martedì 7 aprile 2020

Campagna malware per Android contro utenti italiani: ci sono riferimenti all'INPS e al Covid-19


Con un tweet sul profilo ufficiale, l'INPS ha diramato ieri un alert riguardante una campagna malware volta alla diffusione di una applicazione dannosa ai danni dei dispositivi che eseguono il sistema operativo Android.

La campagna, via SMS, sfrutta come appoggio un dominio "verosimile", quanto falso, ovvero inps-informa[.]online.

L'sms fake. Fonte: https://twitter.com/malwrhunterteam


lunedì 6 aprile 2020

Zoom nell'occhio del ciclone: gli USA vietano il software nelle scuole


Abbiamo già parlato qualche giorno fa del boom di utenti del software per le videoconferenze Zoom: boom dovuto indubbiamente al lockdown imposto in molti stati nel mondo in seguito all'emergenza Covid-19. Zoom è stato adottato infatti dalle scuole per la didattica a distanza, da molte aziende per lo smart working, ma anche da milioni di utenti privati per poter contattare amici e parenti a distanza. Nello scorso articolo tracciavamo un primo quadro del vero e proprio assalto che i cybercriminali stavano facendo alla piattaforma in oggetto, occasione ghiotta per rubare dati, diffondere malware a mezzo di siti web fake, ma anche, banalmente, per stupidi scherzi di dubbio gusto. 

La situazione non pare essere migliorata negli ultimi giorni, perchè gli attacchi continuano e la piattaforma sta mostrando segni di debolezza rispetto alle pressioni alla quale viene sottoposta in questo periodo. La scarsa consapevolezza con la quale moltissimi utenti usano questa piattaforma, fa il resto. 

La privacy violata
Anzitutto c'è stato un problema di privacy piuttosto grave, risolto solo il 27 Marzo. Chiunque ha installato sul proprio iPhone l'app di Zoom prima di questa data ha visto i propri dati inviati a Facebook anche senza essere iscritto al social e senza che questa cessione di dati a terze parti fosse specificata nell'informativa. La falla è stata risolta eliminando l'SDK di Facebook, che altro non è che quello strumento che consentiva di accedere a Zoom col login di Facebook. 

venerdì 3 aprile 2020

Malware a tema Coronavirus: arriva il ransomware che ti chiude fuori da Windows


Era dai tempi di Petya e GoldenEye che non si vedevano ransomware pensati per bloccare gli utenti fuori dal sistema operativo. Entrambi questi ransomware, attivi tra il 2016 e il 2018, fanno parte della famiglia MBRLocker e hanno una caratteristica peculiare rispetto ad altri ransomware: sostituiscono il master boot record (MBR) di un computer e impediscono così al sistema operativo di avviarsi. Una vittima che dovesse tentare di accendere il computer infetto vedrebbe soltanto la nota di riscatto. 

Alcuni dei ransomware di questa famiglia, Petya su tutti, criptano anche la tabella contenente le partizioni con le informazioni per i driver, così rendono del tutto impossibile accedere ai file o ricostruire l'MBR senza inserire un codice o pagare il riscatto. 

Il primo MBRLocker a tema Coronavirus 
La scorsa settimana è stato individuato in circolazione, già in uso in attacchi reali, l'installer di un nuovo ransomware, chiamato "Coronavirus" e diffuso tramite un file eseguibile rinominato COVID-19.exe. 

giovedì 2 aprile 2020

Ancora Ursnif: campagna di email di spam contro utenti italiani


Il Cert-PA ha diramato un nuovo alert riguardante l'ennesima campagna di email di spam rivolta contro utenti italiani: anche in questo caso, come ormai da molto tempo, le email veicolano il malware Ursnif. 

Lo schema è quello classico: una voluminosa massa di email di spam viene inviata tramite account compromessi. Gli utenti ricevono una email avente, come oggetto, "Invio fattura". Il testo più che italiano corretto, appare una traduzione da altra lingua: invita a scaricare l'allegato per poter visualizzare "le procedure di sicurezza da attuare in fase di consegna della merce".  Il riferimento è chiaramente alle modalità di protezione e riduzione del contagio attualmente in atto in tutto il territorio italiano per l'emergenza Covid-19.

martedì 31 marzo 2020

Zoom sotto attacco: i cybercriminali approfittano del boom di popolarità del software per le videoconferenze


Zoom è una piattaforma di comunicazione cloud-based che può essere usata per conferenze audio e video, riunioni online, chat e collaborazioni online tramite sistemi mobile, desktop e telefonici. Ha registrato un drastico aumento di utenti attivi dall'inizio del 2020, dato dai milioni di dipendenti che adesso lavorano da casa, ma anche dall'impennata di utenti chiusi in casa che lo utilizzano per comunicare con amici e parenti: nell'intero 2019 l'aumento di utenti attivi fu di 1,99 milioni, ma dall'inizio del 2020 sono già circa 2,2 milioni i nuovi utenti. Ad ora Zoom ha quasi 13 milioni di utenti attivi. 

