mercoledì 29 maggio 2019

Ancora un milione di computer vulnerabili alla falla "wormable" BlueKeep


Nonostante vendor e l'intera comunità dei ricercatori di sicurezza stiano ripetendo in ogni forma, occasione e modalità la gravità della falla BlueKeep invitando ad installare la patch prima possibile, ci sono ancora quasi 1 milione di computer eseguenti il sistema operativo Windows che risultano ancora vulnerabili.  

BlueKeep, una vulnerabilità di livello critico del Remote Desktop Procotol (RDP) di Windows è stata scoperta pochi giorni fa: è una vulnerabilità  che consente l'esecuzione di codice da remoto e la diffusione di malware "alla maniera" dei worm, da computer vulnerabile a computer vulnerabile. Presenta un livello di virulenza teoricamente paragonabile a quello delle gravissime infezioni ransomware "wormable" Wannacry e NotPetya, essendo in grado di diffondersi automaticamente in altri sistemi non protetti.  Questa vulnerabilità riguarda i SO Windows 2003, Windows XP, Windows 7, Windows Server 2008 e 2000 R2. 

Per approfondire vedi qui >> https://bit.ly/2YT628j
Qui le linee guida di Microsoft sulla problematica >> https://bit.ly/2WcJ7rI

Ancora 1 milione di macchine vulnerabili

martedì 28 maggio 2019

Snapchat: i dipendenti, con accesso ai dati sensibili, spiavano gli utenti


Snapchat è un app molto molto diffusa tra gli adolescenti e in questi giorni è al centro di un grosso scandalo che riguarderebbe proprio la privacy dei suoi giovani e giovanissimi utenti. E' stata Motherboard a ricostruire e rendere pubblica la vicenda, dopo aver messo le mani su diverse email interne girate tra vari dipendenti: in breve si parla di accesso abusivo ai dati degli utenti per spiarli. Sono stati alcuni ex dipendenti, che hanno deciso di rimanere anonimi, a fornire le email incriminate e rivelare un abuso senza controllo dell'accesso ai dati degli utenti. 

Quali dati Snapchat ha su di noi?
A Snapchat sono molteplici i tool che l'azienda fornisce ai dipendenti per accedere ai dati degli utenti: informazioni di ogni tipo ma sopratutto sensibili, alle quali spesso gli utenti non prestano molta attenzione laddove non ignorano palesemente anche solo di fornirli con le attività quotidiane sull'app. Qualche esempio? Il numero di telefono collegato all'account, la posizione geografica in qualsiasi momento, i metadata dei messaggi (che rivelano con chi e quando ci siamo scambiati messaggi) e, in alcuni casi, anche contenuti come le "memorie" o voto e video salvati. Tutti dati molto sensibili. 

SnapLion, ovvero "le chiavi del regno"

lunedì 27 maggio 2019

Vulnerabilità critica nel RDP di Windows: picco di scansioni online in cerca di potenziali vittime da parte dei cyber criminali


Qualche giorno fa sono state pubblicate le prime informazioni su BlueKeep, una grave vulnerabilità del protocollo Remote Desktop di Windows che può consentire ad un attaccante che dovesse sfruttarla con successo di eseguire da remoto codice dannoso sulla macchina infetta oppure prenderne completamente il controllo. Oltre a ciò, la vulnerabilità CVE-2019-0708 permette la creazione di malware con funzionalità worm, in grado cioè di spostarsi lateralmente nelle reti (ovvero di diffondersi da un pc ad un altro nella stessa rete senza necessità di interazione degli utenti). Se dovessimo fare dei paragoni, siamo in presenza di qualcosa di molto simile al EternalBlue, l'exploit responsabile della drammatica diffusione del ransomware WannaCry nel 2017. 

Per maggiori informazioni sulla vulnerabilità in oggetto, rimandiamo al paper tecnico dei Quick Heal Security Labs, tradotto in italiano a questo indirizzo >> https://bit.ly/2VRqvsz

Riprendiamo l'argomento (invitando di nuovo ad installare prima possibile gli Update di Sicurezza

venerdì 24 maggio 2019

GetCrypt: risolvibile il ransomware che tenta il brute-forcing di credenziali


Qualche giorno fa è stato individuato dai ricercatori di Bleeping Computer un nuovo ransomware chiamato GetCrypt. Le analisi hanno svelato che questo ransomware si diffonde tramite campagne di malvertising che reindirizzano la vittima verso l'exploit kit RIG. Una volta che il ransomware è installato sul pc, i file finiscono criptati e compare la richiesta di riscatto. 

