giovedì 26 settembre 2019

ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni


Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all'inizio di questo mese. 

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l'allerta e invitando tutti a prestare la massima attenzione. 

I canali di diffusione

venerdì 20 settembre 2019

Emotet si evolve ancora: nuovi template, nuove tecniche di infezione, nuovi sottogruppi di diffusione


Il Cert-Pa ha diramato un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. Le versioni in diffusione presentano alcune novità, che riteniamo utile approfondire dato che Emotet è in diffusione anche in Italia con specifiche campagne in italiano rivolte contro utenti italiani. 

Il ricercatore di sicurezza Lawrance Abrams ha analizzato email, allegati e catena di infezione di questa nuova ondata, che ha segnato la riattivazione della botnet di Emotet, inattiva ormai da qualche mese. Centrando l'attenzione, sopratutto, sul fatto che Emotet non è più solo un trojan bancario per il furto di credenziali, ma un potente ed efficace distributore di altri malware. 

1. I nuovi template dei documenti di Emotet

giovedì 19 settembre 2019

Nuovo alert CERT-PA: Emotet riprende le operazioni di diffusione, anche in Italia


Il Cert-Pa ha diramato ieri un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. 

La campagna in corso
La campagna in corso, come detto, è una campagna di email di spam rivolta sia a utenti privati che aziende: è in corso in tutto il mondo, ma le email sono personalizzate in base al paese in cui devono essere distribuite. Sia oggetto che testo che allegato sono creati ad hoc e nel caso dell'Italia, il testo è scritto in italiano piuttosto corretto: l'email presenta contenuti apparentemente legati a problemi finanziari, come fatture scadute ed è organizzata come fosse la prosecuzione di una conversazione precedentemente avviata.  

mercoledì 18 settembre 2019

400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa


Un recente analisi sullo stato dei sistemi di storage di immagini sanitario / diagnostiche ha rivelato come almeno 600 server in 52 diversi paesi siano esposti pubblicamente sul web e alcuni perfino sprovvisti di una forma, anche minima, di protezione contro accessi non autorizzati. L'analisi viene da Greenbone Network, azienda tedesca che si occupa di analisi e gestione di vulnerabilità, e denuncia un problema che qualcuno non ha esitato a definire un "apocalisse privacy". 

Oltre alla denuncia del problema, pubblichiamo qualche dettaglio contenuto nel report in questione, nella convinzione che il miglior metodo per sensibilizzare e finalmente indurre le aziende e le pubbliche amministrazioni a tutelare con serietà e attenzione i dati sensibili e privati degli utenti sia quello di concretizzare con eventi reali un problema che per molti è ancora fumoso o meramente teorico.

lunedì 16 settembre 2019

Permissioni delle App: Google Play ospita 1000 app torcia che richiedono permissioni pericolose


Qualche tempo fa avevamo parlato di servizi VPN per Android e le permissioni da loro richieste: il ricercatore di sicurezza John Mason aveva scoperto infatti che oltre il 62% delle App VPN per Android (anche a pagamento) richiede permissioni eccessive e pericolose rispetto alle funzioni che deve svolgere (e certo, stona ancora di più se teniamo di conto che, almeno in teoria, un servizio VPN dovrebbe garantire proprio la privacy). 


Torniamo sull'argomento per indicare come anche dietro le app apparentemente più innocue, si celino spessissimo permissioni eccessive e pericolose. E' di qualche giorno fa un dettagliato report che ha analizzato circa un migliaio di app per le torce dei nostri smartphone, tutte disponibili al download sul Google Play Store. Anche in questo caso, la situazione è grave:

venerdì 13 settembre 2019

Nuovo alert CERT-PA: tornano le campagne malware via PEC contro privati e professionisti


Pare non esserci pace per l'Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l'allarme di pochi giorni fa riguardante centinaia di domini .it Wordpress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware. 

Qualche dettaglio tecnico 
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati. 

giovedì 12 settembre 2019

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota


Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari). 

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l'attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti. 

Dal caso eclatante alla realtà di tutti i giorni

mercoledì 11 settembre 2019

Alert CERT-PA: centinaia di domini .it Wordpress compromessi diffondono malware


Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini  con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin "apikey". 

La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L'utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.

martedì 10 settembre 2019

La settimana nera degli exploit kit ci ricorda perchè è fondamentale aggiornare software e sistemi


Nell'ultima settimana, ma anche in questi giorni, sono in corso molteplici campagne di malvertising che colpiscono utenti Windows,  per reindirizzarli verso exploit kit che installano trojan per il furto password, ransomware e altri malware. 

Tra tante, descriviamo tre campagne individuate dal ricercatore indipendente nao_sec, nelle quali malvertising di vario tipo reindirizza gli utenti su landing page compromesse con exploit kit di vario genere. La maggior parte di queste landing page sono ospitate su siti web hackerati appositamente. 

Il trojan bancario Ramnit e GrandSoft EK
Una di queste campagne vede l'exploit kit GrandSoft diffondere il trojan bancario Ramnit, dotato di moduli appositi per il furto password e delle credenziali di banking online, account FTP, account social... ma anche per il furto della cronologia del browser e per l'iniezione di script. 

lunedì 9 settembre 2019

L'exploit kit RIG distribuisce un nuovo ransomware: il debutto di Nemty


Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. La novità è che questo ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. 

Nemty: qualche info tecnica
Come qualsiasi ransomware, anche Nemty cancella le copie shadow sul sistema così da impedire alla vittima la possibilità di recuperare le copie dei file create  dal sistema operativo Windows. Cripta una varietà enorme di tipi di file, aggiungendovi poi l'estensione ._NEMTY_Lct5F3C_.  

giovedì 5 settembre 2019

Campagna di email spam diffonde anche in Italia il malware Astaroth


Il CERT-PA ha diramato stamattina un alert riguardante una campagna di email di spam che diffondono una nuova variante del malware Astaroth.

Astaroth: qualche dato tecnico
Astaroth è un malware finalizzato al furto di dati e credenziali di accesso: ha sia funzioni di spyware che di keylogger (registra cioè tutto ciò che viene digitato sulla tastiera della vittima), grazie alla struttura modulare che gli consente di aggiungere mano a mano funzioni diverse.  Ne sono in diffusione diverse versioni, compresa una fileless che si esegue solo in memoria volatile ed è molto molto difficile da individuare. Individuato nel 2018, colpiva inizialmente solo vittime brasiliane, poi il malware venne impiegato in campagne di diffusione sempre più ampie. 

La campagna in corso
In questa campagna le email di spam hanno tematiche varie e sono distribuite anche in diverse lingue. Sono però tutte accomunate dal fatto che contengono, in allegato, immagini in formato JPG e PNG oppure dei link che eseguono codice Javascript su Clouflare, una nota piattaforma di computing serverless.  La maggioranza di queste comunque contiene il classico archivio .7zip che, a sua volta, contiene un file .INK che avvia la catena di infezione. 

mercoledì 4 settembre 2019

Il ritorno di Emotet: la botnet è di nuovo attiva


Il gruppo dietro il trojan bancario Emotet e relativa botnet è comparso nel 2014 ed è considerato uno dei più longevi del settore del cyber crimine: pur alternando periodi di forte attività a periodi di inattività totale, conta ormai più di 5 anni di vita. In questo lungo periodo Emotet si è costruito una certa fama, balzando poi agli "onori" della cronaca come uno dei "Top 10 Malware" del 2019, confermandosi come un malware estremamente pericoloso. Così pericoloso da indurre il CERT-USA a diramare uno specifico avviso di sicurezza per le aziende nel quale viene definito così:

"Emotet è un trojan bancario polimorfico capace di evadere l'individuazione basata su firma. E' dotato di molteplici metodi per il mantenimento della persistenza, incluso l'auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale".

lunedì 2 settembre 2019

Dentro Sodinokibi, il Top Ransomware


Di Sodinokibi abbiamo già parlato in alcune occasioni, ritenendo preoccupante la sua capacità di diffusione nonché il veloce aumento del volume del suo business illegale. Pur relativamente nuovo nella scena ransomware, Sodinokibi ha già infatti costruito una rete piuttosto estesa di affiliati, ponendosi come uno dei probabili successori del famigerato Ransomware GandCrab. 

Parliamo di un ransomware che ha ottenuto riscatti di un ammontare fino a 240.000 dollari, mentre incassa in media, per una infezione di rete, circa 150.000 dollari (al punto che alcuni studi indicano in Sodinokibi e Ruyk i responsabili del lievitare delle richieste di riscatto registrato negli ultimi 4 mesi). E non si è fermato neppure ad Agosto, anzi: Sodinokibi è il ransomware che è stato usato per colpire ben 22 diverse amministrazioni locali in Texas, protagonista del più grande attacco ransomware coordinato mai lanciato contro pubbliche amministrazioni: qui la richiesta di riscatto ammonta complessivamente a 2.5 milioni di dollari. 


Sodinokibi detta le regole del gioco