mercoledì 26 aprile 2017

Il ransomware Locky torna in diffusione: in distribuzione la versione Osiris.


Dopo un 2017 del tutto in sordina (come abbiamo raccontato qui), Locky torna a cavalcare le scene. E' attualmente in diffusione con una vera e propria ondata di mail di spam, contenenti allegati dannosi. Non abbiamo idea di cosa abbia determinato lo stallo per più di 4 mesi: quel che sappiamo è che se Locky torna ad essere diffuso in maniera capillare come accaduto nell'arco del 2016, potrebbe tornare molto velocemente nella "Top 10" dei ransomware più pericolosi.

Come viene diffuso?

giovedì 20 aprile 2017

Un worm che "tappa le falle" dei dispositivi IoT?



Sembra finalmente arrivata la "cura" alla diffusione inarrestabile di Mirai, una delle più estese botnet attualmente attive. La peculiarità è che la cura al worm Mirai (il worm che infetta i dispositivi e li rende parti della rete Mirai, appunto) è che la cura stessa è un worm. Ma un worm che invece di prendere possesso di un dispositivo, ne barrica gli ingressi mettendolo al riparo da intrusioni.
Si, il metodo non è proprio ortodosso, ma è efficacissimo. Il worm in questione si diffonde nella stessa identica maniera del worm Mirai, ma è pensato apposta per ostacolare "il collega".

mercoledì 19 aprile 2017

Dispositivi IoT e cyber-crimine: una botnet di 90.000 router di casa (anche italiani) attacca WordPress



Un gruppo di cyber-criminali sta attaccando moltissimi siti WordPress usando una rete di 90.000 modem casalinghi compromessi. Più di 1500 di questi sono indirizzi IP di Telecom Italia. E ancora una volta torna protagonista delle scene il problema (ormai quasi un incubo) dei dispositivi IoT (Internet of Things) e della loro sicurezza. I dispositivi IoT hanno infatti delle falle di sicurezza gravissime, password di fabbrica facilmente individuabili, talvolta assoluta assenza di password, porte aperte usate spesso come mezzo per prenderne il controlloE' a ciò che si deve il fiorire di botnet composte di centinaia di migliaia di dispositivi di vario tipo (videoregistratori, auto, telecamere, modem e così via..) usate per cyber-attacchi di vario tipo.

martedì 18 aprile 2017

Cerber domina il mondo dei ransomware dopo la morte di Locky



La famiglia dei ransomware Cerber sta "rubando il posto" sulla vetta della montagna dei ransomware, dopo che non si sono più individuate nuove versioni di Locky e, al contrario, si è registrata una brusca riduzione delle campagne di diffusione dello stesso.

L'ascesa di Cerber è dovuta al fatto che quest'anno sono state rilasciate nuove versioni, tra cui una molto pericolosa che include alcune caratteristiche che la rendono capace di eludere i software di sicurezza che usano sistemi di individuazione comportamentale e di apprendimento automatico.Cerber ha anche un'altra differenza rispetto a Locky o TeslaCrypt (il ransomware leader della categoria nel 2016): non viene distribuito infatti da un singolo o da un gruppo, ma ha adottato il modello commerciale dei RaaS (ransomware as a service). Viene cioè venduto come servizio ad acquirenti che guadagnano dai riscatti e cedono una parte ai gestori del servizio.

venerdì 14 aprile 2017

La Botnet Kelihos aveva circa 60.000 dispositivi: ora è sotto attacco


La botnet Kelihos non esiste più: o almeno è quello che sperano le autorità dopo aver tentato per ben tre volte di abbattere l'intera infrastruttura. Questa volta dovrebbe funzionare anche perché è stato individuato e arrestato il responsabile, la mente che era dietro ad una delle più grosse reti di dispositivi zombie tutt'ora attive.

Kelihos era un'istituzione dello SPAM
Ma a che fini veniva usata la botnet Kelihos? La botnet comparve intorno al 2008, ma allora si chiamava Waledac: dopo due anni cambiò nome in Kelihos, appunto. Durante la sua vita ha modificato forma e finalità, essendo l'infrastruttura usata come sistema di lancio di una lunghissima e diversificata serie di attacchi: dalla diffusione di trojan bancari, al lancio di campagne di SPAM e di diffusione di ransomware.

