffusione…

Alcuni profili face book sono stati violati: da questi viene inviato un messaggio via chat a profili Facebook amici. Il messaggio contiene un file immagine in formato .svg (il che indica che i  filtri per le estensioni di Facebook sono stati bypassati).

venerdì 18 novembre 2016

Ransomware Locky: in distribuzione tramite sito fake per l'aggiornamento di Flash Player



E' stato scoperto un falso sito internet che diffonde il ransomware Locky. 
Riportiamo la notizia perchè è utile ricordare che i ransomware ( e i malware in generale) possono essere diffusi in varie maniere:

-tramite exploit kit, sfruttando le vulnerabilità dei software presenti sulla macchina
-tramite allegati diffusi via email
-tramite siti ingannevoli, come in questo caso.

Questo è il motivo per cui aggiornare i software in uso, saper riconoscere le email di spam e di phishing, navigare solo su siti affidabili/ufficiali sono tre regole essenziali per una esperienza di navigazione online in tutta sicurezza.

Che tipo di sito?
Il sito emula piuttosto verosimilmente il sito web di Adobe attraverso cui, solitamente, vengono distribuiti gli update dei plugin di Flash Player.
In realtà, ad uno sguardo attento della pagina, è possibile notare che l'URL della pagina contiene un errore di ortografia ed è ben diverso dall'URL del sito originale.

L'URL della pagina ufficiale per gli update di Flash Player è https://get.adobe.com/flashplayer/
L'URL della pagina fake è fleshupdate.com

giovedì 17 novembre 2016

Allarme telefoni low-cost, con firmware che ruba i dati degli utenti

Fonte: quick-heal.it
Molti telefoni low-cost in vendita negli Stati Uniti sono dotati di un firmware prodotto da una società cinese che ruba dati e informazioni degli utenti.









Il rapporto qualità-prezzo parla chiaro. Di certo, comprando uno smartphone Android da 60 dollari non ci possiamo aspettare un oggetto di chissà quale valore e durata. Tuttavia, da qui, arrivare a dire che nel modello R1 HD prodotto da BLU Products, c'è una backdoor che trasmette periodicamente le nostre informazioni a un server in Cina, lascia alquanto perplessi.

Colpa del firmware...
Responsabile di ciò è il firmware presente su questo modello, che integra un sistema di aggiornamento FOTA (Firmware Over The Air) con caratteristiche molto particolari.
A fornire tale software è un’azienda, la Shanghai Adups Technology Co.Ltd, che sembra particolarmente interessata ai dati degli utenti che decidono di effettuare l’acquisto del telefono a basso costo.

mercoledì 16 novembre 2016

Venerdì 25 H.10.00| TECHNICAL WEBINAR: Xopero QNAP Appliance e Xopero Backup & Restore

Stiamo organizzando un webinar tecnico su Xopero QNAP Appliance e Xopero Backup&Restore, così da poterne illustrare le funzioni e finalità e poter rispondere alle vostre domande o approfondire specifici aspetti.

 Il webinar si terrà Venerdì 25 Novembre alle ore 10.00  
Che cosa è un webinar?
Un seminario/corso organizzato online su un argomento specifico o più argomenti, tenuto da relatori esperti. 

Perché un  webinar?
Perché è uno strumento molto semplice e a sforzo ridotto, non richiedendo spostamenti fisici, per formarsi o rimanere informati su uno specifico argomento.

Programma

lunedì 14 novembre 2016

Telecrypt: il primo ransomware che comunica sfruttando Telegram

I malware di criptazione si dividono essenzialmente in due gruppi: quelli che necessitano di una connessione internet per completare il processo di criptazione e quelli, invece, che la criptazione la compiono rimanendo offline. E' stato recentemente individuato un nuovo ransomware, ribattezzato TeleCrypt, che rientra nel primo gruppo dei malware, ovvero in quelli che necessitano di connessione per comunicare, in qualche modo, col proprio sviluppatore.

N.B: Sarà utile sapere che questo ransomware, facilmente intercettato dagli antivirus, colpisce quasi esclusivamente utenti russi: ne facciamo quindi una breve trattazione non tanto per la sua pericolosità, quanto perchè è interessante l'utilizzo dell'interfaccia di comunicazione tra server di Telegram.

Perchè TeleCrypt?
Il ransomware è stato così ribattezzato perchè utilizza il protocollo di comunicazione di Telegram per inviare la chiave di decriptazione al proprio sviluppatore.