Non sono però aumentati solo gli utenti di Zoom in questo periodo: i ricercatori di Check Point research hanno registrato anche una vera e propria impennata di registrazioni di domini il cui nome include la parola "Zoom". Nulla di inaspettato, va detto, dato che è abitudine comune dei cyber attaccanti cercare di cavalcare trend, che siano software e piattaforme o tematiche di grande risalto per l'opinione pubblica.  I dati parlano chiaro: 

"Dall'inizio dell'anno, sono 1700 i nuovi domini registrati contenenti la parola Zoom. Il 25% è stato registrato la scorsa settimana. Il 4% di questi già è stato analizzato e mostra caratteristiche sospette" dicono i ricercatori

lunedì 30 marzo 2020

L'attacco che non ti aspetti: il malware arriva per posta


Trustwave ha riportato una notizia che ha quasi dell'incredibile e che raccontiamo più per la bizzaria della tecnica usata che per il rischio che una tipologia di attacco simile possa assumere dimensioni di massa. E' però un episodio indicativo sia della creatività e inventiva dei cyber criminali, sia dell'importanza di formare i dipendenti affinchè siano consapevoli dei rischi informatici che possono correre nel corso della prestazione lavorativa. 

La storia è breve: un ospedale negli Stati Uniti riceve per posta un pacco. Il pacco è incartato con i loghi societari di Best Buy, il più grande rivenditore di elettronica al dettaglio negli Stati Uniti. Il pacco contiene una lettera e una chiavetta USB. La lettera annuncia l'accredito di una gift card del valore di 50 dollari, spendibili su una serie di prodotti Best Buy, la chiavetta dovrebbe contenere l'elenco dei prodotti acquistabili col buono regalo. 

giovedì 26 marzo 2020

TrickBot bypassa la protezione 2FA per il banking online tramite app mobile


Gli autori del malware per il furto informazioni e credenziali bancarie TrickBot stanno utilizzando, già in attacchi reali, un'applicazione dannosa per Android sviluppata appositamente per bypassare l'autenticazione a due fattori: un sistema di autenticazione sicura introdotto dai vari servizi di pagamento online a causa dell'elevato numero di furti dei numeri di autenticazione delle transazioni rilevato negli ultimi anni. 

L'applicazione è stata rinominata TrickMo dai ricercatori di IBM X-force e, dalle analisi, è risultata essere in fase di aggiornamento: viene diffusa tramite desktop infetti tramite tecniche di web injection durante le sessioni di banking online. Ad ora pare colpire quasi esclusivamente utenti tedeschi, ma i continui update che sta ricevendo fanno pensare che l'app si trovi ancora in una fase di test. 

Gli operatori di TrickBot hanno sviluppato TrickMo per intercettare una vasta gamma di tipologie di codici per l'autenticazione incluse one time password (OTP9, mobile TAN e pushTAN. In realtà TrickMo era già conosciuta dai ricercatori, individuata nel Settembre 2019 dal CERT-Bund: al tempo i ricercatori tedeschi fecero sapere che i computer Windows colpiti da Trickbot iniziavano a richiedere alle vittime numeri di telefono e la tipologia di dispositivi per il banking online, cercando di convincerli poi a installare l'app dannosa nascondendola dietro un'app fake di sicurezza. 

mercoledì 25 marzo 2020

TeamViewer interrompe le verifiche per uso commerciale nelle zone colpite dal Coronavirus


TeamViewer è forse uno dei più popolari e utilizzati software per il controllo e la gestione da remoto: è distribuito in versione gratuita per uso non commerciale, cioè per uso personale di quegli utenti che lo possono trovare utile per offrire supporto a familiari e amici. La versione per le aziende invece è, ovviamente, a pagamento. 

TeamViewer effettua delle verifiche rispetto al tipo di utilizzo che viene fatto del software: se un utente del software in versione gratuita viene individuato come utilizzatore per uso commerciale, la sessione viene interrotta e l'utente comincia a visualizzare vari alert che richiedono l'acquisto della licenza per poter continuare ad utilizzare il software. 

venerdì 20 marzo 2020

Il panorama dei ransomware si spacca in due: alcuni cessano gli attacchi per la crisi Covid-19, altri si fanno più pericolosi


E' un periodo molto particolare in tutto il mondo, dove l'epidemia da Covid-19 è fondamentalmente il tema centrale in discussione in ogni nazione e questo, ovviamente, rappresenta per i cyber criminali un'onda da cavalcare. Abbiamo già dato notizia di molteplici campagne di diffusione malware, truffe e frodi di vario genere che sfruttano questa tematica per diffondere malware, rubare dati, convincere spaventati utenti ad acquistare software, applicazioni, dispositivi di protezione individuali dannosi o completamente inutili. 

In Italia ne abbiamo già fatto le spese con la campagna di distribuzione del malware Trickbot tramite un documento compromesso presentato come vademecum per la prevenzione del virus. Appena due giorni fa Bleepingcomputer ha denunciato un'altra tecnica di attacco, per distribuire i malware Emotet e TrickBot: i cyber attaccanti inseriscono nei metadati o nella descrizione del file del malware stralci di notizie riguardanti il Covid-19, una tecnica che aiuta notevolmente questi malware ad eludere l'individuazione da parte delle soluzioni antivirus e antimalware che utilizzano l'intelligenza artificiale e il machine learning. 

