giovedì 31 maggio 2018

Individuata nuova versione del ransomware Cryptomix: arriva Backup Cryptomix


Ieri alcuni ricercatori hanno individuato una nuova variante della fertilissima famiglia di ransomware CryptoMix: rispetto a versioni precedenti, le differenze si trovano nell'estensione aggiunta ai file criptati, nel cambio della email di contatto contenuta nella nota di riscatto e in piccole modifiche della nota stessa.

Le novità
Il metodo di diffusione è rimasto, per quanto scoperto fino ad adesso e denunciato dalle vittime stesse, variegato: dai software incorporati in freeware online alla diffusione via email di spam. Più rari i casi di diffusione via exploit, sfruttando le vulnerabilità dei software e/o del sistema operativo in uso sulla macchina bersaglio. Ugualmente, rimangono identici i meccanismi col quale il ransomware si rende autoeseguibile ad ogni riavvio (così da poter criptare ogni nuovo file che venga immesso nella macchina) e coi quali cancella le copie shadow di volume (così da impedire il recupero dei file). 

mercoledì 30 maggio 2018

WordPress.com: gli hacker trovano un nuovo modo per installare backdoor sui siti WordPress.Qualche info e come risolvere il problema.


I cyber attaccanti hanno utilizzato un nuovo metodo, mai visto prima, per installare plugin con backdoor sui siti che eseguono il CMS oper source WordPress. L'attacco ha le sue fondamenta in account debolmente protetti e nel plugin Jetpack. Va detto: la tecnica è assai complessa e, per compromettere un sito, necessita di una lunga serie di passaggi durante i quali sono molti gli ostacoli che potrebbero impedire all'attacco di risultare con successo.  Tuttavia questi attacchi sono in corso da giorni, nel dettaglio dal 16 Maggio stando a quanto riferito da Wordfence, la società di sicurezza dei siti di WordPress e da diversi post sui forum ufficiali di WordPress.org: diversi utenti proprietari di siti gestiti con WordPress hanno infatti denunciato dirottamenti dal proprio sito su siti gestiti da ignoti attaccanti. 

Come funziona questo nuovo attacco?

martedì 29 maggio 2018

BackSwap: il nuovo trojan bancario che aggira le protezioni dei browser per "dirottare" le transazioni


I ricercatori di sicurezza hanno individuato una nuova famiglia di trojan bancari, denominata BackSwap: la particolarità è l'uso di tecniche del tutto innovative per aggirare le protezioni dl browser più usati e sottrarre soldi dai conti correnti delle vittime.

BackSwap.A
è il primo esemplare di questo malware, individuato lo scorso 13 Marzo e distribuito nell'ambito di campagne email fraudolente ai danni di utenti europei, sopratutto polacchi. I messaggi di spam usati in questa campagna includevano un allegato dannoso contenente codice JavaScript altamente offuscato, identificato dalla maggior parte degli antivirus come variante del trojan downloader Nemucod. Il downloader scarica sul PC della vittima una versione modificata di un'app apparentemente legittima, che però contiene il payload del malware: è una tecnica finalizzata a confondere la vittima e rendere più difficile l'individuazione del codice dannoso. Tra le app usate dagli sviluppatori di BackSwap per nascondere il trojan troviamo TPVCGateway, SQLMon, DbgView, WinRAR Unistaller, 7Zip, OllyDbg e FileZilla Server. 

Le tecniche innovative

venerdì 25 maggio 2018

[AccademiaItalianaPrivacy] Buongiorno GDPR: il principio di accountability e i diritti degli interessati


di Gianni Dell’Aiuto | Avvocato |Accademia Italiana Privacy

Nonostante in molti si augurassero il contrario e ieri siano state fraintese notizie circolate in rete - a causa dello slittamento ad Agosto delle deleghe al Governo, ma non del termine per l’adeguamento alla nuova disciplina- da oggi tutti coloro che trattano in qualsiasi forma, dati personali, devono essere in regola con il GDPR.

Tecnicamente parlando non possiamo dire che “oggi entra in vigore” il GDPR, vale a dire il nuovo Regolamento Europeo in materia di trattamento dei dati personali. Già pubblicato sulla G.U. del 4 Maggio 2016, il GDPR è entrato in vigore dal ventesimo giorno successivo alla pubblicazione e prevede il termine ultimo di oggi per l’effettiva applicazione e la sua completa efficacia su ogni punto, ad iniziare dalle pesanti sanzioni per chi non ottemperi a quanto in esso disposto.

