giovedì 1 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 25/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 25/09
Anche questa settimana è Emotet il malware più attivo. E' stato distribuito a cadenza praticamente giornaliera con campagne principalmente a tema sanità o pagamento fatture: lo schema è sempre lo stesso, ovvero l'uso di documenti Office .doc contenenti macro dannosa. In alcuni casi il documenti era contenuto in archivio .ZIP protetto da una password indicata nel corpo email. 

Al secondo posto dei malware più attivi troviamo Ursnif, diffuso con più campagne. Tra queste, una è stata molto più intensa delle altre, ovvero quella a tema Agenzia delle Entrate. 

martedì 29 settembre 2020

Ancora ospedali sotto attacco: il ransomware Ryuk lancia l'assalto agli Ospedali UHS in tutti gli Stati Uniti

A pochi giorni dalla notizia della morte di una paziente come conseguenza diretta di un attacco ransomware (è ad ora in corso un' indagine per omicidio colposo avviata dalla Procura di Colonia), gli attacchi ransomware contro ospedali e fornitori di servizi sanitari non si fermano. Anzi, la situazione sta peggiorando. 

La nuova vittima d'eccellenza è il provider di servizi sanitari Universal Health Service (UHS): il gigante della sanità statunitense ha dichiarato pubblicamente di essere stato costretto allo shut down dei sistemi di tutti gli ospedali negli Stati Uniti in seguito ad un cyber attacco che ha colpito la rete aziendale all'alba di Domenica scorsa (27 Settembre 2020). Per rendersi conto del contesto, UHS gestisce oltre 400 tra ospedali e ambulatori negli Stati Uniti e nel Regno Unito, conta oltre 90.000 dipendenti e assiste più di 3.5 milioni di pazienti ogni anno. 11.4 miliardi di dollari il profitto annuale dichiarato, che pone UHS tra le prime 500 aziende di Fortune. 

L'attacco è iniziato durante la notte ed ha riguardato sicuramente gli ospedali UHS in California, Florida, Texas, Arizona, Washington D.C che si sono ritrovati senza accesso ai computer e ai sistemi telefonici. Ad ora e tutt'ora, gli ospedali UHS stanno dirottando le ambulanze e ricollocando i pazienti in altre strutture nei dintorni.

I dipendenti raccontano che, quando è iniziato l'attacco, sono state arrestate dagli attaccanti più

lunedì 28 settembre 2020

Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati

Ancora un ransomware pensato per colpire nello specifico i NAS QNAP:  dopo QSnatch e QNAPCrypt, i ricercatori di sicurezza hanno individuato, già in uso in attacchi reali, un nuovo ransomware chiamato AgeLocker. 

AgeLocker mira esclusivamente i dispositivi NAS QNAP, sempre più largamente usati per lo storage di grandi quantità di dati, ma anche per i backup. Insomma, un obiettivo molto ghiotto e sicuramente più facile da colpire rispetto a sistemi di storage e backup aziendali complessi. Il copione, come detto, non è nuovo: AgeLocker cripta i dati e richiede un riscatto, ma si premura anche di rubare tutti i dati salvati sul dispositivo al momento dell'attacco. 

Per la criptazione AgeLocker usa un algoritmo di criptazione poco utilizzato, chiamato Age (Actually Good Encryption), dal quale deriva il nome del malware stesso: è un algoritmo nato allo scopo di sostituire GPG nella criptazione di file, backup e flussi. I file criptati da questo ransomware sono facilmente individuabili: al momento della criptazione infatti, AgeLocker antepone un header testuale ai dati criptati, contenente l'URL age-encryption.org

venerdì 25 settembre 2020

Ancora aziende italiane sotto attacco: il Gruppo Carraro paralizzato mette in cassa integrazione 700 dipendenti

A causa di un attacco informatico, ancora di tipologia non confermata da fonti ufficiali, il Gruppo Carraro ha dovuto sospendere sia produzione che amministrazione negli stabilimenti di Campodarsego e Rovigo. In tutto l'azienda si è trovata costretta a mettere in cassa integrazione oltre 700 lavoratori: 500 dipendenti di Capodarsego e 200 lavoratori della divisione Agritalia di Rovigo. La cassa integrazione durerà per il periodo necessario al ripristino dei sistemi informatici, in un'azienda altamente automatizzata la cui attività è strettamente dipendente dai sistemi informatici. Lavoro sospeso anche per molti amministrativi, che a causa della pandemia Covid19, lavorano da mesi in remoto in regime di smart working. 

 «Tutti i lavoratori a casa, tranne una residua parte produttiva tornata al lavoro manuale a bordo linea» dichiarano dal sindacato Fim- Cisl di Padova. 

I danni però si sono verificati anche oltreoceano: il blocco produttivo ed amministrativo infatti ha finito per riguardare anche altre unità produttive del gruppo, in India, Cina e Argentina. 

giovedì 24 settembre 2020

ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Come raccontato qualche giorno fa, tra i nuovi malware in diffusione in Italia, il CERT-AgID ha individuato quello che pare a tutti gli effetti un "parente" del già noto AgentTesla. Il nostro team di cyber sicurezza nazionale ha individuato per la prima volta questo nuovo malware in distribuzione in una email a tema DHL e scritta il lingua inglese: l'email conteneva un allegato dannoso con estensione .GZ dal nome DHL STATEMENT OF ACCOUNT – 1606411788.  Su questo malware il CERT-AgID ha pubblicato un apposito report consultabile qui: ne rendiamo i punti salienti. 

L'archivio è un file .RAR in realtà, che è effettivamente un formato più adatto a Windows: all'interno è contenuto un file eseguibile con lo stesso nome. L'immagine sotto mostra l'email oggetto di analisi da parte del CERT-AgID. 

mercoledì 23 settembre 2020

Attacco ransomware contro Luxottica: interrotta produzione e logistica

La famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri, ha subito un cyber attacco che ha obbligato allo stop delle operazioni sia in Italia che in Cina. Parliamo della più grande azienda al mondo di occhiali, con oltre 80-000 dipendenti e che genera profitti per 9.4 miliardi l'anno. 

