venerdì 29 dicembre 2017

Famiglia CryptoMix: ennesima variante modifica l'estensione dei file criptati in .tastylock.


Continuiamo la lunga rassegna sull'attivissima famiglia di ransomware Cryptomix. Dopo 3 settimane di silenzio ecco l'ennesima nuova versione in distribuzione (dell'ultima versione abbiamo parlato qui). E' stata individuata da Michael Gillespie, che ne scrive su Bleeping Computer una piccola analisi tecnica.

Come già successo per altre versioni, l'impianto base di questo ransomware non ha subito variazioni nel meccanismo di criptazione. Cambiano solo l'estensione aggiunta ai file criptati e le email di contatto. 

Le novità di questa variante

giovedì 28 dicembre 2017

Abbattuta la botnet Satori: ma il problema della sicurezza dei dispositivi IoT si fa incalzante.


Qualche tempo fa abbiamo parlato di Satori, una botnet trovata attiva su oltre 280.000 IP diversi: origina da Satori una variante del già arcinoto malware DDoS Mirai (ne avevamo parlato qui). Il malware Satori-Mirai infettava i router Huawei, sui quali l'attaccante (o gli attaccanti) aveva individuato una vulnerabilità zero day. Ora però il problema è stato risolto.

Come funzionava Satori
Satori, individuato ai primi di Dicembre, usava una tecnica molto simile a quella usata da Mirai per attaccare i router: il malware eseguiva uno scanning sulle porte 37215 e 52869, afflitte  da due diverse vulnerabilità.

La prima, che agisce sulla porta 37215, è la famosa zero-day (CVE-2017-17215) che colpisce i router Huawei. La seconda, che agisce sulla porta 52869, è invece ben nota agli esperti di sicurezza ed è un bug (nel dettaglio CVE-2014-8361) dei dispositivi Realteck SDK e D-Link. Tramite queste vulnerabilità Satori prendeva possesso del dispositivo e lo rendeva nodo della botnet. Oltre a ciò cominciava immediatamente a cercare altri bersagli vulnerabili per attaccarli. A questo si deve l'ampia estensione della botnet. 

Problema risolto!

venerdì 22 dicembre 2017

WordPress sotto assedio: invaso dai Miner di criptovaluta


Giusto ieri scrivevamo un articolo riguardo al fatto che i cyber-criminali sempre più spesso rinunciano alla diffusione dei ransomware per cercare forme più facili e redditizie. E per l'appunto vari gruppi stanno optando per i miner di criptovaluta.

Ecco, abbiamo una ulteriore conferma di questo trend, che probabilmente ci accompagnerà per tutto il 2018. La settimana scorsa infatti WordPress è stato bersagliato da una serie di attacchi a tappeto: una vera e propria campagna che ha colpito oltre 200.000 siti all'ora. I ricercatori di Wordfence, che hanno individuato la catena di attacchi e stanno cercando di arginarla, parlano della "più imponente operazione degli ultimi 5 anni".

Come funziona l'attacco?

giovedì 21 dicembre 2017

Quando i cyber-criminali passano dai ransomware ai miner di criptovaluta


Il gruppo di cyber-criminali dietro a VenusLocker, un ransomware che non ha nei fatti mietuto numerose vittime, ha deciso di concentrarsi sulla distribuzione di Miner per Monero.

Questo switch non è per nulla una sorpresa: il prezzo dei Monero è passato dai 132 dollari del 21 di Novembre ai 457 di oggi, 21 Dicembre. Nei mesi scorsi questo cambio è stato registrato numerose volte: Zealot, Hexmen, Loapi e l'ondata di attacchi di brute-force che ha sconquassato Wordpress, sono tutti nuovi tentativi di guadagno messi in atto da cyber-criminali che trovano adesso più conveniente darsi al mining di criptovaluta che seguire il lungo e complicato processo di diffusione-infezione-richiesta del riscatto-pagamento che sta alla base dei profitti garantiti dai ransomware.  Una tendenza già notata e in crescita (come abbiamo scritto qui e qui).

La rivalutazione continua delle criptovalute, in minor misura Ethereum, ma sicuramente impressionate se invece ci riferiamo al Bitcoin, è attualmente lo stimolo principale che ci fa affermare che è piuttosto verosimile aspettarsi un 2018 flagellato dai miner, per disgrazia delle CPU dei nostri PC e delle bollette elettriche.

I metadati collegano la crew di VenusLocker con l'attuale campagne

mercoledì 20 dicembre 2017

Tre malware hanno bersagliato i server MSSQL e MySQL per tutto l'anno.


Un attaccante cinese ( ma più probabilmente un gruppo) ha bersagliato i database MSSQL e MySQL su sistemi Windows e Linux per tutto l'anno, distribuendo tre diversi malware, uno per server, secondo diverse finalità. 

