martedì 30 aprile 2019

"Il tuo computer è stato bloccato. Chiama per supporto": la Polizia Postale dirama alert su una nuova ondata di truffe online


La Polizia Postale ha pubblicato pochi giorni fa un avviso per gli utenti italiani, per informare di una nuova ondata di truffe finalizzata all'estorsione di denaro alle vittime

Sono state infatti molteplici le segnalazioni di utenti che, durante la navigazione su siti web anche legittimi, hanno improvvisamente visualizzato un messaggio di allarme proveniente, in apparenza, da Microsoft: 

lunedì 29 aprile 2019

Libero e Virgilio Mail hacked: rubati (da un bar) gli accessi di oltre 1.4 milioni di utenti


E' stato sufficiente appostarsi in un bar di Assago (provincia di Milano) a poche decine di metri in linea d'aria dalla sede di Italiaonline S.p.a con un pc e un antenna per riuscire a rubare le credenziali di accesso ad oltre 1 milione e 400 mila utenti di Libero Mail e Virgilio Mail. La storia, già rimbalzata sulle cronache nazionali, ha dell'incredibile: protagonista uno studente di Giurisprudenza di 24 anni, ingaggiato su Telegram da ignoti attaccanti che gli hanno garantito un buon gruzzolo in Bitcoin come ricompensa. 

L'attacco pare essersi svolto in due diversi momenti: un primo tentativo era stato fermato la scorsa settimana, quando i proprietari del bar in cui si era appostato l'attaccante avevano trovato insolito l'armamentario del ragazzo (montava sul pc una grossa antenna per captare da lontano il WiFi di Italiaonline) e lo avevano inseguito, riuscendo però a scattargli solo una foto.  Il secondo tentativo invece è stato interrotto direttamente dai Carabinieri, che lo attendevano appostati nel bar. 

giovedì 18 aprile 2019

La riscossa di CryptoMix: nuova versione del ransomware in diffusione


Molti ricercatori lo davano ufficialmente per scomparso: non si avevano notizie né di nuove versioni né di nuove campagne del ransomware CryptoMix da tempo. Invece da qualche giorno fioccano denunce di nuove infezioni: molteplici utenti  hanno denunciato di aver subito un'infezione ransomware caratterizzata dall'aggiunta dell'estensione .DLL al file criptati. 

Le vittime riferiscono di aver subito l'infezione dopo un attacco che ha violato i servizi di desktop remoto connessi direttamente ad Internet. Le testimonianze riferiscono inoltre che il ransomware ha abilitato l'account amministratore di default per poi modificarne la password, così da impedire alla vittima di avervi accesso. Fatto che conferma una tendenza già in atto: sempre meno campagne di mailspam di massa per la distribuzione di ransomware in favore di attacchi più mirati su servizi pubblicamente accessibili che garantiscono un accesso più ampio al sistema. 

La nota di riscatto

lunedì 15 aprile 2019

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue


Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1. 

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB,  disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile. 

giovedì 11 aprile 2019

Botnet Mirai: nuove varianti colpiscono nuovi processori e architetture


La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.

Aumenta la superficie di attacco
Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti "consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi". Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati. 

Aumenta la potenza di fuoco

mercoledì 10 aprile 2019

Criptovalute: crollo dei miner in-browser, impennata dei malware


Abbiamo denunciato in più occasioni il problema dei miner di criptovalute: nati come strumenti legittimi per sostituire gli ads come mezzo di guadagno per i gestori di siti web, in pochissimo tempo si sono "tramutati" in vere e proprie armi illegali di attacco contro utenti ignari.  La loro diffusione era divenuta così estesa da obbligare piattaforme di rilievo come Google Play  a rimuovere tutte le app per il mining e a impedire la pubblicazione di nuove. 

In questi ultimi due anni, periodo nel quale la loro diffusione ha mostrato una crescita più che esponenziale, si è affermato sopratutto l'uso dei miner in browser: parliamo di codice JavaScript inserito entro siti Internet o web server compromessi o appositamene creati (crypto-jacking) .

