giovedì 28 marzo 2019

Ransomware: l'Italia prima in europa e decima nel mondo per numero di vittime


TrendMicro lancia un allarme che non può essere ignorato: stando ai dati del loro ultimo rapporto annuale sulla sicurezza, che ripercorre i cyber-rischi nel 2018, l'Italia è una delle vittime preferite degli sviluppatori di ransomware.

Se nella classifica mondiale del numero di vittime di ransomware, siamo in decima posizione (dove i primi gradini di questo infausto podio sono occupati da Stati Uniti, Brasile e India), in Europa abbiamo conquistato il gradino più alto del podio.

In controtendenza...
La particolarità è che, in senso inverso rispetto allo scenario italiano, i ransomware presentano un trend di forte decrescita confermato dalla maggior parte dei vendor di software antivirus mondiali: si parla di una riduzione del fenomeno di oltre il 91% rispetto al 2017. Segno, come abbiamo ripetuto già in altre occasioni, che la scena del cyber-crime sta mutando nell'approccio e nelle tattiche.  Ad esempio il 2018 ha ribadito un cambio qualitativo nell'approccio dei cyber criminali: non più campagne di attacco di proporzioni enormi finalizzate a colpire la più grande quantità di utenti possibili; al contrario gli attacchi si sono fatti più raffinati e mirati. Il trend è confermato dall'aumento degli attacchi BEC (Business Email Compromise), aumentati di quasi il 30% rispetto al 2017. 

Facebook: di nuovo a rischio milioni di account a causa di una falla


Per Facebook l' "annus horribilis" pare non finire mai:  l'ultimo scandalo relativo alla sicurezza di uno dei social network più diffuso al mondo è di qualche giorno fa.  Circa 600 milioni di account sono a rischio a causa di una falla nel sistema: le loro password sono finite salvate in un normalissimo documento di testo privo di qualsiasi basilare forma di sicurezza o criptografia, accessibili completamente a tutti i dipendenti della società. 

L'ammissione dell'errore viene da fonti interne allo stesso social, nel dettaglio da Pedro Canahuati,  Vice Presidente del team Engineering, Security and Privacy di Facebook stessa, con un un post pubblicato sul blog ufficiale di Facebook: nel testo si specifica che il problema ha riguardato utenti di Facebook Lite, Facebook, ma anche decine di migliaia di utenti Instagram. 

La falla: cosa si sa?

martedì 26 marzo 2019

L'università di Venezia scopre 10mila siti a rischio e mette (definitivamente) in dubbio la sicurezza del protocollo HTTPS


Lo studio è stato effettuato dall'Università Ca' Foscari di Venezia (qui l'abstract del paper) e mette in dubbio, forse più nettamente di altri situazioni studi simili, l'effettiva sicurezza del protocollo HTTPS: insomma, la presenza di questa sigla nell'indirizzo di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga su un sito. 

Come risaputo, il protocollo HTTPS serve a rendere sicura la comunicazione sul web fornendo un livello di protezione criptata che garantisca riservatezza e integrità alla comunicazione. Abilita inoltre l'autenticazione tra client e server. L'HTTPS si basa però, a sua volta, su un insieme di protocolli SSL / TLS che nel corso degli anni hanno dimostrato di avere alcune falle che ne hanno "certificato" una certa vulnerabilità. Questa problematica ha richiesto patch e mitigazioni sia nei server che nei browser, portando ad un complesso mix di diverse versioni di protocolli e implementazioni che, talvolta, rendono assai difficile capire quali tipi di attacchi siano ancora efficaci sul web e quali ripercussioni causino alle applicazioni di sicurezza. 

mercoledì 20 marzo 2019

Italia ancora sotto attacco: documenti Excel compromessi nascondono il trojan bancario Gozi


Il Cert-PA ha reso nota una campagna di diffusione malware via email pensata appositamente per utenti italiani.  Ricalca una campagna avvenuta poco tempo fa, sempre contro utenti italiani (ne abbiamo reso nota qui), che utilizza tecniche di steganografia per evitare l'individuazione da parte dei sistemi di sicurezza perimetrali. 

