venerdì 29 novembre 2019

RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)


Kaspersky ha pubblicato ieri un interessante report riguardante una campagna massiva campagna di attacco contro strutture ricettive (alberghi, ostelli, bed and breakfast) in varie nazioni del mondo. La maggior parte delle infezioni si registrano in Brasile, ma risultano colpite decine di strutture anche in Argentina, Bolivia, Cile, Francia, Messico, Portogallo, Spagna e anche in Italia. Il tracciamento dei  link consentito dal servizio di abbreviazione link Bit.ly mostra come vi siano migliaia di click anche da altri paesi: la lista, insomma, è destinata ad allungarsi. 

L'attacco mira a infettare i sistemi delle strutture ricettive per sottrarre i dati delle carte di credito di ospiti e viaggiatori, ma anche per rubare le credenziali e i dati finanziari ricevuti da popolari agenzie di viaggio online come Booking.com.

mercoledì 27 novembre 2019

Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare


Tutti i browser più diffusi, Firefox tra i primi, mettono a disposizione degli utenti alcune funzionalità anti tracciamento che non solo bloccano i cookies, ma anche altre tipologie di tracciamento e profilazione dell'utente. A queste funzionalità si affiancano estensioni specifiche (uBlock Origin è un esempio, così come Privacy Badger ecc..) che permettono un maggior livello di protezione. 

Nella vicenda che raccontiamo non c'entra molto il cyber crimine: il contesto in cui si inserisce è quello di una corsa continua tra le agenzie di marketing, che cercano di carpire più informazioni possibili sull'utente che visita un determinato sito web, e gli sviluppatori di software che, al contrario, cercano di ridurre l'invasività (talvolta apertamente contro la legge) delle stesse. Per adesso gli anti tracker esistenti, free o a pagamento, garantiscono buoni risultati e comunque danno la possibilità sia di bloccare completamente le visualizzazioni delle pubblicità e il tracciamento dei cookie o di impostar livelli intermedi di protezione. 

La novità però, proprio di questi giorni, è l'utilizzo da parte del sito di news Liberation di un tracker capace di aggirare tutte le forme di protezione fino ad ora esistenti: il tracker, sviluppato dall'agenzia di marketing Eulerian, fa leva sulla distinzione tra cookie dell'editore e cookie di terze parti e si "insinua nella terra di mezzo" tra queste due tipologie di cookie. 

lunedì 25 novembre 2019

Italia sotto attacco: truffa di phishing ai danni degli utenti Agenzia Italiana del farmaco


L'alert del CERT-PA è di poche ore fa: gli esperti del nostro Computer Emergency Response Team hanno individuato una campagna di phishing via email volta alla sottrazione degli account di posta elettronica degli utenti di AIFA (Agenzia Italiana del Farmaco). 

Il testo è scritto in italiano corretto e cerca di convincere l'utente della imminente necessità di aggiornare il proprio account AIFA facendo click su un link incorporato nel testo. E', questo, un classico dell'ingegneria sociale: cercare di convincere l'utente bersaglio a compiere un'azione (cliccare su un link, scaricare un allegato) facendo leva su un problema da risolvere con una certa urgenza. Nel testo infatti si minaccia la chiusura definitiva dell'account AIFA a quegli utenti che, entro 4 ore, non avranno "aggiornato" l'account. 

venerdì 22 novembre 2019

Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo. Un nuovo paradigma per i ransomware?


Hanno imposto una scadenza precisa e, dopo che nessun riscatto è stato pagato in tempo, i cyber attaccanti dietro il ransomware Maze hanno pubblicato oltre 700 MB di dati e file rubati all'azienda specializzata in servizi e sicurezza Allied Universal. I ricercatori di Bleeping Computer, contattati dagli attori di Maze, hanno fatto sapere che quei 700 MB non coprono neppure il 10% del numero complessivo di dati rubati. 

E' una brutta storia, da raccontare, dicono da Bleeping Computer, perché dà un insegnamento chiaro: in caso di infezione ransomware non basta più preoccuparsi su come riportare in chiaro i file criptati, ma occorre anche preoccuparsi di quale fine possono fare i dati rubati. 

