giovedì 27 giugno 2019

Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware


C'era da aspettarselo, ce lo aspettavamo: la sospensione delle attività di GandCrab ha lasciato un vuoto nel mondo dei ransomware. Vuoto che è terreno di contesa tra diversi nuovi ransowmare, per conquistare il podio della minaccia ransomware più redditizia e diffusa. 

Di Sodinokibi stiamo parlando molto spesso, sia perché si sta dimostrando tra i più attivi nell'aprirsi nuovi canali di diffusione sia perchè continua a fare dell'Italia (e di pochissimi altri stati europei) l'obiettivo privilegiato. 

Un breve riassunto: cosa è Sodinokibi 
Sodinokibi è un nuovo ransomware, in diffusione da poche settimane, ma che si è già reso protagonista di svariate campagne di attacco in Europa, sopratutto in Italia e Germania. Cripta un grandissimo numero di tipologie di file: il segno distintivo di questo  ransomware è l'aggiunta di una estensione unica random che viene inserita dopo il nome originale del file criptato.  Cancella le Shadow Copies e disabilita il ripristino dello startup di Windows, così da rendere impossibile il recupero dei file eccetto che da backup esterno. Lascia una copia della nota di riscatto in ogni cartella criptata: al suo interno i contatti per ricevere le istruzioni di pagamento.   

martedì 25 giugno 2019

Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG



Qualche giorno fa abbiamo diffuso un alert rispetto ad alcune campagne di spam, mirate contro utenti italiani e tedeschi, che diffondevano il ransomware Sodinokibi.

Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale

Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto.  Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.

mercoledì 19 giugno 2019

Aggiornamento Ransomware: GandCrab e Ryuk Ransomware


Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.

1. GandCrab risolvibile: disponibile il tool di decriptazione.
Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2

Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.

Ulteriori informazioni su www.decryptolocker.it

2. Ryuk Ransomware: individuata nuova versione
E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema. 

martedì 18 giugno 2019

Ursnif, il malware che minaccia l'Italia: vediamolo da vicino



Gli utenti italiani sono bersagliati, ormai da mesi, in maniera ciclica durante l'arco delle settimane, da ondate di email di spam che distribuiscono varianti differenti dello stesso malware: parliamo del trojan Usrnif. Ne abbiamo parlato qui e qui. Yoroi ha analizzato attentamente questo malware: il report completo è disponibile qui (in inglese). 

Noi ve ne rendiamo una versione breve, per punti, dato che questa minaccia continua a colpire utenti italiani e non sembra affatto che queste campagne malware avranno presto termine. 

Come si diffonde Ursnif
Come detto in molti articoli precedenti, Ursnif viene diffuso tramite campagne di spam massive rivolte contro utenti italiani. Le email recano con se un allegato, solitamente un archivio compresso .ZIP contenente, a sua volta, documenti Excel dannosi. Tali fogli di calcoli rappresentano il primo step, l'inizio della catena di infezione. Il documento Excel, una volta decompresso e aperto, richiederà l'abilitazione della macro per poter correttamente visualizzare il contenuto: la macro è compromessa e contiene il codice necessario per avviare il download del payload di Ursnif. 

venerdì 14 giugno 2019

Social sotto attacco: Instagram e Telegram down per attacco DDoS


Altro giorno, altra cosa: due giorni, due attacchi, due social popolarissimi vanno down. Parliamo di Telegram, vittima di un massiccio attacco DDoS tra i giorni 12 e 13 Giugno, e di Instagram ieri. 

1. L'attacco DDoS contro Telegram
Il 12 Giugno centinaia di migliaia di utenti Telegram hanno riportato problemi nel invio e scambio di messaggi. Nessun guasto, nessun problema tecnico, ma un massiccio attacco DDoS mirato contro i sistemi della società con sede in Inghilterra. 

Telegram, via Twitter, ha fatto sapere che l'attacco si è concentrato principalmente contro i server dedicati agli utenti nordamericani, anche se l'attacco ha avuto tale potenza da causare problemi al servizio anche in altri paesi. I maggiori problemi sono stati avvertiti in Brasile, Olanda, Germania, Gran Bretagna e costa est degli Stati Uniti. Come si può vedere dalla foto sotto, proveniente dal servizio Downdetector, un sito web che traccia in tempo reale disfunzioni e attacchi su vari servizi digitali, si può vedere che il punto di fuoco principale ha impattato la costa est del sud america e degli Stati Uniti. 

giovedì 13 giugno 2019

BlueKeep, il bug dell'RDP: ecco come scoprire se un host è vulnerabile


Qualche giorno fa abbiamo dettagliato una gravissima vulnerabilità, indicata come critica, presente nei servizi di desktop remoto di Windows: tale vulnerabilità può consentire ad un attaccante di diffondere malware con capacità di propagazione di un worm. E' ritenuta così grave da aver indotto Microsoft a rilasciare la patch anche per sistemi operativi che non sono più coperti dal supporto e dagli update di sicurezza, come Windows XP e Windows Server 2003 (qui sono disponibili le linee guida di Microsoft). 

Questa vulnerabilità, conosciuta appunto come BlueKeep (CVE-2019-0708), riguarda Windows 7, Windows 2008 R2, Windows server 2008, Windows XP e Windows Server 2003. 

Pochi giorni dopo la pubblicazione dei dettagli di questa vulnerabilità, i ricercatori hanno approntato un proof of concept di exploit, dimostrando che tale bug è effettivamente sfruttabile e c'è già traccia di primi tentativi provenienti da cyber attaccanti di produrre un proprio exploit. Nella consapevolezza quindi che questo bug sarà sfruttabile a breve e data l'evidenza che sono pochissimi gli utenti che hanno proceduto all'installazione della patch, Windows ha diramato un secondo alert, sollecitando gli utenti a installare la relativa patch.

Le patch sono scaricabili ai seguenti indirizzi:

martedì 11 giugno 2019

Il trojan GootKit di nuovo in diffusione in Italia via email PEC


Il CERT-PA dirama un nuovo allarme riguardante l'ennesima campagna di distribuzione malware che sta colpendo l'Italia: la campagna in corso, individuata a partire dal 7 Giugno 2019, sta diffondendo una variante di GootKit. 

Le email vettore
Le email vettore sono provenienti da indirizzi PEC appartenenti ai provider legalmail.it, Aruba.it, Register.it: le segnalazioni di ricezione di tali email, oltre a varie PA (ma anche il CERT_PA ha ricevuto direttamente tali email), provengono sia da aziende che da privati. 

Il contenuto dei messaggi fa riferimento a multe e sanzioni per violazioni del codice stradale da parte della Polizia Locale di Arezzo (che, ovviamente, è estranea al contesto in analisi). L'oggetto delle email è del tipo:

“Atto amministrativo relativo ad una sanzione amministrativa prevista dal Codice della Strada Nr. Y/xxxxxx/2019”.

venerdì 7 giugno 2019

Nuova botnet sta tentando il brute-forcing di oltre 1.5 milioni di server RDP


Sono state molteplici le segnalazioni, provenienti da  diversi team di sicurezza, riguardanti una sofisticatissima campagna botnet, attualmente in corso a livello mondiale: questa campagna sta tentando il brute-force di più di un milione e mezzo di server Windows RDP pubblicamente accessibili in Internet. 

Ribattezzato Goldbrute, lo schema della botnet è progettato per incrementare gradualmente,  aggiungendo di volta in volta un nuovo sistema infetto nella sua rete. Per rimanere invisibile agli strumenti di sicurezza e agli analisti malware, gli attaccanti dietro questa campagna inviano comandi a ciascuna macchina infetta di colpire milioni di server usando una unica combinazione di username e password, di modo che il server bersaglio riceva i tentativi di brute-force da diversi indirizzi IP

Ecco lo schema di attacco di GoldBrute: 

giovedì 6 giugno 2019

L'exploit kit RIG, vedovo di GandCrab, mette in distribuzione il nuovo ransomware Buran


Qualche tempo fa scrivemmo un articolo che dettagliava una delle accoppiate "vincenti" per il cyber crimine: l'unione cioè di exploit kit con i ransomware. 


Parliamo, per capirsi, di cyber criminali spesso appartenenti a gruppi diversi che uniscono le proprie forze per diffondere malware e condividere i relativi guadagni: ecco quindi che chi affitta exploit kit come fosse un servizio, ricerca, per monetizzare la propia creazione, malware di vario genere da diffondere per guadagnare. Nella quasi totalità dei casi troviamo in diffusione trojan bancari o ransomware. 

mercoledì 5 giugno 2019

Campagne di malspam contro utenti italiani: i dati di Maggio del CERT-PA


Fonte: seqrite.it
Qualche giorno fa, il CERT Pubblica Amministrazione, ha pubblicato i dati relativi al monitoraggio delle campagne di email di spam/dannose diffuse in Italia nel mese di Maggio 2019: sono tutte campagne per le quali il CERT_PA ha prodotto e condiviso gli indicatori di compromissione.

In termini generali, colpisce una altissima percentuale di eventi legati alla diffusione di malware di tipo ransomware, seguita da una vera e propria ondata di Trojan Bancari (che ha colpito anche nel settore privato) e da ampie campagne di spear phishing mirate principalmente al furto di credenziali istituzionali

martedì 4 giugno 2019

Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale


I ricercatori di Yoroi hanno diramato un nuovo alert relativo ad attacchi in corso contro sia contro home user che enti/aziende italiane. Nel dettaglio, si tratta di vere e proprie ondate di attacchi nei quali vengono diffuse centinaia di migliaia di email di spam contenenti archivi compromessi. In diffusione c'è una nuova minaccia ransomware, chiamata Sodinokibi. 

Le email vettore
Le email sono messaggi fraudolenti che simulano comunicazioni di carattere legale: nel dettaglio si parla di importanti documenti legali (come pignoramenti) e, addirittura, notifiche di comparizione.  Tutte le email, con oggetto variabile da ondata a ondata, recano un archivio compresso solitamente rinominato "i tuoi documenti del caso.doc" e protetto da password.  L'apertura dell'allegato comporta il download e l'esecuzione del ransomware Sodinokibi.

Una nuova minaccia ransomware: Sodinokibi

lunedì 3 giugno 2019

Il ransomware GandCrab va in pensione dopo un guadagno (dichiarato) di 2 miliardi di dollari


Dopo circa un anno e mezzo di attività, gli operatori che si celano dietro il famigerato ransomware GandCrab hanno annunciato lo stop delle operazioni e il blocco della distribuzione del ransomware alla rete dei propri affiliati. 

GandCrab è divenuto la punta di diamante del mondo dei ransomware nel Gennaio 2018, colmando il vuoto lasciato da suoi "illustri" colleghi quali TeslaCrypt, CryptoWall, Spora Ransomware, che hanno tutti sospeso le proprie attività (chi per scelta degli attori, chi per la capacità dei ricercatori di sicurezza di forzarne il decrypt senza il pagamento del riscatto oppure ancora per attacchi coordinati di polizia e strutture di sicurezza informatica contro i loro server di comando e controllo).