martedì 27 dicembre 2016

Ransomware Cerber: nuova versione in diffusione in almeno diverse campagne nel mondo


E' stata individuata una versione del ransomware Cerber che presenta differenze comportamentali rispetto alle versioni precedenti. L'individuazione è avvenuta tramite il Microsoft Malware Protection Center, che ha preso in analisi diverse campagne di distribuzione del ransomware Cerber, sia via mail di spam sia via exploit kit. I cambiamenti più importanti sono che non cancella più le Shadow Volume Copies e che non colpisce più tutte le cartelle e file, ma solo alcuni specifici bersagli. Tutt'ora non ci sono soluzioni alle criptazioni di questo ransomware. 


Prende di mira alcune cartelle specifiche...
La nuova versione di Cerber privilegia alcune cartelle rispetto ad altre, nel processo di criptazione. Ecco la lista: 

venerdì 23 dicembre 2016

Proteggere il computer dai ransomware e rendere difficile la vita ai cyber-criminali: 11 consigli

Il 2016 ci lascia una consapevolezza: i ransomware sono qui per restare e la situazione continuerà a peggiorare. Il guadagno ottenuto tramite i ransomware dai cyber-criminali sta assumendo dimensioni sempre più elevate e, guardando un pò l'andamento dei dati, è facile immaginarsi un 2017 costellato di nuovi ransomware e nuove tecniche di infezione. E' sempre più importante non solo avere consapevolezza del problema, ma anche organizzare più livelli di protezione, dalla protezione proattiva fino a sistemi di disaster recovery, passando ovviamente per un solido antivirus. Questo è valido sia per gli utenti home che per le aziende, di qualsiasi dimensione.
Ecco qui alcuni consigli:

1. Assicurati di aver fatto il backup!
Questa accortezza è quella più importante, nonchè l'unico sistema, sicuro al 100% per recuperare i dati una volta che hanno subito la criptazione. La realtà è che se effettui costantemente il backup dei dati, i ransomware più che una minaccia sono solo un fastidio: basterà rimuovere l'infezione, quindi ripristinare i dati da backup. Sfortunatamente non basta aggiungere un hard disk extra al c omputer e eseguire lì il backup dei file. Queesto perchè ormai la maggior parte dei ransomware colpiscono tutti i drive sul pc, inclusi i drive di

giovedì 22 dicembre 2016

DNSChanger sfrutta la vulnerabilità del router per dirottare il traffico web dei dispositivi...


E’ stata individuata una nuova versione di DNSChanger, un malware esistente dal 2012, ma tornato ora ancora più pericoloso. Mentre nella versione precedente mirava ad un solo computer, adesso sfrutta la vulnerabilità dei modem/router di casa dei brand più diffusi per dare accesso ai cyber-criminali al traffico di tutti i dispositivi collegati alla rete locale o al Wi-Fi. La tecnica punta a modificare il sistema di risoluzione degli indirizzi IP
 (DNS ) in modo da poter appunto dirottare il traffico internet dei dispositivi.

Come attacca?

mercoledì 21 dicembre 2016

AiraCrop e Cryptolocker: disponibili tool di decriptazione per alcune versioni


Finalmente, ogni tanto, una buona notizia.
Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: l'ultima versione di Cyrptolocker e il ransomware AiraCrop.

Cryptolocker...
E' una vecchia conoscenza: l'ultima versione, diffusa sopratutto via email di spam, ha la particolarità di criptare ogni singolo file, modificandone l'estensione con sei caratteri random diversi per ogni singolo file.  Siamo in grado di approntare un tool di decriptazione, quindi invitiamo coloro che sono stati vittima di questo a contattarci.

Airacrop....

martedì 20 dicembre 2016

Trojan+ransomware: la nuova minaccia "multitasking" per i dispositivi Android


L'attuale generazione di Trojan bancari per Android ha una caratteristica sempre più comune e diffusa: quella cioè di "portare con sè" anche caratteristiche simili a quelle di un ransomware, ovvero strumenti volti al blocco del dispositivo o, in alcuni casi, alla criptazione dei dati (ma anche entrambe le caratteristiche, in casi per ora rari).

Il fatto che questa tendenza sia in aumento non significa però, si badi bene, che ora i trojan bancari si stanno tramutando in qualcosa di sempre più vicino a un ransomware: rubare credenziali di accesso a conti correnti o dati di carte di credito resta pur sempre la loro funzione principale.
Tuttavia, queste funzioni aggiuntive fanno gola ai truffatori, perchè potrebbero essere ulteriori forme di guadagno.

Ulteriore forma di monetizzazione... 

lunedì 19 dicembre 2016

Trojan e Smartphone Android: quando il trojan è "di serie"



Siamo tutti perfettamente consapevoli del fatto che gli smartphone Android non siano sicuri al 100%.
Che potessero però addirittura contenere malware "di serie" è una novità: eppure Dr Web ha annunciato giusto qualche giorno fa di aver scoperto molti modelli di smartphone Android messi in distribuzione con una serie di malware.

