martedì 28 febbraio 2017

Attacchi ransomware contro i database colpiscono ora i server MySQL


Dopo l'attacco a MongoDB, elasticsearch,Hadoop, CouchDB e Cassandra , gli aggressori stanno mirando centinaia di database MySQL, cancellando il loro contenuto e lasciando una richiesta di riscatto di 0.2 Bitcoin ($235).

Sembra che gli attacchi siano di tipo brute-force ai server MySQL esposti ad Internet .

L'origine degli attacchi...

lunedì 27 febbraio 2017

Dot-Ransomware e Unlock26: il mercato dei ransomware (RaaS) si evolve ancora


E' stato individuato un nuovo portale RaaS (ransomware as a service), denominato Dot-Ransomware, che pare essere dietro la distribuzione del nuovo ransomware Unlock26, individuato in the wild settimana scorsa. L'operato di questo ransomware è quasi unico, così come l'estetica del tutto minimal e diretta, con brevissime spiegazioni di cosa fare e non fare, una serie di richieste di riscatto preimpostate e un semplicissimo portale di pagamento. 

L'operazione di messa in vendita di Unlock26 è iniziata il 19 Febbraio, con la messa online del portale.

venerdì 24 febbraio 2017

Trojan.Android/Spy.Banker: ruba le credenziali di accesso ai conti online e blocca il dispositivo.


Esattamente come previsto, il source-code di un potente trojan bancario per Android, rilasciato a metà del Dicembre 2016, viene ora impiegato per attacchi reali contro utenti Android. 

Mentre scriviamo sono in corso ben tre campagne di diffusione di questo trojan: infatti il codice è a disposizione di chiunque sul web, basta personalizzarlo e iniziarne la distribuzione (come sta effettivamente accadendo) sopratutto tramite false app sugli app store di terze parti, ma anche su Google Play Store. 

Come si diffonde?

giovedì 23 febbraio 2017

Un nuovo ransomware (Patcher) colpisce i sistemi operativi Mac


E' stata individuata una nuova famiglia di ransomware, autodefinitasi Patcher, che colpisce gli utenti dei sistemi operativi Mac. Stando però a quanto dicono i ricercatori di sicurezza che hanno individuato il ransomware, il processo di criptazione di Patcher è pasticciato e non funzionante: il risultato quindi non saranno file criptati, ma file danneggiati impossibili da recuperare (se non tramite copie di backup già esistenti).

Come viene distribuito?Stando alle (poche, per ora) informazioni disponibili, il ransomware Patcher viene distribuito tramite file torrent che, in teoria, dovrebbero fornire le crack per i programmi Adobe Premiere Pro e Microsoft Office per Mac. Questo file torrent esegue il download di un archivio .ZIP sul computer della vittima: dopo aver eseguito la decompressione dell'archivio, gli utenti ottengono un file binario il cui nome termina con Patcher. Questo dettaglio è molto importante perchè è un indizio che può aiutare gli utenti a individuare nuovi altri torrent infetti.

mercoledì 22 febbraio 2017

Ransomware Sage 2.0 : molte le similitudini con Cerber


Recentemente è stato scoperto il ransomware Sage 2.0 (Ransom.Cry), distribuito dallo spambot Trojan.Pandex. Sage 2.0 sembra avere caratteristiche simili al ransomware Cerber (Ransom.Cerber) anche se non è stato trovato alcun collegamento tra le due famiglie di ransomware. Sage2.0 è infatti l'evoluzione di Cryptolocker (Ransom.Cry), è stato individuato nel Settembre 2016 e continua ad essere attivo. Inizialmente veniva distribuito tramite l'exploit kit RIG , invece in seguito il metodo di diffusione maggiore è diventato lo spam. Sono state trovate variati del ransomware che vengono scaricate dal bot TrickBot. 

Analogie con Cerber...

lunedì 20 febbraio 2017

Gli utenti continuano a scaricare un aggiornamento che non esiste più da 5 anni!


Quasi cinque anni dopo l'annuncio, da parte di Adobe, della cessazione di aggiornamenti Flash Player per Android, gli utenti continuano ancora a pensare di dover installarne gli aggiornamenti. Peccato che questi aggiornamenti, suggeriti da finestre e avvisi di vario tipo, siano FALSI appunto: nella quasi totalità dei casi sono semplicemente malware mascherati. Applicazioni maligne camuffate da Adobe Flash continuano ad essere uno dei modi più semplici ed efficienti per distribuire malware ai dispositivi mobili. Negli ultimi anni questo metodo è stato utilizzato per ingannare gli utenti e indurli a scaricare trojan bancari, adware e RATs sui dispositivi mobili.

L'inganno di Adobe Flash Player per Android funziona ancora...

venerdì 17 febbraio 2017

Ennesima fuga di dati per Yahoo: utenti, proteggete la vostra privacy!


L'anno scorso è stato un anno del tutto disastroso per Yahoo: la compagnia ha infatti dovuto ammettere di aver subito, nel 2013 e nel 2014, due fughe di dati talmente grandi da rappresentare quasi un record. (Quick Heal ne ha parlato qui, noi invece qui

Yahoo ha inviato un'altra notifica ai propri utenti Mercoledì, avvisandoli che i propri account potrebbero essere stati compromessi di recente, come emerso lo scorso anno dopo che una indagine (ancora in corso) ha portato a riscontrare che alcuni cyber-criminali stanno usando cookie programmati appositamente per accedere agli account senza neppure usare la password. 

giovedì 16 febbraio 2017

Nuova versione di Cerber: non cripta i file dei software di sicurezza


E'stata individuata "in the wild" qualche giorno fa una nuova versione del ransomware Cerber: la particolarità di questa versione è che contiene una funzione dedicata alla ricerca di prodotti per la sicurezza installati sulla macchina sotto attacco, al fine di non criptarne i file. In sunto, se anche un computer viene infettato da questa versione di Cerber firewall, antivirus, antispyware e prodotti simili continueranno a funzionare durante e anche dopo la fine del processo di criptazione.

Il perchè di questa scelta resta del tutto sconosciuto e ha sorpreso non poco i ricercatori di sicurezza: solitamente infatti i cyber-criminali programmano i propri malware affinché siano dotati di strumenti e eseguano azioni che li mettano più al riparo possibile dall'individuazione da parte dei software antivirus e dei firewall. In questo caso invece Cerber organizza una vera e propria "white-list" dei file relativi ai software di sicurezza.

mercoledì 15 febbraio 2017

Malware per Mac: macro malware e MacDownloader.


Dopo aver perseguitato per oltre due decadi gli utenti Windows, i malware macro hanno cominciato a muovere i primi passi anche nell'altro sistema operativo su cui si può trovare la suite Microsoft Office, ovvero MacOS di Apple. 

Il primo tipo di questi malware è stato individuato la scorsa settimana dai laboratori di Symantec: il file in questione è un file Word dal nome "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace.docm".Questo documento di Word contiene uno script macro che costringe Office a mostrare all'utente Mac un alert col quale gli utenti Windows hanno grande familiarità.

martedì 14 febbraio 2017

[Quick Heal Lab] Report 2017 dei rischi per Android


Il 2016 ha visto una crescita esponenziale degli attacchi contro i dispositivi Android, sopratutto se guardiamo ai "mobile ransomware" e ai trojan bancari. Si è registrata anche una forte crescita dei malware pensati per ottenere i privilegi di amministratore del dispositivi: alcuni di questi sopravvivono e persistono nel dispositivi infetto anche dopo il reset completo.Leggi qui il report completo

Numero delle individuazioni

venerdì 10 febbraio 2017

Utenti italiani e europei sotto attacco del ransomware Cerber


Gli utenti italiani sono sotto bersaglio dei ransomware: come abbiamo detto, sono stati lanciati attacchi ransomware mirati contro utenti italiani sia con il ransomwar CryptShield che con il ransomware Sage 2.0. Vari gli utenti italiani che si sono rivolti a noi in cerca di soluzioni. Ora anche Cerber sembra tornato a colpire duramente in Europa e in Italia.

Nell'ultimo mese, secondo la telemetria Live Grid di ESET, Cerber ha registrato una crescita che lo ha portato dallo 0% di infezioni in Europa a un 25% di prevalenza nel giro delle infezioni, con un trend che si conferma attualmente ancora in crescita.

Cerber si piazza al terzo posto tra le minacce più diffuse in questo inizio di 2017, assieme a ScriptAttachment e Nemucod.

Ricordiamo appunto che Cerber non ha soluzione attualmente, quindi l'unica cosa da fare attualmente è prevenire le infezioni. Per questo ricordiamo che:

Il malware Mirai ha ora una versione Windows per una distribuzione ancora più efficace.


I ricercato di sicurezza hanno scovato un trojan per Windows utile per aiutare la distribuzione di Mirai Linux, del quale abbiamo gia parlato qui , usato per infettare i dispositivi IoT e effettuare massicci attacchi DDoS.  Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l'inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l'estate e l'autunno 2016, quando riuscì a diffondersi a migliaia di router e videoregistratori ( distribuito tramite smart camera e sistemi di telecamere a circuito chiuso).

mercoledì 8 febbraio 2017

Un nuovo ransomware dalla famiglia CryptoMix: CryptoShield


E' uscita una nuova variante del ransomware CryptoMix o CryMix, denominata CryptoShield 1.0, viene distribuito tramite EITest e l'exploit kit RIG.

Come CryptoShield infetta le vittime... 

