Famiglia CryptoMix: ennesima variante modifica l'estensione dei file criptati in .tastylock.

Continuiamo la lunga rassegna sull'attivissima famiglia di ransomware Cryptomix. Dopo 3 settimane di silenzio ecco l'ennesima nuova versione in distribuzione (dell'ultima versione abbiamo parlato qui). E' stata individuata da Michael Gillespie, che ne scrive su Bleeping Computer una piccola analisi tecnica.

Come già successo per altre versioni, l'impianto base di questo ransomware non ha subito variazioni nel meccanismo di criptazione. Cambiano solo l'estensione aggiunta ai file criptati e le email di contatto. 

Le novità di questa variante

Abbattuta la botnet Satori: ma il problema della sicurezza dei dispositivi IoT si fa incalzante.

Qualche tempo fa abbiamo parlato di Satori, una botnet trovata attiva su oltre 280.000 IP diversi: origina da Satori una variante del già arcinoto malware DDoS Mirai (ne avevamo parlato qui). Il malware Satori-Mirai infettava i router Huawei, sui quali l'attaccante (o gli attaccanti) aveva individuato una vulnerabilità zero day. Ora però il problema è stato risolto.

Come funzionava Satori

Satori, individuato ai primi di Dicembre, usava una tecnica molto simile a quella usata da Mirai per attaccare i router: il malware eseguiva uno scanning sulle porte 37215 e 52869, afflitte  da due diverse vulnerabilità.

La prima, che agisce sulla porta 37215, è la famosa zero-day (CVE-2017-17215) che colpisce i router Huawei. La seconda, che agisce sulla porta 52869, è invece ben nota agli esperti di sicurezza ed è un bug (nel dettaglio CVE-2014-8361) dei dispositivi Realteck SDK e D-Link. Tramite queste vulnerabilità Satori prendeva possesso del dispositivo e lo rendeva nodo della botnet. Oltre a ciò cominciava immediatamente a cercare altri bersagli vulnerabili per attaccarli. A questo si deve l'ampia estensione della botnet. 

Problema risolto!

WordPress sotto assedio: invaso dai Miner di criptovaluta

Giusto ieri scrivevamo un articolo riguardo al fatto che i cyber-criminali sempre più spesso rinunciano alla diffusione dei ransomware per cercare forme più facili e redditizie. E per l'appunto vari gruppi stanno optando per i miner di criptovaluta.

Ecco, abbiamo una ulteriore conferma di questo trend, che probabilmente ci accompagnerà per tutto il 2018. La settimana scorsa infatti WordPress è stato bersagliato da una serie di attacchi a tappeto: una vera e propria campagna che ha colpito oltre 200.000 siti all'ora. I ricercatori di Wordfence, che hanno individuato la catena di attacchi e stanno cercando di arginarla, parlano della "più imponente operazione degli ultimi 5 anni".

Come funziona l'attacco?

Quando i cyber-criminali passano dai ransomware ai miner di criptovaluta

Il gruppo di cyber-criminali dietro a VenusLocker, un ransomware che non ha nei fatti mietuto numerose vittime, ha deciso di concentrarsi sulla distribuzione di Miner per Monero.

Questo switch non è per nulla una sorpresa: il prezzo dei Monero è passato dai 132 dollari del 21 di Novembre ai 457 di oggi, 21 Dicembre. Nei mesi scorsi questo cambio è stato registrato numerose volte: Zealot, Hexmen, Loapi e l'ondata di attacchi di brute-force che ha sconquassato Wordpress, sono tutti nuovi tentativi di guadagno messi in atto da cyber-criminali che trovano adesso più conveniente darsi al mining di criptovaluta che seguire il lungo e complicato processo di diffusione-infezione-richiesta del riscatto-pagamento che sta alla base dei profitti garantiti dai ransomware.  Una tendenza già notata e in crescita (come abbiamo scritto qui e qui).