Il testo dell'email vettore, in italiano, è visibile sotto:

martedì 19 marzo 2019

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c'è pure un ransoware


WinRAR è un programma estremamente diffuso e popolare, il più usato dagli utenti Windows per la gestione di archivi compressi in diversi formati: non ci sono dubbi quindi che, per i cyber attaccanti, sia un target sicuro che permette un vasto "terreno di caccia". Qualche giorno fa il ricercatore Nadav Grossman ha denunciato la presenza in WinRAR di un bug presente da oltre 19 anni e mai scoperto: una vulnerabilità 0-day di livello critico. 

La problematica ruota attorno al formato compresso ACE: è nella gestione dei file compressi in questo formato che si annida la vulnerabilità CVE-2018-20250, che consente l'esecuzione di codice da remoto al momento stesso in cui viene estratto il file. Se infatti un utente apre un archivio compromesso in formato ACE usando WinRar, un eventuale malware contenuto al suo interno  può essere immediatamente installato sul computer.  Ma un exploit con successo di questo bug consente all'attaccante anche altre azioni dannose, come la possibilità di estrarre file nella cartella che contiene i programmi di startup, quelli che vengono immediatamente eseguite all'avvio stesso del pc o la possibilità di sfruttare il protocollo SMB per diffondersi ulteriormente nella rete.  Il rischio di contagiosità poi è elevatissimo, dato che gli archivi compressi sono pensati appositamente per la condivisione agile e veloce di file pesanti. 

giovedì 14 marzo 2019

Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.


Il ricercatore di sicurezza John Mason, esperto di privacy e servizi di Virtual Private Network, qualche tempo fa ha rivelato un dato molto interessate, ovvero che la maggior parte dei servizi VPN gratuiti forniti dalle big corporation raccolgono moltissimi (ok, forse è il caso di dire troppi) dati degli utenti. 

Così Mason ha deciso di approfondire ulteriomente il tema, analizzando il comportamento rispetto alla privacy degli utenti delle più diffuse e popolari VPN per Android, sia gratuite che a pagamento: il risultato, lo scrive lui stesso, è stato scioccante!

Il 62% delle App VPN per Android richiede permissioni pericolose

mercoledì 13 marzo 2019

Operazione "Pistacchietto": la campagna di spionaggio tutta italiana


Nei giorni scorsi i ricercatori di Yoroi hanno analizzato una nuova campagna in corso in Italia. L'hanno ribattezzata "Operation Pistacchietto", dallo username di un account Github utilizzato per fornire alcune parti del malware. L'origine tutta italiana della campagna è confermata da varie prove tra le quali in rinvenimento di parole come "pistacchietto" appunto e "bonifico" nei nomi file e negli script della campagna, ma anche dalla localizzazione geografica della maggior parte dei server di comando e controllo. 

martedì 12 marzo 2019

STOP ransomware: cripta i file e installa il trojan Azorult per il furto delle password


Individuata per la prima volta nei giorni di Natale del 2017, la famiglia di ransomware STOP conta ormai già quasi una ventina di diverse versioni, suddivisibili in due gruppi facilmente individuabili dall'estensione che aggiungono ai file dopo la criptazione.  

1. Gruppo STOP:
- sottogruppo STOP :
estensioni - STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA 
- sottogruppo KEYPASS: estensioni - .KEYPASS, .WHY, .SAVEfiles 
- sottogruppo DATAWAIT:estensioni .DATAWAIT, .INFOWAIT 
- sottogruppo Puma :estensioni .puma, .pumax, .pumas, .shadow 

2. Sottogruppo Djvu
- sottogruppo Djvu-1: 
estensioni: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu, .djuvq 
- sottogruppo Djvu-2:
estensioni .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee 
- sottogruppo Promo:
estensioni .blower, .promos, .promoz, .promock, .promorad, .promok, .promorad2 ... 

mercoledì 6 marzo 2019

Rietspoof: il trojan spia che si diffonde tramite Facebook Messenger e Skype


L'allerta viene dai ricercatori di Avast, che stanno studiando questo malware già dall'Agosto 2018, periodo nel quale sono avvenute le prime individuazioni. I ricercatori non ne avevano però ancora dato notizia sia perchè, almeno fino al picco del Gennaio 2019, dimostrava scarsissima diffusione, sia perchè la particolare struttura di questo trojan ne rende molto difficile l'analisi e quindi la comprensione del reale potenziale di rischio: parliamo infatti di un malware composto da una serie di strumenti che agiscono in fasi diverse, determinando una complessa struttura definita "a Matrioska".  In parole semplici, Rietspoof è composto da payload diversi, concatenati tra loro e che svolgono, ognuno, specifici compiti in stadi diversi dell'infezione.  