Il gioco è semplice: le vittime subiscono l'installazione del ransomware al momento in cui finiscono vittime di una campagna di malvertising chiamata Popcash, che cerca di convincere gli utenti a cliccare su link contenuti in email di spam. Il clic sul link reindirizza l'utente verso siti compromessi contenenti l'exploit kit RIG, che cerca e sfrutta alcune vulnerabilità di sistema piuttosto diffuse per ottenere l'accesso alla macchina.  Se l'exploit ha a successo su sistemi Windows, GetCryp viene immediatamente scaricato ed installato. 

Come cripta il computer

mercoledì 22 maggio 2019

Google ha lasciato in chiaro per 14 anni le password di utenti G Suite


Dopo Facebook e Twitter, Google è il successivo gigante della tecnologia che ha accidentalmente salvato le password dei propri utenti in chiaro sui propri server. Conseguenza è che per tutto il tempo di vigenza del bug, gli impiegati Google hanno avuto la possibilità di accedere ai dati e vedere in chiaro le password, così come può essere successo anche a cyber attaccanti che possono aver avuto accesso ai server, dato il lasso di tempo così lungo. 

E' stata Google stessa a rivelare, con un post sul suo blog, questa problematica della piattaforma G Suite, che ha esposto per 14 anni le password di utenti aziendali: i dati, salvati in server interni, sono finiti in chiaro a causa di un bug nella funzione di recupero della password. 

martedì 21 maggio 2019

TeamViewer conferma una violazione (non divulgata) del 2016


TeamViewer ha confermato ieri di essere stata vittima di un attacco informatico scoperto nell'autunno 2016, ma mai divulgato. Gli attaccanti hanno usato la backdoor Winnti. 

L'azienda dietro uno dei software di gestione da remoto più usato al mondo ha fatto sapere al settimanale Der Spiegel che l'attacco è stato scoperto prima che gli attaccanti fossero in grado di compiere danni e che tutte le indagini svolte per trovare tracce dell'uso di dati rubati durante l'incidente di sicurezza hanno dato esito negativo. 

lunedì 20 maggio 2019

Pioggia di attacchi DDoS contro l'Italia: in alcuni casi richiesto un riscatto


Lo rivela la società tedesca Link11, che si occupa specificatamente di difesa contro attacchi DDoS: Link11, che sta proteggendo molteplici aziende italiane, non specifica né numeri né nomi di aziende, ma indica solo che sono molteplici gli attacchi contro hosting provider italiani, ISP e Data center. Attacco che sta determinando disfunzioni e interruzioni di servizi su migliaia di siti ospitati dai provider sotto attacco. 

L'attacco DDoS è accompagnato dalla ricezione di una email, a nome di Turkish Hacker, che richiede il pagamento di un riscatto in BitCoin al fine di evitare attacchi superiori ai 100 Gbps. Il pagamento viene preteso nell'arco di 24-48 ore. La campagna prosegue ormai da inizio Maggio.

mercoledì 15 maggio 2019

Sito web fake di WhatsApp diffonde backdoor per macOS e Windows


La nuova minaccia per sistemi operativi macOS è stata individuata qualche giorno fa dai ricercatori Dr Web: il malware si chiama Siggen.20 e le analisi hanno indicato che si tratta di una backdoor che consente agli attaccanti di scaricare da un server remoto ed eseguire sul dispositivo del codice Python dannoso. 

Siggen infetta i dispositivi delle vittime tramite siti web compromessi gestiti direttamente dai suoi sviluppatori: la maggior parte di questi siti compromessi sono siti personali di persone inesistenti

martedì 14 maggio 2019

Ancora PEC sotto attacco: campagna di email diffonde il malware Gootkit


Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti. 

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l'utente ad aprire l'allegato descrivendolo come una fattura non liquidata. 

venerdì 10 maggio 2019

Hacker VS PEC: l'attacco si allarga, il Garante Privacy lancia l'allarme


Le notizie di ieri si sono concentrate sull'attacco che gli hacktivisti di Anonymous hanno lanciato contro i server Lextel, il provider che gestisce gli account email PEC dell'ordine degli Avvocati di Roma. In breve, per rinfrescare la memoria, gli attaccanti sono riusciti a violare l'account amministratore, mettendo quindi le mani sul documento dove erano salvate in chiaro (e già questo fatto è una grave falla di sicurezza) le password di default degli account email PEC: così Anonymous è riuscita a mettere le mani sui dati e la corrispondenza di oltre 30.000 avvocati romani che non hanno mai proceduto alla sostituzione della password di default: l'attacco è avvenuto nei pressi dell' anniversario dell'arresto di Aken e Otherwise, due membri di AnonIta arrestati nel Maggio 2015 (ai quali l'attacco è stato dedicato). 