Il mondo dei ransomware ha invece reagito "in fila sparsa", potremmo dire, a questa situazione: la

mercoledì 18 marzo 2020

Campagna di distribuzione di Urnsif contro l'Italia: nuova catena di infezione


I ricercatori di Yoroi hanno pubblicato un alert relativo all'individuazione di una nuova campagna distribuzione del malware Ursnif rivolta esclusivamente contro utenti italiani. Campagne questo tipo contro utenti italiani non sono affatto nuove, anzi: gli esperti di Yoroi ne tengono traccia da mesi, così da poter analizzare eventuali evoluzioni nel codice del malware e nelle tecniche di infezione. 

L'ultima campagna individuata, attualmente in corso, si basa su un sito web italiano compromesso che funge da DropUrl: dato interessante è il fatto che è stato analizzato un uso piuttosto inusuale di Javascript, file batch e archivi SFX, tutti elementi che hanno migliorato non poco, purtroppo, la catena di infezione. 

Qualche dettaglio tecnico

martedì 17 marzo 2020

Attacchi basati sulle macro di Office: come funzionano? Breve vademecum


Microsoft ha preso e sta prendendo svariati tipi di decisioni e misure per rendere i propri sistemi operativi sempre più sicuri. Questo sta portando il cyber crimine a ricorrere ad altre tipologie di attacco, anche recuperandone di vecchie, sopratutto quelle che si basano sullo sfruttamento dell'anello debole della catena della cybersicurezza, ovvero il fattore umano. Il dato è confermato da un forte aumento degli attacchi che sfruttano le macro di Office: questi sono attacchi che necessitano dell'interazione dell'utente, che deve appunto abilitare la macro contenuta in un documento Office perchè il codice dannoso possa eseguirsi sul sistema. A questo scopo può essere sufficiente una email di spam ben confezionata, che induca l'utente ad eseguire l'operazione di abilitazione della macro. Questi attacchi hanno anche un vantaggio: possono essere eseguiti su qualsiasi versione di Office

venerdì 13 marzo 2020

SMBGhost: la vulnerabilità del SMBv3 simile a quella responsabile di WannaCry. Microsoft rilascia patch di emergenza


Il Server Messagge Block è balzato agli onori delle cronache in piena diffusione della terribile campagna ransomware WannaCry: era grazie ad EternalBlue infatti, una vulnerabilità del Server Message Block v2 che WannaCry aveva potuto diffondersi di dispositivo in dispositivo lungo le reti infetti con la stessa virulenza di un worm. Per rinfrescarsi la memoria consigliamo questo post

Ora ci siamo di nuovo, pare, non a WannaCry fortunatamente, ma ad una vulnerabilità sempre del SMB, versione 3 stavolta, che consentirebbe di portare attacchi in modalità worm. 

Qualche dettaglio tecnico

mercoledì 11 marzo 2020

Microsoft prende il controllo della botnet Necurs, responsabile di massive campagne di spam e distribuzione malware


Ogni tanto, anche il cyber crimine perde. Microsoft ha annunciato ieri di essere riuscita a prendere il controllo della infrastruttura, per lo più concentrata negli Stati Uniti, della botnet Necurs. Una botnet impiegata prevalentemente per la distribuzione dei payload di vari malware attraverso massive campagne di spam e responsabile dell'infezione di milioni (si, siamo nell'ordine dei milioni) di computer infetti. Per dare un'idea del potenziale di questa botnet, Microsoft ha pubblicato alcuni dati, spiegando che, dalle analisi, è risultato che un singolo dispositivo infettato da questa rete è stato osservato ad inviare 3.8 milioni di messaggi di spam a più di 40.6 milioni di target nell'arco di 58 giorni. 

"Martedì 5 Marzo la U.S District Court per il distretto est di New York ha dato il via libera formale affinchè Microsoft potesse prendere il controllo della infrastruttura Necurs, usata per distribuire malware e infettare i computer delle vittime" ha dichiarato il Tom Burt, Vice Presidente per la sicurezza degli utenti di Microsoft Corporation. "Con questa azione legale e grazie allo sforzo collaborativo che ha coinvolto partner sia del pubblico che del privato in varie parti del mondo, Microsoft sta conducendo una serie di attività che impediranno ai criminali dietro a Necurs di registrare nuovi domini per perpetrare nuovi attacchi in futuro". 

La botne Necurs: qualche dato in più

martedì 10 marzo 2020

Coronavirus, sciacalli, rischi informatici e telelavoro: occorre maggiore attenzione!!


L'allarme viene dal Cert-PA, che segnala con un post di qualche ora fa, alcune problematiche che assumono un certo rilievo durante questa difficile fase. Il primo è un alert riguardante truffatori e cyber criminali, che trovano molto profittevole approfittare il momento per tentare truffe e diffondere malware. Il secondo problema è l'aumentare di rischi informatici per quelle aziende e enti che optano per il telelavoro per non sospendere le attività lavorative, laddove possibile ovviamente. Approfondiamo entrambi i punti sperando di fornire spunti utili. 