I primi effetti dell'attacco sono divenuti visibili Venerdì mattina scorso, quando alcuni utenti hanno iniziato a segnalare malfunzionamenti di siti web collegati come quello di Ray-Ban, di Sunglass Hut di EyeMed ecc... 

martedì 22 settembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 18/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 18/09
Il Cert-AgID ha riscontrato e condotto analisi su circa 20 diverse campagne di attacco dirette contro utenti italiani, per le quali l'agenzia ha prodotto circa 307 indicatori di compromissione  (IoC). 

Tra i malware più individuati spicca Emotet, che è stato rilevato in distribuzione con ben 5 diverse campagne. E' stato quindi il malware più attivo questa settimana, diffuso col solito schema di distribuzione ovvero attraverso un file .doc contenente una macro dannosa. In alcuni casi il file Office è contenuto in archivio compresso ZIP. Il dato grave è che un repository dove è ospitato il malware è posizionato su un sottodominio compromesso appartenente ad una Pubblica Amministrazione. 

Qakbot, sLoad e Masslogger confermano una presenza sporadica e di poco rilievo, mentre la vera novità è l'individuazione di un nuovo malware che, dopo analisi, è ritenuto un'evoluzione del ben già noto AgentTesla: il Cert-AgID lo ha ribattezzato ASTesla proprio per le somiglianze con AgenTesla. Su questo malware il CERT-AgID ha prodotto un dossier di approfondimento, consultabile qui: ne pubblicheremo un breve sunto nei prossimi giorni. 


Le campagne di phishing della settimana 18/09

lunedì 21 settembre 2020

Attacco ransomware contro un ospedale in Germania porta alla morte di un paziente

Non che i ricercatori di sicurezza non avessero esplicitamente allertato rispetto a questo rischio, ma a tutt'oggi era ritenuta una possibilità piuttosto remota e comunque ancora non verificatasi: la realtà però, come spesso accade, supera anche le peggiori fantasie e, qualche giorno fa, si è registrato il primo morto "di ransomware". 

L'attacco e la vulnerabilità di Citrix
L'University Hospital Düsseldorf (UKD), in Germania, ha subito un attacco ransomware dopo che alcuni attaccanti sono riusciti a fare irruzione nella sua rete a causa di una vulnerabilità presente in un software add-on commerciale comunemente usato a livello globale. Stando all'agenzia di cybersecurity Bundesamt für Sicherheit in der Informationstechnik (BSI), gli attaccanti hanno sfruttato la vulnerabilità CVE-2019-19781 di Citrix ADC, già conosciuta e risolta nel Gennaio 2020. 

A seguito dell'attacco la rete interna è andata in down e la direzione ospedaliera si è trovata costretta a comunicare, nella tarda mattinata del 10 Settembre, la decisione di sospendere tutti i trattamenti programmati e ambulatoriali e di dirottare tutti i pazienti in condizioni gravi e critiche verso altri ospedali. I media tedeschi riferiscono anche che la polizia postale locale si è messa in contatto con gli attaccanti seguendo le indicazioni contenute nella nota di riscatto: hanno spiegato loro che l'obiettivo del cyber attacco era un ospedale e che la cosa stava pregiudicando e mettendo a rischio la salute e la vita di molte persone. La polizia infatti ha inizialmente pensato ad un errore, dato che le note di riscatto rilasciate su tutti i server criptati erano indirizzate alla Heinrich Heine University. Dopo i contatti con la polizia, gli attaccanti hanno ritirato la richiesta di riscatto (ammontante a circa 900.000 euro in Bitcoin) e fornito la chiave di decriptazione, cosa che ha permesso all'ospedale di tornare lentamente alla normalità. 

Una donna è morta: si può parlare di omicidio?

giovedì 17 settembre 2020

Doppia estorsione sempre più diffusa: il ransomware LockBit lancia il proprio sito per i data leak

Il gruppo di attaccanti che ha sviluppato il ransomware LockBit ha lanciato da pochissimi giorni il proprio sito di leak, aggiungendosi quindi all'elenco delle famiglie ransomware che hanno optato per la strada della doppia estorsione: riscatto per riportare in chiaro i file criptati e secondo riscatto per non diffondere i dati rubati prima della criptazione.

Questo sistema di doppio ricatto è l'ennesima rivoluzione nel mondo dei ransomware e origina dalla decisione, operata dalla gran parte dei gestori delle più critiche famiglie di ransomware a partire dal 2019, di non limitarsi alla criptazione dei dati, ma di procedere prima al furto degli stessi da usare poi come ulteriore strumento di pressione sulle vittime sotto minaccia di pubblicazione. 

Il sito di leak di LockBit circola da qualche giorno ed è stato postato su alcuni forum di hacking russi: ecco come appare

martedì 15 settembre 2020

Il governo inglese pubblica un utile toolkit per la procedura di divulgazione delle vulnerabilità

Il National Cyber Security Center (NCSC) ha pubblicato una serie di linee guida per aiutare le aziende a implementare un processo quanto più efficace possibile per la segnalazione delle vulnerabilità. Chiamato "The Vulnerability Disclosure Toolkit", il documento sottolinea e spiega l'importanza che assume per le aziende di qualsiasi dimensione l'implementazione di un meccanismo responsabile di "caccia e segnalazione" dei bug. 

Una procedura di individuazione e segnalazione celere delle vulnerabilità ha oggi perfettamente senso, considerando che una fetta veramente importante degli attacchi informatici riescono proprio  a causa di problematiche di sicurezza: non a caso i ricercatori di sicurezza individuano costantemente nuovi bug. Il problema è che, spesso, è molto difficoltoso riuscire a segnalare un bug e sono necessari non pochi sforzi per trovare un contatto che possa realmente approntare una patch e risolvere il problema. 

lunedì 14 settembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/09
La scorsa settimana il CERT-AgID ha individuato 13 campagne di attacco contro utenti italiani, per i quali l'agenzia ha prodotto ben 321 indicatori di  compromissione (IoC). Tra i malware, i più attivi della settimana sono stati FormBook e MassLogger. 