La nuova normativa che, deve ribadirsi, prenderà il posto della vecchia 196/2003 (la quale resterà in vigore per le previsioni penali stante la riserva di legge ai singoli Stati dell’Unione sul punto), ruota attorno al principio della “accountability”, termine che possiamo tradurre in responsabilizzazione, ma che in italiano non rende idea del suo più pieno significato.

martedì 22 maggio 2018

Google e Microsoft rivelano un nuovo attacco Spectre


Ci risiamo: i ricercatori di sicurezza di Google e Microsoft hanno individuato 2 nuove varianti di Spectre che riguardano processori AMD, ARM, IBM e Intel (vi ricordate di Meltdown e Spectre, le vulnerabilità che hanno sconvolto la concezione della sicurezza dei processori di vendor del calibro di Intel e AMD: leggi qui e qui) . I primi rumor riguardo a questa nuova vulnerabilità sono trapelati online all'inizio del mese, pubblicati in un magazine tedesco, ma ora sono di dominio pubblico. Immediatamente i vendor principali di processori hanno pubblicato i propri "Security Advice!", contenenti spiegazioni su come funzionano i bug e consigli per la mitigazione, che elenchiamo sotto:

AMD -> clicca qui
ARM -> clicca qui
IBM -> clicca qui
Intel ->  clicca qui
Microsoft -> clicca qui
Ubuntu ->  clicca qui

Il Bug Spectre NG

venerdì 18 maggio 2018

3 campagne contemporanee diffondono miner di criptovaluta: WinstarNssmMiner fa 500.000 vittime in tre giorni.


I ricercatori di Qihoo 360 Total Security hanno individuato una massiccia e davvero virulenta campagna di diffusione di un nuovo coinminer che ha infettato oltre 500.000 vittime in appena 3 giorni. Il malware in questione si chiama “WinstarNssmMiner" e bersaglia solo utenti Windows. 

Il malware
Di per sé “WinstarNssmMiner" è il tipico malware per il mining di criptovaluta, basato sull'utility XMRig (open source e legittima) per il mining di Monero. Non è chiaro come si diffonda, ma un dato certo c'è: si tratta di un malware che rappresenta un caso unico nell'attuale mercato dei malware per il mining di criptovaluta. Il modus operandi di WinstarNssmMiner è il seguente:
  1.  Infetta la vittima;
  2.  verifica la presenza di processi legati ad antivirus come Avast e Kaspersky e altri;
  3.  se l'utente usa uno di questi due antivirus interrompe l'infezione;
  4.  se non vengono trovati i processi sopra indicati, lancia due processi svchost.exe;
  5. il codice dannoso viene iniettato entro i due svchost.exe: uno di questi avvia il mining di Monero in background;
  6. il secondo processo verifica invece la presenza di processi di altri antivirus;
  7. lo stesso processo termina i processi legati ai software antivirus per evitare l'individuazione.

giovedì 17 maggio 2018

Individuata nuova versione del ransomware Dharma: cripta i file in .bip


Michael Gillespie ha annunciato la diffusione di una nuova variante del ransomware Dharma, segnalata dal ricercatore Jakub Kroustek. Questa nuova variante, palesemente appartenente alla famiglia di ransomware Dharma, cripta i file e ne modifica l'estensione in .Bip. Non è chiaro come venga distribuita questa versione, ma la famiglia Dharma si è distinta per la diffusione tramite attacco ai servizi di Desktop Remoto per poter procedere all'installazione manuale del ransomware.

Come cripta i file
Una volta che questa variante viene installata, esegue subito la scansione del computer in cerca di data file e li cripta. I file criptati subiscono la modifica del nome e dell'estensione secondo lo schema:
  • .id-[id].[email].bip
Ad esempio il file test.jpg diventa test.jpg.id-BCBEF350.[Beamsell@qq.com].bip. Sotto un esempio di file criptati da Bip Dharma. 

martedì 15 maggio 2018

Backup e GDPR: Xopero, Strongbox e la sicurezza e privacy dei Dati


Il General Data Protection Regulation (GDPR) è alle porte. Imporrà numerose responsabilità alle aziende per quanto riguarda la raccolta e la gestione dei dati personali dei cittadini dell'UE. A seguito del nuovo Regolamento, le imprese saranno obbligate ad implementare in modo specifico i ruoli, i processi e le tecnologie che assicurano la sicurezza dei dati personali dei cittadini dell'UE.

Cosa devi tenere a mente:           
Tutti i cittadini dell’UE hanno il diritto legale di accedere ai dati che un’azienda ha raccolto su di loro durante un acquisto online, accedendo a servizi statali online, servizi sanitari o acquisiti da applicazioni mobile. È responsabilità dell’azienda garantire di essere in grado di fornire questo tipo di informazioni su richiesta. Le imprese devono fornire informazioni dettagliate sul modo in cui stanno usando i dati dei consumatori. I consumatori acquistano il diritto di richiedere alle organizzazioni di trasferire i propri dati ad una controparte. Ricorda inoltre che le aziende devono essere in grado di proteggere e mantenere la privacy dei dati anche in caso di attacchi ransomware. Le aziende che non soddisfano i requisiti GDPR si troveranno soggette a ingenti multe.

lunedì 14 maggio 2018

L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo


Il 12 Maggio cadeva il primo anniversario del più celebre attacco ransomware della storia, WannaCry. Un anno dopo, stando ai dati telemetrici provenienti da svariate fonti di ricerca, l'exploit che è stato alla base di questo epocale attacco è più popolare e diffuso che mai. 