La rivalutazione continua delle criptovalute, in minor misura Ethereum, ma sicuramente impressionate se invece ci riferiamo al Bitcoin, è attualmente lo stimolo principale che ci fa affermare che è piuttosto verosimile aspettarsi un 2018 flagellato dai miner, per disgrazia delle CPU dei nostri PC e delle bollette elettriche.

I metadati collegano la crew di VenusLocker con l'attuale campagne

Tre malware hanno bersagliato i server MSSQL e MySQL per tutto l'anno.

Un attaccante cinese ( ma più probabilmente un gruppo) ha bersagliato i database MSSQL e MySQL su sistemi Windows e Linux per tutto l'anno, distribuendo tre diversi malware, uno per server, secondo diverse finalità. 

Il gruppo (o il singolo attaccante, non è un dato noto) ha iniziato la propria attività all'inizio dell'anno e detiene una infrastruttura "tentacolare" apposita per scansionare host vulnerabili, lanciare attacchi e gestire i malware. Questa vasta infrastruttura e l'uso di malware diversi hanno aiutato il gruppo a rimanere nascosto per tutto questo tempo: i vari incidenti causati dai loro attacchi infatti sono rimasti non collegati tra loro per la maggior parte dell'anno. 

I tre (nuovi) malware

3 diverse campagne approfittano delle shopping natalizio per diffondere malware.

Sono in diffusione tre malware diversi: GratefulPOS, Emotet e Zeus Panda. Sono ben 3 diverse campagne di diffusione, chiaramente pensate per approfittare del periodo dello shopping natalizio. Se GratefulPOS sembra essere un nuovo tipo di malware, gli altri due, Emotet e Zeus Panda, sono invece vecchie conoscenze: le versioni in diffusione hanno solo subito piccole modifiche.

GratefulPOS

E' un malware che colpisce i sistemi POS (Point of Sale): le prime analisi del suo codice sembrano confermare che si tratta di un malware composto dal codice di svariate famiglie di altri malware, sopratutto FrameworkPOS, TRINITY, BlackPOS e BrickPOS.

Individuato per la prima volta a metà Novembre, questo malware è pensato per essere eseguito su reti

Scoperta .WORK, una nuova variante della famiglia di ransomware CryptoMix

Bleeping Computer ha individuato qualche giorno fa una nuova variante della famiglia di Ransomware CryptoMix. La nuova versione aggiunge l'estensione .WORK  ai file criptati: sono cambiate ancora le email di contatto indicate dal ransomware alle vittime per il pagamento del riscatto. Nell'articolo illustriamo i cambiamenti di questa nuova variante. 

Le novità

Il metodo di criptazione rimane lo stesso della versione precedente, ma con delle lievi differenze.

GDPR: regolamento europeo per la Privacy. Cosa dice, come ci stiamo attrezzando per aiutarvi.

Il 25  Maggio 2018 è il termine ultimo per l'adeguamento al Codice Europeo per la Privacy.Questo regolamento sulla privacy comporta diverse e importanti novità in ambito di sicurezza dei dati, distaccandosi non poco dalla regolamentazione attuale. Sarà necessario quindi dotarsi di strumenti e protocolli in grado di poter intervenire dinamicamente sul trattamento dei dati in tempo reale. 

Ci occupiamo da oltre 20 anni di privacy, abbiamo studiato il GDPR e vogliamo mettere a vostra disposizione non solo la nostra conoscenza (in forma di consulenza e formazione), ma anche strumenti

La botnet BrickerBot si ritira dopo aver raggiunto 10 milioni di dispositivi

L'autore di BrickerBot va in pensione e lo annuncia tramite una email a Bleeping Computer. Nel corso del progetto da lui chiamato "Internet Chemotherapy", iniziato nel Novembre 2016, ha infettato circa 10 milioni di dispositivi IoT. 