MassLogger è un keylogger molto diffuso, acquistabile da chiunque nel dark web alla modica cifra di 45 dollari per una licenza a vita. Questo lo ha reso un malware molto gettonato, uno strumento conveniente ma molto efficace nel furto di dati, sopratutto di dati sensibili e credenziali di accesso. E' distribuito via email, tramite apposite campagne di phishing. Qui è disponibile un approfondimento del CERT-AgID

venerdì 11 settembre 2020

E' in corso una guerra tra cybercriminali per il controllo di più di 300.000 siti WordPress vulnerabili

Diversi gruppi di cyber attaccanti stanno attivamente sfruttando una vulnerabilità critica di esecuzione codice da remoto che riguarda oltre 300.000 siti WordPress che eseguono versioni vulnerabili del plugin File Manager. Una volta ottenuto il controllo di un sito vulnerabile, gli attaccanti si preoccupano di metterlo al sicuro da ulteriori attacchi: una modalità piuttosto inusuale, ma un chiaro segno del fatto che è in corso una vera e propria guerra tra cyber criminali per ottenere il controllo di quanti più siti WordPress vulnerabili possibili impedendone l'accesso ad altri attori. 

La vulnerabilità in questione consente ad un attaccante non autenticato di caricare file dannosi PHP ed eseguire codice dannoso dopo la violazione della falla: il team di sviluppatori di File Manager ha già risolto il problema col rilascio della versione 6.9 del File Manager (se hai un sito WordPress che esegue il File Manager consigliamo il passaggio a questa versione prima possibile). 

La falla è stata corretta pochissime ore dopo che gli sviluppatori sono stati informati del problema: la falla era infatti una 0-day, segnalata dal ricercatore Ville Korhnen che stava conducendo analisi sugli attacchi in corso. Il team di Wordpress ha comunque individuato più di 1.7 milioni di siti web esaminati da vari autori di malware e attacchi informatici tra il 1 e il 3 settembre 2020. In un report sulla questione recentemente aggiornato, l'azienda di sicurezza Defiant ha spiegato che gli attaccanti non hanno affatto cessato l'assedio, anzi il numero totale dei siti web WordPress potenzialmente attaccabili è salito a 2.6 milioni. 

Qualche dettaglio sull'attacco in corso

giovedì 10 settembre 2020

Tor Vergata: attacco ransomware contro l'Università colpisce le ricerche sul Covid e blocca la didattica a distanza

La notizia è di ieri: l'Università di Tor Vergata a Roma, uno dei principali atenei d'Italia, è stata vittima di un attacco ransomware. L'intrusione nei sistemi dell'ateneo è avvenuta Venerdì sera a partire da un server, poi gli attaccanti sono riusciti ad espandere la loro presenza nella rete e a diffondere un ransomware. Finiscono criptati materiale didattico e di ricerca, compresi tutti i materiali relativi a ricerche e terapie per la cura del Covid19, ma l'attacco obbliga anche al blocco delle attività di didattica a distanza. In pratica sono finiti criptati tutti i materiali presenti sui dischi rigidi, ma anche nel sistema in cloud: oltre 100 i computer compromessi, incalcolabile il numero di dati sensibili e personali che è stato violato, anche se non c'è ancora certezza che i dati siano stati rubati prima di finire criptati. Non è stata neppure avanzata, almeno per ora, alcuna richiesta di riscatto. 

mercoledì 9 settembre 2020

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

La Warner Music Group (WMG) ha scoperto un data breach che ha riguardato le informazioni personali e finanziarie di decine di store e-commerce statunitensi: i siti e-commerce sono stati violati nell'Aprile 2020 con quello che sembra, a tutti gli effetti, un attacco MageCart. Il rischio quindi di aver subito il furto di dati personali e finanziari riguarda quindi milioni di utenti, non solo statunitensi: la WMG ha avvertito che tutti coloro che hanno inserito informazioni sui loro store online possono aver subito il furto dati ad opera di una terza parte non autorizzata e tutt'ora sconosciuta. 

MageCart:  cos'è in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantochè la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poichè le violazioni MageCart sono molto difficili da individuare. 

Gli store Warner Music compromessi da Aprile

martedì 8 settembre 2020

Windows 10: risolto il bug che accorciava la vita degli SSD

Microsoft ha risolto un bug nella funzione Ottimizza Unità della versione 2004 di Windows 10 che causava la deframmentazione troppo frequente dei drive SSD. Il problema è stato individuato nel Giugno 2020 assieme ad un ulteriore problema dello stesso tool di manutenzione, ovvero l'uso da parte del comando TRIM anche sui drive non SSD (hard disk), che non supportano questo tipo di operazioni. 

Windows 10 smemorato
Se l'uso del comando TRIM su unità non SSD si risolve in un errore del Visualizzatore Eventi, l'altro bug invece faceva si che la funzione di Manutenzione Automatica eseguisse troppo spesso, più di quanto necessario, il defrag dell'SSD. 

La funzione di Manutenzione Automatica esegue varie operazioni di manutenzione con cadenza dipendente dalla calendarizzazione impostata sul sistema operativo. Tra le varie operazioni, c'è anche quella di ottimizzazione (deframmentazione e Trim), la verifica di eventuali update, varie scansioni di sicurezza e altre tipologie di diagnosi del dispositivo e dei software. 

Solitamente Windows 10 esegue il defrag dei dischi SSD una volta al mese, ma appunto il bug causava il defrag ad ogni riavvio di Windows: la funzione di Manutenzione Automatica infatti non ricordava la data dell'ultima ottimizzazione, quindi avviava una deframmentazione ad ogni riavvio comportando una drastica riduzione della longevità delle unità SSD. Il bug è stato riportato da alcuni utenti, alcuni dei quali hanno denunciato guasti, in alcuni casi irrisolvibili, alle unità SSD: in particolare gli utenti notavano come, pur vedendo salvata correttamente la data dell'ultima manutenzione sui dischi, il tool mostrasse comunque tutti gli SSD come impostati su "Ottimizzazione necessaria". 