Principalmente però Kelihos era una istituzione dello SPAMMING: si era perfino guadagnata "l'onore" di figurare nella lista dei "Top 10 Spammer" di Spamhaus. Visto che Kelihos era l'origine di milioni di email di spam al giorno, finì nel mirino di molte autorità e sono stati ben tre i tentativi di abbattere la botnet: 2011, 2012 e 2013.

giovedì 13 aprile 2017

MOLE: nuovo membro della famiglia CryptoMix, si diffonde via documenti di Word



E' stato individuato un nuovo Ransomware: si chiama Mole e sembra proprio essere una variante della famiglia di ransomware CryptoMix, ma presenta anche similarità forti col ransomware CryptoShield. 

Come si diffonde?

Mole viene distribuito attualmente attraverso campagne di email di SPAM, che si camuffano da notifiche di vario tipo, sopratutto fatture e documenti di trasporto. La versione più diffusa della email contiene un falso documento di mancata consegna di un pacco e reca un link al quale sarebbero rintracciabili ulteriori informazioni per il recupero del pacco. 

mercoledì 12 aprile 2017

Quick Heal Total Security e Seqrite EPS per Windows: TOP PRODUCT per AV-Test


Durante i mesi di Gennaio e Febbraio 2017, AV-Test ha effettuato una serie di test di valutazione di Quick Heal Total Security e di Seqrite EPS per Windows 7. 
AV-Test è l'organizzazione più credibile nel campo della sicurezza IT e della ricerca antivirus da oltre 15 anni. Ha sede in Germania. L'Istituto pubblica frequentemente studi riguardo agli ultimi malware e fornisce dettagliate analisi dei prodotti e delle soluzioni disponibili per combattere questi rischi. L'Istituto è riconosciuto a livello globale per il suo rigore e l'indipendenza mostrata nell'eseguire i test e pubblicare le valutazioni.  Sotto i risultati dei test:

QUICK HEAL TOTAL SECURITY PER WINDOWS 7

lunedì 10 aprile 2017

E' in diffusione il ransomware Matrix. La sua particolarità? Diffondersi via exploit kit, ma anche come un worm


Brad Duncan, analista di Palo Alto Network, ha individuato una campagna EITest che usa l'exploit kit RIG per distribuire il ransomware Matrix. Segnaliamo subito che Matrix è una vecchia conoscenza, nel senso che fu individuato a fine 2016 e pare essere proprio adesso tornato a cavalcare le scene. Non è mai stato un ransomware di punta. E' però interessante perché testa una caratteristica particolare, ovvero ha la capacità di comportarsi come un worm: riesce cioè a diffondersi all'esterno della macchina infetta attraverso i collegamenti di Windows. Questa caratteristica e le nuove modalità di diffusione lo hanno reso, almeno nelle ultime due settimane, un ransowmare molto pericoloso. 

Come si diffonde...

giovedì 6 aprile 2017

Nuova campagna di phishing in Italia: le email truffa sembrano di Equitalia e rubano i vostri dati!


Stanno arrivando moltissime email truffa con finti avvisi di pagamento di Equitalia: le email sono di due tipi, uno che invita a fare click su un link esterno e l'altro che invita a scaricare un file. 

Siamo di fronte all'ennesima campagna di phishing finalizzata alla cattura di informazioni sensibili e riservate. A segnalare la truffa è stato direttamente il Cnaipic (Centro Nazionale Anticrismine Informatico per la Protezione delle Infrastrutture Critiche), una unità specializzata della Polizia Portale e del Cert (Computer Eemergency Team Italia). 

Equitalia pubblica le false email...

mercoledì 5 aprile 2017

Nuovo ransomware per Android invisibile agli antivirus


Alcuni ricercatori dell'azienda di cyber-sicurezza Zscaler hanno individuato un nuovo tipo di ransomware per Android che ha la capacità di evadere l'individuazione da parte della maggior parte dei motori antivirus per dispositivi mobili. Probabilmente è legato alla famiglia di ransomware per Android SLocker

Attualmente colpisce solo utenti russi, ma pensiamo sia un interessante "caso-studio": dal punto di vista della criptazione è infatti assai scadente, presentando gravi falle nella funzionalità di decriptazione. Questo significa che gli utenti colpiti da questo ransomware non potranno sbloccare i propri dispositivi Android ne riavere i dati, anche dopo il pagamento del riscatto. 

E' assai probabile pensare che questo ransomware sia un vero e proprio test incentrato essenzialmente sullo sviluppo e il test di funzionalità anti-antivirus.
Come si diffonde?