mercoledì 28 febbraio 2018

Nuova variante di Mirai trasforma i dispositivi IoT in Server Proxy


I ricercatori di sicurezza hanno individuato una nuova variante del malware Mirai (ne abbiamo parlato qui e qui) , che ha come obiettivo quello di infettare i dispositivi IoT e dispositivi di rete per trasformarli in una rete di Proxy Server da usare per direzionare traffico dannoso. Le botnet di rete usate come Proxy Server non sono affatto una novità: lo scorso anno ne sono state individuate moltissime, la più famosa è stata la Linux.ProxyM.

Funzione Proxy e funzione DDoS
I ricercatori però hanno individuato una novità peculiare in questa nuova versione del famigerato Mirai: questa variante contiene sia la funzione proxy che quella DDoS. Non ne sono concordi alcuni utenti della comunità infosec, che dichiarano che ancora non c'è certezza della compresenza delle due

martedì 27 febbraio 2018

La crisi degli exploit kit: anche RIG abbandona i ransomware


Negli scorsi anni gli exploit kit hanno comportato svariati grattacapi per tecnici e vittime. Ma già nell'Estate del 2016 la parabola degli exploit kit, capitanati appunto dal celeberrimo RIG, si è fatta discendente, fino al punto che nel 2018 RIG ha smesso di distribuire qualsiasi ceppo di ransomware, preferendo i miner di criptovaluta o i trojan infostealer per rubare informazioni. Queste le conclusioni di Brad Duncan, ricercatore di sicurezza di Palo Alto Network. 

Il mercato degli exploit è sempre più in crisi
Duncan è stato tra i primi a denunciare questo importante cambiamento nel panorama delle minacce informatiche, notando una vera e propria contrazione del "mercato" degli exploit kit (applicazioni web-based utili a facilitare la diffusione di codice dannoso verso browser vulnerabili e non aggiornati). Duncan aveva denunciato il declino di questo mercato già nel 2016: tutto il 2017 gli ha

venerdì 23 febbraio 2018

Certificati SSL : il prodotto di "lusso" che scoraggia gli hacker



I certificati SSL rappresentano uno dei tanti prodotti venduti all'interno del mercato nero appetiti dagli hacker. Acquistandone uno è possibile riuscire a far passare inosservato il malware agli occhi del sistema di sicurezza del terminale preso di mira. Sebbene il mercato sia florido, una ricerca recente ha dimostrato che il prezzo di questi certificati è molto alto, fattore che sembra aver scoraggiato numerosi hacker. 

E' risaputo che il malware più difficile da individuare è quello che apparentemente presenta una firma riconducibile ad aziende ben conosciute e certificate. Quello che però si è sempre ritenuto, più o meno a ragione, è che gli hacker avessero messo le mani sui certificati attraverso il furto di quest'ultimi a danni dell'azienda stessa, dei loro partner o delle stesse CAs (le autorità certificate). 

La maggior parte dei certificati non viene hackerata, viene comprata

giovedì 22 febbraio 2018

Il trojan per Mac Coldroot è in diffusione da un anno, ma gli antivirus non lo rilevano.


Patrick Wardle è un ricercatore di sicurezza di Digita Security: da oltre un anno sta studiando il trojan per Mac Coldroot, che pare a tutt'oggi invisibile agli antivirus. 

Wardle si è imbattuto in questo trojan studiando TCC.db, un database del sistema operativo Apple molto appetitoso per i cyber criminali: solitamente è bersaglio di keylogger che puntano a sottrarre informazioni. TCC.db è infatti un database molto particolare, che contiene le informazioni più sensibili ospitate nel sistema e che è stato recentemente protetto attraverso una specifica funzione di sicurezza, la "System Integrity Protection (SIP), introdotta con OS X El Capitan. Le versioni precedenti restano però vulnerabili ad attacchi contro TCC.db.