Il bug è stato risolto

lunedì 7 settembre 2020

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio


Per tutta la prima parte del 2020 gli attacchi ransomware contro le aziende si sono mantenuti a livelli costantemente alti. Per quanto ogni gruppo ransomware operi secondo un proprio set di competenze, la maggior parte degli attacchi ransomware nel primo trimestre del 2020 può essere attribuita ad un numero ridottissimo di vettori di intrusione. 

Tra i primi tre metodi di intrusione più utilizzati troviamo gli endpoint RDP non protetti, le email di phishing e gli exploit di applicazioni VPN aziendali. 

RDP: ancora sul podio
Sul gradino più alto del podio dei vettori usati per attacchi ransomware troviamo il Remote Desktop Protocol (RDP).  I dati provenienti dal report di Coveware, azienda specializzata in risposta agli attacchi ransomware e nella negoziazione con gli attaccanti, parlano chiaro: l'RDP è il punto di ingresso più comunemente sfruttato negli attacchi ransomware avvenuti quest'anno. 

venerdì 4 settembre 2020

DarkSide: ecco il nuovo ransomware che colpisce solo le aziende

E' stata individuata una nuova famiglia di ransomware, chiamata DarkSide: come ogni ransomware "che si rispetti", quelli del calibro di Conti, Ryuk e Maze per capirsi, è pensato per eseguire attacchi mirati contro le aziende e richiedere poi riscatti milionari. 

Le operazioni di diffusione sono iniziate attorno al 10 Agosto 2020 e sono state annunciate a "mezzo stampa": il gruppo di cyber attaccanti ha infatti pubblicato, pochi giorni prima dell'avvio delle operazioni, un comunicato stampa nel quale gli autori si affermano di essere esperti di operazioni ransomware, avendo già "lavorato" nel settore con proventi milionari. Non trovando però un RaaS che soddisfacesse appieno le loro esigenze, gli attaccanti hanno optato per sviluppare in proprio la nuova arma: nasce così DarkSide. Nel comunicato viene anche puntualizzato che DarkSide colpirà solo ed esclusivamente le aziende, confermando che i tempi degli attacchi ransomware di massa sparati nel mucchio degli utenti finali sono davvero agli sgoccioli. 

mercoledì 2 settembre 2020

La Tesla di Elon Musk si salva da un attacco ransomware grazie ad un dipendente fedele

I numeri ne danno conferma schiacciante: una fetta importante dei cyber attacchi ha successo a causa dell'errore umano. Non a caso, c'è un vecchio detto nella comunità dei ricercatori di sicurezza: l'anello debole della cyber sicurezza sta tra il pc e la sedia. Questo però è il caso in cui, al contrario, la fedeltà di un singolo dipendente ha salvato un'azienda del peso della Tesla di Elon Musk dal subire una gravissima infezione ransomware. 

Il dipendente, che opera nella Gigafactory di Sparks in Nevada, è stato contattato da un cyber attaccante di origine russa: il tentativo era di convincerlo a iniettare un malware nella rete aziendale, un ransomware appunto. Una volta criptati i file, l'attaccante avrebbe avanzato una gigantesca richiesta di riscatto, minacciando anche la pubblicazione dei dati rubati: al dipendente sarebbe stata riservata una percentuale del riscatto per l'aiuto prestato. Il sospetto attaccante si chiama Egor Igorevich Kriuchkov ed è stato arrestato dall'FBI qualche giorno fa, dopo aver tentato una precipitosa fuga lontano dagli Stati Uniti. 

martedì 1 settembre 2020

Aumentano i casi della "truffa del Ceo" in Italia: i consigli degli esperti dello Csirt

Lo CSIRT italiano lancia l'allarme riguardo ad una tipologia di attacco molto particolare, detta "truffa dl CEO": l'allarme viene in conseguenza dell'evidente aumento nel nostro paese del numero di questi attacchi. Lo CSIRT spiega che "È stata recentemente rilevata un’intensificazione delle attività cyber malevole note come “truffa del CEO” ai danni di importanti aziende e amministrazioni pubbliche italiane". 

La truffa del CEO in breve
Per descriverla in breve, la truffa del CEO è una tipologia di attacco di phishing nella quale un attaccante impersona un dirigente dell'azienda o pubblica amministrazione inviando una comunicazione, solitamente via email, ad un dipendente abilitato al trasferimento di fondi affinchè questi esegua un bonifico urgente. L'urgenza è solitamente ben ribadita sia nell'oggetto che nel corpo email ed è, questa, una comunissima forma di ingegneria sociale: il senso di urgenza riduce l'attenzione del destinatario e lo porta ad eseguire azioni senza raccoglie troppe informazioni di contesto e senza verificare la legittimità della comunicazione. In inglese questa tecnica di attacco è conosciuta come BEC, ovvero "Business Email Compromise". Nell'immagine sotto un esempio di truffa BEC riportato direttamente dallo CSIRT.

venerdì 7 agosto 2020

Ondata di attacchi in Italia: distribuzioni massive di Ursnif, Agent Tesla, FTCode e JasperLoader

Il Computer Security Incident Response Team (CSIRT) italiano ha lanciato una serie di allarmi, tutti molto ravvicinati nel tempo, riguardo ad alcune campagne di diffusione dei malware Ursnif, Agent Tesla, JasperLoader e FTCode. 

