mercoledì 31 maggio 2017

Rimosse 41 applicazioni infette dal Play Store di Google contenenti il malware Judy!



Google ha rimosso 41 applicazioni per Android dal Play Store ufficiale. 
Le app erano infettate con un nuovo tipo di malware chiamato Judy. Gli esperti stimano che il malware abbia infettato tra gli 8,5 e i 36,5 milioni di utenti. Secondo le ricerche di Check Point le app erano disponibili sul Play Store da anni, ma per la maggior parte del tempo erano state pulite e libere da virus. Sembra che a partire da Aprile, le app siano state aggiornate con codici maligni. Lo scopo di questo codice era di avviare una browser app, caricare un URL e usare JavaScript per far cliccare in un banner specifico che avrebbe portato un grande profitto al creatore del malware.

Come operava il malware Judy.

Una volta che le vittime avevano installato l’applicazione sul proprio dispositivo, il malware si 

2 GRANDI NOVITA' STRONGBOX: nuovi tagli e una versione GRATUITA


  • 9 versioni StrongBox in più diversificate per spazio e numero di device supportati per soddisfare ogni specifica necessità!

martedì 30 maggio 2017

DATA BREACH: pubblicati nel Deep Web oltre 450 milioni di indirizzi e-mail e account


[NOTA] Per verificare se i tuoi account sono sicuri o sono fuoriusciti, consigliamo questo sito web che permette una verifica immediata https://haveibeenpwned.com/

Gli analisi di D3Lab, in collaborazione con la Cyber Division  di Var Group, hanno effettuato nei giorni scorsi una vera e propria incursione nel Deep Web e ciò che hanno scoperto è veramente inquietante. Stiamo parlando di AntiPublic, uno dei più grossi leak di account mai rilasciati sul web e che ha allarmato non solo gli esperti del settore, ma anche svariate organizzazioni governative, comprese quelle italiane, data la vastità della fuga di dati. 


AntiPublic altro non è che un grosso database di oltre 17 GB, creato (pare) nel Dicembre 2016 e contenente username e password di una infinita serie di account: ciò che preoccupa  non è solo la dimensione del leak, ma anche il fatto che questi account sembrano essere stati filtrati e verificati con una certa accuratezza. Dal Maggio 2017 AntiPublic sta girando moltissimo nel Deep Web tramite una piattaforma cloud russa. Non si ha nessun indizio riguardo a chi possa aver confezionato il database. 

Cosa contiene il database?

lunedì 29 maggio 2017

Nuovo attacco Cloak and Dagger: milioni di dispositivi Android vulnerabili!


Scoperta da un team di ricercatori di sicurezza della University of California e del Georgia Institute of Technology e notificata a Google circa 9 mesi fa, questa nuova categoria di attacchi, chiamata Cloak & Dagger (cappa e spada), colpisce i dispositivi mobili dotati del sistema operativo Android. Alcune di queste vulnerabilità sono ancora presenti fin nell’ultima versione Android 7.1.2 Nougat con le più recenti patch di sicurezza. Sulla base dei dati pubblicati da Google si stima che siano in circolazione circa 800 milioni di dispositivi potenzialmente vulnerabili a questi attacchi.

Come agiscono?

giovedì 25 maggio 2017

Falsi supporti tecnici per WannaCry diffondono malware sfruttando la paura di massa


Come ci si aspettava, diversi tentativi di scam (tipo di truffa pianificata con metodi di ingegneria sociale) stanno cercando di trarre profitto dall’isteria scaturita dalla recente ondata di attacchi del ransomware WannaCry, un’infezione di massa iniziata il 12 Maggio e della quale si sentono tutt'ora gli effetti. Gli attacchi sono stati fermati dai ricercatori inglesi di MalwareTech ma WannaCry sta facendo ancora parlare di sé.
A seguito dei vari attacchi, utenti e organizzazioni sono stati occupati ad aggiornare i propri dispositivi per paura di essere le prossime vittime di WannaCry, anche nel caso in cui gli autori del ransomware tornino con una nuova versione senza il dominio interruttore (il quale ha permesso di bloccare l’infezione). Articoli di notizie false e compagnie di prodotti di backup e scanner di sicurezza hanno contribuito ad aumentare l’isteria di massa,  facendo temere agli utenti meno esperti la minaccia di un attacco incombente di WannaCry.
Gli scam fanno sentire la propria presenza

martedì 23 maggio 2017

EternalRocks: nuovo worm che usa ben 7 tool dell'NSA per attaccare le macchine via porta SMB


I ricercatori hanno individuato un nuovo worm, che si diffonde tramite l'SMB (lo stesso protocollo, la cui vulnerabilità è stata usata per la diffusione di WannaCry). Al contrario però della componente worm di WannaCry, questo worm usa ben 7 (e non solo due) tool dell'NSA. L'esistenza del worm è stata rivelata dal CERT del Governo Croato dopo che il loro honeypot SMB è stato infettato. Il worm in questione si chiama EternaRocks.