1. Coronavirus e sciacalli

lunedì 9 marzo 2020

Due gravi data breach in pochi giorni: esposti i dati dei clienti delle telco Virgin Media e T-Mobile


In due diversi incidenti, due grandi telco estere sono stati vittime di cyberattacchi mirati. Colpiti Virgin Media, principale operatore via cavo di Regno Unito e Irlanda e T-Mobile, una sussidiaria della tedesca Deutsche Telekom AG. 

Stando al comunicato stampa pubblicato da Virgin Media, la società ha subito almeno una violazione dei dati a causa di un database contenente dati di marketing non sicuro e mal configurato, che ha comportato l'esposizione dei dati di 900.000 clienti. 

T-Mobile invece ha pubblicato due diverse notifiche di data breach: l'azienda ha spiegato che i data breach sono stati conseguenza di un attacco hacker mirato, subito dal loro vendor email. Attacco che potrebbe aver comportato l'esposizione di dati privati e finanziari dei clienti.

venerdì 6 marzo 2020

Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware


Abbiamo fornito alcune informazioni su quella che appare essere la prima campagna di distribuzione malware a tema Coronavirus qualche giorno fa, in questo post, facendo riferimento all'analisi del C.R.A.M dei colleghi di TgSoft.

Torniamo adesso sull'argomento per due diversi motivi: il primo è che le email veicolo del malware sono ancora in diffusione, quindi la campagna di malspam ancora non è terminata, mentre il secondo è che ulteriori analisi hanno individuato un altro malware in diffusione tramite la stessa campagna, ovvero TrickBot. 

L'email vettore

giovedì 5 marzo 2020

Let's Encrypt revoca 3 milioni di certificati TLS/SSL a causa di un bug


Let's Encrypt, la nota Certificate authority non profit, ha revocato nella giornata di ieri  4 Marzo oltre 3 milioni di certificati a causa di un bug  nel sistema di validazione ed emissione automatizzata dei certificati TLS/SSL. Il servizio di certificazione non ha avuto altra scelta che disporre la revoca dei certificati vulnerabili, che ha avuto  luogo dalle 21 di ieri fino alle 4 di stanotte (ora italiana). 

Il bug si trova nel software in uso per la validazione dei certificati tramite i server Certificate Authority Authorization (CAA): Let's Encrypt utilizza Boulder per interrogare periodicamente i server CAA, verificando l'effettiva corrispondenza tra i certificati e i nomi dominio. In alcuni casi, questo il bug, i tecnici di Let's Encrypt hanno scoperto che Boulder non conduce ad una corretta corrispondenza del dominio-DNS. Tutti i certificati affetti da questo problema sono stati ritirati. 

Coloro che sono stati riguardati dalla problematica dovrebbero aver ricevuto una email con l'invito a rinnovare i certificati entro oggi dato che quelli in uso potrebbero non essere più validi. 

mercoledì 4 marzo 2020

Ancora novità nel mondo dei ransomware: il backup in cloud usato contro le vittime


Che il mondo dei ransomware stia cambiando è ormai un'evidenza da mesi: dal furto e pubblicazione dei dati delle vittime che non pagano il riscatto allo spostamento dell'obiettivo sulle aziende ed enti pubblici più che sugli utenti home, passando per l'ondata di attacchi mirati che ormai prosegue incessante negli Stati Uniti, i cambiamenti sono molti e i cyber attaccanti dimostrano di "sapere stare al passo coi tempi".

Il backup resta però il vero ostacolo degli sviluppatori di ransomware. Questa è indubbiamente la difesa più efficace, ma se non è correttamente configurato questo strumento può diventare un vero e proprio boomerang. E' quanto dimostra il ransomware DoppelPaymer, il cui autore, appena qualche giorno fa, ha pubblicato sul proprio sito allestito appositamente per il leak dei dati delle vittime non paganti, username e password del software di backup di una vittima che ha deciso di non cedere al ricatto. 

martedì 3 marzo 2020

Prima campagna di email di spam a tema Coronavirus contro utenti italiani


Il C.R.A.M di TgSoft ha individuato e analizzato quella che risulta essere, ad ora, la prima campagna di email di spam per diffusione malware a tema Coronavirus contro utenti italiani. Campagne su questa tematica si sono già viste in tutto il mondo: ovviamente i primi colpiti sono stati paesi asiatici (Cina, Giappone, Corea del sud ecc...), ma mano a mano che l'ondata di panico si è diffusa a livello globale, anche le campagne di diffusione malware hanno iniziato ad allargare il bacino delle proprie vittime. 


Sfruttare il panico da Coronavirus è "una tecnica vincente" per gli attaccanti, un utilizzo per loro assai profittevole delle tecniche di ingegneria sociale: le vittime infatti, di fronte ad una email scritta in corretto italiano e con riferimenti precisi all'Organizzazione Mondiale della Sanità (OMS), saranno facilmente indotti anche dal clima generale a seguire le istruzioni contenute nel testo. 

Il campione di email pubblicato da TGSoft è visibile sotto:

lunedì 2 marzo 2020

Kr00k: un miliardo di dispositivi con Wi-Fi a rischio dataleaks


E' stata individuata una vulnerabilità presente in popolarissimi chip WiFi integrati in dispositivi, router e access point che potrebbe essere sfruttata per decriptare parzialmente le comunicazioni degli utenti ed esporre i pacchetti dati nelle reti wireless. 