In breve: Maze

giovedì 21 novembre 2019

Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata



Qualche tempo fa abbiamo riportato una notizia piuttosto allarmante: la società tedesca Greenbone, specializzata in sicurezza dati, vulnerabilità e resilienza dei sistemi, aveva da poco pubblicato un report piuttosto dettagliato sullo stato di sicurezza dei sistemi di storage di immagini diagnostico sanitarie nel mondo.  Dal report è emersa una situazione piuttosto grave tra immagini diagnostiche accessibili senza credenziali, individuabili tramite comuni motori di ricerca e, in alcuni casi, persino scaricabili, che vedeva anche l'Italia maglia nera in Europaper sistemi e numero di immagini esposte. 

A distanza di due mesi Greenbone è tornata a verificare la situazione e, incredibilmente, ha dovuto registrare un netto peggioramento della situazione: le immagini esposte sono salite a 1 miliardo e 19 milioni, oltre il 60% in più. Ne rendiamo i punti salienti, mentre, per chi volesse approfondire, il report completo è disponibile qui.

mercoledì 20 novembre 2019

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana


Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita. 

L'ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware. 

L'attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l'Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri. 

martedì 19 novembre 2019

Nuovi attacchi via Posta Certificata PEC


In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.

FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l'utente legge l'email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente  l'installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all'attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.

lunedì 18 novembre 2019

Ultimi aggiornamenti sul ransomware FTCODE


Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all'interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all'interno del quale si trova un file .VBS, che contiene l'eseguibile del ransomware. Il testo dell'email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato. 

venerdì 15 novembre 2019

Gennaio 2020: Windows 7 e Windows Server 2008 R2 arrivano a fine vita. Che fare?


Dal gennaio 2020 Microsoft non rilascerà più aggiornamenti e patch per i sistemi client Windows 7 e per i sistemi server Windows 2008. La questione non è affatto secondaria, sia perchè risultano ancora milioni gli utenti che utilizzano questi sistemi operativi, ma anche perchè, concentrandoci sull'Italia, oltre il 50% dei computer della pubblica amministrazione esegue ancora Windows 7, mentre il 20% circa dei server utilizza Windows 8 (e qualcuno perfino Windows 2003). 

La nota di Windows, che potete leggere qui, è molto chiara: l'interruzione del supporto per Windows 7 e Server 2008 avverrà il 14 gennaio 2020. Nella stessa nota Windows, oltre a specificare che sta inviando un numero limitato di notifiche agli utenti con questi sistemi operativi (invitandoli all'update a Windows 10), fa sapere anche che, di lì a pochi giorni, anche Office 2010 non riceverà più supporto. 

Fine supporto: che cosa significa? 

mercoledì 13 novembre 2019

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione


Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella "top 10" di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese. 

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l'intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.  

lunedì 11 novembre 2019

Nuovo data leak per Facebook: sviluppatori esterni accedono a dati sensibili dai Gruppi


Facebook ha reso pubblico qualche giorno fa un altro incidente di sicurezza, ammettendo che oltre 100 sviluppatori di app potrebbero aver avuto accesso ai dati privati degli utenti dai gruppi. In post sul blog (visualizzabile qui) interamente dedicato agli sviluppatori, Facebook ha fatto sapere che gli sviluppatori che possono avere avuto accesso non autorizzato ai dati degli utenti (nome, cognome, foto di profilo ecc...) sono principalmente legati ad app di gestione dei social media e per lo streaming video, che consentono agli admin dei gruppi di gestire gli utenti più efficacemente e aiutare i membri a pubblicare video nei gruppi stessi. 

La nuove norme di sicurezza dati dopo l'affaire Cambridge Analytica
Facebook ha apportato, appena lo scorso anno, alcune pesanti modifiche alla sua API Group sulla scia dello scandalo Cambridge Analytica, dato che quel leak riguardò ben 87 milioni di utenti, la cui privacy fu violata dalla società terza al fine di manipolare le elezioni negli Stati Uniti.

venerdì 8 novembre 2019

Qsnatch: il malware che colpisce (anche in Italia) i dispositivi QNAP


L'alert è di metà Ottobre, ma alcuni casi di infezione in Europa sono stati denunciati soltanto pochi giorni fa: parliamo di Qsnatch, il nuovo malware progettato per colpire soltanto i dispositivi QNAP, scoperto dagli specialisti del National Cyber Security Center Finland (qui l'alert). 