Che cosa fa?

giovedì 10 novembre 2016

Trojan.Encorder.6491: cripta i file in .enc. Abbiamo la soluzione!


Chi ha subito infezioni da ransomware Trojan.Encoder.6491 invii alla mail alessandro@nwkcloud.com due file criptati e la richiesta di riscatto: la criptazione è infatti risolvibile. Consigliamo a chi è stato colpito dal ransomware di conservare i file criptati.


Estensioni di criptazione:
Trojan.Encoder.6491       .enc
-------------------------------------------------------


Gli specialisti di Dr Web hanno individuato il primo ransomware scritto in .Go, linguaggio di programmazione open source sviluppato da Google.
Il ransomware viene individuato come Trojan.Encorder.6491 e cripta in file modificandone l'estensione in .enc. Stavolta però, esiste una soluzione!

Come cripta i file: 
Una volta lanciato, come prima operazione,  cancella la cartella %APPDATA%\Windows_Update per crearne, al suo posto, una con lo stesso nome. In questa cartella copia se stesso sotto il nome di Windows_Security.exe. Qualora il file Widows_Security.exe fosse già presente, elimina l'originale sostituendosi allo stesso. Esegue quindi una seconda copia di se stesso nella cartella
%TEMP%\\Windows_Security.ex.Il processo di criptazione è lanciato dalla cartella %TEMP%. Cripta quindi i file (vedi sotto) e ne modifica l'estensione in .enc. 

mercoledì 9 novembre 2016

Aggiornamenti e vulnerabilità:prodotti Microsoft, Flash Player e Android


In pochissimi giorni (meno di 5)  molte sono state le case produttrici di software che hanno rilasciato patch: una corsa sempre più veloce, dato che il cyber-crimine sta sempre più sfruttando le vulnerabilità dei software per tentare exploit che ottengano privilegi di amministrazione su una determinata macchina e per eseguire attacchi (che siano ransomware, furti di credenziali,  furto diretto di denaro ecc…). Vulnerabilità scoperte “in laboratorio”, vulnerabilità scoperte in-the-wild (ovvero già sfruttate nella realtà), vulnerabilità zero day…tutte potenziali e reali falle nella vostra sicurezza. Ribadendo la necessità di mantenere sempre aggiornati i propri software (almeno quelli più utilizzati e importanti), ecco un breve prospetto degli update più importanti pubblicati l’8 Novembre:

1) Aggiornamenti prodotti Microsoft
2) Aggiornamento critico per Adobe Flash Player
3) Aggiornamenti per SO Android

lunedì 7 novembre 2016

ANDROID.LOCKSCREEN: blocca il tuo Android e chiede un riscatto per sbloccarlo



E' stata rilevata una nuova versione di Android.Lockscreen, uno dei pochi ransomware che colpisce i dispositivi Android. Il ransomware era già stato rilevato nel 2015, ma ha in seguito subito modifiche per affinare la capacità di ingannare gli utenti ed ampliamenti costanti di funzioni.

Le prime versioni erano facilmente risolvibili in quanto entro l'app si trovava una password codificata utile per lo sblocco del dispositivo: ai ricercatori di sicurezza è bastato decodificare la password per avere la possibilità di sbloccare tutti i dispositivi infetti. Al contrario, le versioni successive invece erano dotate di un algoritmo di generazione di password casuali, diverse quindi di volta in volta per ogni dispositivo infetto, complicando di non poco la vita dei ricercatori.

Come si diffonde

giovedì 3 novembre 2016

Joomla sotto attacco: exploit di massa e centinaia di siti sotto controllo di cyber-crminali



La scorsa settimana Joomla ha rilasciato unaggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto. 

Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili  da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste  vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile. 

E la patch…

mercoledì 2 novembre 2016

Ransomware Alert: rilasciata la versione 4.1.0 del ransomware Cerber



Il ransomware Cerber non è di certo una novità: al contrario è un ransomware che fa dannare  i ricercatori di sicurezza perché, dalla versione 3.0 nessuno è riuscito a trovare una falla del suo algoritmo di cifratura. In sunto non esiste, attualmente, soluzione all’infezione da Cerber.

Pochi giorni fa è stata rilasciata una ulteriore versione, la 4.1.0, che ha la particolarità di mostrare la versione del ransomware di cui si è stati vittima direttamente nel testo dell’immagine che viene mostrata, a fine del processo di criptazione, come sfondo del dektop per Windows.

Come cripta i file?