La vulnerabilità è stata rinominata Kr00k e si trova nella componentistica WiFi di Broadcom e Cypress: parliamo di componenti integrate in smartphone, tablet, computer, dispositivi IoT in tutto il mondo. Alcune stime, piuttosto contenute dobbiamo dire, parlano di oltre un miliardo di dispositivi vulnerabili nel mondo: le aziende sopra citate infatti sono i principali fornitori di hardware per i più noti produttori di elettronica al consumo nel mondo. Per fare qualche esempio, questa vulnerabilità si trova sui terminali iPhone 6, 6S, 8 e XR; Google Nexus 5, 6 e 6P; Samsung Galaxy S8; Xiaomi Redmi 3S; nei tablet iPad Air e Mini 2; Apple MacBook Air Retina 13 (2018); Kindle;  in Amazon Echo; i router Asus RT-N12, B612S-25d, EchoLife HG8245H, Huawei E5577Cs-321 ecc ecc ecc...

Qualche informazione tecnica

giovedì 27 febbraio 2020

Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator


Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online. 

Cerberus è un malware as a service (MaaS) individuato nell'Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali "professionisti". 

mercoledì 26 febbraio 2020

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?


Alcuni cyber attaccanti sembrano aver individuato un bug nell'integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E' da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay. 

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro. 

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso. 

Un ricercatore avanza una ipotesi

martedì 25 febbraio 2020

Coronavirus - la crisi preme l'acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working


In seguito ai casi di contagio da Coronavirus registrati in Lombardia e Veneto il Consiglio dei Ministri ha varato un decreto legge emergenziale volto a contenere il rischio contagio ed evitare la comparsa di focolai a macchia di leopardo. Tra le numerose previsioni emergenziali, uno permette lo smart working anche senza l'accordo lavoratore azienda, come invece previsto dalla normativa vigente in tempi non emergenziali, la legge 81 del 2017. Il tutto nella volontà di arginare l'impatto che questa crisi potrebbe avere sulla nostra economia. 

Il decreto fissa dei limiti temporali per lo smart working senza accordo, ovvero il 7 Marzo, e dei limiti geografici, ovvero nelle aree con attività lavorative sospese o limitate. Il Decreto Legge in oggetto è il n.6 del 23 Febbraio 2020, consultabile qui.

Una misura simile era già stata varata, in due diverse occasioni, sempre con limiti temporali: fu in occasione del tragico crollo del Ponte Morandi a Genova e dell'alluvione nel torinese. 

In concreto

lunedì 24 febbraio 2020

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza


Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt'ora in corso.  

Secondo l'avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili. 

Il Governo se la prende con le imprese 

venerdì 21 febbraio 2020

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult


E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta. 

mercoledì 19 febbraio 2020

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam


E' stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un'altra, pericolosa, famiglia di ransomware chiamata Crysis. E' inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l'installazione tramite RDP hackerati. 

La campagna è stata individuata da più fonti e, dall'analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif. 

Le email di spam

martedì 18 febbraio 2020

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!


Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l'impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la "storica" famiglia di ransomware Xorist, individuata per la prima volta nel 2016. 

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell'infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione:  l'estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato "HOW TO DECRYPT FILES.txt", l'email di contatto pronis@cock.li. 

Qualche informazione tecnica

lunedì 17 febbraio 2020

Anonymous attacca le PA in Basilicata, LulzSec Ita colpisce tre università: le carenze della protezione dati in Italia


Anonymous torna a farsi sentire e lo fa contro le trivellazioni petrolifere in Basilicata, compiendo una lunga serie di attacchi informatici ai danni della Pubblica Amministrazione in Basilicata. Gli hacktivisti sono riusciti ad avere accesso ai database della Giunta e del Consiglio Regionali ma anche dell'azienda di promozione turistica regionale e di diversi comuni della Val D'Agri, il sito prescelto per le future trivellazioni. Accusata numero uno è l' ENI: il comunicato col quale gli hacktivisti rivendicano l'attacco parla apertamente, infatti, di  "scempio, disastro, ecatombe, tutto firmato dall'italiana Eni". 

L'operazione segue di qualche giorno una serie di attacchi del gruppo LulzSecITA, affiliato ad Anonymous, che nelle scorse settimane ha attaccato  i sistemi dell'Università della Basilicata, di Napoli e di Roma 3, diffondendo poi i dati ottenuti e criticando apertamente la debolezza dei sistemi protettivi e la scarsa attenzione posta dagli atenei italiani nella protezione dei dati di studenti, docenti e dipendenti. 

Operation GreenRights

venerdì 14 febbraio 2020

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni


Nel corso di un convegno organizzato dall'Università LUISS di Roma la Polizia Postale ha lanciato l'allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come "una emergenza assoluta". 