Questo exploit, chiamato EternalBlue, è stato sviluppato dalla divisione cybernetica dell'Agenzia di Sicurezza Nazionale USA (NSA): faceva parte di una serie di tool che un gruppo di hacker, denominato The Shadow Broker, ha rubato dai server NSA nel 2016 e quindi rilasciato online dall'Agosto 2016 all'Aprile 2017. Nel Marzo del 2017 Microsoft pubblica il bollettino di sicurezza MS17-010, contenente le patch proprio per le vulnerabilità bersagliate da EternalBlue. Che cosa è successo dopo è ben documentato: EternalBlue è stato usato per creare un meccanismo di self-spreading (si si, come un worm) per diffondere prima il ransomware WannaCry, poi, poco dopo, il wiper NotPetya e il ransomware Bad Rabbit. L'impatto di EternalBlue è stato devastante: 8 miliardi di danni alle aziende, vittime in oltre 150 paesi solo durante l'attacco WannaCry, stando a IBM X-Force.

L'inizio... a rilento

venerdì 11 maggio 2018

Malware Nigelthorn: si diffonde via Facebook e false estensioni di Chrome per rubare le password degli account social


Una tecnica truffaldina piuttosto in uso tra i cyber criminali consiste nell'attirare gli utenti dai social network a versioni sosia (ma false) di popolari siti web, nei quali poi una finestra popup avvisa della fantomatica "necessità di installare una particolare estensione di Chrome" per risolvere problemi di visualizzazione. Ovviamente non c'è alcuna estensione ad attendere l'utente, ma un bel malware. 

Questo tipo di truffe è sempre più frequente e, proprio ieri, ne è stata denunciata pubblicamente una, attualmente ancora in corso: questa campagna è attiva almeno da Marzo e pare aver infettato già 100.000 utenti in svariate parti del mondo. Il malware in diffusione è stato soprannominato Nigelthorn e si diffonde su Facebook, ad una velocità piuttosto preoccupante, tramite link ben costruiti secondo i canoni dell'ingegneria sociale: è programmato per infettare i sistemi delle vittime con estensioni browser dannose che rubano le credenziali degli account social, installano miner di criptovaluta e coinvolgono in "click fraud" ( si parla di click fraud quando una persona o un software automatizzato clicca sugli annunci sponsorizzati su un sito web con lo scopo di far spendere all’inserzionista senza un reale ritorno in termini di vendite).

Come viene diffuso il malware Nigelthorn?

giovedì 10 maggio 2018

Individuato il primo ransomware che usa il Doppelganging per ingannare i sistemi di sicurezza


I ricercatori di sicurezza hanno individuato una particolarissima versione del ransomware SynAck: una versione che introduce, per la prima volta nella storia dei ransomware, l'uso del Doppleganging per ingannare i sistemi di sicurezza. Stiamo parlando di una nuova tecnica di elusione fileless di iniezione di codice, che aiuta il malware e evitare l'individuazione. 

Il ransomware SynAck è un ransomware noto dall'Autunno del 2017, ma il picco di infezioni si è avuto in Dicembre, con una sequenza massiva di attacchi contro l'RDP: fin dalla sua comparsa è stato comunque caratterizzato  dall'uso di complesse tecniche di offuscamento per impedire ogni forma di ingegneria inversa. Nei mesi successivi la diffusione si è quasi interrotta, fino a quando è stata messa in distribuzione la nuova versione, appunto qualche giorno fa. Non è però chiaro come si diffonda questa versione, se via email di spam, siti web dannosi o app di terze parti.   

Il Process Doppelganging in breve
Il Process Doppelganging sfrutta una funzione integrata di Windows e una implementazione non documentata del process loader di Windows: funziona in tutte le più recenti versioni di Windows a partire a Windows Vista fino a Windows 10 compreso. Questo attacco sfrutta le transazioni NTFS per lanciare processi dannosi sostituendo nella memoria i processi di sistema legittimi: l'NTFS Transaction è una funzione di Windows che introduce il concetto di transazione atomica (indivisibile, cioè dove nessuna altra operazione può cominciare senza che sia prima terminata quella precedente)

martedì 8 maggio 2018

Come i malware provano a ingannare gli antivirus: le tecniche di evasione


Malware in crescita...
Il rapporto Clusit 2018 (relativo al 2017 ovviamente) segnala che i malware in diffusione sono cresciuti del 95% rispetto al 2016, anno nel quale la crescita rispetto al 2015 arrivò al +116%. Sono aumentate anche del 7% circa le tecniche APT (Advanced Persistent Threat) e Multiple Tecnhiques, ritenute le forme di minaccia più sofisticate.

