venerdì 27 gennaio 2017

Il ransomware per Android CHARGER diffuso su Play Store


Google ha rimosso due giorni fa una app dannosa dal suo Play Store: l'app si chiama Energy Rescue e veniva presentata come un app di utilità funzionale al risparmio dell'energia della batteria degli smartphone Android.  In realtà l'app non ha nessuna utilità rispetto alla carica della batteria: al contrario lo scopo è di ricattare lo sfortunato utente che la installa sul proprio smartphone Android.

Che cosa fa Energy Rescue?
L'app ruba i messaggi SMS e la rubrica. Questi dati vengono poi trasferiti in un server sotto controllo dei cyber-criminali. Eseguite queste operazioni, l'app installa il ransomware: il risultato è il blocco del dispositivo e la visualizzione della nota di riscatto per ottenere lo sblocco.

Questo il testo del riscatto (visualizzato in inglese, qui tradotto)

giovedì 26 gennaio 2017

Linux Alert: il trojan che trasforma le macchine Linux in proxy per diffondere traffico DANNOSO



Alcuni ricercatori di sicurezza hanno individuato un nuovo trojan che colpisce i dispositivi Linux: questo trojan ha la capacità di trasformare le macchine infette in server proxy e trasmettere traffico dannoso, nascondendo quindi la vera origine dell'attacco e altre attività pericolose.
Il trojan si chiama Linux.Proxy.10 ed è stato individuato dai ricercatori di Dr Web in questi giorni: ha già infettato migliaia di dispositivi, a giudicare dalle liste trovate sul server ad esso collegato.

Qualche specifica...
Questo trojan non include nessuna caratteristica utile a infettare o compromettere dispositivi. Pare che gli operatori che gestiscono il trojan usino, per infettare i dispositivi, un altro trojan: la funzione di questo secondo trojan è quella di aprire una backdoor, creando un utente denominato "mother", con una password "fucker".

martedì 24 gennaio 2017

La minaccia si diffonde: Spora ransomware diventa globale !


Quello che tutti temevamo sta accadendo : SPORA ransomware (di cui abbiamo parlato qui) ha iniziato a diffondersi in nuovi territori al di fuori degli ex stati sovietici. Come avevamo già riportato Spora Ransomware è apparso la prima settimana di gennaio di questo anno e la sua prima versione era caratterizzata da una richiesta di riscatto scritta solo in russo: fatto che stava a significare che in quel momento gli unici obiettivi erano gli utenti russi.

Questa intuizione è stata confermata dai fatti: per i primi giorni gli unici ad essere infettati sono stati proprio gli utenti russi. Questa tendenza è proseguita per tutta la settimana , ad eccezione di qualche sporadico attacco ai vicini come il Kazakistan, la Bielorussia ed altri , ma il maggior numero di infezioni sono state rilevate sempre sul territorio russo.

lunedì 23 gennaio 2017

Porta aperta? Chiudila! Ragebot attacca la porta 5900 e infetta i pc tramite un worm


Abbiamo parlato, giusto qualche giorno fa, di Al Namrood (vedi qui l'articolo) un ransomware del quale è in diffusione la versione 2.0 in Italia: come detto questo ransomware non si diffonde coi classici sistemi, ovvero email di spam con allegati dannosi o via exploit kit. Al contrario attacca i server via desktop remoto, con un brute- force attack contro la porta RDP di default, la porta 3389.

In questi giorni è in diffusione non un ransomware, ma un trojan che usa lo stesso meccanismo di attacco: Ragebot.

Come si diffonde?
Il trojan Ragebot non è nuovo, è stato però migliorato e affinato e messo in distribuzione"in the wild" in una nuova versione: è stato modificato il meccanismo di diffusione, cioè questa versione sfrutta, per diffondersi sui PC Windows, un worm.

venerdì 20 gennaio 2017

Cryptolocker: risolvibile l'ultima versione

Annunciamo che siamo in grado di decriptare l'ultima versione del temibile ransomware Cryptolocker. Questa versione è riconoscibile dal fatto che cripta i file, rendendoli illeggibili, e ne modifica l'estensione con una estensione di 6 caratteri random, diversa da file a file.
Un esempio nella foto sottostante

AGGIORNAMENTO (24/01/2017):
la versione in diffusione presenta due diverse varianti. Dal punto di vista "esteriore" (modifica estensione dei file, richiesta di riscatto...) non ci sono differenze: la differenza è tecnica.
Ulteriori informazioni in fondo all'articolo.



giovedì 19 gennaio 2017

Una nuova famiglia di ransomware avanzatissima : Spora!


Questa settimana è stata individuata una nuova famiglia di ransomware: si chiama Spora, la traduzione dal russo di "spore". Le  caratteristiche più importanti di questo nuovo ransomware sono una complessa routine per la crittografia, la capacità di lavorare offline e un sito per il  pagamento del riscatto molto avanzato, per il momento il più sofisticato che abbiamo visto tra quelli creati dagli autori dei ransomware.

Le modalità di distribuzione...

mercoledì 18 gennaio 2017

Al Namrood Ransomware: campagna di attacchi contro utenti italiani


Ci stanno arrivando molte segnalazioni di infezione, in Italia, del ransomware Al Namrood.
Nel dettaglio è in diffusione la versione 2.0 dello stesso ransomware, messa in diffusione qualche settimana fa in sostituzione alla versione 1.0 che era stata decriptata con successo.

Come si diffonde?
Questo ransomware non si diffonde tramite le classiche vie (campagna di email di spam con allegati o exploit kit): attacca i server via desktop remoto, con un brute- force attack contro la porta RDP.  In sunto è un attacco mirato, che tenta di individuare le password delle porte (RDP) aperte per ottenere l'accesso.
Le vecchie versioni erano in diffusione tramite le più comuni tecniche di campagne di spam.


martedì 17 gennaio 2017

Il ransomware Merry X-MAS è arrivato anche in Italia.