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell'utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come "tappa intermedia" per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale. 

mercoledì 12 febbraio 2020

Nuova versione di Emotet attacca le reti Wi-Fi vicine per fare più vittime


Il malware Emotet non ha bisogno di presentazioni: è uno dei più noti e diffusi malware degli ultimi anni con funzioni di info stealer e furto di credenziali, sopratutto bancarie. I ricercatori di Binary Defense hanno individuato una nuova tecnica di diffusione del malware: Emotet utilizza dispositivi già infettati per individuare nuove vittime che sono connesse alle reti wi-fi nei dintorni della vittima. Insomma, questa nuova versione ha un "Wi-fi spreader" per scansionare le reti wi-fi nei dintorni e tentare di attaccare tutti i dispositivi che vi sono connessi. I ricercatori fanno sapere che lo spreader wi-fi in realtà potrebbe risalire già al 2018: contiene infatti un timestamp del 16 Aprile 2018. Sarebbe quindi rimasto non individuato per oltre due anni. Un cambiamento, questo, che rende l'idea della crescita e miglioramento continuo delle capacità di Emotet, che adesso può attaccare anche vittime in stretta vicinanza fisica con la vittima originale. 

Come funziona il nuovo modulo?

martedì 11 febbraio 2020

Il Ransomware Robbin Hood installa un driver vulnerabile... per attaccarlo e terminare i processi antivirus


Il ransomware Robbin Hood non è molto conosciuto al di fuori della cerchia degli esperti del panorama ransomware: individuato ormai quasi un anno fa, non ha mai raggiunto numeri allarmanti né in termini di campagne di distribuzione né di infezioni. Ha segnato, effettivamente, un picco di popolarità quando è stato impiegato per attaccare le municipalità di Baltimora e Lake City, nell'ambito di quella lunga scia di cyber attacchi mirati che stanno funestando gli Stati Uniti ormai da più di un anno.


Mira tra l'altro principalmente aziende, in dettaglio i computer nelle reti aziendali. Non è diffuso via email di spam, ma cerca altri metodi tra i quali l'attacco ai servizi di desktop remoto e lo sfruttamento di altri trojan che forniscono un sufficiente livello di accesso al sistema per installare il payload del ransomware. 

venerdì 7 febbraio 2020

Google "elimina" i cookie di terze parti su Chrome


Google aveva già annunciato tempo fa di essere a lavoro per una radicale modifica della gestione dei cookie di terze parti, cercando un approccio meno rigido di quello adottato, ad esempio da Firefox che ha optato per il blocco predefinito di tutti i cookie di terze parti. Una scelta, quella di Firefox, che mina alla base una le modalità attualmente in uso per fare business su Internet e che, proprio per questo, non ha convinto Google. Comune la volontà, insomma, di aumentare sicurezza e privacy nella navigazione web, ma dalle parti di Google le preoccupazioni degli inserzionisti e degli editor di contenuti hanno trovato ascolto. 

E' proprio con un post sul blog Chromium (il progetto open source dove è stato sperimentato il nuovo modello di gestione dei cookie) che Google ha annunciato come la nuova versione 80 vedrà già attive, in parte, tali modifiche: l'implementazione di tutto il nuovo meccanismo di gestione avverrà gradualmente. Nemici numero uno i cookie traccianti di terze parti. 

mercoledì 5 febbraio 2020

PMI: nel 2020 diventano fondamentali la sicurezza dei dispositivi e la formazione dei dipendenti


Il 2020 si preannuncia come un anno difficile sotto il profilo della sicurezza informatica: già si prevede un aumento dei ransomware e dei malware in generale per mirare ai dispositivi mobile. Da questo punto di vista non bisogna farsi ingannare dalle notizie che girano sulla stampa, dove si parla quasi esclusivamente di attacchi eclatanti contro grandi aziende. In realtà sono proprio le piccole e medie imprese quelle più esposte a questa tipologia di attacchi e la situazione si farà più urgente dato il dilagare dell'uso dei dispositivi mobile nelle aziende. 

Una recente ricerca del Ponemon Insitute rende chiaro il problema, rivelando come il 66% delle PMI a livello globale ha subito un qualche tipo di attacco informatico nell'ultimo anno. 

Formazione e messa in sicurezza dei dispositivi mobile dei dipendenti diventano quindi punti centrali nella programmazione della gestione delle risorse aziendali (i dati confermano infatti che, molto spesso, è il fattore umano - un dipendente che fa il clic sbagliato sulla email compromessa, a facilitare gli attacchi informatici). E' la diffusione dello "smart working" che porta nuovi rischi alle PMI. 

martedì 4 febbraio 2020

Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10


Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l'utente visualizzi alcun alert UAC. 

L'UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l'utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l'esecuzione. E' evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell'attacco in corso. 

lunedì 3 febbraio 2020

Vendita dati a terze parti: Avast annuncia la chiusura della controllata Jumpshot


Qualche giorno abbiamo dato notizia di un'inchiesta congiunta tra le redazioni di Motherboard e PCMag che ha rivelato come Avast rivendesse a terze parti i dati (dettagliatissimi e abbondanti) raccolti durante la navigazione dagli utenti che utilizzano i suoi servizi. Un episodio che ha acceso, di nuovo, le polemiche contro il famoso vendor di software antivirus, che già qualche mese fa aveva subito la rimozione di alcune sue estensioni dai portali degli add on sia di Mozilla che di Chrome proprio per l'eccesso di dati raccolti, ben oltre quando necessario per il funzionamento delle estensioni stesse e in aperta violazione delle policy privacy dei due popolari browser. Le estensioni sono state reinserite nei portali di Chrome e Mozilla quando Avast ha inserito un chiaro avviso per gli utenti, nel quale è richiesto l'esplicito consenso da parte dell'utente riguardo al tracciamento delle attività via browser. 