In questo contesto spicca il fatto che è ormai prassi abbastanza consolidata tra gli sviluppatori di malware quella di introdurre modifiche e aggiustamenti al codice del malware stesso affinchè possa passare inosservato agli strumenti di rilevazione previsti dagli antivirus. Vediamo le tecniche base di elusione. E'interessante conoscere le tecniche di attacco e anche vedere un pò come si sono evolute: sarà utile a farci capire quanto sia importante una solida soluzione antivirus che offra protezione multi-livello, ma servirà anche a ribadire quanto sia sempre l'utente il fulcro della difesa, l'anello debole. 

Distribuzione delle tecniche di attacco

lunedì 7 maggio 2018

GandCrab saga: in distribuzione la terza versione del ransomware


E' stata individuata la versione 3 del ransomware GandCrab, in diffusione dal 4 Maggio circa. Non si registrano significativi cambiamenti, a parte l'introduzione dell'immagine di sfondo del desktop per la richiesta di riscatto. Attualmente il ransomware non è risolvibile gratuitamente. 

Come si diffonde...
Secondo gli esperti questa variante viene diffusa attraverso l'exploit kit Magnitude, esattamente come per la variante 2. 

venerdì 4 maggio 2018

Europa sempre più attenta alla sicurezza informatica: ufficializzato il Cert-EU (Computer Emergency Response Team)


L'Unione Europea attraversa ormai da qualche tempo una fase piuttosto travagliata per quanto riguarda la sicurezza informatica e la privacy dei dati. Il "caso Facebook" ha riguardato anche moltissimi utenti europei, così come l'attacco ransomware WannaCry: esempi che dimostrano seccamente l'importanza dell'analisi preventiva delle minacce informatiche e che sicuramente hanno avuto un ruolo fondamentale nel (lungo) percorso che è servito per far considerare la sicurezza informatica un asset critico per tutto il continente. 

Già nel "lontano" 2010, nell'Agenda Digitale Europea, l'Unione Europea sottolineava la necessità di un sistema di difesa informatica comune, rinforzato e efficiente, ma anche di team di difesa nazionali per ogni singolo Stato Membro. Venne quindi richiesto l'aiuto di quattro esperti di cyber sicurezza, conosciuti come “Rat der IT Weisen” -comitato di saggi dell'informatica: stilarono un rapporto dettagliato su come istruire e organizzare un team d'emergenza e pronto interventi di contrasto delle minacce informatiche. Il gruppo concluse il proprio lavoro nel Novembre 2010: l'11 Settembre 2012 nasce il Cert-Eu. 

giovedì 3 maggio 2018

Ancora Miner: nuova campagna colpisce i web server con un ampio assortimento di Exploit


E' in corso una nuova ondata di exploit per la diffusione di malware per il mining di criptovaluta che colpisce i server nel web e usa una molteplicità di exploit per aumentare le proprie possibilità di ottenere l'accesso a sistemi vulnerabili e non aggiornati: installa così un miner di Monero. 

La campagna, ribattezzata dai ricercatori di AlienVault MassMiner, usa exploit contro tre diverse vulnerabilità: la CVE-2017-10271 (Oracle WebLogic), la CVE-2017-0143 (SMB Windows) e la CVE-2017-5638 (Apache Struts). 

Exploit VIP

mercoledì 2 maggio 2018

FacexWorm: il malware in diffusione su Facebook Messenger e Chrome


Gli utenti di Google Chrome, Facebook e tutti coloro che utilizzano cirptovalute devono prestare attenzione ad una nuova tipologia di malware chiamata FacexWorm: questo malware è specializzato nel furto di password, nel furto di criptovalute dai fondi delle vittime, nell'esecuzione di script per il mining e per un elevato livello di spam contro gli utenti Facebook. 

Il nuovo malware è stato individuato qualche giorno fa e appare collegato a due diverse campagne di spam via Facebook Messenger: parliamo, nel dettaglio, di due massive campagne di spam che hanno avuto luogo rispettivamente in Agosto e Dicembre 2017 e che hanno diffuso il malware Digmine. Digmine installava miner di Monero e estensioni dannose nel browser Chrome delle vittime. I ricercatori concordano nell'affermare che il modus operandi di questa campagna sia molto simile alle due precedentemente citate, con qualche aggiunta tecnica rivolta agli utenti di criptovalute. 

Come si diffonde FacexWorm