Agent Tesla è in distribuzione in Italia, ad ondate, dal 27 Luglio: il 5 Agosto lo CSIRT ha rilasciato nuovi aggiornamenti perchè ha individuato una nuova campagna di email di spam contro utenti italiani che diffonde il malware tramite documenti Office diversi dalla campagna denunciata pochi giorni prima. Le email vettore sono di diverse tipologie, ma impersonificano piccole aziende italiane che indirizzano comunicazioni riservate relative ad ordini e acquisti di merce. Sotto un esempio di email vettore realmente impiegata nella campagna

giovedì 6 agosto 2020

Ransomware: Canon si aggiunge alle vittime eccellenti

Canon ha subito un attacco ransomware che ha avuto un ampio impatto su numerosi servizi, compreso il servizio email di Canon, il Microsoft Team, il sito statunitense dell'azienda e alcune applicazioni interne. Fonti interne riferiscono che il dipartimento IT dell'azienda ha inviato una comunicazione a tutti i dipendenti avente come oggetto "Message from IT Service Center": comunicazione nella quale si spiega come Canon stia sperimentando "problemi di sistema molto estesi che stanno interessando più applicazioni, Teams, Email e altri sistemi che potrebbero non essere disponibili al momento". 


mercoledì 5 agosto 2020

I costi di un data breach: ogni dato personale rubato in Italia costa 125 euro


I numeri del report di IBM e Ponemon Institute, basati sull'analisi di più di 500 data breach accaduti nell'ultimo anno, fanno paura, davvero. 21 dei 500 data breach analizzati sono accaduti in Italia e questi numeri sono il frutto della media dei dati risultanti dalle analisi. 

In italia:
  • ci vogliono 229 giorni per identificare un data breach;
  • 80 i giorni necessari, invece, per contenerlo;
  • ogni singolo dato perso viene a costare in media 125 euro;
  • 3 milioni di euro circa è la spesa media per mettere di nuovo in sicurezza i sistemi, pagare spese legali, ripristinare la produttività e affrontare i danni d'immagine. 
I settori più colpiti in Italia sono quello finanziario, seguito a ruota dal farmaceutico, quindi terziario e servizi. Le cause principali sono cyber attacchi nel 52% dei casi, errore umano nel 29% dei casi e falle e vulnerabilità dei sistemi per un altro 19%. 

lunedì 3 agosto 2020

Garmin ha ricevuto il decryptor per risolvere l'attacco ransomware ai suoi sistemi


Qualche giorno fa avevamo dato notizia di un grave attacco ransomware che ha colpito Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable: l'attacco ha obbligato al down tutti i servizi connessi, paralizzandoli in tutto il mondo. Da Garmin non erano (e non sono tutt'ora arrivate) conferme sul tipo di attacco subito, ma la redazione di Bleeping Computer è riuscita a scoprire il tipo di ransomware usato nell'attacco (ovvero WastedLocker) e ad analizzarne un campione. Qualche giorno dopo, grazie ad un membro del team IT, la redazione ha dato anche notizia della richiesta di riscatto: oltre 10 milioni di dollari. 

Il down è durato oltre 4 giorni, dopo i quali, improvvisamente, l'azienda ha rotto il silenzio annunciando di aver iniziato a ripristinare tutti i servizi: difficile non sospettare che possano aver ceduto agli attaccanti e pagato il riscatto per ricevere il decryptor. Ma l'azienda non ha espresso ulteriori commenti e si è barricata nel silenzio stampa. 

Ora arriva la conferma: contrariamente a tutte le indicazioni di Governo, NSA, FBI Garmin ha pagato il riscatto. La redazione di Bleeping Computer ha potuto infatti analizzare un eseguibile creato dal Dipartimento IT di Garmin stessa contenente alcuni software di sicurezza e un tool per decriptare le workstation aziendali. Il tool, ovviamente, funziona grazie all'uso della chiave privata posseduta dagli attaccanti ed è impossibile che dal dipartimento IT di Garmin siano riusciti a ricavarla violando l'algoritmo di WastedLocker perchè, ad ora, quell'algoritmo di criptazione non presenta vulnerabilità note. La mancanza di falle, di vulnerabilità, rende chiaro che Garmin non ha ricevuto il tool gratuitamente. 

venerdì 31 luglio 2020

Il malware TrickBot ora infetta anche i sistemi Linux


Abbiamo parlato spesso di TrickBot che, ad oggi, è tra i malware più diffusi al mondo: in breve è definibile come una piattaforma malware polivalente per Windows che utilizza differenti moduli per poter eseguire diverse attività dannose tra le quali il furto di informazioni e password, l'infiltrazione di domini Windows e la distribuzione di altri malware. TrickBot viene affittata da cyber attaccanti che la utilizzano per infiltrare reti e raccogliere da queste tutti quei dati che hanno un qualche valore. Tra le altre cose, questa piattaforma è usata per distribuire i ransomware Conti e Ryuk. 

Alla fine del 2019, sia SentinelOne che NTT pubblicarono report che svelavano l'esistenza di un nuovo framework di TrickBot chiamato Anchor, che utilizza DNS per comunicare coi propri server di comando e controllo.

giovedì 30 luglio 2020

Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un'udienza infuocata


Jeff Bezos, Sundar Pichai, Mark Zuckerberg, Tim Cook: c'erano tutti ieri a Capital Hill, sede del Congresso americano.  Si conta solo un grande assente, tra i CEO delle big dell'Hi Tech, ovvero Jack Dorsey di Twitter. Le testimonianze dei 4 big sono durate oltre 5 ore e mezza, chiamati a difendere le proprie aziende (Amazon, Google Alphabet, Facebook e Apple) che, insieme, valgono circa 5mila miliardi di dollari l'anno. 

In dettaglio i quattro sono stati chiamati a testimoniare da una sotto commissione della magistratura del Congresso che si occupa di Antitrust, riguardo la posizione dominante e eventuali comportamenti non conformi alle regole dell'antitrust nei rispettivi settori. L'inchiesta in realtà è iniziata nel Giugno 2019, ma è la prima volta che tutti e 4 i big sono stati chiamati a testimoniare e rispondere a domande dirette su quanto emerso dagli oltre 1,3 milioni di documenti raccolti dai commissari stessi. 

