martedì 28 novembre 2017

Gravi Falle nelle CPU Intel : 900 modelli di PC di diversi produttori a rischio


L'azienda Intel in questi giorni si è trovata a far fronte ad un grave problema legato alla sicurezza di funzioni e componenti dei suoi processori e che coinvolge e mette a rischio attacco informatico una gran quantità di computer e milioni di utenti. Le vulnerabilità sono state individuate all'interno di alcuni componenti firmware come Intel Management Engine, Server Platform Services e Trusted Execution Engine sebbene la più grave riguardi Intel ME. Il primo allarme lo ha dato Intel stessa, pubblicando un alert riguardante alcune vulnerabilità che potete leggere qui.

I rischi alla sicurezza del computer:
Queste vulnerabilità potrebbero consentire ad un pirata informatico
  • l’installazione sul computer della vittima di rootkit  
  • buffer overflow a livello del kernel, 
  • malfunzionamenti e crash e tutta una serie di altri processi  che potrebbero favorire l'attività criminale di qualsiasi attaccante.
L'annuncio di Intel

venerdì 24 novembre 2017

Il ransomware Scarab distribuito con una massiva campagna di spam.


Il ransomware Scarab (ne abbiamo parlato qui, ricordiamo che la versione 1.0 è risolvibile ), è stato individuato per la prima volta a Giugno: ora è in diffusione attraverso milioni di email di spam lanciate dalla botnet Necurs, la più grossa botnet per l'email spamming. La campagna è cominciata alle prime ore del mattino di ieri.

Necurs sta diffondendo milioni di email di spam
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab. 

mercoledì 22 novembre 2017

Condivisione sicura dei documenti? Noi vi proponiamo AWDoc!


Qualunque azienda, indipendentemente dal settore in cui opera, dalle dimensioni e dalla collocazione geografica, ha fra le sue principali necessità quella di adottare sistemi in grado di assicurare la totale protezione delle informazioni sensibili, utilizzate e condivise ai fini dello svolgimento delle attività quotidiane.  Una questione di buon senso a protezione della confidenzialità dei dati aziendali e di quelli che riguardano i clienti. Ma ormai anche una questione legale, dato il 25 Maggio 2018 rappresenta la data ultima, la death line, per l’adeguamento al GDPR- il General Data Protection Regulation (Regolamento UE 2016/679).

Quali necessità per le aziende dell’era IT?

martedì 21 novembre 2017

Ennesima ondata di app compromesse sbarca nel Play Store di Google: arrivano i malware multi-stage


Un'altra ondata di app dannose si è infiltrata nell'app store ufficiale di Android. Il malware BKY infatti è stato riscontrato in 8 diverse app sul Google Play: le 8 app sono già state segnalate a Google. Nessuna delle app in questione ha ottenuto più di un centinaio di download, ma riteniamo utile parlarne perchè il problema delle app dannose che superano i controlli preventivi di Google Play è diventato ormai allarmante. 

Qualche tempo fa infatti due falsi WhatsApp sul Google Play hanno registrato più di 1 milione di download, comportando l'infezione degli utenti, un numero impressionante di dati rubati ecc...(ne avevamo già parlato qui). Google sta cercando costantemente di migliorare i meccanismi di sicurezza, ma i cyber-criminali stanno implementando tecniche anti-individuazione sempre più raffinate. 

Qui l'elenco delle 8 app compromesse

lunedì 20 novembre 2017

Nuova variante della famiglia Cryptomix : arriva 0000


Qualche giorno fa, l'ennesima variante della famiglia di  ransomware CryptoMix è stata scoperta:  questa versione aggiunge  l'estensione .0000  ai nomi dei file criptati.  Si tratta, ricordiamo ancora una volta, di una  delle famiglie di ransomware più attive. Sono infatti molte le varianti diffuse nello spazio di pochi mesi, solo quest'ultima si va ad aggiungere alle due nuove varianti  rilasciate nella settimana scorsa. In questo articolo indicheremo le variazioni rispetto alle versioni precedenti della stessa famiglia di ransomware. 

1. La nota di riscatto
Il meccanismo di criptazione non ha subito modifiche. La nota di riscatto  non è cambiata ed è ancora denominata   _HELP_INSTRUCTION.TXT, ma sono state cambiate le email che le vittime devono contattare per ricevere le istruzioni di pagamento del riscatto.  Ecco le nuove email:
  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com

giovedì 16 novembre 2017

Un (grave) bug di sicurezza nell'Editor per le Equazioni di Office consente l'esecuzione di codice dannoso senza interazione dell'utente


Microsoft office ha risolto due giorni fa una gravissima falla nella sicurezza di Microsoft Office: una vulnerabilità sfruttabile che consentirebbe ad un attaccante di eseguire codice dannoso senza nessuna interazione dell'utente. La vulnerabilità in questione, CVE-2017-11882, è stata risolta nell'update November 2017 Patch Tuesday.