EternalRocks usa 7 tool dell'NSA
Il worm usa ben 6 tool dell'NSA, progettati appositamente per infettare computer con la porta SMB esposta online. Questi sono: EternalBlue, EternalChampion, EternalRomance e EternalSynergy, che sono exploit SMB usati per compromettere i computer vulnerabili. SMBtouch e Archtouch sono due tool, sempre dell'NSA, usati per le operazioni di individuazione dell'SMB. Tutti questi tool fungono da strumenti che cercano un appiglio alla macchina: fatto ciò, il worm usa un altro tool NSA, DoublePulsar, utile a propagarsi in altre, nuove, macchine vulnerabili. 

venerdì 19 maggio 2017

Wallet: disponibile tool di decriptazione


Nel Giugno 2016 vengono rilasciati la master key e il decryptor del ransomware Crysis. Pochissimi giorni dopo irrompe sulla scena una nuova famiglia di ransomware, Dharma appunto, molto simile al ransomware Crysis.

Inizialmente questo ransomware usava una sola estensione, [indirizzo email].dharma.
Poco tempo dopo ne sono uscite altre varianti, le più diffuse delle quali criptano aggiungendo al nome del file le estensioni [indirizzo email].wallet o [indirizzo email].zzzzz. 

Eravamo già in grado di risolvere la criptazione in .dharma: da oggi possiamo risolvere anche quella in .wallet. Chi ci ha già inviato i file per la verifica, verrà ricontattato dai nostri tecnici.
Chi ha subito questa infezione, ma non ci ha sottoposto il proprio caso, può inviarci due file criptati assieme alla richiesta di riscatto all'indirizzo alessandro@nwkcloud.com

Come cripta i file?

giovedì 18 maggio 2017

Uiwix: un altro ransomware che usa lo stesso exploit di WannaCry per diffondersi


Uiwix usa EternalBlue
per diffondersi, l'exploit che sfrutta una falla del protocollo SMBv1* per accedere ai sistemi. E' lo stesso exploit usato per la diffusione di WannaCry.  E' uno dei già tanti - e molto probabilmente sempre più- ransomware e malware che puntano sullo sfruttamento di questa falla: falla già risolta, ma ancora molto molto diffusa. 

Come si diffonde
Come già detto, Uiwix usa EternalBlue come WannaCry, ma non ha la capacità di auto-propagarsi come un worm, capacità invece presente fin dalla prima versione di WannaCry. Gli sviluppatori di Uiwix hanno puntato più alla classica scansione in cerca di computer vulnerabili sui quali usare script dannosi. Al contrario di WannaCry, inoltre, Uiwix non ha file: nel senso che non viene scritto sul disco, ma viene eseguito direttamente in memoria e comincia ad infettare il computer. Questo accorgimento rende estremamente difficile, per la gran parte dei programmi di sicurezza, individuare precisamente che il programma dannoso è in esecuzione e impedirgli quindi di criptare i file della vittima. 

Che cosa fa?

mercoledì 17 maggio 2017

Un malware, diffuso prima di WannaCry, ha protetto i pc dal ransomware (ma ha estratto bitcoin).


Nuove prove hanno rivelato che circa 3 settimane prima dell'attacco di massa col ransomware WannaCry, uno o più gruppi di cybercriminali hanno usato lo stesso tool exploit dell'NSA (ETERNALBLUE)  usato per diffondere WannaCry, allo scopo di infettare computer e server con un malware pensato per il mining dei Bitcoin. Questi malware rallentano i PC e i Server e creano non pochi problemi ad esempio nelle condivisioni di rete: in fondo all'articolo, come risolvere il problema. L'unico motivo per cui nessuno ha notato questo attacco è che questo particolare malware, chiamato Adylkuzz, non distrugge i dati degli utenti ed è stato programmato per chiudere la porta SMB.

martedì 16 maggio 2017

WannaCry case: resa innocua la prima versione. Già in circolazione una seconda e una intera nuova famiglia di imitatori



Sabato i ricercatori hanno individuato una seconda versione di WannaCry che ha un differente dominio come "kill switch"o dominio interruttore.  

Ricordiamo che WannaCry si compone di due parti:
1- il ransomware vero e proprio
2- un worm SMB che diffonde il ransomware a nuove vittime, prima nella rete locale poi in Internet.

La prima versione di WannaCry conteneva un dominio interruttore, il quale, una volta individuato, ha permesso ai ricercatori di bloccare la diffusione del ransomware. Infatti, se il ransomware riusciva a connettersi al dominio, la criptazione non avveniva. Se il tentativo di connessione falliva, il ransomware avviva la criptazione. 

lunedì 15 maggio 2017

Il Ransomware WannaCry getta il mondo nel caos: non ha soluzione, ma è possibile "sbattergli la porta in faccia"



Venerdì 12 Maggio ha avuto inizio uno dei più grandi e capillari attacchi ransomware dall'inizio della diffusione dei ransomware stessi. Due le particolarità: l'aggressività della falla sfruttata e la scala dell'attacco stesso.

Il ransomware in questione, finito sui media di tutto il mondo, si chiama Wana Decrypt 2.0, ma è diventato famoso col nome di WannaCry.