L'accusa è diretta e pesante: "Queste aziende sono ormai troppo potenti e la pandemia ha peggiorato le cose: bisogna fare qualcosa" contro questi "titani, imperatori dell'economia online", si legge nell'atto di accusa della Commissione Antitrust. Un processo alle Big Tech che, ormai, si è fatto mediatico e molto atteso, anche sulla spinta delle dichiarazioni di molti politici, pur di schieramenti diametralmente opposti: dalla democratica Ocasio Cortez, che da mesi cerca di torchiare sopratutto Zuckerber, a Trump che invece colpisce tutti indistintamente, dichiarando poco prima dell'inizio dell'audizione che  "se il Congresso non riesce a portare correttezza e onestà nelle Big Tech, cosa che avrebbe dovuto fare anni fa, lo farò io con dei decreti”.

mercoledì 29 luglio 2020

Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc


La Cybersecurity and Infrastructure Security Agency(CISA) statunitense e il National Cyber Security Centre (NCSC) del Regno Unito hanno diramato appena due giorni fa un alert specifico riguardante QSnatch, un malware  specializzato in attacchi contro i dispositivi NAS QNAP. QSnatch è un malware individuato nel 2014 e che ha visto due ampie campagne di diffusione dal 2014 al 2017 e dal 2018 al 2019. Nonostante l'inattività momentanea del malware, le due agenzie di sicurezza hanno deciso di lanciare gli alert e invitare urgentemente tutti i clienti QNAP ad aggiornare i propri dispositivi NAS e ridurre il più possibile il rischio di futuri attacchi. 

Il malware in breve
Prima di passare ai numeri, che effettivamente rendono esplicito il pericolo, è utile una breve ricapitolazione delle funzionalità e caratteristiche di questo malware. QNAP ha informato per la prima volta i propri clienti riguardo ad una serie di attacchi in corso contro i dispositivi NAS nel Novembre 2019, quando un ricercatore del National Cyber Security Centre finlandese aveva individuato centinaia di NAS QNAP infetti: per ben 4 anni il malware è rimasto fondamentalmente sconosciuto e sotto traccia.

Le funzionalità principali di QSnatch sono il furto di credenziali e l'iniezione di codice dannoso recuperato dal server di comando e controllo degli attaccanti. E' comunque un malware modulare, quindi può ampliare le proprie funzioni secondo le esigenze degli attaccanti. Tra le altre cose, lascia una backdoor in ogni dispositivo infetto. Alcune funzionalità sono:

martedì 28 luglio 2020

Cyber attaccanti sotto attacco: qualcuno sta smantellando la botnet Emotet


E' periodo di supereroi, pare: dopo l'ignoto giustiziere che cancella i dati contenuti in database non sicuri ed esposti sul web, ecco un altro ignoto vigilante che sta letteralmente smembrando la botnet Emotet. Della botnet di Emotet abbiamo parlato qualche giorno fa perchè, dopo 5 mesi di inattività, è tornata sulle scene "col botto", mettendo in distribuzione malware come TrickBot e QakBot, ma anche ransomware come Ryuk e Conti. 

Il sabotaggio, perchè di questo parliamo, è iniziato qualche giorno fa, il 21 Luglio ed è cresciuto di intensità col passare del tempo: se in un primo momento poteva sembrare uno semplice scherzo, pian piano si la situazione si è fatta seria, impattando pesantemente larga parte delle operazioni di Emotet. La sostituzione del payload dannoso di Emotet con immagini GIF animate ha effettivamente salvato centinaia di vittime dall'infezione. 

Stando a quanto dichiarato da Cryptolaemus, un gruppo di ricercatori white-hat specializzati nel tracciamento delle attività di Emotet, l'ignoto giustiziere è riuscito a colpire e compromettere oltre un quarto di tutti i payload di Emotet in diffusione. 

Emotet in breve

lunedì 27 luglio 2020

Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware


E' uno di quegli attacchi ransomware di peso, che fa notizia sulla stampa perchè la vittima è eccellente: parliamo della Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable. 

L'attacco è avvenuto Giovedì scorso ed ha obbligato l'azienda a chiudere i servizi connessi e quelli di call center in tutte le sue sedi nel mondo: ora è confermato che il down dei sistemi è stato conseguenza di un attacco del ransomware WastedLocker. Interessati Garmin.com e Garmin Connect. Nonostante Garmin non li abbia citati nell'avviso di down, sono divenuti inutilizzabili anche servizi flyGarmin, utilizzati dai piloti di aereovelivoli: tra questi il sito web flyGarmin e l'app mobile, i servizi Connext (meteo e report di posizione) e l'App Garmin Pilot. Anche i servizi Garmin Explorer e la tecnologia satellitare inReach sono finite in down ed è stata sospesa la produzione di tutti i dispositivi. 

venerdì 24 luglio 2020

Il supereroe dei database: attaccante sconosciuto cancella database esposti


Un giustiziere sui generis? Un vigilante? Nessuno riesce a rispondere alla domanda su chi possa essere la fonte della serie di attacchi denominati Meow. Quello che si sa è che c'è qualcuno che, spinto probabilmente dalla volontà di proteggere la privacy degli utenti, attacca e cancella tutti i dati contenuti in database esposti sul web, ovvero privi di meccanismi di protezione. La maggior parte di questi database non prevede nessun meccanismo di autenticazione, quindi chiunque può accedervi tramite una semplice ricerca sul web. 

Questa attività è stata individuata recentemente, pochi giorni fa: inizialmente si concentrava solo su database esposti Elasticsearch e MongoDB, ma si è poi estesa ad altre tipologie di database. L'attaccante non lascia alcuna spiegazione del wiping del database né viene rilasciata alcuna richiesta di riscatto, quindi la serie di attacchi non è a fine estorsivo o ricattatorio. 

giovedì 23 luglio 2020

Nuovo ransomware: AgeLocker usa una utility di un dipendente Google per criptare i file


E' stato individuato, già in diffusione, un nuovo ransomware chiamato AgeLocker: deve il suo nome al tool di criptazione "Age", creato da un dipendente di Google. Dalle prime analisi infatti è emerso che, in ogni singolo file criptato, viene aggiunto un header testuale che inizia con l'URL 'age-encryption.org', come è possibile vedere nella foto sotto:

mercoledì 22 luglio 2020

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot


I ricercatori attivamente impegnati nel tracciamento della botnet Emotet hanno lanciato, a distanza di pochi giorni, due alert riguardanti due nuove campagne di distribuzione malware che segnano il ritorno all'attività di questa botnet dopo un periodo di inattività durato diversi mesi. Il primo alert riguarda la distribuzione del malware TrickBot, il secondo del malware Qakbot. 

