Il ransomware Matrix di nuovo in diffusione via exploit kit.

Qualche tempo fa abbiamo parlato del ransomware Matrix: individuato già a partire dal 2016, ma assolutamente minoritario nel panorama delle minacce online. Dopo un lungo periodo di attività sotto traccia, ricompare ad Aprile 2017 con una caratteristica molto particolare: la capacità di diffondersi come un worm (qui più info). La diffusione resta assolutamente secondaria, fino quasi a condannarlo alla scomparsa. Ora è tornato alla carica.

Come si diffonde?
La vecchia versione si diffondeva sfruttando l'exploit kit RIG diffuso via EITest: quella attualmente in distribuzione riconferma l'uso dell'exploit kit RIG_EK. 

Invasione dei miner di cripto-valuta. Ora anche per Android.

I più assidui frequentatori di siti per lo streaming online avranno notato strani rallentamenti del sistema operativo, oppure ancora l'aumento improvviso della temperatura del PC e del lavoro della ventola.. E' in corso una vera e propria epidemia di miner: più si amplia la rete di scambio di moneta virtuale più operazioni si devono svolgere, maggiore è la necessità di potere di calcolo (vedi qui per saperne di più). 

I miners in Javascript
L'ultima "moda" è quella di distribuire miner in-browser in JavaScript , una tendenza iniziata ormai a Settembre e che ora sta diventando seriamente preoccupante avendo raggiunto anche app ufficiali nel Google Play Store, ma anche distribuzioni di massa attraverso botnet di siti Wordpress hackerati. Tra questi Coinhive continua ad essere il più pericoloso, perché il più scelto dai cyber-truffatori. 

Anche Bad Rabbit usa exploit rubati all'NSA: implementa ETERNALROMANCE

Due giorni dopo l'attacco ransomware di Bad Rabbit, che ha duramente colpito Russia e Ucraina (ma registrato vittime anche in Germania, Turchia, Stati Uniti ecc..), i ricercatori di sicurezza hanno scoperto altri dettagli riguardo al funzionamento del malware. Inizialmente si era infatti convinti che il meccanismo di diffusione del ransomware dalla vittima iniziale ai computer nella stessa rete passasse dal tentativo di accedere via protocollo SMB usando una serie di credenziali: una nuova ricerca (Cisco Talos e F-Secure) rivela che invece Bad Rabbit ha usato una versione modificata di un exploit dell'NSA per migliorare il processo di diffusione.

Non c'è due senza tre.

E' la terza volta, sono quest'anno, che l'attacco di un ransomware raggiunge livelli di diffusione mondiale sfruttando cyber-armi approntate dall'NSA e pubblicate online dopo l'attacco del gruppo Shadow Brokers che le ha sottratte dall'NSA stessa (per approfondire vedi qui e qui). 

Il trojan bancario LokiBot diventa un ransomware quando si prova a rimuoverlo.

E' stato individuato un trojan bancario per Android, rinominato LokiBot che si trasforma in un ransomware e blocca lo smartphone quando si prova a rimuoverlo con i privilegi di amministrazione. Il malware è più trojan bancario che ransomware. LockyBot funziona mostrando false schermate di login nelle finestre delle app più popolari: cerca di rubare le credenziali delle app per il banking online, ma mira anche a Skype, Outlook e Whatsapp.

N.B: L'infezione E' RISOLVIBILE: vedi in fondo all'articolo. 

In vendita nel web

LokiBot è un in vendita nel web, in alcuni forum di hacking. Il prezzo è di 2000 dollari circa da pagarsi, ovviamente, in Bitcoin. 

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell'est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le "vittime eccellenti" l'aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l'Italia riteniamo utile parlarne per l'inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia. 

Come si diffonde?

Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione

Arriva Xopero 2.0: tutte le migliorie del backup di seconda generazione.

Siamo felici di annunciare a tutti i nostri rivenditori importanti novità riguardanti i backup di Xopero.

Il backup in Locale cresce e migliora, con nuove funzioni, sistema di reporting migliorato, maggior sicurezza e ripristino semplificato. 

Oltre a ciò, il vendor polacco, specializzato in soluzioni di backup e disaster recovery in cloud, ha annunciato anche l’istituzione di un vero e proprio Partner Program, dedicato sia ai reseller che ai Managed Service Provider (MSP).  L’obiettivo primario è quello di supportare i partner nella crescita del business in cloud e di mantenere la fidelizzazione del cliente finale, con un programma naturalmente diviso in diverse livelli.

Vediamo tutte le migliorie e le proposte nel dettaglio:

Trojan Proton: attacco ai Mac in corso per rubare le informazioni

I server di Eltima, sviluppatore di un software multimediale molto apprezzato dagli utenti MAC come Elmedia Player, sono stati violati. Gli attaccanti sono riusciti a sostituire l'installer originale con una versione che include il trojan Proton.

Trojan Proton: che cosa è?

Il trojan Proton è un malware appositamente pensato per i computer che eseguono sistemi operativi MAC: una volta installato consente agli attaccanti di rubare un gran numero di informazioni dal dispositivo bersaglio. Nel dettaglio Proton punta alle informazioni di sistema:

Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.

Magniber è un nuovo ransomware che viene distribuito attraverso l'exploit kit Magnitude: secondo Bleeping Computer Magniber è il successore di Cerber. Se, infatti, alcuni aspetti di Magniber sono differenti da Cerber, il sistema di pagamento e la modalità di criptazione sono molto simili. 

Il malware è stato individuato da Michael Gillespie su segnalazione di un utente colpito: pochi giorni dopo altri ricercatori scoprivano che l'exploit kit Magnitude, che è stato fino ad ora il distributore di Cerber, aveva cominciato a distribuire un nuovo ransomware (al tempo colpiva specificatamente utenti Sud Coreani).

Leggi anche: Exploit kit as a Service: perchè Ransomware e Exploit kit sono ormai coppia fissa

E' dalla fusione di Magnitude con Cerber che nasce Magniber. Secondo Bleeping Computer vi sono buone possibilità perché il ransomware sia risolvibile: ad oggi, ovviamente, non lo è ancora.

Come si diffonde?

Il Malware Necurs si potenzia: ruba schermate dai PC infetti e invia report sui propri malfunzionamenti

Le famiglie di malware evolvono ormai su basi quotidiane, ma alcuni update catturano l'attenzione più di altri. Necurs ha appena subito uno di questi aggiornamenti "interessanti". Una precisazione: col nome Necurs si indicano sia una variante di malware che la botnet di computer infetti che il malware ha generato. 

Il malware Necurs è un downloader ed ha solo 3 funzioni principali:

• ottenere la persistenza in avvio sul PC infetto;
• raccogliere la telemetria sugli host infetti;
• scaricare e installare, in un secondo momento, payload.
  

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili

Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

Nuovo ransomware della famiglia CryptoMix: arriva .x1881

Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto

La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware

Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

Famiglia ransomware BTCware: individuata una nuova versione, Payday.

E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam

È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.

La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme

Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.

FormBook: il malware impiegato in una nuova campagna di furto dati

Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.

Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.

Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo

Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni. 

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti

In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.

In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO

Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.

La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento