venerdì 29 settembre 2017

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?


Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.

Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable",  questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.

giovedì 28 settembre 2017

Retefe: il terzo trojan bancario a supportare l'exploit EternalBlue


EternalBlue
è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya

Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è  stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui). 

La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe. 

Retefe e EternaBlue
Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare

mercoledì 27 settembre 2017

CCleaner: 1.646.536 computer colpiti dall'attacco malware. Formattare è la soluzione?


Le stime iniziali circa l’attacco che ha utilizzato CCleaner per diffondere il trojan Floxif (per approfondire) erano fin troppo positive. L’attacco che ha colpito gli utenti che hanno scaricato CCleaner  tra Agosto e  Settembre sembra molto più grave del previsto. Il malware diffuso dai cyber criminali ha infatti infettato 1,646,536 computer.

martedì 26 settembre 2017

Scoperto il primo malware di Android che sfrutta la vulnerabilità Dirty COW


ZNIU è il nome del primo malware Android in-the-wild che usa la vulnerabilità Dirty COW per infettare gli utenti. Dirty COW è una vulnerabilità di escalazione dei privilegi nel kernel di Linux che è venuta alla luce l’anno scorso, nell’Ottobre 2016. La vulnerabilità consente ad un attaccante di elevare il privilegio del codice di attacco al livello "root" e di eseguire operazioni dannose.

Il bug Dirty COW è stato presente nel kernel di Linux per nove anni, fin dal 2007. Al tempo della scoperta, Dirty COW era una 0-day che venne utilizzata contro i server Linux. Una patch fu rilasciata immediatamente.

lunedì 25 settembre 2017

BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.


E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 

Attualmente, le versioni più pericolose sono:
  • Versione 1: .btcware
  • Versione 2: .nuclear
  • Versione 3: .wyvern

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 

venerdì 22 settembre 2017

IoT Botnet invia email spam


Quando si parla di IoT botnet, il riferimento più frequente è quello agli attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) si differenzia da un regolare attacco DoS - effettuato da un singolo hacker che utilizza un solo sistema - in quanto si estende su un raggio d’azione più ampio, attraverso sistemi d’attacco multipli. 

Mentre la maggior parte delle botnet di IoT vengono utilizzate per gli attacchi DDoS, negli ultimi mesi molti ceppi di malware di IoT - solitamente utilizzati per l’assemblaggio di queste botnet - hanno aggiunto delle nuove funzioni. La principale fra queste è la capacità di ritrasmettere il traffico web attraverso l’installazione di un server proxy sui dispositivi infetti

giovedì 21 settembre 2017

Nuovo ransomware della famiglia CryptoMix: ecco SHARK


Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...
Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info

mercoledì 20 settembre 2017

Android e Trojan bancari: qualche aggiornamento e come difendersi


Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.

Red Alert 2.0
L'ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità. 

Che cosa fa?
Red Alert 2.0 ha svariate funzionalità:

martedì 19 settembre 2017

Il Ransomware Locky passa all'estensione Ykcol per i file criptati


Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue. 

lunedì 18 settembre 2017

Una versione compromessa di CCleaner ha diffuso malware per un mese


La versione 5.33 dell'app CCleaner messa a disposizione per il download tra Agosto e  Settembre nel sito ufficiale includeva il malware Floxif.

Che cosa è Floxif?
Floxif è un trojan che raccoglie informazioni riguardo ai sistemi infetti e le invia al proprio server C&C. Il malware ha anche la capacità di scaricare ed eseguire altri programmi dannosi, ma ad ora, non risulta che Floxif stia scaricando payload aggiuntivi in un secondo momento sulla macchina infetta.

venerdì 15 settembre 2017

Equifax conferma: gli hacker hanno sfruttato una vulnerabilità di Apache Struts per rubare i dati dei clienti


La vicenda di Equifax, la compagnia statunitense che raccoglie e conserva i dati relativi alle abitudini ed all’affidabilità finanziaria di oltre 800 milioni di consumatori sparsi in tutto il globo, è in questi giorni inevitabilmente al centro dell’attenzione. La società di Atlanta è stata infatti vittima di un attacco che ha comportato il furto dei dati sensibili di 143 milioni di utenti. Un episodio di una gravità inaudita, ulteriormente aggravato dal fatto che Equifax, attiva nel settore della valutazione del rischio del credito da oltre 100 anni, gestisce le cruciali informazioni - di natura economica e fiscale – di migliaia di persone (per saperne di più sull’accaduto).

giovedì 14 settembre 2017

Bashware: Windows 10 violato dalla Shell Linux. Un attacco invisibile agli antivirus


Si chiama Bashware ed è una nuova tecnica che consente ad un malware (anche già conosciuto) di utilizzare una nuova funzionalità di Windows 10, denominata Subsystem for Linux (WSL), per bypassare l'antivirus installato su un computer. 