Il gruppo (o il singolo attaccante, non è un dato noto) ha iniziato la propria attività all'inizio dell'anno e detiene una infrastruttura "tentacolare" apposita per scansionare host vulnerabili, lanciare attacchi e gestire i malware. Questa vasta infrastruttura e l'uso di malware diversi hanno aiutato il gruppo a rimanere nascosto per tutto questo tempo: i vari incidenti causati dai loro attacchi infatti sono rimasti non collegati tra loro per la maggior parte dell'anno. 

I tre (nuovi) malware

martedì 19 dicembre 2017

3 diverse campagne approfittano delle shopping natalizio per diffondere malware.


Sono in diffusione tre malware diversi: GratefulPOS, Emotet e Zeus Panda. Sono ben 3 diverse campagne di diffusione, chiaramente pensate per approfittare del periodo dello shopping natalizio. Se GratefulPOS sembra essere un nuovo tipo di malware, gli altri due, Emotet e Zeus Panda, sono invece vecchie conoscenze: le versioni in diffusione hanno solo subito piccole modifiche.

GratefulPOS
E' un malware che colpisce i sistemi POS (Point of Sale): le prime analisi del suo codice sembrano confermare che si tratta di un malware composto dal codice di svariate famiglie di altri malware, sopratutto FrameworkPOS, TRINITY, BlackPOS e BrickPOS.

Individuato per la prima volta a metà Novembre, questo malware è pensato per essere eseguito su reti

lunedì 18 dicembre 2017

Scoperta .WORK, una nuova variante della famiglia di ransomware CryptoMix


Bleeping Computer ha individuato qualche giorno fa una nuova variante della famiglia di Ransomware CryptoMix. La nuova versione aggiunge l'estensione .WORK  ai file criptati: sono cambiate ancora le email di contatto indicate dal ransomware alle vittime per il pagamento del riscatto. Nell'articolo illustriamo i cambiamenti di questa nuova variante. 

Le novità
Il metodo di criptazione rimane lo stesso della versione precedente, ma con delle lievi differenze.

venerdì 15 dicembre 2017

GDPR: regolamento europeo per la Privacy. Cosa dice, come ci stiamo attrezzando per aiutarvi.



Il 25  Maggio 2018 è il termine ultimo per l'adeguamento al Codice Europeo per la Privacy.Questo regolamento sulla privacy comporta diverse e importanti novità in ambito di sicurezza dei dati, distaccandosi non poco dalla regolamentazione attuale. Sarà necessario quindi dotarsi di strumenti e protocolli in grado di poter intervenire dinamicamente sul trattamento dei dati in tempo reale. 

Ci occupiamo da oltre 20 anni di privacy, abbiamo studiato il GDPR e vogliamo mettere a vostra disposizione non solo la nostra conoscenza (in forma di consulenza e formazione), ma anche strumenti

giovedì 14 dicembre 2017

La botnet BrickerBot si ritira dopo aver raggiunto 10 milioni di dispositivi


L'autore di BrickerBot va in pensione e lo annuncia tramite una email a Bleeping Computer. Nel corso del progetto da lui chiamato "Internet Chemotherapy", iniziato nel Novembre 2016, ha infettato circa 10 milioni di dispositivi IoT. 

Cos'è BrickerBot
Individuato per la prima volta soltanto nell'Aprile 2017, BrickerBot ( ne abbiamo già parlato qui) è un malware creato per infettare i dispositivi IoT facendoli diventare nodi di una botnet. Opera scansionando Internet per individuare eventuali dispositivi vulnerabili, quindi usa un codice exploit per guadagnare un punto di accesso nei dispositivi vulnerabili per sovrascrivere il flash storage dei dispositivi con dati random. I dispositivi infettati spesso devono essere reinstallati o in certi casi rimpiazzati perché il malware riscrive il loro firmware.

Perchè BrickerBot?

martedì 12 dicembre 2017

Trovato un keylogger preinstallato nei notebook HP


HP ha rilasciato un update per i driver di centinaia di diverso modelli di notebook per rimuovere del codice di debug che un attaccante potrebbe usare come componente keylogger. 

Cos'è
Il componente in questione è il file SynTP.sys, contenuto nel driver Synaptics Touchpad integrato nei notebook HP. La funzione è disattivata per impostazione predefinita, ma può essere attivata semplicemente modificando il valore di una voce di registro.

La chiave di registro è
HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando

giovedì 7 dicembre 2017

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.


I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa.

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:

martedì 5 dicembre 2017

Ransomware Shadow: la nuova versione della famiglia BTCWare


E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

venerdì 1 dicembre 2017

Google impedirà ai software di terze parti l'injection code in Chrome.


Google nella giornata di ieri, con un post sul blog Chromium, ha annunciato alcune novità importanti per gli utenti del browser Chrome. Dalla metà del prossimo anno, in maniera tale da migliorare le prestazioni e ridurre i crash causati dal software delle terze parti su Windows,  non sarà più consentito alle app di terze parti di iniettare codice all'interno di Chrome. Le "prime vittime" di questa modifica saranno proprio gli antivirus e altri software di sicurezza, i quali spesso eseguono l'injection code nei processi del browser per intercettare e scansire malware, pagine di phishing e altri rischi.