Cos'è BrickerBot

Individuato per la prima volta soltanto nell'Aprile 2017, BrickerBot ( ne abbiamo già parlato qui) è un malware creato per infettare i dispositivi IoT facendoli diventare nodi di una botnet. Opera scansionando Internet per individuare eventuali dispositivi vulnerabili, quindi usa un codice exploit per guadagnare un punto di accesso nei dispositivi vulnerabili per sovrascrivere il flash storage dei dispositivi con dati random. I dispositivi infettati spesso devono essere reinstallati o in certi casi rimpiazzati perché il malware riscrive il loro firmware.

Perchè BrickerBot?

Trovato un keylogger preinstallato nei notebook HP

HP ha rilasciato un update per i driver di centinaia di diverso modelli di notebook per rimuovere del codice di debug che un attaccante potrebbe usare come componente keylogger. 

Cos'è

Il componente in questione è il file SynTP.sys, contenuto nel driver Synaptics Touchpad integrato nei notebook HP. La funzione è disattivata per impostazione predefinita, ma può essere attivata semplicemente modificando il valore di una voce di registro.

La chiave di registro è

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.

I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa.

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:

Ransomware Shadow: la nuova versione della famiglia BTCWare

E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

Google impedirà ai software di terze parti l'injection code in Chrome.

Google nella giornata di ieri, con un post sul blog Chromium, ha annunciato alcune novità importanti per gli utenti del browser Chrome. Dalla metà del prossimo anno, in maniera tale da migliorare le prestazioni e ridurre i crash causati dal software delle terze parti su Windows,  non sarà più consentito alle app di terze parti di iniettare codice all'interno di Chrome. Le "prime vittime" di questa modifica saranno proprio gli antivirus e altri software di sicurezza, i quali spesso eseguono l'injection code nei processi del browser per intercettare e scansire malware, pagine di phishing e altri rischi. 

Gravi Falle nelle CPU Intel : 900 modelli di PC di diversi produttori a rischio

L'azienda Intel in questi giorni si è trovata a far fronte ad un grave problema legato alla sicurezza di funzioni e componenti dei suoi processori e che coinvolge e mette a rischio attacco informatico una gran quantità di computer e milioni di utenti. Le vulnerabilità sono state individuate all'interno di alcuni componenti firmware come Intel Management Engine, Server Platform Services e Trusted Execution Engine sebbene la più grave riguardi Intel ME. Il primo allarme lo ha dato Intel stessa, pubblicando un alert riguardante alcune vulnerabilità che potete leggere qui.

I rischi alla sicurezza del computer:

Queste vulnerabilità potrebbero consentire ad un pirata informatico

• l’installazione sul computer della vittima di rootkit  
• buffer overflow a livello del kernel, 
• malfunzionamenti e crash e tutta una serie di altri processi  che potrebbero favorire l'attività criminale di qualsiasi attaccante.

L'annuncio di Intel

Il ransomware Scarab distribuito con una massiva campagna di spam.

Il ransomware Scarab (ne abbiamo parlato qui, ricordiamo che la versione 1.0 è risolvibile ), è stato individuato per la prima volta a Giugno: ora è in diffusione attraverso milioni di email di spam lanciate dalla botnet Necurs, la più grossa botnet per l'email spamming. La campagna è cominciata alle prime ore del mattino di ieri.

Necurs sta diffondendo milioni di email di spam
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab. 

Condivisione sicura dei documenti? Noi vi proponiamo AWDoc!

Qualunque azienda, indipendentemente dal settore in cui opera, dalle dimensioni e dalla collocazione geografica, ha fra le sue principali necessità quella di adottare sistemi in grado di assicurare la totale protezione delle informazioni sensibili, utilizzate e condivise ai fini dello svolgimento delle attività quotidiane.  Una questione di buon senso a protezione della confidenzialità dei dati aziendali e di quelli che riguardano i clienti. Ma ormai anche una questione legale, dato il 25 Maggio 2018 rappresenta la data ultima, la death line, per l’adeguamento al GDPR- il General Data Protection Regulation (Regolamento UE 2016/679).

Quali necessità per le aziende dell’era IT?

Ennesima ondata di app compromesse sbarca nel Play Store di Google: arrivano i malware multi-stage

Un'altra ondata di app dannose si è infiltrata nell'app store ufficiale di Android. Il malware BKY infatti è stato riscontrato in 8 diverse app sul Google Play: le 8 app sono già state segnalate a Google. Nessuna delle app in questione ha ottenuto più di un centinaio di download, ma riteniamo utile parlarne perchè il problema delle app dannose che superano i controlli preventivi di Google Play è diventato ormai allarmante. 

Qualche tempo fa infatti due falsi WhatsApp sul Google Play hanno registrato più di 1 milione di download, comportando l'infezione degli utenti, un numero impressionante di dati rubati ecc...(ne avevamo già parlato qui). Google sta cercando costantemente di migliorare i meccanismi di sicurezza, ma i cyber-criminali stanno implementando tecniche anti-individuazione sempre più raffinate. 

Qui l'elenco delle 8 app compromesse

Nuova variante della famiglia Cryptomix : arriva 0000

Qualche giorno fa, l'ennesima variante della famiglia di  ransomware CryptoMix è stata scoperta:  questa versione aggiunge  l'estensione .0000  ai nomi dei file criptati.  Si tratta, ricordiamo ancora una volta, di una  delle famiglie di ransomware più attive. Sono infatti molte le varianti diffuse nello spazio di pochi mesi, solo quest'ultima si va ad aggiungere alle due nuove varianti  rilasciate nella settimana scorsa. In questo articolo indicheremo le variazioni rispetto alle versioni precedenti della stessa famiglia di ransomware. 

1. La nota di riscatto

Il meccanismo di criptazione non ha subito modifiche. La nota di riscatto  non è cambiata ed è ancora denominata   _HELP_INSTRUCTION.TXT, ma sono state cambiate le email che le vittime devono contattare per ricevere le istruzioni di pagamento del riscatto.  Ecco le nuove email:

•  xzzx@tuta.io;
•  xzzx1@protonmail.com;
•  xzzx10@yandex.com;
•  xzzx101@yandex.com
  

Un (grave) bug di sicurezza nell'Editor per le Equazioni di Office consente l'esecuzione di codice dannoso senza interazione dell'utente

Microsoft office ha risolto due giorni fa una gravissima falla nella sicurezza di Microsoft Office: una vulnerabilità sfruttabile che consentirebbe ad un attaccante di eseguire codice dannoso senza nessuna interazione dell'utente. La vulnerabilità in questione, CVE-2017-11882, è stata risolta nell'update November 2017 Patch Tuesday.

La vulnerabilità si trova nel vecchio  Equation Editor.

Individuata dal gruppo di ricerca Embedi, la vulnerabilità riguarda il Microsoft Equation Editor (EQNEDT32.EXE), uno degli eseguibili che vengono installati sul computer degli utenti con la suite di Office. Questo strumento, come indica il nome, consente agli utenti di integrare equazioni matematiche nei documenti Office in forma di oggetto OLE dinamico. Embedi ha scoperto che Microsoft usa ancora la versione di EQNEDT32.EXE compilata nel 2000: esegue cioè un codice molto molto vecchio che si basa su librerie decisamente datate e che è privo di ogni più recente funzione di sicurezza aggiunta ai sistemi operativi Windows.

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX

In questi giorni,  è stata scoperta la diffusione di una ulteriore variante della famiglia di  ransomware CryptoMix:  questa nuova variante va ad aggiungere l'estensione .XZZX ai nomi del file criptati. La famiglia CryptoMix  si dimostra ancora una volta tra le più attive con l'ennesima variante distribuita nell'arco di poche settimane. Le principali differenze di questa nuova versione del ransomware rispetto alle precedenti riguardano nuovamente le email di contatto per ricevere le istruzioni di pagamento e l'estensione di criptazione aggiunta. Il  metodo di criptazione è rimasto  invece sostanzialmente invariato.

1. La nota di riscatto

La nota di riscatto ha nuovamente il nome  _HELP_INSTRUCTION.TXT  ma adesso,  per contattare le vittime per le istruzioni di pagamento, utilizza le seguenti email :

•  xzzx@tuta.io;
•  xzzx1@protonmail.com;
•  xzzx10@yandex.com;
•  xzzx101@yandex.com
  

Nuova campagna di diffusione del ransomware Locky, nella variante .asasin

Due giorni fa è stata individuata una nuova ondata di attacchi con il ransomware Locky, nel dettaglio la variante .asasin. La campagna è ancora in corso. 

Come viene distribuito?
Questa ondata è la solita ondata di mail di spam contenenti un allegato Office Word, non solo però per Microsoft Office ma anche per altri software simili come Libre Office. I documenti contengono l'immagine di una busta e recano un messaggio che invita l'utente a fare doppio click sull'immagine per sbloccare il contenuto del documento. 

RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis

Finalmente, ogni tanto, una buona notizia. Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: la versione .crysis del ransomware Crysis e la versione XTBL del ransomware Troldesh.

Chiunque sia rimasto vittima di questi ransomware può scrivere all'email alessandro@nwkcloud.com inviandoci due file criptati assieme alla richiesta di riscatto. Ulteriori informazioni qui
Alcune informazioni base per riconoscerli:

1. RANSOMWARE TROLDESH .XTBL
A. Email di contatto collegate:

GIBON: nuovo ransomware distribuito via email di spam [risolvibile]

E' notizia di questi ultimi giorni, la scoperta di un nuovo ransomware a scopo di lucro fraudolento, chiamato GIBON. Questo ransomware si distribuisce tramite email di spam con un documento dannoso in allegato: questo documento contiene una macro che è responsabile del download  e dell'installazione del ransomware  sul computer.

Perchè è chiamato GIBON?

Esistono diversi modi per denominare un ransomware quando questo viene scoperto. A volte sono  i ricercatori che, per denominarlo, utilizzano  le stringhe trovate negli eseguibili. Altre volte è invece il malware stesso a  dare le  indicazioni su come andrà  chiamato. Nel caso in questione, il virus è denominato GIBON per  due ragioni : la prima  è la   stringa  ''user agent Gibon'' che è utilizzata quando il virus comunica con il server di comando e controllo.

Falsi WhatsApp su Google Play fanno più di 1 milione di download.

Google Play sta facendo enormi sforzi per migliorare tutti i meccanismi di sicurezza e vigilanza per la verifica della genuinità delle app che ospita. Il problema è che Google Play è l'app store online più visitato e usato al mondo e questo spiega come mai sia costantentemente nei pensieri dei cyber-criminali, che studiano ogni maniera per aggirare i controlli e mettere in download app dannose/compromesse/manomesse. 

La maggior parte delle volte si tratta di app assolutamente secondarie, che sfruttano la loro posizione "di minor interesse" sperando di passare inosservate (e ci riescono solo per un breve periodo di tempo): in questo caso però il colpaccio è di quelli che fa notizia. 

I falsi Whatsapp
Il 3 Novembre, su Reddit, viene denunciata la presenza, nel Google Play, di una app clone di

La crescita del malware super-invisibili grazie alla firma digitale

Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all'acquisto, nel dark web, con un prezzo fino a 1.200 dollari. 

Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di

Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing

Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 

Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche

Il ransomware Matrix di nuovo in diffusione via exploit kit.

Qualche tempo fa abbiamo parlato del ransomware Matrix: individuato già a partire dal 2016, ma assolutamente minoritario nel panorama delle minacce online. Dopo un lungo periodo di attività sotto traccia, ricompare ad Aprile 2017 con una caratteristica molto particolare: la capacità di diffondersi come un worm (qui più info). La diffusione resta assolutamente secondaria, fino quasi a condannarlo alla scomparsa. Ora è tornato alla carica.

Come si diffonde?
La vecchia versione si diffondeva sfruttando l'exploit kit RIG diffuso via EITest: quella attualmente in distribuzione riconferma l'uso dell'exploit kit RIG_EK. 

Invasione dei miner di cripto-valuta. Ora anche per Android.

I più assidui frequentatori di siti per lo streaming online avranno notato strani rallentamenti del sistema operativo, oppure ancora l'aumento improvviso della temperatura del PC e del lavoro della ventola.. E' in corso una vera e propria epidemia di miner: più si amplia la rete di scambio di moneta virtuale più operazioni si devono svolgere, maggiore è la necessità di potere di calcolo (vedi qui per saperne di più). 

I miners in Javascript
L'ultima "moda" è quella di distribuire miner in-browser in JavaScript , una tendenza iniziata ormai a Settembre e che ora sta diventando seriamente preoccupante avendo raggiunto anche app ufficiali nel Google Play Store, ma anche distribuzioni di massa attraverso botnet di siti Wordpress hackerati. Tra questi Coinhive continua ad essere il più pericoloso, perché il più scelto dai cyber-truffatori. 

Anche Bad Rabbit usa exploit rubati all'NSA: implementa ETERNALROMANCE

Due giorni dopo l'attacco ransomware di Bad Rabbit, che ha duramente colpito Russia e Ucraina (ma registrato vittime anche in Germania, Turchia, Stati Uniti ecc..), i ricercatori di sicurezza hanno scoperto altri dettagli riguardo al funzionamento del malware. Inizialmente si era infatti convinti che il meccanismo di diffusione del ransomware dalla vittima iniziale ai computer nella stessa rete passasse dal tentativo di accedere via protocollo SMB usando una serie di credenziali: una nuova ricerca (Cisco Talos e F-Secure) rivela che invece Bad Rabbit ha usato una versione modificata di un exploit dell'NSA per migliorare il processo di diffusione.

Non c'è due senza tre.

E' la terza volta, sono quest'anno, che l'attacco di un ransomware raggiunge livelli di diffusione mondiale sfruttando cyber-armi approntate dall'NSA e pubblicate online dopo l'attacco del gruppo Shadow Brokers che le ha sottratte dall'NSA stessa (per approfondire vedi qui e qui). 

Il trojan bancario LokiBot diventa un ransomware quando si prova a rimuoverlo.

E' stato individuato un trojan bancario per Android, rinominato LokiBot che si trasforma in un ransomware e blocca lo smartphone quando si prova a rimuoverlo con i privilegi di amministrazione. Il malware è più trojan bancario che ransomware. LockyBot funziona mostrando false schermate di login nelle finestre delle app più popolari: cerca di rubare le credenziali delle app per il banking online, ma mira anche a Skype, Outlook e Whatsapp.

N.B: L'infezione E' RISOLVIBILE: vedi in fondo all'articolo. 

In vendita nel web

LokiBot è un in vendita nel web, in alcuni forum di hacking. Il prezzo è di 2000 dollari circa da pagarsi, ovviamente, in Bitcoin. 

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell'est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le "vittime eccellenti" l'aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l'Italia riteniamo utile parlarne per l'inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia. 

Come si diffonde?

Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione

Arriva Xopero 2.0: tutte le migliorie del backup di seconda generazione.

Siamo felici di annunciare a tutti i nostri rivenditori importanti novità riguardanti i backup di Xopero.

Il backup in Locale cresce e migliora, con nuove funzioni, sistema di reporting migliorato, maggior sicurezza e ripristino semplificato. 

Oltre a ciò, il vendor polacco, specializzato in soluzioni di backup e disaster recovery in cloud, ha annunciato anche l’istituzione di un vero e proprio Partner Program, dedicato sia ai reseller che ai Managed Service Provider (MSP).  L’obiettivo primario è quello di supportare i partner nella crescita del business in cloud e di mantenere la fidelizzazione del cliente finale, con un programma naturalmente diviso in diverse livelli.

Vediamo tutte le migliorie e le proposte nel dettaglio:

Trojan Proton: attacco ai Mac in corso per rubare le informazioni

I server di Eltima, sviluppatore di un software multimediale molto apprezzato dagli utenti MAC come Elmedia Player, sono stati violati. Gli attaccanti sono riusciti a sostituire l'installer originale con una versione che include il trojan Proton.

Trojan Proton: che cosa è?

Il trojan Proton è un malware appositamente pensato per i computer che eseguono sistemi operativi MAC: una volta installato consente agli attaccanti di rubare un gran numero di informazioni dal dispositivo bersaglio. Nel dettaglio Proton punta alle informazioni di sistema:

Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.

Magniber è un nuovo ransomware che viene distribuito attraverso l'exploit kit Magnitude: secondo Bleeping Computer Magniber è il successore di Cerber. Se, infatti, alcuni aspetti di Magniber sono differenti da Cerber, il sistema di pagamento e la modalità di criptazione sono molto simili. 

Il malware è stato individuato da Michael Gillespie su segnalazione di un utente colpito: pochi giorni dopo altri ricercatori scoprivano che l'exploit kit Magnitude, che è stato fino ad ora il distributore di Cerber, aveva cominciato a distribuire un nuovo ransomware (al tempo colpiva specificatamente utenti Sud Coreani).

Leggi anche: Exploit kit as a Service: perchè Ransomware e Exploit kit sono ormai coppia fissa

E' dalla fusione di Magnitude con Cerber che nasce Magniber. Secondo Bleeping Computer vi sono buone possibilità perché il ransomware sia risolvibile: ad oggi, ovviamente, non lo è ancora.

Come si diffonde?

Il Malware Necurs si potenzia: ruba schermate dai PC infetti e invia report sui propri malfunzionamenti

Le famiglie di malware evolvono ormai su basi quotidiane, ma alcuni update catturano l'attenzione più di altri. Necurs ha appena subito uno di questi aggiornamenti "interessanti". Una precisazione: col nome Necurs si indicano sia una variante di malware che la botnet di computer infetti che il malware ha generato. 

Il malware Necurs è un downloader ed ha solo 3 funzioni principali:

• ottenere la persistenza in avvio sul PC infetto;
• raccogliere la telemetria sugli host infetti;
• scaricare e installare, in un secondo momento, payload.
  

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili

Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

Nuovo ransomware della famiglia CryptoMix: arriva .x1881

Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto

La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware

Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

Famiglia ransomware BTCware: individuata una nuova versione, Payday.

E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam

È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.

La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme

Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.

FormBook: il malware impiegato in una nuova campagna di furto dati

Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.

Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.

Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo

Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni. 

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti

In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.

In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO

Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.

La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?

Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.

Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable",  questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.

Retefe: il terzo trojan bancario a supportare l'exploit EternalBlue

EternalBlue è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya. 

Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è  stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui). 

La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe. 

Retefe e EternaBlue

Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare

CCleaner: 1.646.536 computer colpiti dall'attacco malware. Formattare è la soluzione?

Le stime iniziali circa l’attacco che ha utilizzato CCleaner per diffondere il trojan Floxif (per approfondire) erano fin troppo positive. L’attacco che ha colpito gli utenti che hanno scaricato CCleaner  tra Agosto e  Settembre sembra molto più grave del previsto. Il malware diffuso dai cyber criminali ha infatti infettato 1,646,536 computer.

Scoperto il primo malware di Android che sfrutta la vulnerabilità Dirty COW

ZNIU è il nome del primo malware Android in-the-wild che usa la vulnerabilità Dirty COW per infettare gli utenti. Dirty COW è una vulnerabilità di escalazione dei privilegi nel kernel di Linux che è venuta alla luce l’anno scorso, nell’Ottobre 2016. La vulnerabilità consente ad un attaccante di elevare il privilegio del codice di attacco al livello "root" e di eseguire operazioni dannose.

Il bug Dirty COW è stato presente nel kernel di Linux per nove anni, fin dal 2007. Al tempo della scoperta, Dirty COW era una 0-day che venne utilizzata contro i server Linux. Una patch fu rilasciata immediatamente.