Le ricerche di Wardle...

mercoledì 21 febbraio 2018

LockCyrpt: nuovo ransomware in diffusione con attacchi di brute force sulla porta RDP


E' stato individuato un nuovo ransomware chiamato LockCrypt, che viene diffuso attaccando i servizi di desktop remoto. Una volta ottenuto l'accesso al sistema, LockCrypt cripterà i file della vittima aggiungendovi l'estensione .1btc.

Come si diffonde?
In sostanza, gli aggressori cercheranno di attaccare quei computer dove sono presenti Servizi di Desktop Remoto attivi, cercando di individuare le credenziali di accesso con attacchi di Brute Force. Una volta ottenuto l'accesso sul computer bersaglio, gli attaccanti eseguiranno il ransomware su tutti i computer che troveranno accessibili. Gli sviluppatori del ransomware provvederanno successivamente a fornire le informazioni necessarie per il pagamento del riscatto, sia che si tratti di decriptare una singola macchina sia che si tratti invece di recuperarne più di uno.

Come cripta i file?

martedì 20 febbraio 2018

GDPR: i 5 punti sicuri dai quali partire per orientarsi verso la compliance


Come ricordiamo ormai da qualche mese, il 25 Maggio 2018 entrerà definitivamente in vigore il GDPR, il nuovo regolamento europeo per la protezione dei dati, vincolante non solo per le aziende nell'Unione Europea, ma anche per molti titolari e responsabili del trattamento dati fuori dall'UE. L'adeguamento richiede una serie di adempienze e obblighi legali e il tempo necessario per la compliance varia molto da azienda ad azienda. Nonostante le difficoltà le aziende dovranno adottare piuttosto velocemente il regolamento, pena possibili sanzioni per il mancato adeguamento. Viste le molte problematiche da affrontare, ci concentriamo sui 5 punti più importanti, i primi passi da compiere nel percorso per raggiungere la compliance. 

Da parte nostra, abbiamo creato un nuovo sito dedicato alla piattaforma GDPRlab, vieni a visitarlo per scoprire le nostre proposte e le soluzioni più adatte a te, i tuoi clienti o la tua azienda e tutti i servizi offerti https://gdprlab.it/. Abbiamo anche organizzato un primo corso formativo a riguardo: maggiori informazioni sono disponibili qui.

1. Stabilire il proprio ruolo nell'ambito del GDPR.
  • l'Azienda offre beni o servizi a persone residenti nell'UE?
  • l'azienda monitora i comportamenti (compresi quelli online) di persone residenti nell'UE?
  • l'azienda tratta dati personali di persone residenti nell'UE per conto di una società con sede nell'UE?

Se rispondi si ad almeno 1 di queste domande, significa che la tua azienda molto probabilmente è

lunedì 19 febbraio 2018

Saturn: il nuovo ransomware che "si regala gratuitamente" a chiunque voglia distribuirlo.


Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 

Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di

venerdì 16 febbraio 2018

Dispositivi IoT: ecco il worm DoubleDoor per attacchi mirati.


Questo 2018 offre e offrirà scenari inediti per la cyber sicurezza. L'avvento dei malware per il mining di cirptovaluta è una di queste novità, ma non è l'unica. I dispositivi IoT, lo abbiamo scritto molte volte, hanno gravissime pecche di sicurezza e, considerando la loro diffusione capillare, aumentano infinitamente il potenziale di rischio. L'uso di password di default, i pochissimi aggiornamenti e update dei firmware resi disponibili dai vendor e molti altri problemi rendono i dispositivi IoT dei bersagli mobili. Non è un caso che moltissime botnet, usate in campagne di spam ma anche per attacchi DDoS, siano composte quasi interamente di dispositivi IoT. Fino ad ora va detto però che, essendo veramente deboli le difese di questi dispositivi, anche le modalità di attacco erano piuttosto elementari: scansioni a tappeto su Internet per individuare quelli esposti, utilizzo di exploit spessissimo con banalissime credenziali di default e il dispositivo IoT diventa un bot reclutato in una botnet. 

Una nuova minaccia...

mercoledì 14 febbraio 2018

Microsoft pubblica l'Update di Windows Analytic per aiutare nel patching di Meltdown e Spectre.