La vulnerabilità si trova nel vecchio  Equation Editor.
Individuata dal gruppo di ricerca Embedi, la vulnerabilità riguarda il Microsoft Equation Editor (EQNEDT32.EXE), uno degli eseguibili che vengono installati sul computer degli utenti con la suite di Office. Questo strumento, come indica il nome, consente agli utenti di integrare equazioni matematiche nei documenti Office in forma di oggetto OLE dinamico. Embedi ha scoperto che Microsoft usa ancora la versione di EQNEDT32.EXE compilata nel 2000: esegue cioè un codice molto molto vecchio che si basa su librerie decisamente datate e che è privo di ogni più recente funzione di sicurezza aggiunta ai sistemi operativi Windows.

martedì 14 novembre 2017

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX


In questi giorni,  è stata scoperta la diffusione di una ulteriore variante della famiglia di  ransomware CryptoMix:  questa nuova variante va ad aggiungere l'estensione .XZZX ai nomi del file criptati. La famiglia CryptoMix  si dimostra ancora una volta tra le più attive con l'ennesima variante distribuita nell'arco di poche settimane. Le principali differenze di questa nuova versione del ransomware rispetto alle precedenti riguardano nuovamente le email di contatto per ricevere le istruzioni di pagamento e l'estensione di criptazione aggiunta. Il  metodo di criptazione è rimasto  invece sostanzialmente invariato.

1. La nota di riscatto
La nota di riscatto ha nuovamente il nome  _HELP_INSTRUCTION.TXT  ma adesso,  per contattare le vittime per le istruzioni di pagamento, utilizza le seguenti email :

  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com

lunedì 13 novembre 2017

Nuova campagna di diffusione del ransomware Locky, nella variante .asasin


Due giorni fa è stata individuata una nuova ondata di attacchi con il ransomware Locky, nel dettaglio la variante .asasin. La campagna è ancora in corso. 

Come viene distribuito?
Questa ondata è la solita ondata di mail di spam contenenti un allegato Office Word, non solo però per Microsoft Office ma anche per altri software simili come Libre Office. I documenti contengono l'immagine di una busta e recano un messaggio che invita l'utente a fare doppio click sull'immagine per sbloccare il contenuto del documento. 

venerdì 10 novembre 2017

RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis


Finalmente, ogni tanto, una buona notizia. Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: la versione .crysis del ransomware Crysis e la versione XTBL del ransomware Troldesh.

Chiunque sia rimasto vittima di questi ransomware può scrivere all'email alessandro@nwkcloud.com inviandoci due file criptati assieme alla richiesta di riscatto. Ulteriori informazioni qui
Alcune informazioni base per riconoscerli:

1. RANSOMWARE TROLDESH .XTBL
A. Email di contatto collegate:

giovedì 9 novembre 2017

GIBON: nuovo ransomware distribuito via email di spam [risolvibile]


E' notizia di questi ultimi giorni, la scoperta di un nuovo ransomware a scopo di lucro fraudolento, chiamato GIBON. Questo ransomware si distribuisce tramite email di spam con un documento dannoso in allegato: questo documento contiene una macro che è responsabile del download  e dell'installazione del ransomware  sul computer.

Perchè è chiamato GIBON?
Esistono diversi modi per denominare un ransomware quando questo viene scoperto. A volte sono  i ricercatori che, per denominarlo, utilizzano  le stringhe trovate negli eseguibili. Altre volte è invece il malware stesso a  dare le  indicazioni su come andrà  chiamato. Nel caso in questione, il virus è denominato GIBON per  due ragioni : la prima  è la   stringa  ''user agent Gibon'' che è utilizzata quando il virus comunica con il server di comando e controllo.

martedì 7 novembre 2017

Falsi WhatsApp su Google Play fanno più di 1 milione di download.


Google Play sta facendo enormi sforzi per migliorare tutti i meccanismi di sicurezza e vigilanza per la verifica della genuinità delle app che ospita. Il problema è che Google Play è l'app store online più visitato e usato al mondo e questo spiega come mai sia costantentemente nei pensieri dei cyber-criminali, che studiano ogni maniera per aggirare i controlli e mettere in download app dannose/compromesse/manomesse. 

La maggior parte delle volte si tratta di app assolutamente secondarie, che sfruttano la loro posizione "di minor interesse" sperando di passare inosservate (e ci riescono solo per un breve periodo di tempo): in questo caso però il colpaccio è di quelli che fa notizia. 

I falsi Whatsapp
Il 3 Novembre, su Reddit, viene denunciata la presenza, nel Google Play, di una app clone di

lunedì 6 novembre 2017

La crescita del malware super-invisibili grazie alla firma digitale


Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all'acquisto, nel dark web, con un prezzo fino a 1.200 dollari. 

Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di

venerdì 3 novembre 2017

Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing


Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 

Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche