mercoledì 31 luglio 2019

Il ritorno dei ransomware via SMS: Filecoder mira i SO Android


Sono almeno due anni che i ransomware per Android sono in declino, senza nessuna versione nuova degna di nota e senza campagne di diffusione di ampie dimensioni.  Ieri però ESET ha lanciato un alert importante, da tenere in considerazione e che, potenzialmente, indica un cambio di tendenza nel panorama delle minacce ransomware. 

E' stata infatti individuata una nuova famiglia di ransomware pensata appositamente per SO Android, distribuita tramite vari forum online. Usando la lista di contatti delle vittime, questo ransomware si diffonde ulteriormente via SMS: l'intera rubrica della vittima verrà usata per inviare SMS contenenti appunto il link dannoso cliccando il quale si avvia la catena d'infezione. Ad ora l'unica buona notizia è che questo ransomware, ribattezzato Filecoder, ha una diffusione veramente limitata, ma se i suoi sviluppatori dovessero decidere di distribuirlo in campagne più ampie, la minaccia diverrebbe davvero seria. 

martedì 30 luglio 2019

Nuova versione di Trickbot attacca il Microsoft Windows Defender


Continua l'evoluzione del famigerato trojan bancario TrickBot per prevenire l'individuazione e ridurre le possibilità di rimozione dal sistema infetto: la nuova versione, individuata in diffusione nella giornata di ieri, concentra i propri sforzi contro Windows Defender, che è molto spesso l'unico antivirus installato sul computer di utenti che eseguono Windows 10.

Trickbot in breve
TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. 

"TrickBot è una famiglia di trojan bancari che ormai è in diffusione da molto tempo, dal 2016: in continua evoluzione si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Ma non solo "commenta Alessandro Papini, Presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Un malware molto insidioso, al punto che il CISA (il Dipartimento per le Cyber Infrastrutture della Sicurezza nazionale USA) lo ha approfondito in un apposito report-alert pubblicato ad Aprile, rivolto sopratutto alle aziende. La nuova versione rende essenziale, per gli utenti Windows 10, l'introduzione di ulteriori misure di sicurezza: è ormai pratica diffusa quella di limitarsi al solo Windows Defender come strumento di difesa del dispositivo e dei dati, ma, per quanto possa essere solido, questo caso dimostra che occorrono necessariamente più livelli di sicurezza". 

La catena di infezione

venerdì 26 luglio 2019

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?


Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)

giovedì 25 luglio 2019

Vulnerabilità dell'RDP BlueKeep: individuata botnet miner in cerca di host vulnerabili


Ricordate BlueKeep, la vulnerabilità critica nell'RDP di Windows così grave da aver indotto Windows a rilasciarne la patch anche per versioni obsolete del sistema operativo Microsoft non più coperte dal supporto. 

Watchbog in breve
In brevissimo si tratta di una botnet interamente dedicata al mining di criptovaluta su dispositivi infetti zombie. Ne sono in circolazione diverse versioni, la quasi totalità delle quali pensate per attaccare e infettare server Linux. La scoperta di una nuova versione con intergrato BlueKeep è la prova lampante del debutto di questo bot nel mondo Windows. 

BlueKeep in Breve

mercoledì 24 luglio 2019

sLoad colpisce ancora: in corso campagna di distribuzione via PEC contro privati e PA italiani


Ennesimo alert da parte del CERT-PA riguardante una nuova campagna di diffusione del malware sLoad. Questa campagna si propaga attraverso i canali PEC e bersaglia sia privati che la Pubblica Amministrazione. 

Le due campagne precedenti
Ormai le campagne di diffusione di sLoad contro utenti italiani non sono affatto una novità. Appena qualche giorno fa ne sono state individuate due:

- una prima, sempre tramite il canale PEC, colpisce privati e professionisti.
Ne abbiamo parlato qui >> ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

- una seconda invece, anch'essa tramite canale PEC, ha bersagliato in dettaglio l'Ordine degli Ingegneri di Roma. Rimandiamo al bollettino specifico diramato dal CERT-PA che dettaglia la campagna >> https://www.cert-pa.it/wp-content/uploads/2019/06/CERT-PA-B003-190610.pdf

La campagna attualmente in corso
Per quanto non sia chiaro se la campagna precedente, la prima alla quale facciamo riferimento nel paragrafo precedente, sia terminata o ancora in corso, ciò che è certo è che la campagna attuale, individuata nella nottata di ieri,  è in corso ed è una terza variante, con leggere differenze rispetto alle precedenti. 

venerdì 19 luglio 2019

ALERT CERT-PA: due campagne in corso in Italia diffondono trojan


Il CERT-PA ha pubblicato due alert riguardanti altrettante campagne di diffusione di trojan rivolte esclusivamente contro utenti italiani

Si tratta, in entrambi i casi, di campagne di email di spam che contengono archivi dannosi contenenti, a loro volta, due diversi malware: Gootkit, che è una vecchia conoscenza, e sLoad. Vediamo nel dettaglio le due campagne, ricordando e ribadendo quanto sia importante essere prudenti (e sfruttare una sandbox) quando si ricevono email inaspettate contenenti link o allegati. 

1. La campagna spam diffonde Gootkit
Questa campagna è caratterizzata da email di spam in lingua italiana indirizzate principalmente alla Pubblica Amministrazione, aventi come oggetto "Internal Error" e contenenti un link che rimanda ad un file ZIP.

mercoledì 17 luglio 2019

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto


L'ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell'attività e bersagliano sia target privati che organizzazioni pubbliche.  E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali. 

Il duopolio  di Ryuk e Sodinokibi

lunedì 15 luglio 2019

Ransomware: la settimana terribile


La scorsa settimana è stata flagellata dal fenomeno dei ransomware, tra attacchi eclatanti e nuove versioni in diffusione. Rende bene l'idea il report settimanale pubblicato da Bleeping Computer sulle novità riguardanti i ransomware: prima di un lunghissimo elenco di nuove versioni e di infezioni che hanno messo in crisi anche intere città e istituzioni universitarie, troviamo un titolo ad effetto, ma chiaro "under siege", sotto assedio. 

Segnaliamo solo le novità principali e di maggiore risalto, nell'intento di dare un quadro breve, ma chiaro, su quanto il ransomware stia risalendo nella top dei malware dopo un periodo in cui i minier di criptovaluta sembravano destinati a sostituire i "virus del riscatto" nell'armamentario preferito dei cyber criminali. 

In breve:
1. Dharma ransomware: un diluvio di nuove versioni
2. L'exploit Kit RIG "sposa" il ransomware Eris
3. Città e università criptate: come un virus può paralizzare intere istituzioni
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

giovedì 11 luglio 2019

Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!


I dettagli per la risoluzione del ransomware in fondo all'articolo!

E' stata individuata una nuova famiglia di ransomware che mira specificatamente i NAS (Network Attached Storage) prodotti dalla QNAP System, azienda con sede in Taiwan. I NAS QNAP, basati su Linux, ottimali per home user e piccole imprese, sono unità di archiviazione dati collegate alla rete o tramite Internet: consentono agli utenti di archiviare e condividere i propri dati e backup con più computer. 

QNAPCrypt: come infetta i NAS QNAP
Il nuovo ransomware, scritto in linguaggio GO e soprannominato eCh0raix o QNAPCrypt, è già usato in attacchi reali per infettare e criptare i dati contenuti nei QNAP. I metodi di infezione individuati per adesso sono due:
  • il brute-forcing di NAS QNAP con credenziali deboli;
  • l'exploit di vulnerabilità già conosciute che affliggono svariate versioni dei NAS QNAP tra le quali  QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.
Le prime analisi indicano che QNAPCrypt viene usato in attacchi mirati che prevedono l'uso di una chiave pubblica codificata nel codice stesso del malware, compilata per il target specifico con una chiave univoca. 

Le comunicazioni col Server di comando e controllo

mercoledì 10 luglio 2019

ALERT del CERT-PA: in diffusione in Italia variante di Ursnif


Il CERT-PA ha pubblicato nella giornata di ieri l'ennesimo alert riguardante una nuova campagna di diffusione del trojan bancario Ursnif.


Il dropper di Ursnif è in diffusione in questi giorni tramite una campagna di email di spam riguardanti finte fatture da pagare. Le email sono scritte in italiano e i mittenti sono piuttosto credibili. Sono state usate, per i mittenti, classiche tecniche di spoofing, ovvero di falsificazione dell'identità: questo e l'uso di una banale tecnica di ingegneria sociale (il sollecito del pagamento di una fattura scoperta)  rendono piuttosto alto il potenziale di successo della truffa. 

martedì 9 luglio 2019

Microsoft individua una campagna di distribuzione fileless del trojan Astaroth


Il team di Ricerca di Microsoft Defender ha individuato una campagna di distribuzione fileless del trojan per il furto di informazioni Astaroth. Astaroth è un trojan specializzato nel furto di informazioni che mira, ovviamente, ai dati più sensibili come le credenziali degli utenti usando un modulo keylogger, uno per il furto di screenshot e uno per l'intercettazione dei processi in esecuzione nel sistema operativo. 

Questo trojan è conosciuto per l'abuso di tecniche LOLBins (Living off the land binaries): rientrano in questa definizione quelle tecniche di attacco che sfruttano i processi già presenti sulsistema. Tale tipologia di attacco presenta infatti un grande vantaggio: sfruttando processi già esistenti e legittimi, entro i quali nascondere le attività dannose, si riduce il rischio di individuazione da parte degli antivirus, dato che gli AV riterranno per forza "buoni" tali processi. 

Astaroth in dettaglio sfrutta l'interfaccia della linea di comando di Windows Management Instrumentation Command-line (Wmic.exe) per scaricare e installare completamente di nascosto i payload del malware in background. 

La campagna in corso: qualche dettaglio tecnico

giovedì 4 luglio 2019

Sodinokibi: la saga continua. Adesso sfrutta anche un bug di Windows per ottenere i privilegi di amministrazione


Torniamo, di nuovo, a parlare di Sodinokibi: non possiamo fare altrimenti non solo perché Sodinokibi è già stato diffuso a più riprese in Italia, ma anche perché sta dimostrando un' incredibile prolificità di miglioramenti, affinamenti e nuove tecniche di diffusione. Se già nelle prime settimane dalla sua comparsa alcuni ricercatori di sicurezza lo hanno definito come il miglior concorrente per "rubare" il posto lasciato vuoto da GandCrab nella Top10 dei ransomware, a distanza di un mese dalla sua comparsa sulle scene non possiamo che confermare tale giudizio. 

Meno di due giorni fa alcuni campioni di Sodinokibi sono stati individuati e analizzati su alcune macchine infette: l'analisi ha permesso di mostrare questo nuovo metodo di attacco, ovvero l'exploit di una vulnerabilità nella componente Win32k. Tale vulnerabilità è presente nei sistemi Windows dal 7 al 10 e in tutte le edizioni server. 

mercoledì 3 luglio 2019

Trickbot evolve ancora: aggiunto un nuovo modulo per il furto dei cookie


Il trojan Trickbot è una vecchia conoscenza: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario "classico", ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha "mutato pelle", diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L'ultima evoluzione è stata individuata ieri: si tratta di un nuovo modulo, chiamato Cookie Grabber, il cui scopo è quello di rubare i cookie (piccoli file di testo che i siti web salvano nel browser per varie finalità, come ricordare lo stato di login, le preferenze, i contenuti personalizzati o per tracciare l'attività di navigazione degli utenti). 

martedì 2 luglio 2019

Spelevo: l'exploit kit "vintage" che fa strage di computer


E' stato individuato, già in uso in diversi attacchi, un nuovo exploit kit: è stato scoperto pochi giorni fa impiegato per la distribuzione di due diversi trojan bancari.  Per raggiungere lo scopo, l'exploit kit utilizza un sistema di traffico diretto (TDS) o un gate che reindirizza la connessione verso una landing page dove il sistema della potenziale vittima viene analizzato in cerca di app vulnerabili.

E' un exploit browser-based che sfrutta tre diverse vulnerabilità, la CVE-2018-8174 di Internet Explorer e le vulnerabilità CVE-2018-15982 e la CVE-2018-4878 di Flash. Dato interessante che dà un tocco vintage a questo exploit, dato che Internet Explorer e Adobe Flash sono programmi che ormai non dovrebbero essere più in uso. Il fatto che uno o più cyber attaccanti abbiano deciso di approntare tale exploit dimostra  non solo che questi programmi sono ancora più diffusi di quel che si pensi, ma anche che vulnerabilità risolte da abbondante tempo non vengono patchate da moltissimi utenti. Le vulnerabilità di Flash, ad esempio, sono state risolte già più di un anno fa.