L'attacco è in corso da giorni, su più obiettivi

giovedì 9 maggio 2019

Nuova versione del ransomware Dharma usa ESET come copertura


E' stata individuata, già in uso in attacchi reali, una nuova versione della famigerata famiglia di ransomware Dharma: in questo caso viene usato, come copertura, l'installer ESET AV Remover. Si tratta di una copertura usata per distrarre le vittime mentre la criptazione dei file avviene in background. L'ESET AV Remover è un software legittimo firmato con valida firma ESET, quindi è un ottimo trucco per distrarre le vittime, dato che non induce sospetti. 

Come si diffonde
Stando all'analisi di BleepingComputer, questo ransomware viene diffuso usando campagne di spam contenenti allegati compromessi: il dropper del ransomwar Dharma è contenuto in questo allegato, un archivio auto estraente protetto da password. L'archivio si chiama Defender.exe ed è ospitato su un server compromesso, link[.]fivetier[.]com.

martedì 7 maggio 2019

[ Giovedì 13 Giugno] [FIRENZE] 1° Privacy Camp: il tour formativo itinerante su GDPR e protezione dati.


PRIVACY CAMP è il tour itinerante per l'Italia che promuove la cultura della privacy e del Regolamento Europeo nelle aziende, nelle attività e negli studi professionali.

Organizzato da gdprlab.it e patrocinato da Accademia Italiana Privacy si articola sugli interventi di 4 relatori che parleranno della privacy da un punto di vista legale, fiscale, pratico e di tecnologia di protezione dei dati.

Cosa si deve fare per essere in regola?
Come bisogna comportarsi con i dipendenti e con i clienti?

lunedì 6 maggio 2019

MegaCortex: il nuovo ransomware che colpisce le reti aziendali (anche in Italia)


E' stato individuato, già usato in attacchi reali, un nuovo ransomware che prende di mira le reti aziendali e le workstation collegate. Si chiama MegaCortex e usa i domain controller di Windows per distribuirsi in tutta la rete, una volta trovato un punto di accesso. Si registrano infezioni già in svariati stati, sopratutto in Stati Uniti, Italia. Canada, Francia, Paesi Bassi e Irlanda. Non si conoscono ancora molti particolari di questo ransomware, sopratutto sui meccanismi di diffusione e di criptazione, perchè risulta essere integralmente nuovo: non c'è traccia, nel suo codice, di elementi "presi in prestito" da altre famiglie di ransomware. 

Quale dato tecnico
Quel che per ora i ricercatori di sicurezza sono riusciti a ricostruire è che il ransomware MegaCortex infetta reti sulle quali sono già presenti altri due malware, ovvero i trojan Emotet (bancario) e Qakbot (botnet): questo fatto suggerisce che gli attaccanti stiano pagando gli operatori ai comandi di questi due trojan per sfruttare l'accesso che questi hanno già ottenuto ai sistemi aziendali. 

venerdì 3 maggio 2019

Campagna di phishing contro utenti italiani a tema "Rimborso canone Rai"


Il CERT-PA ha diramato proprio ieri un alert riguardante una campagna di phishing, attualmente in corso, mirata principalmente agli account email di Pubbliche Amministrazioni e società private: scopo della campagna è indurre le vittime a rivelare le credenziali delle carte di credito aziendali o private, così da poterle rubare. 

L'email fake
Le false email sembrano provenire dall'Assistenza servizi telematici dell'Agenzia delle Entrate: in realtà una analisi attenta mostra come l'indirizzo del mittende sia contraffatto e non riconducibile all'Agenzia stessa. 

Il CERT-PA ha pubblicato l'immagine sotto che mostra un esemplare delle email di questa campagna:

giovedì 2 maggio 2019

Ancora problemi per Windows 10: le nuove funzioni di sicurezza rallentano il sistema


E' di qualche giorno fa un approfondito report, da parte del team di Vivaldi, riguardante l'impatto che le nuove funzioni di sicurezza di Windows 10 hanno sulle performance di sistema. In realtà il report nasce da una approfondita analisi di un grave bug, riscontrato sempre dai ricercatori di Vivaldi, riguardante Chromium: ulteriori analisi hanno mostrato come il grave rallentamento di prestazioni rispetto alle precedenti versioni di Windows (sopratutto Windows 7)  non sia originato da Chromium, ma da una funzione di sicurezza introdotta con Windows 10. 

La problematica
Vivaldi non ha mai usato, come tester, Windows 10, ma solo Windows 7 Pro. L'introduzione nella suite test di Windows 10 ha dimostrato immediatamente la problematica: la durata del test di sicurezza è passata da circa 100 minuti a ben 300 minuti, in alcuni casi perfino 360. I tentativi di