Nel 2016, Microsoft ha annunciato WSL: una nuova componente presente in Windows 10 per eseguire una shell Linux (Bash) all'interno del sistema operativo Windows 10. Questo per venire incontro alle esigenze della comunità degli sviluppatori, che utilizza principalmente Linux grazie alla sua facilità d'uso per quanto riguarda le attività di programmazione. WSL è una componente opzionale che consente l'uso di comandi Linux su ambiente Windows senza bisogno di ricorrere alla virtualizzazione. Con WSL un'istanza Linux viene eseguita in user mode: entro la stessa si eseguono gli applicativi Linux, nella forma di processi Pico. Le istruzioni dei processi Pico vengono tradotte tramite chiamate di sistema Linux ad API Windows. 

L’attacco Bashware è invisibile per i software di sicurezza attuali
Dai rapporti emerge l’esistenza di una tecnica che consente ad un malware di utilizzare lo shell Linux

mercoledì 13 settembre 2017

Aumentano i "miner" di cripto-valuta: nel mirino anche i PC più lenti


Negli ultimi mesi si è registrato un incremento esponenziale del numero di malware che sfruttano la capacità di calcolo dei PC per generare Bitcoin. Con le nuove cripto-valute, però, anche i PC domestici finiscono nel mirino dei pirati informatici...

Cosa sono e come agiscono i miner...
Secondo le prime stime sarebbero più di un milione (per la precisione 1.650.000) i computer vittime di malware che agiscono installando un miner, ossia software che servendosi della potenza di calcolo del PC (e generando di conseguenza un anomalo consumo di energia elettrica) generano Bitcoin e altre cripto-valute che vanno così ad arricchire i pirati informatici.

martedì 12 settembre 2017

Il Ransomware Paradise utilizza la crittografia RSA per criptare i tuoi file


Oggi una vittima di un nuovo ransomware, chiamato Paradise, ha affidato a BleepingComputer.com il racconto della sua esperienza, caricando un campione di file criptato: abbiamo così potuto procedere ad analisi tecnica degli effetti del ransomware. 

Anche se dal punto di vista tecnico non presenta grandi innovazioni, è comunque interessante studiarne il funzionamento poichè pare essere un RaaS (Ransomware as a Service) (vedi qui), ovvero un ransomware in vendita a clienti che si occupano della distribuzione e che guadagnano dai riscatti dopo aver ceduto agli sviluppatori una parte dei ricavi. 

Sfortunatamente il Ransomware Paradise non è decriptabile senza il pagamento del riscatto e gli utenti colpiti dovrebbero quindi cercare di recuperare i files seguendo vie alternative (backup o ripristino). 

Il Ransomware Paradise potrebbe essere un Ransomware as a Service (RaaS)

lunedì 11 settembre 2017

Caso Equifax: rubati i dati sensibili di 143 milioni di utenti


Equifax è una "consumer credit reporting agency", cioè un ente statunitense che raccoglie dati riguardanti le abitudini e l'affidabilità dei consumatori. E', per capirsi, il soggetto a cui si rivolge una banca ad esempio, per capire se la persona che gli chiede un prestito sia affidabile o meno. La sensibilità dei dati dovrebbe essere quindi chiara, dato il ruolo di Equifax. Equifax ha dichiarato due giorni fa di essere stata vittima di un attacco hacker durante il quale gli attaccanti sono entrati in posesso dei dati sensibili riguardanti 143 milioni di clienti. E si, il numero è già impressionate: ancora più paura però desta il tipo di dati sottratti. Lo analizziamo come un case studies, che esemplifica perfettamente come trascurare la sicurezza informatica non solo esponga a grandi rischi, ma produca errori e rischi a catena. 

Che cosa è accaduto?
Stando a quando dichiarato da Rick Smith, amministratore delegato di Equifax, gli attaccanti sono entrati in possesso di nomi, numeri di previdenza sociale, data di nascita, indirizzi e, in alcuni casi, il numero della patente, compagnia assicurativa, la maggior parte dei dettagli bancari ecc.. 

venerdì 8 settembre 2017

SynAck: una nuova famiglia di ransomware pensata per attaccare le aziende?


Negli ultimi 5 giorni è registrato un grosso incremento dell'attività di un ransomware praticamente sconosciuto, chiamato SynAck o Syn Ack. Questo particolare ceppo di ransomware è stato individuato la prima volta il 3 di Agosto e tutti gli esperti hanno concordato nell'affermare che siamo di fronte ad una famiglia completamente nuova di ransomware. 