Con i fix di sicurezza del Patch Tuesday, Microsoft ha pubblicato un update per il servizio Windows Analytics che aiuterà le imprese col processo di patching delle vulnerabilità Meltdown e Spectre (ne avevamo già parlato qui e qui e qui

Windows Analytic è un tool gratuito che Microsoft offre alle imprese e che fornisce un report dettagliato dello stato del parco computer interno di un'azienda.  Il tool non è molto conosciuto, ma riscuote un certo favore tra gli amministratori di sistema che devono gestire ampie reti di decine o centinaia di computer. 

Le patch per Meldtdon e Spectre hanno prodotto un disastro

martedì 13 febbraio 2018

Vulnerabilità 0-day di Telegram sfruttata per diffondere Mining Malware


Gli autori di malware hanno individuato una vulnerabilità 0-day nel clienti Windows di Telegram: la stanno usando per infettare gli utenti con un malware per il mining di cripto valute.

La 0-day
La vulnerabilità sfruttata in questo attacco si trova in "come" il clienti Windows di Telegram gestisce il carattere Unicode RLO (right to left override). Questo carattere è usato per passare da dalla visualizzazione del testo RTL (right to the left) a quella LTR (left to the right). Va detto, al momento in cui scriviamo, che la vulnerabilità è già stata risolta: non è chiaro però quali versioni di Telegram siano affetti da questa vulnerabilità. Si sa solo che questi exploit sui client Windows sono iniziati nel Marzo 2017. 

Gli utenti Telegram hanno ricevuto dai truffatori dei messaggi contenenti un file allegato. Il nome

lunedì 12 febbraio 2018

Furti e truffe: le cripto valute attirano guai.


Twitter e gli Ethereum rubati. 
Il 9 febbraio è verificata una truffa molto facile, ma altrettanto efficace: un gruppo di truffatori ha guadagnato 5.000 euro in cripto-valuta in pochissime ore. E' bastato registrare una serie di falsi account Twitter facenti riferimento a personaggi noti del mondo hi-tech, come Johan McAfee o il creatore di Ethereum Vitalik Buterin. I falsi profili hanno poi cominciato a pubblicare tweet nei quali promettevano 2 Ethereum a chiunque ne avesse versati 0,2 su un wallet il cui link era indicato nel messaggio stesso. Inspiegabilmente centinaia di persone hanno abboccato: è stato un grande esperimento di igegneria sociale, viosto che si sono usati accorgimenti per aumentare la credibilità del messaggio (ad esempio sotto si può vedere il riferimento al Presidente Usa Donald Trump).

venerdì 9 febbraio 2018

Attacchi DDoS, l'importanza di tempestività e automazione (più qualche dato)


Solamente nel mese di Gennaio, in Italia, sono stati registrati 6.400 attacchi informatici, il che significa una media di circa 206 attacchi al giorno. Questi dati sono stati rilevati dall'infrastruttura
ATLAS di NETSCOUT Arbor, che raccoglie dati sul traffico anonimo da 400 service provider su scala globale, offrendo così la possibilità di osservare circa un terzo dell’intero traffico Internet.

giovedì 8 febbraio 2018

GandCrab: nuova campagna di mail spam diffonde il ransomware "nascosto" dentro false ricevute PDF.


È in corso una nuova campagna di malspam: l'allegato è una falsa ricevuta in formato PDF, ma al suo interno nasconde soltanto il ransomware GandCrab (ne abbiamo già parlato qui). Il ransomware infetta il computer e cripta i file della vittima: questo viene fatto attraverso una serie di documenti dannosi che alla fine installano il ransomware tramite uno script PowerShell.

L'inizio della catena di eventi che portano all'installazione di GandCrab avviene quando una vittima riceve un'e-mail con un oggetto come "Receipt Feb-078122". Queste e-mail contengono un allegato PDF con nomi come Feb01221812.pdf come mostrato di seguito.

mercoledì 7 febbraio 2018

Nuova botnet per il mining di Monero bersaglia i dispositivi Android


Nel weekend è comparsa una nuova botnet: mira ai dispositivi Android dopo aver effettuato una scansione in cerca di porte di debug aperte. Una volta individuate, infettano il dispositivo della vittima con un malware che estrae la criptovaluta Monero. 