Come abbiamo detto CryptoShield viene distribuito attraverso siti violati o compromessi. Ma vediamo in che modo: EITest è un codice di attacco Javascript che viene inserito su un sito, lasciando ignari sia i gestori del sito in questione che gli utenti che lo visitano. EITest carica l'exploit kit RIG che è in grado di scaricare e installare il ransomware CryptoShield sul pc della vittima (il visitatore del dito web) che non si accorge di niente. Questo exploit kit sfrutta le vulnerabilità ed installa il programma per infettare il computer. Per tenersi più al sicuro è importante che gli utenti facciano in modo che tutti i programmi abbiano gli aggiornamenti installati, i particolare quelli che interagiscono con documenti online o siti. Ciò significa che aggiornamenti come Oracle Java, Windows, Adope Flash e Reader devono essere aggiornati non appena gli aggiornamenti vengono messi a disposizione.

Come CryptoShield cripta i file.. 

martedì 7 febbraio 2017

Ransomware Sage 2.0: prime infezioni in Italia


Nel Dicembre 2016 circolarono le prime informazioni riguardo un nuovo ransomware, Sage: al tempo fu inquadrato come una versione di CryLocker. Non si sa tutt'ora molto di questo ransomware, sopratutto di come veniva distribuito e fu anche poco studiato percéè ebbe effettivamente un ridottissimo numero di vittime. Alcuni ricercatori ne studiarono comunque una versione che veniva distribuita tramite l'Exploit Kit Rig (per i legami tra exploit kit e ransomware, consigliamo la lettura di questo approfondimento).

A fine Gennaio alcuni ricercatori individuano e denunciano la diffusione, tramite campagne di email di spam, di un ransomware chiamato Sage 2.0: la cosa che colpisce immediatamente è che i distributori di questo ransomware sembrano essere gli stessi che stanno distribuendo Cerber, Locky e ora Spora, quelli che possiamo definire, per ora, i ransomware di punta del cyber-crimine.

Cosa significa questo? Che ci sono buone possibilità che si provi a incrementare la distribuzione di Sage 2.0 in futuro e possiamo anche darne conferma: ci sono arrivate le prime richieste di aiuto di utenti italiani colpiti da questo ransomware.

Come si diffonde?

lunedì 6 febbraio 2017

[QUICK HEAL LAB] Report annuale delle Minacce 2017: Ransomware ed Exploit


Il Report Annuale delle minacce presenta statistiche dettagliate riguardo lo stato della sicurezza digitale per gli utenti Windows e Android. Il Report si apre con una panoramica dei tipi di malware individuati nel 2016, seguito dalla Top Ten dei malware per Windows e da una loro breve trattazione. Prosegue con una trattazione riguardo alle statistiche di individuazione delle varie categorie dei malware, la Top Ten delle PUA (potentially unwanted applications), adware e exploit. 

Il report, in inglese, è interamente consultabile qui

In questo articolo trattiamo nel dettaglio la "Questione Ransomware" per Windows, concludendo, perchè molto legata, con una breve panoramica dei 10 "Top Exploit" nel 2016.

Malware per Windows: percentuale di rilevamento per tipologia

venerdì 3 febbraio 2017

Falla 0-day in SMB riguarda moltissime versioni di Windows, compreso Windows 10.


Un paio di giorni fa è stato pubblicato, pur parzialmente, un proof-of concept utile a sfruttare una vulnerabilità 0-day nel protocollo SMB (Server Message Block) che riguarda moltissime versioni dei sistemi operativi Windows, come Windows 10, 8.1, Server 2012 e server 2016. 
Lo United States Computer Emergency Readiness Team (US-CERT), ha pubblicato un annuncio ufficiale, leggibile qui

La vulnerabilità può mandare in crash il SO o, forse, peggio

giovedì 2 febbraio 2017

Spora si aggiorna : il ransomware diventa sempre più pericoloso!


Abbiamo già parlato del ransomware Spora, che sembra essere, a giudicare dalla complessità che lo contraddistingue, uno dei probabili "RaaS" (Ransomware as a Service) di punta del cyber crimine. Come abbiamo già visto Spora si differenzia dagli altri ransomware per le molteplici opzioni di pagamento del riscatto: questo potrebbe infatti consentire un maggior volume di pagamenti rispetto ad un ransomware che richiede una unica, alta, soluzione di pagamento.

Già sono varie le campagne di diffusione di questo ransomware (ne abbiamo parlato qui): qualche giorno fa è stata invece individyuata una nuova tecnica di difussione di questo ransomware

Poiché l'infezione si sta diffondendo molto rapidamente e il pericolo di rimanerne vittime è alto, diventa davvero importante conoscere come funziona questo virus, in modo da trovarsi preparati di fronte alla minaccia.

L'attacco avviene attraverso "Chrome Font Pack"...