1. TrickBot diffuso via spam contro macchine Windows
La prima campagna è stata individuata il 17 Luglio, dopo oltre 5 mesi di inattività della botnet Emotet. La campagna si basa sulle solite email di spam spacciate per fatture, informazioni di di consegna, opportunità di lavoro o fatture: ovviamente è tutto falso, la classica tecnica di ingegneria sociale per convincere le vittime ad aprire l'allegato dannoso. 

martedì 21 luglio 2020

Scuola: tutti i rischi connessi all'accesso ad Internet e come affrontarli


Una scuola iper connessa gode di grandissimi vantaggi in termini di funzionalità e servizi, ma, ovviamente, si espone a rischi informatici. Proviamo ad entrare, passaggio per passaggio, nella giusta ottica, percorrendo quello che dovrebbe essere il percorso che porta a scegliere come organizzare la sicurezza informatica. 

I rischi informatici sono migliaia, ma sono riassumibili in due tipologie: esterni e interni, a seconda della provenienza della minaccia. Da questo punto di vista è utile ricordare che molto spesso i peggiori e più dannosi attacchi provengono dall'interno e non dall'esterno, compiuti ad opera di soggetti che conoscono la struttura della rete e dei servizi scolastici perchè hanno o hanno avuto accesso ai sistemi di elaborazione per le funzioni che hanno ricoperto. 

Rischi esterni:
- Accessi non autorizzati: se la rete interna non è correttamente protetta, un cyber attaccante esterno potrebbe accedervi in maniera non autorizzata, esponendo sia gli endpoint collegati che i dati in essi contenuti. I dati potrebbero essere manomessi o sottratti.

venerdì 17 luglio 2020

Apocalisse Twitter: bucati centinaia di account verificati VIPS per diffondere una truffa


C'è chi già parla del più grave attacco hacker nella storia del social: per raccontare i crudi fatti , centinaia di profili Twitter verificati, tra i quali quelli di molti VIP come Barack Obama, Elon Musk, Bill Gates, Jeff Bezos ma anche aziende come Apple, Uber e Coinbase hanno iniziato a pubblicare tweet riguardanti una truffa su scala globale. 

I tweet erano tutti simili, con pochissime varianti tra loro: uno schema già usato in precedenza che si chiama Give Away. L'attaccante utilizza varie tecniche di ingegneria sociale per convincere i possessori di criptovaluta a inviare una certa quantità di denaro per poterne ricevere in cambio una quantità maggiore offerta da una celebrità. Questo piccolo anticipo viene giustificato dal fatto che occorre una prima transazione da parte dell'utente per poter verificare l'indirizzo del suo portafoglio. Se un utente si convince ed esegue questa transazione non potrà fare nulla per recuperare quanto inviato, poichè le transazioni in criptovaluta sono irreversibili.

E' con questo schema che gli attaccanti hanno raccolto 120.000 dollari in pochissime ore, finchè cioè la truffa è stata attiva. Va detto che la maggior parte delle transazioni sono equivalenti ad 1 dollaro, inviati evidentemente per test, ma la somma totale raccolta rende ancora più chiaro in quanti ci sono caduti: 350 milioni le persone che hanno visualizzato o ricevuto il messaggio fake. 

Il tweet usato in questo schema è visibile sotto, questa la traduzione “Mi sento generoso, raddoppio tutti i pagamenti inviati al mio indirizzo BTC. Voi mi mandate 1.000 dollari e io ve ne mando indietro 2.000! Lo faccio solo per i prossimi 30 minuti“

mercoledì 15 luglio 2020

Ancora PEC compromesse: il malware sLoad diffuso contro utenti italiani


Il CERT-AgID ha individuato online una nuova massiva campagna di email di spam che vede come canale di distribuzione il circuito PEC. La campagna è terminata, è durata dalla tarda serata di Domenica 12 Luglio alle 2.40 del giorno successivo. 

L'email è un classico della truffa e dell'ingegneria sociale: l'oggetto è "Invio documenti elettronici" e il testo fa riferimento ad una fantomatica fattura. 


Secondo i dati in possesso di Cert-AgID le vittime sono tutte utenti PEC che hanno ricevuto sulla posta certificata questi messaggi: le email contengono un archivio .ZIP contenente a sua volta un file VBS e un file XML. 

La catena di infezione

lunedì 13 luglio 2020

Anche i cyber criminali sbagliano: TrickBot avvisa gli utenti dell'infezione e si fa scoprire


Per i cyber attaccanti è fondamentale che i malware restino più a lungo possibile non individuati una volta che infettano una macchina. Sono studiate e messe in pratica centinaia di differenti tecniche per ottenere i privilegi di amministrazione senza che un utente se ne accorga, per offuscare il codice del malware lasciando nascoste agli antivirus le porzioni di codice dannoso ecc...  Un malware che avvisa un utente di averlo infettato, a meno che non si tratti di un ransomware che manifesta la sua presenza nel sistema a fini estorsivi, è un vero paradosso. E infatti la nuova versione di TrickBot che avvisa l'utente dell'infezione configura un paradosso, ma è frutto di un errore piuttosto stupido dei suoi sviluppatori.

In dettaglio gli amministratori del malware hanno lasciato attivo un modulo di test che visualizza un alert che invita perfino a contattare l'amministratore di rete per affrontare il problema. Il contrario di quello che fa Trickbot di solito: infetta l'utente via email, poi si esegue nella maniera meno appariscente possibile sul computer, mentre scarica più moduli per eseguire differenti azioni dannose sul sistema, dal furto di password e cookie dai browser, al furto di chiavi OpenSSH fino alla diffusione laterale lungo la rete. Oltretutto gli sviluppatori di Trickbot guadagnano anche "affittando" le backdoor che lasciano aperte sulle reti a ransomware del calibro di Ryuk e del nuovo Conti. Insomma, se TrickBot avvisa della sua presenza su un sistema esegue un autogol da più punti di vista. 

La nuova versione e il modulo test

venerdì 10 luglio 2020

Ransomware Conti: è arrivato il successore di Ryuk?


Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

giovedì 9 luglio 2020

Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif


Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

mercoledì 8 luglio 2020

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid


Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

lunedì 6 luglio 2020

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni


E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent

giovedì 2 luglio 2020

Cosa possiamo fare per sostenere la digitalizzazione della scuola?


Digitalizzare la scuola pare, in Italia, un'impresa titanica: se ne parla da decenni ma, a parte qualche virtuoso esempio, la maggior parte delle scuole e istituti arranca. Le difficoltà sono molte, ma ne possiamo individuare due centrali: la mancanza di fondi e di competenze tecniche. Eppure la digitalizzazione della scuola pare urgente e necessaria, per adattarsi ai tempi, per formare gli studenti ad un uso consapevole di quella tecnologia con la quale si confrontano già nel tempo libero e con la quale avranno a che fare nel mondo del lavoro e per l'intero corso della vita. 

Qualcosa però si muove: finalmente è in arrivo un grande piano di investimenti per garantire alle scuole una componente essenziale della digitalizzazione, ovvero la connettività.

Il Piano Scuola: finalmente l'Italia investe sul digitale

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa


Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l'infezione, nel caso di Geox invece l'azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall'altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze. 

1. Maze vs Xerox Corporation

martedì 30 giugno 2020

Down del sito Inps: la colpa è davvero degli hacker?


I fatti sono tristemente noti: in pieno lockdown, il primo giorno della possibilità di richiedere accesso al contributo di 600 euro per le Partite Iva, il sito dell'Inps va in tilt. Impossibile visualizzare alcune pagine, rallentamenti tali da rendere impossibili le operazioni: i server sono sovraccarichi, il servizio non funziona, finchè il sito viene temporaneamente messo offline. Quando torna accessibile succede l'incredibile: gli utenti che accedono visualizzano i dati personali di altri utenti. Le aree private si mischiano, finiscono esposti nome e cognome, iban e altri dati sensibili. Il commento di Pasquale Tridico, travolto dalle polemiche è : "abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker. Abbiamo dovuto sospendere temporaneamente il sito dell’istituto". 

Viene annunciata una commissione d'inchiesta. Da più parti la comunità di esperti di cyber sicurezza esprime aperta perplessità, quando non aperta ironia, sulle dichiarazioni di Tridico, mentre da Anonymous il commento è lapidario: "vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento".

Il report dell'Organismo di monitoraggio sulla criminalità: colpa degli hacker

lunedì 29 giugno 2020

Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza


La Commissione europea e l'Enisa (Agenzia europea per la sicurezza delle reti e dell'informazione) hanno annunciato pochi giorni fa la creazione dello  Stakeholders Cybersecurity Certification Group (SCCG), un nuovo ente il cui compito sarà quello di certificare la sicurezza informatica dei prodotti e dei sistemi informatici. Una novità rispetto al passato, perché entrerà in vigore un modello unico di certificazione valido per l'Unione Europea: l'operazione diviene quindi molto meno costosa e più semplice, oltre a ridurre la frammentazione che invece fino ad oggi l'ha fatta da padrona a causa dei numerosi modelli in circolazione. 

"La certificazione svolgerà non solo un ruolo cruciale nell'aumentare la fiducia e la sicurezza dei prodotti ICT, ma fornirà anche alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano degli standard di sicurezza informatica. Quest'ultimo, inoltre, consentirà loro di competere meglio nel mercato globale", ha dichiarato Thierry Breton, commissario per il mercato interno.

Faranno parte dell'SCCG rappresentati delle istituzioni europee, delle università, delle imprese, dei consumatori e delle associazioni di categoria: in tutto saranno 50 membri (nel progetto è presente anche il Politecnico di Milano). 

Il Cybersecurity Act

venerdì 26 giugno 2020

MassLogger passa ai fatti: campagna di spam distribuisce il malware contro utenti italiani



Lo CSIRT ci aveva visto lungo, diramando un alert specifico su un malware non ancora in diffusione ma che mostrava tutte le caratteristiche necessarie per poter fare "il salto" dalla teoria alla pratica. Parliamo del malware MassLogger, individuato nei forum dell'underground hacking in vendita a prezzi più che accessibili: un malware specializzato nel furto dati. 


Lo CSIRT aveva dedicato qualche giorno fa un approfondimento su questo malware, ritenendo molto alto il rischio di tentativi di diffusione anche in Italia. L'alert ha trovato, purtroppo, riscontro nella realtà. Qualche giorno fa è stato pubblicato un nuovo alert: è stata individuata una campagna di email di spam rivolta contro utenti italiani che distribuisce proprio il keylogger MassLogger. 

Stando ai dati dello CSIRT, le email di questa campagna contengono un allegato Microsoft Excel (.xls) contenenti una macro VBA dannosa. Il "gioco" è sempre lo stesso: sia il testo dell'email che il "messaggio di errore" che viene mostrato al momento dell'apertura del documento servono ad indurre l'utente ad abilitare la macro. Abilitare la macro avvia la catena d'infezione.

giovedì 25 giugno 2020

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione


I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria. 

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti  e le macro. 

martedì 23 giugno 2020

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk


Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...

lunedì 22 giugno 2020

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)


Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware. 

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio"). 

venerdì 19 giugno 2020

Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani


L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione. 

Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli. 

Fonte: https://csirt.gov.it/