La botnet ha fatto la sua comparsa Sabato scorso, il 3 febbraio e prende di mira la porta 5555, che, nei dispositivi che seguono il SO Android, è la porta usata dal sistema operativo nativo Androird Debug Bridge (ADB). ADB è una interfaccia di debuggin che garantisce l'accesso ad alcune funzioni più delicate del sistema operativo stesso. 

Solo i dispositivi Android, per adesso, sono stati infettati, come smartphone, smart TV ecc..: questi i

martedì 6 febbraio 2018

Ransomware: due nuove varianti e qualche dato sul fenomeno.


I ransomware non sono più il vettore principale di attacco per i cyber criminali, che oggi si rivolgono al mining di cripto valuta come strumento di profitto facile (almeno fino a quando i valori delle cripto valute saranno così alti). Ciò non significa però che i ransomware non siano più uno strumento di attacco. Descriviamo qui due nuove varianti di famiglie a noi ben note e pubblichiamo qualche dato utile a inquadrare la situazione. 

Cryptomix
Cryptomix è una famiglia di ransomware di cui abbiamo spesso trattato. Di seguito riportiamo tutto ciò che c'è da sapere sulla nuova variante appena scoperta. Per la maggior parte è uguale alle varianti precedenti, i metodi di criptazione rimangono gli stessi, la richiesta di riscatto è ancora denominata _HELP_INSTRUCTION.TXT, ma le email di contatto utilizzate adesso sono:

lunedì 5 febbraio 2018

WannaMine: il malware come WannaCry, ma senza ransomware


9 mesi fa si è verificato uno dei più gravi attacchi ransomware della storia, quello di WannaCry del quale abbiamo abbondantemente scritto. Qualche giorno fa i ricercatori hanno individuato un malware che si diffonde esattamente come WannaCry e rischia quindi di compromettere le macchine di una grandissima quantità di utenti. Il mezzo usato sono le vulnerabilità di EternalBlue, l'exploit trafugato all'NSA (l'Agenzia di sicurezza nazionale statunitense) dal gruppo Shadow Broker. 

Che questo rischio fosse dietro l'angolo, lo avevamo scritto giusto qualche giorno fa: era del tutto verosimile infatti aspettarsi un nuovo connubio tra miner di cripto valuta (uno strumento di guadagno sempre più apprezzato dai cyber-criminali) e uno degli strumenti di diffusione malware più efficace nella storia del cyber-crimine degli ultimi dieci anni. Anche il numero potenziale di vittime è altissimo, perché, nonostante per le vulnerabilità del protocollo SMB attaccate da EternalBlue siano state rilasciate da molto tempo le patch, pochi sono gli utenti che hanno eseguito l'aggiornamento. 

WannaMine

giovedì 1 febbraio 2018

Malware miner di criptovaluta infetta oltre mezzo milione di PC con gli exploit sottratti all'NSA.


Se il 2017 è stato l'anno dei ransomware e dei furti di dati, il 2018 vede ampliarsi il panorama delle cyber minacce, con la comparsa e la sempre maggiore popolarità dei malware legati al mining di cripto valute: un nuovo strumento di cyber criminalità molto redditizio per gli attaccanti.

Svariate aziende di ricerca hanno riportato l'individuazione di virus per il mining che vengono distribuiti usando una vecchia conoscenza: EternalBlue (leggi qui), l'exploit kit sottratto all'NSA (l'Agenzia di sicurezza nazionale statunitense) dal gruppo hacker Shadow Brokers e che è stato alla base del devastante attacco ransomware WannaCry (ne abbiamo parlato qui).

E' stata individuata una botnet chiamata Smominru che usa l'exploit per il protocollo SMB EternaBlue (CVE-2017-0144) per infettare i computer Windows e usarne il potenziale di calcolo per