Ci sono arrivate segnalazioni di infezione da ransomware Merry Christmas, detto anche  Merry X-Mas, dal contenuto della nota di riscatto. Cripta i file con estensioni ".merry", ".PEGS1", ".MRCR1" or ".RARE1"

Come viene distribuito?
Il ransomware Merry X-Mas viene distribuito tramite campagne di email di SPAM in varie parti del mondo. La prima individuata era destinata ad utenti statunitensi: la email fingeva di essere un reclamo della Federal Trade Commission. Qui sotto un esempio:

lunedì 16 gennaio 2017

La nuova piattaforma StrongBox: verso un servizio sempre più professionale


Cos'è il backup in cloud?
Il backup è la duplicazione dei file su un supporto di memoria. Questo può essere eseguito su qualsiasi genere di supporto: fisico (chiavetta USB o Hardisk) oppure online.
La migliore forma di salvataggio in termini di sicurezza è il salvataggio in cloud: si affidano i dati ad un terzo soggetto che si occupa della loro conservazione e sicurezza online. Il cloud è un server protetto, accessibile da qualsiasi dispositivo in qualsiasi momento attraverso internet. Sia aziende che privati hanno dati importanti che non vogliono assolutamente perdere, ma può capitare di cancellarli per eventi accidentali o che questi vengano criptati da cyber-criminali : eseguire il backup è l'unica soluzione per poter ripristinare in qualsiasi momento i propri file, eseguirlo in cloud garantisce un luogo di storage fuori dalla rete aziendale, quindi al riparo da ogni evento critico che potrebbe avvenire nella rete.

Perchè il supporto in cloud è più sicuro e comodo dei dispositivi fisici?

martedì 10 gennaio 2017

WordPress, Joomla, e Magento restano i CMS più attaccati


Sulla base di un'analisi statistica effettuata da Sucuri (qui è possibile visualizzare il testo completo) su dati raccolti di 7.937 siti web, pare che Wordpress, Joomla e Magento, in quest'ordine, continuino ad essere le piattaforme CMS più violate nel corso del terzo trimestre 2016(luglio-agosto-settembre).
Tra tutti i siti web violati il 74% ha Wordpress, dato non particolarmente sorprendente se si tiene conto della grandezza della quota di mercato del CMS tra i siti di oggi.
Per il terzo trimestre 2016 restano invariate le percentuali dei siti con Joomla e Magento violati, ovvero rispettivamente 17% e 6%. Altre voci di rilievo possono essere Drupal, vBulletin, e MODx, ma gli incidenti che coinvolgono queste piattaforme, anche se sommati tra loro, non superano il 2.25% delle violazioni annue totali.

lunedì 9 gennaio 2017

AV-TEST valuta Seqrite Eps e Quick Heal Total Security come Top product per utenti Windows


Nel corso del Dicembre 2016 l'AV TEST Institute ha riconosciuto Seqrite EPS e Quick Heal Total Security come "Top Product" nell'ambito del "Product Review and Certification Report for Sep-Oct 2016". AV TEST produce ogni anno severissimi test comparativi o su singoli prodotti, secondo procedure di certificazione molto severe che valutano la resa complessiva dei singoli prodotti. I test avvengono riproducendo scenari di test verosimili e con attacchi da parte di minacce informatiche realmente diffuse nel web. Ogni prodotto deve quindi dimostrare le proprie capacità usando tutti i propri componenti e livelli di sicurezza.

I risultati di Quick Heal Total Security

giovedì 5 gennaio 2017

Firecrypt, il ransomware dotato di un componente DDoS


E' stata rilevata una nuova famiglia di ransomware, chiamata FireCrypt: è ad oggi poco diffusa, ma è interessante trattarla perchè ha una caratteristica particolare: oltre a criptare i file della vittima tenta di lanciare un attacco DDoS (molto debole) verso un URL contenuto nel suo source code.

Fyrecrypt ha un vero e proprio kit di "costruzione di ransomware"
I malware di solito sono generati compilandone il codice sorgente, oppure ancora usando un software che in automatico prende alcuni parametri input e output e organizza un malware personalizzato, per una specifica campagna. Questi software sono conosciuti come "costruttori di malware", o "malware builder".  Il programmatore di Firecrypt usa una command line application che automatizza il processo di mettere insieme varie versioni del ransomware: ottiene così la possibilità di modificare le impostazioni di base del ransomware senza doversi indaffarare con IDE ingombranti che ne compilino il codice sorgente.

Il "builder" di FyreCrypt si chiama BleedGreen e permette di generare un unico ransomware

mercoledì 4 gennaio 2017

Android è il prodotto più vulnerabile del 2016


Con la fine del 2016, possiamo infine dichiarare che Android è il prodotto che riscontra il maggior numero di vulnerabilità, mentre Oracle  è il vendor con il maggior numero di bug di sicurezza.

Android è il prodotto più vulnerabile del 2016
Stando a CVE Details, sito che elenca cronologicamente tutti i dati tecnici delle varie vulnerabilità che affliggono i software più diffusi, i ricercatori di sicurezza hanno riscontrato e analizzato ben 523 bug di sicurezza nel sistema operativo Android. Subito dopo Android, la classifica vede Debian Linux con 319 bug, mentre il terzo va a Ubuntu Linux con 278 bug.
Per il resto troviamo Adobe Flash Player (266 bug), Adobe Acrobat (224 bug) e Linux Kernel (216 bug). Il sistema operativo Mac OS X, "vincitore" di questo premio poco ambito nel 2015, si salva con 215 bug (a fronte dei 444 dello scorso anno).