NB: è già in diffusione 2.0 del ransomware WannaCry. Aggiorneremo nei prossimi giorni

La diffusione...
WannaCry ha colpito in prima battuta Spagna, Russia, Portogallo e Regno Unito. In Spagna la vittima d'eccellenza è stata la carrier di telecomunicazioni Telefonica: è stato colpito il server interno, il quale ha poi iniziato a diffondere il malware entro l'organizzazione stessa. Altre vittime illustri sono la Banca Santander (tra le major bank spagnole) e Gas Natural (fornitore di gas). Nel Regno Unito sono stati colpiti principalmente ospedali, la maggior parte dei quali del tutto incapaci di fronteggiare l'infezione: da qualche giorno infatti gli ospedali colpiti stanno rifiutando tutti i pazienti che non versano in gravi condizioni. Lo stesso Servizio di Sanità Pubblica inglese ha rilasciato una nota nella quale specifica che tutti i computer relativi al servizio sono stati spenti per riuscire a contenere gli effetti di questo attacco su larga scala. In termini di diffusione a home user i paesi più colpiti sono attualmente Russia, Ucraina e Taiwan.  In tutto si stima che i paesi colpiti siano 150: anche in Italia si sono registrati alcuni casi. Tra questi, il più eclatante riguarda l'Università Bicocca di Milano.

Come si diffonde?

venerdì 12 maggio 2017

Il ransomware per Android SLocker torna con 400 nuove varianti


Dopo l’ultima ondata di infezioni nell'estate del 2016, il ransomware per Android SLocker torna ancora più pericoloso:è in corso una nuova ondata di infezioni, che sta colpendo utenti Android dall'inizio dell'anno. La differenza primaria con la vecchia ondata è che, finalmente, gli attacchi non passano inosservati: la prima ondata infatti passò nella quasi totalità dei casi non individuata o non riportata. Grazie invece all'uso di un nuovo sistema di apprendimento automatico, l'azienda di sicurezza Wandera ha potuto individuare nuove versioni di SLocker confrontando la vecchia versione con svariate app sospette. 

Scoperte oltre 400 nuove varianti di SLocker

giovedì 11 maggio 2017

Malware per Mac: in diffusione versione infetta di HandBrake


HandBrake è uno dei più famosi strumento di transcodifica video per Mac. Qualche giorno fa un gruppo di cyber-criminali è riuscito a violare uno dei server di questa app e ha sostituito la versione legittima del software con un malware per Mac.  Gli utenti sono stati infettati attraverso il sito https://handbrake.fr. Nel sito compromesso compariva un "Avviso di protezione" al quale era collegato un link (immagine sotto).

martedì 9 maggio 2017

Ransomware FrozrLock: in vendita sul Dark Web, viene presentato come "efficace tool di sicurezza".


Un nuovo RaaS (ransomware as a service- scopri cosa sono) è in vendita sul Dark Web: si chiama FrozrLock, disponibile a solo 220 dollari. Viene pubblicizzato con la dicitura "Un ottimo tool che cripta la maggior parte dei file in pochi minuti". Lo segnala Bleeping Computer, in collaborazione con altri ricercatori: uno di questi ha individuato per la prima volta il ransonmware in diffusione di Russia attorno alla fine di Aprile. In quel caso il ransomware veniva diffuso tramite un downloader JS rinominato "Contract_432732593256.js". 

Il portale di vendita.
FrozrLock è uno di quei ransomware che vengono messi in vendita da cyber-criminali nel Dark Web: gli interessati comprano il ransomware, lo personalizzano, lo diffondono infine versano una percentuale dei guadagni ottenuti dai riscatti ai programmatori del ransomware stesso.

Ecco qui una foto della homepage del portale di vendita.

lunedì 8 maggio 2017

PEC 2017: il ransomware italiano pensato per colpire aziende ed enti italiani


Qualche giorno fa ci è stata segnalata una infezione da ransomware: è un nuovo ransomware tutto italiano, in diffusione appunto, solo contro utenti italiani. Il ransomware si chiama PEC 2017.

Come si diffonde?
Si diffonde principalmente via email: la maggior parte delle email vettore hanno, come allegato, un curriculum vitae in formato .doc (cosa che fa supporre che i bersagli per cui questo ransomware è stato pensato siano aziende o enti).
Il documento richiede l'abilitazione delle macro: il clic su Si comporta l'infezione. Nel dettaglio il ransomware sfrutta la vulnerabilità CVE-2017-0199 ). Questa vulnerabilità è presente in
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1

mercoledì 3 maggio 2017

WALLET, una nuova versione della famiglia di Ransomware CryptoMix



È stata rilasciata una nuova versione di CryptoMix, o CryptFile2, che modifica il nome dei file e l'estensione degli stessi con la forma [payment_email].ID[VICTIM_16_CHAR_ID].WALLET.

Questo comporta maggiore difficoltà per le vittime nell'identificazione del ransomware poiché l'estensione .WALLET è stata già usata da Dharma/Crysis e ora anche da CryptoMix.  Questa versione è stata scoperta dal ricercatore indipendente Robert Rosenborg e successivamente identificata come appartenente alla famiglia CryptoMix. 

Come cripta i file delle vittime