Per approfondire >> 

mercoledì 29 gennaio 2020

Report rivela che Avast vende i dati degli utenti a terze parti


Appena un mese fa Firefox rimuoveva dal portale degli add-on le estensioni di Avast Online Security, AVG Online Security, Avast SafePrice e AVG SafePrice dopo che il report del ricercatore  Vladimir Palant (creatore di AdBlock Plus) aveva scoperto come queste raccogliessero molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store. 



Nonostante il precedente, un nuovo report rivela che dalle parti di Avast non hanno imparato nulla dalla lezione: al contrario, si è registrata una netta accelerazione nella raccolta dei dati degli utenti. La notizia si deve ad una inchiesta congiunta da parte di Motherboard e PCMag, che svela come Avast esegua una minuziosa e dettagliatissima raccolta di tutte le attività che gli utenti compiono online tramite i suoi software e servizi antivirus gratuiti, per poi rivendere questi dati, tramite una sussidiaria, a terze parti. La sussidiaria in oggetto si chiama Jumpshot ed è stato proprio mettendo le mani su un documento riservato inviato dalla stessa ad un cliente che le redazioni delle due testate hanno avviato l'inchiesta. 

lunedì 27 gennaio 2020

Campagna di spam contro utenti italiani: il malware sLoad si diffonde via PEC


La segnalazione del Cert-PA è di stamattina, ma l'individuazione di un'ampia campagna di email di spam che diffonde il malware sLoad via circuito PEC risale a domenica sera. L'email di spam coinvolge centinaia di account PEC differenti ed è indirizzata sia verso utenti privati che enti pubblici. 

L'email ha come oggetto “Copia Cortesia – PDF Fattura Numero XXXXXXXX“ dove il numero solitamente è RX49712669619, ma sono state individuate anche alcune varianti nelle quali il fantomatico "codice fattura" può anche variare. E' stato il ricercatore indipendente reecdepp a riportare infatti una variante (visibile qui) "armata" di un archivio .ZIP dentro il quale è contenuto un falso PDF e un file VBS: questa variante mostra un "codice fattura" diverso. 

Il testo dell'email è il seguente:

venerdì 24 gennaio 2020

Sistemi macOS: uno su dieci è infettato col trojan Shlayer


Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando... in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato. 

Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l'attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% - 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato. 

Qualche dettaglio tecnico

martedì 21 gennaio 2020

FTcode torna alla carica: la nuova versione ruba anche le credenziali di login


FTcode
è un ransomware individuato per la prima volta nel 2013, ma tornato in diffusione soltanto tra Settembre e Ottobre del 2019 dopo anni di silenzio. Ne avevamo parlato qui, perchè il Cert-PA aveva individuato una campagna di email di spam che distribuiva il payload del ransomware soltanto contro utenti italiani. 

Parliamo di un ransomware già molto insidioso completamente sviluppato in PowerShell, che non necessità di scaricare alcun componente aggiuntivo per criptare i dispositivi ma che può anche essere facilmente modificato dai suoi sviluppatori per aggiungere nuove funzionalità . Ed è successo proprio questo. Ecco le novità.

Nuova versione ruba le credenziali salvate
E' stata individuata, già in diffusione, una nuova versione di FTcode che mostra l'aggiunta di una nuova componente dannosa: parliamo di una funzionalità di furto dati che consente al malware di raccogliere ed esfiltrare le credenziali di login salvate sulla macchina bersaglio prima dell'avvio del meccanismo di criptazione. 

venerdì 17 gennaio 2020

L'exploit kit di WannaCry torna alla carica: il ransomware 5ss5c recupera EternalBlue


Ricorderete sicuramente WannaCry, il ransomware con capacità di diffusione simili a un worm che registrò così tante infezioni e mostro virulenza tale da essere a tutt'oggi considerato l'attacco ransomware più devastante della storia. L'impressionante virulenza di WannaCry derivava dall'uso di un exploit kit ben preciso, EternalBlue appunto. 