Non è una novità....
Ne avevamo già parlato qui: giusto qualche settimana fa, l'azienda cinese BLU Products finì nell'occhio del ciclone a causa di una backdoor presente nel modello  di smartphone R1 HD.
Il problema stava nel firmware di questo modello, che integrava un sistema di aggiornamento FOTA (Firmware Over The Air) con caratteristiche molto particolari. Il sistema di aggiornamento si comporta allo stesso modo di un qualunque trojan, permettendo agli autori di portare avanti attività di spionaggio attraverso comandi inviati da remoto: tutti gli sms inviati e ricevuti, o il registro delle chiamate, oltre ai dati identificativi del dispositivo (IMSI e IMEI), ai dati sulla geolocalizzazione, alle informazioni sulle applicazioni installate e alle informazioni personali relative al proprietario del telefono vengono spedite ad un server cinese.

Il nuovo caso...

giovedì 15 dicembre 2016

Microsoft lancia un Mega Update per la sicurezza, ma l'installazione non arriva a termine



Il mega update è composto da 12 aggiornamenti, la metà destinata a correggere problemi di vulnerabilità di vario livello di pericolosità.  Le più pericolose riguardano la possibilità di eseguire codici dannosi da remoto: ci sono infatti delle falle nella sicurezza del Sistema Operativo, nei browser IE ed Edge e nei programmi compresi nel pacchetto office.
Gli aggiornamenti più significativi si riferiscono ad una falla nella gestione della grafica e, appunto, ad Internet Explorer e ad Edge: aggiornamenti simili perchè risolvono falle che permettono l'esecuzione di codici da remoto attraverso siti web infetti o allegati ad hoc.

Elenco degli aggiornamenti:

Internet Explorer (MS16-144)
Edge 
(MS16-145)
Office 
(MS16-148)
Del sistema operativo 
(MS16-146)

Il problema dell'istallazione.. 

mercoledì 14 dicembre 2016

La novità del ransomware Popcorn Time:paga il riscatto o infetta altre due vittime


Pochi giorni fa è stato individuato un nuovo ransomware, chiamato Popcorn Time che fornisce alla vittima la chiave privata per la decriptazione in una maniera molto particolare: infatti si può scegliere di pagare il solito riscatto per i propri file  oppure infettare altre due persone ed ottenere la chiave di decodifica gratuitamente. Inoltre se l'utente inserisce la chiave di decriptazione sbagliata per 4 volte il ransomware comincia ad eliminare i file. Questo ransomware non è assolutamente collegato con l'applicazione Popcorn Time per il download e lo streaming dei film coperti da copyright.

Per ottenere la chiave di decodifica basta essere scorretti...

lunedì 12 dicembre 2016

Il Ransomware Petya torna alla ribalta con la nuova versione GoldenEye



Gli autori dei ransomware Petya e Mischa sono ricomparsi sulla scena con un nuovo ransomware, GoldenEye: la filiazione è solo sospetta, ma verosimile, a giudicare delle forti somiglianze tra GoldenEye e Petya-Mischa. GoldenEye pare essere la nuova versione dei due vecchi ransomware, "sconfitti" dopo poche settimane da un decriptatore rilasciato gratuitamente sul web che ne ha violato l'algoritmo di criptazione.

Come viene distribuito?

martedì 6 dicembre 2016

La nuova versione del ransomware Locky si ispira alla mitologia egiziana con l'estensione OSIRIS


Gli sviluppatori del ransomware Locky hanno nuovamente deciso di cambiare l'estensione dei file crittografati, questa volta il nome scelto si allontana dalle divinità nordiche e si ispira alla mitologia egiziana: viene utilizzata adesso,infatti, l'estenzione .osiris.
La nuova campagna di diffusione avviene tramite email di spam contenenti allegati .xsl: questi file Excel contengono le macro per installare e scaricare il ransomware sul computer della vittima.

Locky Osiris viene distribuito tramite false fatture Excel...

lunedì 5 dicembre 2016

Botnet Mirai: nuova versione del malware mette a rischio 200.000 router/modem in Italia


Già qualche tempo fa abbiamo parlato della botnet Mirai, una botnet composta principalmente da dispositivi IoT (per capirsi ogni dispositivo che usiamo nella vita quotidiana, connesso ad internet: dal frigorifero, all'auto, al videoregistratore ecc..). 
La botnet Mirai si espande grazie ad un malware che, infettando i dispositivi, ne assume il controllo inserendoli come nodo della botnet stessa: è stata usata per lanciare vari attacchi DDoS tra i quali, il più pesante, indubbiamente, quello che mise al buio siti importanti quali Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri) .

Recentemente la botnet è stata pure messa in affitto, a disposizione di chi abbia bisogno di una struttura per lanciare attacchi di vario tipo: prezzo e durata dell'affitto variano in base al tipo di attacco che si vuole effettuare.

Una nuova versione del malware Mirai...

venerdì 2 dicembre 2016

[Vulnerabilità] Risolta grave vulnerabilità in Firefox e Tor Browser che "de-anonimizzava" gli utenti Tor


Gli ingegneri di Mozilla hanno rilasciato la patch per un exploit 0-day che è stato usato per "deanonimizzare" gli utenti di Tor Browser.  Gli ingegneri sia di Mozilla sia di Tor Browser sono venuti a conoscenza di questa vulnerabilità dopo che un utente anonimo ha postato online l'exploit code.

"Questo è un exploit Javascript usato ORA contro Tor Browser. Consiste in un file HTML e in un file CSS, entrambi riportati qua sotto e de-oscurati. L'esatta funzionalità è sconosciuta, ma riesce ad ottenere l'accesso a "Virtual Alloc" nel kernel32.dll e da lì parte. Vi prego di sistemare il problema" ha scritto l'utente anonimo.