Che cosa fa?

martedì 5 marzo 2019

GandCrab e la "porn extortion"


"Abbiamo preso il controllo della tua webcam e ti abbiamo ripreso mentre guardi video porno. Abbiamo criptato i tuoi dati. E ora vogliamo il riscatto".

Si presenta così la nuova estorsione a sfondo sessuale, dopo un periodo di (relativa) calma:  questo schema di ricatto si è già visto molte volte nel corso dello scorso anno, usato per la diffusione di varie tipologie di malware e convincendo non poche vittime, sulla scia della vergogna e della paura, a pagare il riscatto. La campagna attuale distribuisce il ransomware GandCrab, una delle punte di diamante tra gli strumenti del cyber crimine. 

GandCrab in breve
abbiamo parlato dettagliatamente di questo ransomware e delle versioni diffuse in questo testo.  GandCrab è quello che, detto tecnicamente, si chiama un RaaS, ransowmare as a service: un vero e proprio servizio dove il malware è messo in vendita/affitto ad una vasta rete di sub-distributori. I gestori forniscono il codice del ransomware e assistenza tecnica, ricevendo in cambio dai clienti una percentuale su ogni riscatto ottenuto. La versione attualmente in diffusione, la 5.2, non ha una soluzione.  Alcune delle versioni precedenti invece sono risolvibili senza il pagamento del riscatto. 

lunedì 4 marzo 2019

GarrantyDecrypt, il ransomware che si camuffa da servizio di sicurezza di Proton


E' stata individuata una nuova variante del ransomware GarrantyDecrypt, già diffusa in attacchi reali contro utenti home. Questa famiglia di ransomware è stata individuata nell'Ottobre 2018 dal ricercatore Micheal Gillespie: non ha mai conosciuto una diffusione su larga scala, come altri malware "di punta" della categoria, ma si lascia costantemente alle spalle una scia di vittime.

Stando agli invii su ID-Ransomware (un utile strumento dove è possibile caricare file dannosi, o sospettati di essere tali, per individuare il tipo di infezione, ma anche per permettere ai ricercatori di sicurezza di analizzare nuovi attacchi), GarrantyDecrypt dimostra un flusso costante di utenti che hanno inviato al servizio nota di riscatto e file criptati -vedi foto sotto.

venerdì 1 marzo 2019

Credential stuffing: oltre 28 miliardi di tentativi di furto account solo nella seconda metà del 2018


Nel corso della seconda metà del 2019, tra Maggio e Dicembre 2018, sono stati rilevai circa 28 miliardi di tentativi di "credential stuffing": al centro di questo tipo di attacchi i siti web di vendita online al dettaglio, categoria che ha registrato da sola ben 10 miliardi di tentativi. 

Sono i dati pubblicati da Akamai nel report "State of the Internet / Retail Attacks and API Traffic report -2019", dati che dimostrano una drastica crescita dell'uso in larga scala di botnet per attacchi di credential stuffing. 

Che tipo di attacco è il "credential stuffing"?
è un tipo di cyber attacco piuttosto recente che sfrutta l'enorme quantità di data breaches registrati negli anni passati. Lo scopo è quello di prendere possesso degli account di quegli utenti che (pessima abitudine!) usano le stesse credenziali di accesso su diversi servizi ed account. I cyber attaccanti cioè, partendo dai database di credenziali rubate in vendita nel deep web, non fanno altro che tentare le stesse combinazioni di username e password su siti e servizi che non hanno ancora subito intrusioni. 

Un esempio su tutti, il caso Yahoo