Da più fonti, nel mondo della sicurezza informatica, si sta denunciando, però, un cambiamento piuttosto drastico: i dati mostrano un netto calo dei miner in browser, al quale corrisponde al contrario un'impennata dei malware per il mining. Il motivo parrebbe essere legato, principalmente, ad una questione di efficacia. 

lunedì 8 aprile 2019

Piattaforma GDPRlab: le novità della versione 2.0


Da Lunedì 8 Aprile è online la versione 2.0 della piattaforma GDPRlab. Grazie ai nuovi update tecnici e normativi introdotti, ti consentirà di mantenere la tua azienda e quella dei tuoi clienti conforme in tempo reale al Regolamento (UE) 2016/679 (GDPR), verificando il livello di compliance e generando il certificato di conformità secondo le linee guida di Accademia Italiana Privacy (A.I.P.), con il quale potrai fregiarti professionalmente. 

La nuova versione della piattaforma implementa anche il sistema di gestione del livello di formazione dei tuoi incaricati, obbligatoria ai sensi dell'articolo 29 del Regolamento, ti fornisce un sistema di log management per gli Amministratori di sistema e molte altre nuove funzionalità.

Ecco tutte le novità!

giovedì 4 aprile 2019

False comunicazioni INAIL diffondono il malware Gootkit via PEC


Il periodo nero per l'Italia, dal punto di vista della sicurezza informatica, non accenna a finire: l'attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso. 

L'email vettore

mercoledì 3 aprile 2019

Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware


La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa. 

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato "it.txt", dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri 
  • /ns --> questo parametro specifica che non deve essere creata un'icona sul desktop
  • /s --> specifica che l'installazione o la disinstallazione deve avvenire "silenziosamente", ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all'utente. 

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.

martedì 2 aprile 2019

vxCrypter: il primo ransomware che cancella i duplicati dei file


Lawrence Abrams,
ricercatore di sicurezza informatica ed esperto di rasnomware, ha individuato una nuova famiglia di ransomware (che per ora si "fregia" del solo capostipite) molto particolare: parliamo di vxCrypter, il primo ransomware che non cripta solo i dati delle vittime, ma "riordina" il computer infetto cancellando i file duplicati. Così, paradossalmente, il primo effetto di questo "trucchetto" è quello di migliorare le prestazioni del pc infetto, liberando spazio. Di contro però, diminuisce il tempo necessario al ransomware per criptare il pc.

Il ransomware è ancora in sviluppo, ma è la prima volta nella storia dei ransomware che il cyber attaccante si occupa anche di cancellare i file duplicati durante la routine di criptazione. vxCrypter è programmato in .NET, ma non è del tutto nuovo: si basa, riadattandolo e "ammodernandolo" su un vecchio ransomware, mai distribuito perchè non è mai terminata la fase di sviluppo: vxLock. Usa, per la criptazione dei file sia l'algoritmo AES sia l'RSA. 

lunedì 1 aprile 2019

Il trojan bancario Gootkit diffuso via PEC contro utenti italiani


Ennesimo allarme da parte del CERT-PA su una campagna di email di spam che diffonde il trojan bancario Gootkit contro utenti italiani: la notizia è datata 28 Marzo e la campagna pare ancora in corso. Il problema è stato segnalato nei giorni scorsi da svariati utenti, principalmente appartenenti alla Pubblica Amministrazione: nelle segnalazioni si menzionano sia email PEC che email ordinarie come veicoli dell'allegato dannoso. 

Le email vettore
Al momento, il CERT-PA conferma di aver proceduto ad analisi della campagna individuando due diverse tipologie di email vettore: una con oggetto "Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007", che porta con sé come allegato un archivio compresso chiamato “Tribunale_di_Napoli__ABCDEF.zip“, dove ABCDEF sono serie di numeri casuali.