EternalBlue in breve
EternalBlue è un exploit kit sviluppato dalla divisione cyber dell'NSA, l'Agenzia di Sicurezza nazionale degli Stati Uniti. Rientrava in una più ampia serie di tool che gli Stati Uniti usavano per questioni di sicurezza nazionale: peccato che nel 2016 tutti questi tool sono stati rubati dai server NSA. Il furto, avvenuto per opera del gruppo di hacking Shadow Broker, ha avuto come conseguenza la perdita di controllo da parte dell'NSA di tutti gli exploit kit sottratti e, ovviamente, l'impiego degli stessi da parte del cyber crimine. 

giovedì 16 gennaio 2020

Ransomware: si diffonde la pratica della pubblicazione dei dati rubati per chi non paga il riscatto


Il capofila, ne abbiamo parlato ampiamente, è stato il ransomware Maze. Fin dal primo "colpo grosso" contro Allied Universal, una delle principali aziende di servizi di sicurezza statunitense, Maze si è distinto per la pratica di rendere pubblica una parte dei dati sottratti dai sistemi infetti, come forma di pressione ulteriore al fine di convincere la vittima a pagare il riscatto. Di questa pratica gli attori di Maze, ransomware usato ormai a cascata contro obiettivi mirati come enti pubblici e aziende, scuole e ospedali negli U.S.A, ne hanno fatto una specializzazione, al punto da aver perfino aperto un "sito di news" dove pubblicare i dati: questo anche perché ben presto la stampa di settore (e non solo) ha deciso di non dare più spazio a questa tipologia di ricatto e di non far girare alcun database di dati rubati e pubblicati a fini estorsivi. 

La tecnica funziona, purtroppo, e si cominciano a registrare casi di emulazione da parte di nomi altisonanti nel panorama delle cyber minacce: primo tra tutti Sodinokibi, ma appena due giorni fa anche gli attori dietro al ransomware Nemty hanno effettuato le prime operazioni di pubblicazione dati.

martedì 14 gennaio 2020

Data breach e data leak: quali sono le differenze?


E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019. 

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo

venerdì 10 gennaio 2020

Il Cert-Pa individua una campagna di spam contro utenti italiani: diffonde il temibile malware TrickBot


L'alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.

La campagna di email di spam
Le email di spam, veicolo dell'infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l'attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware. 

Mittente, oggetto, corpo email, nome dell'allegato sono variabili: tendenzialmente l'allegato contiene un file chiamato "Documento_doganale_XXXXXXX.doc". Sotto due campioni email analizzate dal Cert-Pa:

giovedì 9 gennaio 2020

2020: tutti i software Microsoft che arriveranno a FINE VITA


Il 2020 vedrà scattare il fine vita per molteplici software sviluppati da Microsoft: Windows 7 è quello di cui si è più parlato, sia perchè è un sistema operativo, nelle sue varie versioni, ancora estremamente diffuso sia perchè è sicuramente il software più importante e famoso tra quelli che arrivano al cosiddetto EOL, ossia End of Life. 

Cosa significa EOL, end of life
Arrivare a fine vita vuol dire, per un software, che la casa madre, in questo caso Microsoft appunto, non fornirà più patch di sicurezza per le vulnerabilità, fix per i bug e supporto tecnico. Inutile, forse, ribadire quanto sarà rischioso per gli utenti non provvedere al passaggio alle versioni più recenti o più aggiornate di un software: questi sistemi operativi vedranno aumentare sempre di più il numero di falle presenti, con un aumento della superficie di attacco che crescerà costantemente. 

Windows 7 e Server 2008

venerdì 3 gennaio 2020

Il ransomware Maze colpisce senza sosta negli USA: pubblicati i dati rubati alle vittime


I primi giorni di Dicembre il ransomware Maze, del quale abbiamo già parlato più volte anche perchè è stato distribuito anche in Italia, ha colpito i sistemi informatici della città di Pensacola. Sono finiti in down i servizi email cittadini, alcuni servizi telefonici e altri servizi online a causa anche del fatto che le autorità cittadine hanno deciso lo shut down dei sistemi informatici onde evitare ulteriore diffusione dell'infezione. 

Gli autori del malware, dopo aver confermato il furto dei dati prima della criptazione di tutto quanto si trovava nella rete, hanno richiesto un riscatto di oltre un milione di dollari. Le autorità cittadine hanno deciso di non pagare il riscatto, come suggerito ed indicato da FBI e dal nuovo gruppo di pronto intervento in caso di cyber attacco, isituito con legge del Senato a livello federale per affiancare i sempre più numerosi privati (enti e aziende) e istituzioni a fare fronte alla costante cyber guerrilla che ormai contraddistingue gli USA da oltre un anno. 

Poco prima di Natale, data il ferreo diniego da parte dell città di Pensacola al pagamento del riscatto, gli attaccanti hanno pubblicato circa 2GB dei 32 GB di dati rubati prima della criptazione dei file. 

giovedì 2 gennaio 2020

Cyber rischi: previsioni 2020 by Seqrite


Il 2020 si preannuncia come un anno molto molto impegnativo per aziende, governi e anche semplici cittadini: si apre infatti una nuova era di minacce emergenti. Gli attaccanti hanno a disposizione (fortunatamente non solo loro) una nuova arma, l'intelligenza artificiale. L'AI infatti è già stata, e sarà sempre più, molto utile per la costruzione di strategie di cyber guerriglia che massimizzino l'impatto degli attacchi e per neutralizzare le difese informatiche dei target. 

Oltre all'impiego dell'AI, si prevedere che i cyber criminali useranno nuove tecniche di attacco, i cui primordi sono già stati visibili negli ultimi mesi del 2019. Ecco le previsioni degli esperti di Seqrite per il 2020. 

1. Aumento degli attacchi di "web skimming"