La campagna di SynAck è cresciuta dopo un mese
L'attività di SynAck non era mai stata a livelli allarmanti, anzi il ransomware risultava essenzialmente sconosciuto. Poi ha iniziato a "mietere" sempre più vittime, fino ad arrivare a mettere a segno svariate infezioni ogni giorno nell'ultimo mese. E' stato, infatti, individuato un grosso picco nell'attività di SynAck questa settimana, il cui bilancio si attesta attorno alle 100 vittime (dati del servizio Id-Ransomware). 

giovedì 7 settembre 2017

Un bug nel Kernel di Windows può impedire agli antivirus di individuare i malware


Gli sviluppatori di Malware possono abusare di un errore di programmazione contenuto nel kernel di Windows per impedire ai software di sicurezza di identificare moduli dannosi che dovessero venire caricati durante il runtime. Il bug riguarda  PsSetLoadImageNotifyRoutine, uno dei meccanismi low-level che alcuni software di sicurezza usano per individuare quando del codice che viene caricato nel kernel o nello user space. 

Il problema è che un attaccante potrebbe sfruttare questo bug nel kernel per far si che PsSetLoadImageNotifyRoutine restituisca un nome del modulo non valido, consentendo all'attaccante di "far passare" un malware come una operazione legittima

Il bug è presente in tutte le versioni di Windows rilasciate negli ultimi 17 anni
Questa problematica è emersa solo quest'anno, individuata da un ricercatore di enSilo che stava
studiando approfonditamente il kernel di Windows. Il ricercatore stesso afferma che sono riguardate tutte le versioni rilasciate a partire da Windows 2000 in poi, Windows 10 compreso

mercoledì 6 settembre 2017

Nuovo ransomware della famiglia CryptoMix: arriva Arena


Qualche giorno fa è stata individuata un'altra variante della famiglia di ransomware CryptoMix: sulla famiglia CryptoMix stiamo scrivendo ormai da molto tempo non solo per l'alto numero di infezioni che si registrano da ormai un anno, ma anche perché è una delle famiglie ransomware più attive e costantemente in espansione/miglioramento, con una media di una nuova variante ogni settimana.  

L'ultima variante: Arena Ransomware
L'ultima variante, individuata dai ricercatori di MalwareHunterTeam, cripta i file modificandone l'estensione in .arena. E' il secondo ransomware, rilasciato nelle ultime settimane, che modifica l'estensione in .arena: non vanno però confusi, in quanto l'altro, individuato qualche settimana prima, appartiene alla famiglia Crysis. La differenza più lampante tra le due varianti è che quella appartenente alla famiglia CryptoMix modifica il nome dei file con una stringa esadecimale.

martedì 5 settembre 2017

TrickBot Update: il trojan bancario ora attacca non solo i portali di banking online, ma anche gli utenti Coinbase


Abbiamo già parlato alcune volte di TrickBot, uno dei trojan bancari più diffusi. TrickBot è un trojan che si diffonde sopratutto tramite l'exploit kit Rig, impiegato nell'ambito di campagne di malvertising. Più recentemente è stato riscontrato in distribuzione tramite la botnet Necurs. Ovviamente è diffuso anche tramite email di spam. 

Un pò di storia
TrickBot è un trojan bancario individuato nell'Autunno del 2016 e la maggior parte degli esperti è convinta che sia stato sviluppato dallo stesso gruppo che aveva prodotto e distribuito il trojan bancario Dyre (oggi defunto). Sicuramente dietro a questo trojan c'è un gruppo che ha grande esperienza: il codice del trojan infatti è una sommatoria di pezzi di codice che hanno, mano a mano, ampliato le funzioni stesse del trojan, rendendolo un trojan unico, con una grande quantità di differenti possibilità di azione. 

lunedì 4 settembre 2017

Ransomware Locky: da una settimana è tornato in diffusione con molteplici campagne di spam


Nel corso della settimana appena passata, vari ricercatori di sicurezza hanno individuato diverse campagne di spam che diffondono il ransomware Locky secondo diverse modalità di distribuzione.
Ne elenchiamo alcune, rinnovando l'invito a fare molta molta attenzione a ciò che si riceve via email, a tenere ben "affilati" i filtri antispam e a dotarsi di antivirus che eseguano scansione comportamentale dei file e verifica proattiva delle email e dei file contenuti.

1. Distribuzione attraverso macro di Word
La prima ondata di email di spam diffonde un documento Word contenente una macro. E' una modalità di distribuzione che non ha nulla di nuovo, anzi, è una delle più comuni metodologie di diffusione di malware. Messaggi ingannevoli tentano di indurre la vittima ad abilitare la macro contenuta nel documento Word, solitamente spacciandola come necessaria per visualizzare contenuti o abilitare nuove funzioni. L'attivazione della macro di solito innesca uno script dannoso integrato nel documento stesso: lo script quindi esegue il download e installa un malware.