Il record di infezioni in Europa per ora spetta alla Germania, con oltre 7000 dispositivi colpiti, stando ai dati pubblicati proprio dal CERT tedesco, ma si registrano alcune centinaia di casi anche in Italia, come indicato dalla mappa sottostante:

giovedì 7 novembre 2019

FTCODE Ransomware: nuova versione in diffusione in Italia


In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l'Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un'allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c'è garanzia di ricevere il tool.

mercoledì 6 novembre 2019

Anonymous torna all'attacco e ci ricorda le nostre debolezze

di Alessandro Papini - Presidente Accademia Italiana Privacy

Oggi è l'anniversario della congiura delle polveri: per quelli che non hanno dimestichezza con la storia anglosassone ricordo il film V per vendetta. È una ricorrenza spietata per i cosiddetti Hack-tivisti, i gruppi legati ad Anonymous. E, come era prevedibile, il comunicato del 5 novembre non si è fatto attendere (clicca qui per leggerlo integralmente). Voglio soffermarmi su due passaggi fondamendali; il primo: 

"E noi italiani? Continuiamo a litigare per chi "comanda". Per chi ha "più potere". E continuiamo a mandare persone allo sbaraglio politico per noia, rabbia o per dare un "vaffanculo" generale. Destra, sinistra, centro e tutte le possibili combinazioni di partiti, non-partiti, leghe e movimenti. Il risultato rimane lo stesso. Non sono le persone a fallire.  È il sistema." Un altro anno è passato! Un altro anno a ricordare quello che dovrebbe essere un giorno di "liberazione" per il mondo, e non solo per noi Anonymous. Perché il 5 Novembre non è solo il giorno in cui trasmettono V per Vendetta in televisione, ma è un giorno di ribellione. Ribellione contro quegli stati malati, approfittatori, corrotti che ormai sembrano essere un cliché delle nostre nazioni."

martedì 5 novembre 2019

Ancora ospedali criptati, ma anche radio e provider. Ransomware scatenati, nuove vittime eccellenti in U.S.A. e Spagna


Ancora ransomware, ancora città, ospedali, aziende criptate. Qualche tempo fa avevamo tratteggiato un vero e proprio salto di qualità nella diffusione dei ransomware, sopratutto del ransomware Ryuk: non solo pubbliche amministrazioni, ma anche vari "colpi grossi" contro ospedali e scuole. Nonostante le leggi federali e statali emanate appositamente negli Stati Uniti per arginare il fenomeno, gli attacchi non sono affatto cessati. E anzi, si registra un nuovo attacco che ha colpito una istituzione molto importante, il Brooklyn Hospital. Ma arrivano brutte notizie anche dall'Europa, con due gravi attacchi ransomware in Spagna. 

1. Il Brooklyn Hospital perde(irrimediabilmente) i dati dei pazienti in un attacco ransomware
Un attacco ransomware ha colpito i sistemi computerizzati del Brooklyn Hospital Center di New York, causando la perdita PERMANENTE dei dati dei pazienti. I tecnici hanno provato a recuperare i dati, senza successo: questo indica che il riscatto non è ancora stato pagato ai cyber attaccanti. 

Frodi online: le tendenze del secondo trimestre 2019


Nei primi sei mesi di quest’anno gli attacchi che diffondono malware finanziari sono cresciuti dell’80% rispetto allo stesso periodo del 2018. Le tattiche più prolifiche per questo tipo di frodi sono sicuramente il phishing e i financial malware (grafico 1).
Nel secondo trimestre del 2019 sono stati identificati nel mondo 57.406 attacchi fraudolenti. Su questi quelli di phishing sono stati 21.389, circa il 37% di tutti gli attacchi di frode, con un calo del 10% rispetto al trimestre precedente. Il numero complessivo delle cyber frodi globali rilevati da RSA è aumentato del 63% nei primi 6 mesi del 2019 rispetto al 1° semestre dello scorso anno (grafico 2).