giovedì 31 ottobre 2019

21 milioni di credenziali aziendali in vendita nel Dark Web


In vari siti e forum nel Dark Web sono sparsi circa 21.000.000 di credenziali (username e password) nella disponibilità di cyber-criminali disposti a pagare alcuni dollari. Sono credenziali riferite a molteplici società e le più colpite risultano essere quelle del settore tecnologico, finanziario, energetico e sanitario, presenti nella lista Fortune 500, che raccoglie le maggiori società americane per fatturato.
Da un report del sito ImmuniWeb si evince che si tratta di informazioni raccolte, sia in chiaro che craccate, in vari attacchi informatici, e non si tratta di dati vecchi visto che oltre 16.000.000 di queste credenziali sono state rubate nell'ultimo anno.

mercoledì 30 ottobre 2019

Italia sotto attacco: due campagne di spam diffondono via email i ransomware Maze e FTCode


Sono ben due le campagne di email di spam che, in queste ore, stanno bersagliando utenti italiani per diffondere ransomware. La prima campagna di email di spam, individuata dal ricercatore di sicurezza JAMESWT, diffonde il ransomware Maze, mentre la seconda, individuata dal Cert-Pa, veicola una versione rivista di FTCode. In entrambi i casi le email sono "travestite" da comunicazioni ufficiali dell'Agenzia delle Entrate, di Sogei, dell'Inail ecc... Vediamole entrambe in dettaglio

1. FTCode: il ransomware che diventa infostealer
L'alert, l'ennesimo, del Cert-PA riguardante FTCode è di ieri mattina: è stato infatti rilevata una massiva campagna di email di spam che distribuisce una versione rivista del famigerato ransomware. In dettaglio sono state aggiunte funzionalità di infostealing, principalmente per sottrarre username e password salvate in alcuni popolari software come Firefox, Chrome, Outlook, Internet Explorer, Thunderbird. 

martedì 29 ottobre 2019

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti


È stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici.  Parla di un "incidente" che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell'istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l'Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.   

Cosa si sa per adesso
Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca. 

Tra le informazioni sottratte si trovano:

lunedì 28 ottobre 2019

Adobe Creative Cloud data breach: esposti i dati di 7,5 milioni di utenti


Adobe ha messo in sicurezza un database contenente 7.5 milioni di record appartenenti ad utenti Adobe Creative Cloud. Il database Elastichsearch era completamente esposto, accessibile a chiunque senza autenticazione. Fortunatamente, i dati contenuti in questo database non sono dati altamente sensibili, ma possono comunque essere usati per campagne di phishing o altre tipologie di truffe. Ricordiamo comunque che Adobe aveva già subito un data breach, nel 2013: in quel caso finirono esposti dati sensibili come password e informazioni finanziarie, molti dei quali risultano ancora in circolazione. 

Non è chiaro il periodo di tempo durante il quale questi dati sono rimasti esposti ma il ricercatore Bob Diachenko e il giornalista Paul Bischoff, che per primi hanno scoperto il database, affermano che chiunque vi avrebbe potuto accedere per almeno una settimana. Il database è stato individuato nell'ambito di una scansione attiva del web in cerca di database non sicuri. 

venerdì 25 ottobre 2019

Nuova campagna di diffusione del ransomware FTCODE


Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.

FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile. 

La nuova campagna di diffusione

lunedì 21 ottobre 2019

Ransomware Sodinokibi - spiando gli attaccanti: strumenti e tattiche


Di Sodinokibi abbiamo parlato recentemente: è infatti un ransomware molto giovane, emerso quasi in contemporanea con Ryuk, ma che è divenuto in poco tempo uno dei ransomware di punta nello scenario degli strumenti malware. Così protagonista nello scenario dei ransomware da aver determinato un aumento dell'ammontare medio delle richieste di riscatto: concorso di colpa da condividere col "collega" Ryuk.  

Per approdondire >> Dentro Sodinokibi, il Top Ransomware

I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.

venerdì 18 ottobre 2019

Google Chrome per Android: introdotta la funzione di sicurezza Site Isolation


Dopo aver abilitato la funzione di sicurezza "site isolation" in Chrome per desktop già da qualche anno, Google ha finalmente introdotto la "linea extra di difesa" anche per gli utenti Android che utilizzano il popolare browser per la navigazione online. Una funzione di sicurezza molto importante, che garantirà un alto livello di protezione sopratutto alle credenziali di login e alle password. 

