Spyware per Android: nasce una nuova famiglia, BusyGasper

E' stata individuata una nuova famiglia di spyware per Android, arrivata all'attenzione dei ricercatori perchè foriera di nuove funzioni e originali implementazioni. BusyGasper si distingue per la capacità di monitorare vari sensori presenti sul telefono sotto attacco. Ad esempio, sulla base dei registri di rilevamento del movimento (ogni volta che si apre una app o si digita qualcosa) individua il momento migliore per eseguire o, al contrario, arrestare la propria attività.

Analizzando le sue funzioni, i ricercatori hanno individuato anche una funzione in grado di calcolare persino la velocità del dispositivo. Questo spyware usa tali informazioni per capire quando il dispositivo non è in uso alla vittima e fa in maniera tale che sembri in modalità standby anche se, in realtà, si trova in stato attivo. Usa una serie di comandi per silenziare il dispositivo, disabilitare il blocco tastiera, ridurre la luminosità dello schermo, utilizzare il blocco della sveglia e "scrutare" i sensori del dispositivo stesso. Tra questi, riesce anche ad ottenere l'accesso anche ai sensori per la temperatura dell'aria e della pressione, utili a fornire indicazioni sulle condizioni climatiche nei dintorni della vittima.

Che cosa è un Exploit? Tutto ciò che è bene sapere

Gli esperti di cyber sicurezza sono sempre cauti quando sentono la parola "exploit" e per buone ragioni: gli exploit infatti sono uno dei sistemi di attacco preferiti dai cyber criminali. Gli exploit infatti possono avvenire ovunque, in un software magari del tutto secondario, nel sistema operativo ecc... e inoltre spesso possono sfruttare vulnerabilità che neppure gli espeti di cyber sicurezza hanno ancora individuato (le cosiddette vulnerabilità 0-day). Una molteplicità di rischi e forme assunte da questo attacco quindi, che rende assai complessa la riduzione del rischio. Sono inoltre preferiti dai cyber criminali rispetto all'ingegneria sociale perchè portano, praticamente, quasi sempre a risultati sicuri. 

Che cosa è un exploit?

Gli exploit sono fondamentalmente programmi o meri codici che traggono vantaggio dallo sfruttamento di falle di sicurezza (vulnerabilità) presenti in un applicativo o in un software, compresi i plugin e le librerie dei software stessi. Talvolta l'uso degli exploit è finalizzato alla diffusione di malware contro le vittime: può bastare visitare un sito web contenente codice in grado di verificare la presenza di vulnerabilità per finire sotto attacco. Nel caso infatti queste vulnerabilità vengano riscontrate, l'attaccante "le forza" con l'exploit appunto per ottenere l'accesso alla macchina e poter installare programmi dannosi. 

PowerGhost: in diffusione il miner invisibile che attacca le aziende

La pausa estiva ovviamente non ha visto ridursi il cyber crimine, anzi. La tendenza a usare criptominer al posto dei ransomware come strumento di guadagno veloce pare essere confermata. Tra i nuovi criptomyner in diffusione, ovvero tra quei malware finalizzati all'uso illegittimo della cpu delle macchine degli utenti per "minare" criptovalute come Bitcoin, troviamo PowerGhost. 

PowerGhost viene distribuito entro le reti aziendali e infetta worstation e server: viene distribuito, pare per adesso, via attacchi mirati. Ad ora i principali attacchi si sono registrati in Brasile, Colombia, India e Turchia, ma si registrano i primi casi di infezione in Europa. 

Diritto all'Oblio e Libertà di informazione

di Dott.David Landini | Accademia Italiana Privacy 

Il diritto all’oblio, di cui all’art. 17 del GDPR prevede il diritto alla cancellazione dei dati di una persona fisica o giuridica nei casi in cui tali dati siano inesatti, offensivi o fuorvianti. Se nella maggior parte dei casi (in cui non sono coinvolti i mezzi di informazione) si ha la tendenza a ritenere il diritto all'oblio come inalienabile, è pur certo che esistono delle situazioni dove la linea di demarcazione tra diritti sostanziali e libertà di informazione si fa sottile.

Anche il nuovo Regolamento europeo sulla privacy è chiaro nell’escludere questo principio se la pubblicazione di tali dati è necessaria per l’esercizio delle libertà di espressione. In questo modo si ha la necessità di creare un equilibrio tra privacy e libertà d’informazione (sancita anche nei dettami della Carta Europea dei diritti dell’uomo). Per esempio gli archivi dei giornali, sia cartacei che telematici, e le radio, essendo una parte essenziale e insostituibile del patrimonio socio-culturale, sono delle risorse da conservare e salvaguardare, dato che si pongono come una sorta di garante del diritto della collettività a ricevere notizie di interesse generale: tale principio ovviamente non deve svanire, anzi è il caposaldo del diritto di essere informati e ad informare. Per questo è da ritenersi corretto far prevalere la diffusione di informazioni su procedimenti penali e civili di interesse generale rispetto all'esercizio del diritto all’oblio.

Storia di un ransomware: Samsam ha fatto guadagnare quasi 6 milioni di dollari ai suoi sviluppatori.

Il ransomware Samsam ha fatto guadagnare ai suoi creatori quasi 6 milioni di dollari di riscatti a partire dal 2015, anno del lancio: questi i dati pubblicato nel più completo report disponibile ad oggi dell'attività del ransomwware Samsam (il report, pubblicato dai ricercatori Sophos, è disponibile qui). 

233 vittime di SamSam hanno pagato il riscatto

Sophos ha collaborato, nella scrittura del report, con Neutrino, azienda di monitoraggio di blockchain e criptovalute: ha così potuto verificare transazioni e relazioni tra indirizzi Bitcoin differenti e la crew di SamSam. Tracciando questi indirizzi Bitcoin i ricercatori hanno potuto individuare almeno 233 vittime che non hanno trovato altra scelta che cedere al ricatto e pagare il riscatto: in base ai dati raccolti, la gran parte di queste vittime è localizzabile negli Stati Uniti, in Belgio e in Canada. 

La metà circa dei paganti sono aziende del settore privato, un quarto circa invece sono organizzazioni attive nell'ambito sanitario seguite da un 13% di vittime del settore governativo e da un 11% del settore dell'educazione. Sono stati individuati ben 175 diversi indirizzi Bitcoin usati nelle note di riscatto del ransomware SamSam e che hanno ricevuto pagamenti: altri 88 invece erano in uso, ma non hanno ricevuto pagamenti. La media è stata di un attacco mirato al giorno e di 1 pagatore ogni 4 vittime. 

Il ransomware Hermes distribuito con allegati Word dannosi

E' stata individuata una campagna di email dannose contenenti allegati Word infetti: l'apertura del Word infetto comporta l'infezione della macchina da parte del ransomware Hermes. La versione in diffusione è nuova, o almeno presenta una modalità di diffusione diversa rispetto a Hermes V.1.0, che si diffondeva via exploit kit sfruttando la vulnerabilità 0-day di Adobe Flash CVE-2018-4878.

Le email vettore

Come riportato da un ricercatore indipendente, le email provengono da indirizzi collegati al dominio anjanabro.com e contengono un allegato Word protetto da password. Il testo è impostato per "interessare" le aziende: l'emailo infatti sembra provenire da una persona in cerca di lavoro che allega il proprio Curriculum Vitae, il .doc appunto.