giovedì 31 gennaio 2019

GDPR: diamo i numeri! 42.000 data breach notificati, 255 indagini in corso.


Il 25 Gennaio 2019 il Primo Presidente Timmermans, il Vice Presidente Ansip e i commissari Jourova e Gabriel hanno rilasciato una dichiarazione congiunta in vista della Giornata della Protezione dei Dati.  La dichiarazione è arrivata in occasione del Data Protection Day, che cade per l'appunto precisamente 8 mesi dopo l'entrata in vigore del GDPR.


La dichiarazione è molto utile perchè, per la prima volta dall'entrata in vigore del GDPR, traccia un quadro della situazione attuale relativa alla compliance al GDPR e alle denunce/indagini in corso. 

Nella dichiarazione, i membri della Commissione Europea affermano che le autorità per la protezione dei dati (DPA) in tutta Europa hanno ricevuto oltre 95.000 reclami riguardanti la cattiva gestione dei dati personali: la maggior parte di queste sono state presentate da persone fisiche, ma non mancano i reclami provenienti da persone giuridiche. 

I tipi più comuni di reclami, stando ai dati della Commissione Europea, riguardano il telemarketing, le e-mail promozionali e la videsorveglianza / CCTV, settori nei quali sono risultate evidenti le violazioni di più disposizioni. 

giovedì 24 gennaio 2019

Una nuova campagna di spam diffonde la versione 5.1 di Gandcrab


I ricercatori di sicurezza hanno individuato, già in diffusione con una capillare campagna di spam, la nuova versione del ransomware GandCrab: siamo ormai alla versione 5.1 di questo pericolosissimo ransomware.  Il ransomware viene diffuso secondo lo schema classico: la vittima riceve una emal di spam contenente, in allegato, un documento Word dannoso. All'apertura, il documento Word scarica e installa il ransomware da un computer remoto. 

Questa campagna è "spinta" da un server già conosciuto dalla comunità dei ricercatori di sicurezza: è lo stesso server che, fino a poco tempo fa, distribuiva il trojan bancario Ursnif e che adesso invece funge da "base di invio" per GandCrab v.5.1.

L'email di spam
L'email è composta secondo alcuni principi di ingegneria sociale: per ingannare il destinatario e convincerlo ad aprire il documento allegato l'email si finge la mappa aggiornata delle uscite di sicurezza dell'edificio del destinatario.  Il mittente di quasi tutte queste email risulta essere Rosie L. Ashton, l'oggetto ricorrente è "Up to date emergency exit map".  L'allegato, in formato .doc, è rinominato "Emergencyexitmap.doc"

mercoledì 23 gennaio 2019

Nuovo ransomware ruba i dati di PayPal con un link di phishing nella nota di riscatto


Che i ransomware non godano più "della forma" della quale godevano qualche anno fa è un dato di fatto: che ormai siano altri i tipi di attacco preferiti dai cyber criminali è anch'esso un fatto, confermato dalle statistiche di rilevamento e dai report di praticamente tutti i maggiori vendor di soluzioni antivirus. Questo però, come abbiamo ribadito più volte, non significa che la minaccia dei ransomware sia "estinta" o che non vi siano ancora nuove tecniche di attacco in sperimentazione. 

Proprio di questo, di una nuova tecnica di attacco, parliamo a riguardo di un ransomware ancora in sviluppo che è stato individuato dai ricercatori di MalwareBytes. Il ransomware in sé non manifesta alcuna particolarità, fatta eccezione per la nota di riscatto, che contiene un link ad una pagina di phishing di PayPal. Il tentativo è quello, ovviamente, di massimizzare il profitto conseguente all'attacco: non solo quindi l'estorsione di denaro per riportare in chiaro i file criptati, ma anche il furto dei dati della carta di credito della vittima e, in caso di clic, anche delle credenziali PayPal. 

La nota di riscatto

martedì 22 gennaio 2019

Google Drive può diventare il Server di comando e controllo dei malware?


Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose. 

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente. 

La campagna attuale
L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows). 

lunedì 21 gennaio 2019

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)


Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);
- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità
Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.

venerdì 18 gennaio 2019

10 years challenge: è (solo) una sfida social o un Grande Fratello?


Molti di noi si saranno accorti della nuova sfida che sta tenendo banco su Facebook e Instagram in questi giorni: parliamo della "10 years challenge", un gioco sui social nel quale si confrontano le proprie foto di oggi con quelle scattate dieci anni fa, usando l'hastag #10yearschallenge. "Un gioco innocuo, tipicamente da social" staranno pensando in molti.

Eppure, qualche giorno fa, la giornalista e scrittrice Kate O'Neill ha sollevato un vero e proprio polverone con un semplice tweet, nel quale si domanda (lecitamente aggiungiamo noi) se e come verranno usati questi dati. Nel dettaglio si domanda se il confronto tra le nostre foto di oggi e quelle di 10 anni fa serviranno ad addestrare un algoritmo di riconoscimento facciale, affinando la capacità di riconoscere come cambiano le persone col progredire dell'età.