In breve:
la funzione di sicurezza di Site Isolation crea un confine, una barriera aggiuntiva tra il sito web e lo smartphone, facendo si che pagine da siti web differenti finiscano aperte in differenti processi sandbox. La sandbox è una tecnologia di sicurezza che garantisce di eseguire un software o di visualizzare una pagina web in un ambiente virtuale separato da quello del sistema reale: qualsiasi malware o tentativo di attacco che dovesse avvenire in ambiente sandbox non produrrà quindi effetti sul sistema. 

giovedì 17 ottobre 2019

Campagna di phishing verso clienti Aruba


Non c'è pace per l'Italia in questo periodo: ancora alert, ancora CERT-PA. L'alert è stato diramato nella giornata di ieri e riguarda una campagna di phishing il cui scopo è la sottrazione delle credenziali di carte di credito degli utenti Aruba. Le email truffaldine sono indirizzate verso caselle email della Pubblica Amministrazione e di aziende private. 

L'email è scritta in italiano corretto, senza evidenti errori di sintassi o ortografia che solitamente rendono immediatamente distinguibile un tentativo di phishing. Il Cert-PA ha pubblicato, a titolo esemplificativo, una email campione di questa campagna, visibile sotto: 

lunedì 14 ottobre 2019

Nemty ransomware: nuova versione in diffusione, ma è disponibile il decryptor


Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. 

Questi  ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. In questi giorni è stata individuata in diffusione, sempre tramite exploit kit RIG e insieme ad altri malware, una nuova versione di Nemty, la 1.6. 

La buona notizia è che è stato rilasciato un decryptor che permette alle vittime la risoluzione gratuita dell'infezione. 

Prima le buone notizie: disponibile tool gratuito di decriptazione

venerdì 11 ottobre 2019

Ancora attacchi via PEC: massiva campagna di phishing mira ad aziende e liberi professionisti italiani


Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E' stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente  compromessi. La campagna è ANCORA IN CORSO. 

Le email fanno riferimento a  false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l'identità di chi lo utilizza e assicura l'integrità del documento: è collegato all'uso della firma digitale.  L'uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa. 

giovedì 10 ottobre 2019

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA


Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un'attività in corso da parte di qualche cyber attaccante sul codice. 

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c'è un investimento attivo da parte

mercoledì 9 ottobre 2019

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia


Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle "città criptate": in breve era in corso e, incredibilmente lo è tutt'ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l'FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L'ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie. 

Un breve riepilogo
- La strage texana di Agosto >> leqqi qui
- Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?

giovedì 3 ottobre 2019

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie


Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull'argomento, purtroppo con notizie pessime. 

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l'algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L'analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c'è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l'aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell'avvio della criptazione e una per il termine della routine. 

mercoledì 2 ottobre 2019

Aggiornamento di Google Chrome rende impossibile avviare i dispositivi Mac


Sono già migliaia in questi giorni, le segnalazioni di utenti possessori di dispositivi che eseguono macOS riguardanti l'impossibilità di un corretto avvio del sistema operativo. Il caso più eclatante, rimbalzato sui media a livello globale, riguarda il blocco dei Mac Pro utilizzati ad Hollywood per il montaggio delle serie TV. Forse è stato questo macro evento ad aver tratto tutti in inganno ed ad aver fatto pensare che il problema risiedesse nel popolare software di video editing Avid Media Composer, inizialmente l'indiziato numero 1: effettivamente il problema sembrava riguardante soltanto macchine che avevano installato questo programma. In realtà, analisi successive e le segnalazioni, hanno dimostrato come il problema invece sia conseguenza di un aggiornamento del browser Google Chrome. 

Sono stati i tecnici di Google stessi a confermare, dopo segnalazione di Avid, la presenza del bug: questo risiede nella nuova versione della routine di aggiornamento automatico del browser, chiamata Keystone, ed è in grado appunto di corrompere il file system rendendo impossibile l'avvio della macchina.