Un passo indietro...il machine learning

giovedì 17 gennaio 2019

Torna alla carica la truffa di "Whatsapp Gold"


Nel mondo social, l'emergenza fake news e fake app non è affatto una novità, ma anzi la realtà quotidiana con la quale si devono confrontare milioni di utenti nel mondo. Tra queste "fake",  nel 2017 si era distinta una truffa che, tramite messaggi Whatsapp, invitava gli utenti a installare "Whatsapp Gold". Questo mese, leggermente rivista e corretta, questa truffa è tornata di nuovo a minacciare la nostra sicurezza. 

Whastapp Gold Scam
Così è stata definita dai ricercatori di sicurezza questa truffa, nella quale gli attaccanti inviano ad ignari utenti dei messaggi Whatsapp che li invitano a scaricare un update di WhatsApp per ottenere, appunto, la Gold Version della popolarissima app: Whatsapp Gold dovrebbe essere, così suggeriscono i messaggi fake, la versione premium di Whatsapp passando alla quale si sbloccheranno funzionalità e si otterranno abilità extra. Peccato che l'update altro non sia che il payload di un malware. Whatsapp ha già confermato che si tratta di una bufala diffusa da truffatori: non esiste infatti alcun Whatsapp Gold. 

mercoledì 16 gennaio 2019

Emotet Alert: nuova campagna spam diffonde una nuova e più pericolosa versione del trojan


Emotet ha segnato un periodo di attività ridotta la scorsa settimana, ma ieri alcuni ricercatori di sicurezza hanno individuato una nuova campagna di email di spam che distribuisce una nuova versione di questo trojan: nuove versione che presenta nuove funzionalità dannose.

Emotet in breve
Ricordiamo che Emotet, recante inizialmente solo funzionalità di trojan bancario, è attualmente annoverabile tra i malware modulari: è cioè pensato per subire l'aggiunta di altri payload che ne possono aumentare le funzionalità dannose (infostealer, ransomware ecc..). La costante evoluzione delle funzioni incluse in Emotet, lo renderanno per parecchio tempo uno dei protagonisti della Top10 dei malware di quest'anno. 

La campagna di distribuzione

martedì 15 gennaio 2019

Facebook e Privacy: scoperte app per Android che forniscono dati a Facebook


da Quick Heal Italia 

E' stata Privacy International (PI), una organizzazione no profit britannica il cui nome già suggerisce lo scopo, a denunciare 20 applicazioni regolarmente presenti sullo store di Google: PI ha analizzato tali app a partire dal 25 Maggio 2018, giorno in cui è entrato definitivamente in vigore il nuovo regolamento europeo per la privacy e la sicurezza dei dati, il cosiddetto GDPR.

Vedi il report completo qui >> How Apps on Android Share Data with Facebook

L'analisi è stata compiuta su 34 applicazioni tra le più diffuse sul Play Store di Google, per verificare il livello di privacy degli utenti e di sicurezza dei dati. I risultati sono preoccupanti: ben 20 app invierebbero dati a Facebook, anche di utenti che non risultano iscritti al famoso social network.

Tra le app incriminate troviamo "pezzi grossi" del calibro di Tripadvisor, Kajak, Skyscanner (app

lunedì 14 gennaio 2019

Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette



Ryuk è sempre stato considerato un ransomware "mirato": la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l'accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l'accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo "successo", se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E' recentissimo (qualche settimana fa) l'uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times. 

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori

giovedì 10 gennaio 2019

Il Phishing si evolve e batte l'autenticazione a due fattori 2FA: arriva il super tool Modlishka


Nell'eterna lotta tra il cybercrime e la sicurezza informatica, i ricercatori di sicurezza avevano assestato un duro colpo, almeno per quanto riguarda la guerra al phishing: l'autenticazione a due fattori ha reso non sufficiente la detenzione della password di un account per potervi accedere. E' stato però un ricercatore di sicurezza (strano a dirsi, ma neppure troppo, ormai) a inventare il super tool per portare attacchi di phishing in grado di bypassare l'autenticazione a due fattori. 

Il tool, come spiega Piotr Duszynski - il suo creatore, è un "reverse proxy" programmato appositamente per gestire operazioni di phishing. Per "reverse proxy" si intende un tipo di proxy che recupera i contenuti per conto di un client da uno o più server. Tali contenuti vengono trasmessi al client come provenienti dallo stesso proxy: il proxy appare quindi al client come un server. Il funzionamento, in parole semplici, è questo: l'attaccante invece di creare una copia esatta del sito che vuole imitare può usare Modlishka come server per ospitare un sito da usare come tramite tra la vittima e il sito originale mentre ne replica i contenuti in real-time. 

mercoledì 9 gennaio 2019

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti


Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 

A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce

Il misterioso e (quasi) invisibile quadratino nero

martedì 8 gennaio 2019

Massimizzare il profitto di un attacco ransomware? Gruppo di cyber attaccanti usa il ransomware Gandcrab e un nuovo infostealer


I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l'intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 

I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l'exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

venerdì 4 gennaio 2019

Il ransomware WannaCry e l'exploit EternalBlue ancora in attività: sono davvero eterni?


EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya. 

Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma. 

1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni.