venerdì 10 luglio 2020

Ransomware Conti: è arrivato il successore di Ryuk?


Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

giovedì 9 luglio 2020

Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif


Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

mercoledì 8 luglio 2020

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid


Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

lunedì 6 luglio 2020

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni


E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent

giovedì 2 luglio 2020

Cosa possiamo fare per sostenere la digitalizzazione della scuola?


Digitalizzare la scuola pare, in Italia, un'impresa titanica: se ne parla da decenni ma, a parte qualche virtuoso esempio, la maggior parte delle scuole e istituti arranca. Le difficoltà sono molte, ma ne possiamo individuare due centrali: la mancanza di fondi e di competenze tecniche. Eppure la digitalizzazione della scuola pare urgente e necessaria, per adattarsi ai tempi, per formare gli studenti ad un uso consapevole di quella tecnologia con la quale si confrontano già nel tempo libero e con la quale avranno a che fare nel mondo del lavoro e per l'intero corso della vita. 

Qualcosa però si muove: finalmente è in arrivo un grande piano di investimenti per garantire alle scuole una componente essenziale della digitalizzazione, ovvero la connettività.

Il Piano Scuola: finalmente l'Italia investe sul digitale

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa


Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l'infezione, nel caso di Geox invece l'azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall'altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze. 

1. Maze vs Xerox Corporation

martedì 30 giugno 2020

Down del sito Inps: la colpa è davvero degli hacker?


I fatti sono tristemente noti: in pieno lockdown, il primo giorno della possibilità di richiedere accesso al contributo di 600 euro per le Partite Iva, il sito dell'Inps va in tilt. Impossibile visualizzare alcune pagine, rallentamenti tali da rendere impossibili le operazioni: i server sono sovraccarichi, il servizio non funziona, finchè il sito viene temporaneamente messo offline. Quando torna accessibile succede l'incredibile: gli utenti che accedono visualizzano i dati personali di altri utenti. Le aree private si mischiano, finiscono esposti nome e cognome, iban e altri dati sensibili. Il commento di Pasquale Tridico, travolto dalle polemiche è : "abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker. Abbiamo dovuto sospendere temporaneamente il sito dell’istituto". 

Viene annunciata una commissione d'inchiesta. Da più parti la comunità di esperti di cyber sicurezza esprime aperta perplessità, quando non aperta ironia, sulle dichiarazioni di Tridico, mentre da Anonymous il commento è lapidario: "vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento".

Il report dell'Organismo di monitoraggio sulla criminalità: colpa degli hacker

lunedì 29 giugno 2020

Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza


La Commissione europea e l'Enisa (Agenzia europea per la sicurezza delle reti e dell'informazione) hanno annunciato pochi giorni fa la creazione dello  Stakeholders Cybersecurity Certification Group (SCCG), un nuovo ente il cui compito sarà quello di certificare la sicurezza informatica dei prodotti e dei sistemi informatici. Una novità rispetto al passato, perché entrerà in vigore un modello unico di certificazione valido per l'Unione Europea: l'operazione diviene quindi molto meno costosa e più semplice, oltre a ridurre la frammentazione che invece fino ad oggi l'ha fatta da padrona a causa dei numerosi modelli in circolazione. 

"La certificazione svolgerà non solo un ruolo cruciale nell'aumentare la fiducia e la sicurezza dei prodotti ICT, ma fornirà anche alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano degli standard di sicurezza informatica. Quest'ultimo, inoltre, consentirà loro di competere meglio nel mercato globale", ha dichiarato Thierry Breton, commissario per il mercato interno.

Faranno parte dell'SCCG rappresentati delle istituzioni europee, delle università, delle imprese, dei consumatori e delle associazioni di categoria: in tutto saranno 50 membri (nel progetto è presente anche il Politecnico di Milano). 

Il Cybersecurity Act

venerdì 26 giugno 2020

MassLogger passa ai fatti: campagna di spam distribuisce il malware contro utenti italiani



Lo CSIRT ci aveva visto lungo, diramando un alert specifico su un malware non ancora in diffusione ma che mostrava tutte le caratteristiche necessarie per poter fare "il salto" dalla teoria alla pratica. Parliamo del malware MassLogger, individuato nei forum dell'underground hacking in vendita a prezzi più che accessibili: un malware specializzato nel furto dati. 


Lo CSIRT aveva dedicato qualche giorno fa un approfondimento su questo malware, ritenendo molto alto il rischio di tentativi di diffusione anche in Italia. L'alert ha trovato, purtroppo, riscontro nella realtà. Qualche giorno fa è stato pubblicato un nuovo alert: è stata individuata una campagna di email di spam rivolta contro utenti italiani che distribuisce proprio il keylogger MassLogger. 

Stando ai dati dello CSIRT, le email di questa campagna contengono un allegato Microsoft Excel (.xls) contenenti una macro VBA dannosa. Il "gioco" è sempre lo stesso: sia il testo dell'email che il "messaggio di errore" che viene mostrato al momento dell'apertura del documento servono ad indurre l'utente ad abilitare la macro. Abilitare la macro avvia la catena d'infezione.

giovedì 25 giugno 2020

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione


I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria. 

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti  e le macro. 

martedì 23 giugno 2020

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk


Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...

lunedì 22 giugno 2020

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)


Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware. 

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio"). 

venerdì 19 giugno 2020

Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani


L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione. 

Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli. 

Fonte: https://csirt.gov.it/

mercoledì 17 giugno 2020

Italia sotto attacco: dopo l'attacco a Enel, Geox paralizzata da un ransomware


Ne parliamo da un pò di tempo: il cybercrime punta ai dati e a fare più soldi possibili con questi. Da questo punto di vista attaccare l'utente home, col suo pc o cellulare e le foto delle vacanze, non è più così redditizio. Bucare i database di una azienda permette da mettere le mani sui dati di migliaia di persone contemporaneamente, mentre è molto più probabile pretendere e ottenere un riscatto molto alto da una azienda colpita da ransomware che ottenere un pagamento (comunque basso) dall'utente home. Insomma, il mirino è puntato direttamente sulle aziende. 

Il trend dei ransomware è chiaro, ma se questo triste destino sembrava riservato agli Stati Uniti (dove ogni giorno aziende di ogni dimensione sono colpite da vari ransomware), ormai l'Italia non può più dirsi al riparo. Giusto qualche giorno fa abbiamo parlato dell'attacco ransomware subito da Enel, i cui effetti sono stati fortunatamente contenuti dalle misure di sicurezza: oggi ci risiamo. Il Mattino di Padova ha dato notizia ieri di un attacco ransomware che ha colpito duramente i sistemi di Geox, la multinazionale delle calzature con sede a Montebelluna. L'attacco è avvenuto nella notte tra Domenica e Lunedì. 

martedì 16 giugno 2020

L'alert del CERT-AgID: il malware MassLogger si prepara alla diffusione di massa


L'alert è stato diramato direttamente dal CERT-AgID per mettere gli utenti italiani in guardia rispetto ad una minaccia che, nel prossimo futuro, potrebbe prendere di mira l'Italia. L'alert è un dettagliato report del malware MassLogger, che ha funzionalità di furto dati e keylogging scoperto poco tempo fa da alcuni ricercatori di sicurezza: un malware nuovo, ancora non diffuso, ma già circolante nei forum dell'underground hacking e pronto a colpire. 

E' un malware scritto in .NET ed ha un funzionamento che pare prendere direttamente spunto da un altro ben noto malware, diffuso giusto qualche giorno fa in Italia, ovvero AgenTesla. Nei vari canali dove viene presentato e messo in vendita non si trova l'intero codice, ma solo immagini e porzioni del codice stesso: questi però sono sufficienti a farsi un'idea del tipo di minaccia. 

venerdì 12 giugno 2020

Enel colpita da attacco ransomware: i sistemi di difesa funzionano e l'infezione viene bloccata


La compagnia energetica italiana Enel Group ha subito un attacco ransomware pochi giorni fa, a breve distanza di tempo da un attacco molto simile che ha colpito la casa produttrice di automobili e moto Honda. Il ransomware che gli attaccanti hanno cercato di diffondere potrebbe essere SNAKE, conosciuto anche come Ekans. 

L'attacco contro Enel ha effettivamente impattato la rete interna dell'azienda, che è andata in down, subendo un'interruzione. Tuttavia Enel ha dichiarato che i sistemi di cyber difesa aziendali hanno funzionato e l'infezione non si è diffusa. 

Questa la nota inviata da Enel alla redazione di Bleeping Computer:
"Enel Group informa che Domenica sera si è verificata un'interruzione della rete IT interna, conseguente all'individuazione da parte del sistema antivirus di un ransomware. In forma precauzionale l'Azienda ha temporaneamente isolato la rete aziendale per poter effettuare tutti gli interventi necessari  ad eliminare qualsiasi rischio residuale.  La connessione è stata ripristinata in sicurezza Lunedì mattina. Enel informa che non si sono verificati problemi critici riguardo i sistemi di controllo da remoto degli asset di distribuzione delle centrali elettriche e che i dati dei clienti non sono stati esposti a terzi".

Come si è svolto l'attacco?

giovedì 11 giugno 2020

Utenti italiani sotto attacco: due campagne di email di spam distribuiscono il malware Agent Tesla


E' con un doppio alert (il primo il 9 Giugno, il secondo di oggi 11 Giugno) che il Computer Security Incident Response Team - Italia (CSIRT) avvisa gli utenti italiani di una campagna di email di spam che distribuisce il malware Agent Tesla

Agent Tesla è un trojan specializzato nel furto dati, dotato di funzionalità di spyware e keylogger: è in diffusione con due diverse campagne di email di spam, entrambe mirate contro utenti italiani. Vediamole in dettaglio

martedì 9 giugno 2020

Zorab: il falso tool di decriptazione ransomware che in realtà è un ransomware


Quando non riescono a farsi "un mercato proprio", alcuni ransomware sfruttano quello di altri. E' quanto sta succedendo col ransomware Zorab (fondamentalmente sconosciuto e poco efficace, a giudicare dal numero di infezioni) che ha deciso di sfruttare un ransomware di ben maggiore peso, STOP Djvu, per infettare più  utenti. 

Riportiamo l'alert del ricercatore Michael Gillespie, non solo perchè le vittime del ransomware STOP  Djvu sono centinaia di migliaia nel mondo, alcune centinaia anche in Italia, ma anche perchè Zorab è pubblicizzato come tool funzionante 100% per decriptare gratuitamente i file criptati da STOP, le cui ultime versioni non hanno soluzione. 

Di siti web che promettono il recupero dei file tramite fantomatici tool di recovery, ripristino e pulizia del sistema ve ne sono a centinaia, spesso indicizzati così bene sui motori di ricerca da comparire per primi tra i risultati, ben prima di siti afferenti a realtà serie e realmente capaci di offrire soluzioni senza cedere al ricatto del riscatto. In questo caso però si promette un decryptor, esattamente come fanno i più seri vendor e realtà impegnate nella lotta ai ransomware, e, per di più, di un ransomware per il quale da molto tempo non esiste una soluzione gratuita o alternativa al pagamento del riscatto: un modo piuttosto brutale di guadagnare sfruttando la disperazione delle vittime.  Il punto è che STOP non riscuote molta attenzione da parte dei grandi vendor, perchè colpisce principalmente utenti home che commettono l'errore (e il reato) di scaricare software craccati ai quali è collegato il ransomware. 

Zorab se ne approfitta: doppia criptazione

lunedì 8 giugno 2020

Il malware TrickBot si aggiorna ancora: nuovo, pericolosissimo, modulo di propagazione worm


Siamo nuovamente a parlare di TrickBot, non solo perché a intervalli irregolari viene diffuso anche in Italia (principalmente contro aziende ed enti pubblici), ma anche perché continua ad essere una delle più longeve e costanti minacce a livello mondiale. 

TrickBot: un pò di storia, in breve
Anzitutto TrickBot è un malware per il furto di informazioni che, tra le altre cose,  offre servizi ad altri malware: quando infetta un dispositivo, oltre a rubare le informazioni, installa backdoor che poi sono messe a disposizione di altri malware per infettare lo stesso dispositivo con altre minacce.  

E' considerato l'evoluzione del trojan bancario Dridex, infatti la sua funzione primaria è il furto di credenziali bancarie. Si è poi evoluto costantemente, divenendo nei fatti una minaccia polimorfica composta da diversi moduli, ognuno dei quali responsabile di differenti funzioni di compromissione: una delle più recenti funzioni chiave che vi sono state aggiunte è la possibile di propagarsi da un client Windows infetto a un Domain Controller vulnerabile. 

Il 6 Marzo c'è stata l'ultima campagna di massa di diffusione contro utenti italiani: è stata una delle molteplici campagne che hanno sfruttato il tema Covid come copertura.

Per approfondire >> Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware 

venerdì 5 giugno 2020

NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt


Il ransomware QNAPCrypt è stato individuato per la prima volta nel Giugno 2019, ma è stato quasi subito "sconfitto": dopo le segnalazioni di alcuni utenti colpiti dall'infezione ransomware, alcuni ricercatori avevano prodotto un tool capace di decriptare i file. L'algoritmo di criptazione presentava dei bug, nella nota di riscatto era presente la chiave pubblica di criptazione: tutti strumenti che furono utili al tempo per scardinare la criptazione e riportare i file in chiaro senza pagare il riscatto.


In questi giorni è in corso però una nuova campagna di diffusione del ransomware: i dati provenienti da ID-Ransomware (servizio di supporto alle vittime di ransomware), parlano chiaro. Dal 1°Giugno è in corso una campagna di diffusione di una nuova versione del ransomware e le segnalazioni hanno subito una forte impennata. 

Gli attacchi sono mirati:  l'operatore di QNAPCrypt tenta di accedere ai dispositivi sia sfruttando vulnerabilità conosciute ma anche col più classico attacco di brute-forcing di credenziali deboli. Una volta ottenuto l'accesso, procede all'installazione del ransomware, che si attiva subito e cripta tutti i file presenti nel dispositivo. L'estensione di criptazione aggiunta ai file criptati non è cambiata dalla versione precedentemente in diffusione ed è ancora .encrypted: il nome file invece non viene modificato.

giovedì 4 giugno 2020

Nasce il cartello delle estorsioni: gli operatori ransomware di gruppi diversi si coalizzano



Vari gruppi attivi negli attacchi ransomware si stanno coalizzando per formare un vero e proprio "cartello delle estorsioni": la piattaforma del ransomware Maze è diventata una vera e propria infrastruttura condivisa dove alcuni gruppi di cyber criminali pubblicano i dati rubati alle vittime e condividono tattiche di attacco, di ricatto e intelligence. 

Dalla criptazione dei dati al data breach
Era il Novembre 2019 quando gli operatori del ransomware Maze pensarono di anticipare la criptazione vera e propria (l'attacco ransomware) con un furto dati (data breach): in quell'occasione, poichè la vittima si era rifiutata di pagare il riscatto per riavere i file in chiaro, gli attaccanti avevano proceduto alla pubblicazione di una parte dei dati rubati in una fase dell'attacco precedente alla della criptazione stessa. Una specie di doppio ricatto: con la criptazione la vittima viene "esclusa" dall'accesso ai propri file, ma se si rifiuta di pagare, questi file vengono anche resi pubblici oltre che inaccessibili al proprietario.  

venerdì 29 maggio 2020

Smart working: 7 lavoratori su 10 lo preferiscono al tornare in ufficio. Boom del cloud, mentre l'IT si fa strategico


Censuswide ha realizzato un sondaggio (consultabile qui) su un campione di 3.700 executive del settore IT in diversi paesi, per tratteggiare quelli che sono i timori e le aspettative per il post lockdown. I dati più salienti sono che, per i 75% degli interessati, gli impiegati non torneranno a lavorare allo stesso modo di prima in ufficio; inoltre, per il 72% il Covid è stato un vero e proprio acceleratore per la trasformazione digitale delle aziende. 

La maggior parte degli intervistati dichiara di aver registrato un forte aumento della domanda di lavoro flessibile: l'aspettativa è che gli impiegati saranno molto riluttanti a tornare a lavorare in ufficio. La conseguenza sarà la necessità di elaborare e implementare modelli di organizzazione del lavoro sempre più flessibile, comportando una netta riorganizzazione del lavoro. 

Il 69% dei manager IT dichiara anche che lavorare da casa non è stato molto complesso per la maggioranza del personale, il 71% è convinto che le tecnologie utilizzate abbiano consentito di lavorare come si fosse in presenza fisica. 

La conseguenza? Il 62% degli intervistati dichiara che sta assistendo una vera e propria impennata del ricorso ai sistemi in cloud. 

Smart working post covid: le prospettive

mercoledì 27 maggio 2020

Italia sotto attacco: il ransomware [F]Unicorn si diffonde camuffandosi da app di contact tracing Immuni


E' stato individuato un nuovo ransomware, rinominato [F]Unicorn, che sta colpendo esclusivamente utenti italiani: l'attacco inizia con una email che sembra inviata dalla Federazione Ordini farmacisti italiani e cerca di convincere gli utenti a scaricare la versione beta dell'app Immuni, scelta dal governo italiano per il contact tracing dei contagi Covid. 

La campagna di attacco è stata individuata dal CERT e dall'Agenzia per l'Italia Digitale, segnalata poi tramite specifico alert. Un campione delle email fake è visibile sotto:

martedì 26 maggio 2020

Installer fake di Zoom per diffondere backdoor e botnet: come il cyber crime sfrutta app legittime per azioni illegittime


Abbiamo parlato spesso di Zoom, l'app per le videoconferenze che ha registrato un boom improvviso, forse inaspettato ai suoi stessi sviluppatori, in piena epidemia Covid. Ne abbiamo parlato a causa dei bug e della scarsa consapevolezza nell'utilizzo che ne hanno dimostrato gli utenti, fattori che hanno reso questa applicazione un vero e proprio ghiotto bersaglio per i cyber attaccanti, tra dati rubati e accessi illegittimi a conferenze (per approfondire consigliamo di leggere qui e qui). 

Avevamo però segnalato anche un diverso modo di abusare di Zoom, ovvero quello di aprire domini fake sui quali attirare utenti per poi convincerli a installare versioni fake e dannose dell'app. Qualche giorno fa sono state individuate online da alcuni ricercatori di sicurezza due installer fake di Zoom che integrano l'installer ufficiale con codice dannoso: codice dannoso che consente agli attaccanti di prendere il controllo da remoto della macchina. Uno di questi riguarda l'installazione della botnet Devil Shadow sul dispositivo. 


lunedì 25 maggio 2020

eBay analizza i computer dei visitatori in cerca di porte aperte per programmi di accesso remoto


La notizia ha dell'incredibile e serpeggia nel web da qualche giorno. Prima un report specifico, poi i test dei tecnici della testata online BleepingComputer quindi la conferma: eBay, in tutti i propri domini, esegue una verifica sul computer di ogni utente alla prima visita in cerca di porte aperte per individuare applicazioni di accesso remoto o di supporto remoto. Un "port scanning" come spesso ne effettuano i cyber attaccanti in cerca di porte aperte da sfruttare per accedere alle macchine egli utenti. 

La versione integrale del report pubblicato dai tecnici di Nullsweep e disponibile qui, conferma inequivocabilmente il port scanning effettuato da eBay. 

Il port scanning: come funziona la verifica di eBay

venerdì 22 maggio 2020

Gli hacktivisti di LulzSec violano i sistemi dell'ospedale San Raffaele di Milano: cronaca di una giornata di smentite e attacchi


Tornano a colpire gli hacktivisti del gruppo italiano LulzSec, affiliati alla rete di Anonymous: ieri 21 Maggio hanno pubblicato su Twitter un estratto dei dati contenuti nei database dell'Ospedale San Raffaele di Milano. Con il tweet LulzSec, oltre a rivendicare pubblicamente l'azione, attacca frontalmente il San Raffaele sulla questione sicurezza dei dati: l'accesso ai sistemi ha consentito al gruppo di mettere le mani sui dati di migliaia di utenti, compresi infermieri e pazienti, con password in chiaro. In dettaglio hanno ottenuto 2400 indirizzi email del personale sanitario con tanto di password in chiaro e i dati (nom, cognome, codice fiscale, nazionalità, comune di residenza) di 600 pazienti. Inoltre la decisione di rendere pubblico il breach consegue al fatto che l'Ospedale non ha comunicato il breach al Garante Privacy entro le 72 ore previste dal GDPR, ma neppure agli utenti riguardati dall'esposizione dei dati. 


Dal primo tweet, pubblicato alle 9.28 di ieri mattina, il gruppo di hacktivisti ha iniziato una vera e propria escalation, sfidando apertamente l'Ospedale che, ad ora, pare non avere ancora effettuato nessuna notifica come previsto da legge: inizia un turbinio di tweet contenti ulteriori prove del breach. In mezzo finisce pure il noto virologo Roberto Burioni, dipendente del San Raffaele: LulzSec ha messo le mani anche sulla sua password in chiaro, ma il gruppo ha voluto ribadire quanto quella password sia il più classico esempio di password debole da non usare mai. 

giovedì 21 maggio 2020

Alert di Microsoft: è in corso un attacco di phishing di massa a tema Covid per ottenere l'accesso da remoto ai pc delle vittime



L'alert è di due giorni fa e proviene direttamente da Microsoft, che ha ritenuto importante avvisare gli utenti di questa campagna a causa della sua diffusione di massa. La campagna è l'ennesima a tema Covid, ma è molto insidiosa e peculiare: cerca di convincere gli utenti ad installare un Remote Access Trojan legale, ovvero il tool di assistenza da remoto NetSupport Manager.

L'email vettore
L'attacco inizia con la ricezione di una email apparentemente proveniente dal Johns Hopkins Center, uno dei centri di ricerca più importanti degli Stati Uniti e pluri citato dai media nel mondo proprio in queste settimane per le sue attente e continuative ricerche riguardanti l'andamento della pandemia da Covid nel mondo. L'email sembra essere un aggiornamento del numero delle morti causate dal Covid. 

Fonte: Microsoft

mercoledì 20 maggio 2020

Grave data breach per EasyJet: esposti i dati di 9 milioni di clienti


EasyJet, una delle più grandi compagnie aree lowcost del Regno Unito, ha scoperto di aver subito un attacco informatico a seguito del quale sono stati esposti dati come indirizzi email e informazioni di viaggio di circa 9 milioni di clienti. Tra questi 9 milioni, circa 2.208 clienti hanno subito anche il furto dei dettagli delle carte di credito con le quali hanno effettuato i pagamenti per le prenotazioni dei voli. 

La notifica del data breach è avvenuta due giorni fa: EasyJet ha informato pubblicamente di aver subito un attacco informatico che ha reso possibile a terze parti non autorizzate l'accesso ai sistemi aziendali. Accessi non autorizzati che,adesso,  il team di sicurezza IT aziendale è riuscito a bloccare, spiegano. 

La compagnia aerea ha già comunicato che contatterà celermente, nei prossimi giorni, i clienti riguardati dal data breach: entro il 26 Maggio, promettono. Da questo punto di vista è forse utile ricordare, dato che gli utenti italiani di EasyJet sono moltissimi, che se si è viaggiato con EasyJet ma non si viene contattati nei prossimi giorni, semplicemente il breach non ha riguardato i vostri dati. 

Ci sono già inchieste in corso per verificare come gli attaccanti siano riusciti a violare i sistemi della compagnia aerea: per ora non si conosco i dettagli e EasyJet ha commentato con uno scarno "è stato un attacco molto complesso"

Suggerimenti per i clienti EasyJet

martedì 19 maggio 2020

Hackerati i supercomputer europei: misterioso cyberattacco per minare criptovaluta


Molti computer ad alte performance, ma anche datacenter usati per progetti di ricerca sono stati spenti in vari stati europei a seguito di un incidente di sicurezza. La maggior parte sono situati in Germania, Svizzera e Regno Unito e l'incidente subìto ha reso impossibile continuare il proprio lavoro per centinaia di ricercatori. In realtà l'attacco si è prolungato nel tempo: pare infatti che alcuni supercomputer siano stati compromessi già all'inizio del Gennaio di quest'anno.

Per supercomputer si intendono sistemi con enorme potenziale di calcolo, usati principalmente in ambito scientifico per testare modelli matematici per complessi fenomeni fisici, per il design, per le simulazioni, per i test di laboratorio. 

Le notifiche degli incidenti di sicurezza sono iniziate Lunedì: le prime vittime sono state nel Regno Unito e in Germania. Le notifiche avvisavano pubblicamente dello shut down dei sistemi a causa di attacchi informatici. Ad esempio ARCHER, il servizio di supercomputing del Regno Unito è divenuto inaccessibile ai ricercatori l'11 Maggio a causa di un exploit di sicurezza sul nodo di login. Il servizio è rimasto inaccessibile dall'esterno, quindi nessuno, neppure il tema di cybersicurezza governativo, vi ha accesso. L'intero set di password di Archer, ma anche le chiavi SSH dovranno essere resettate. 

venerdì 15 maggio 2020

iOS: crolla il mercato degli exploit kit. Ci sono troppi bug


C'è una convinzione estremamente diffusa, quella secondo la quale la sicurezza degli iPhone e del sistema operativo iOS sia infallibile: non ci sono brecce, non ci sono vulnerabilità da sfruttare. In realtà non è mai stato proprio così, ma si può dire che era estremamente difficile trovare exploit kit per sfruttare vulnerabilità del sistema iOS. Non a caso, nel dark web ma anche nel mercato grigio (a cavallo tra legalità e illegalità) un exploit per iOS costava cifre astronomiche fino a pochi mesi fa. 

Ora però i tempi sono cambiati e la novità è certificata dalla più grande e specializzata società di compravendita di exploit, la Zerodium. Zeordium solo 5 anni fa offriva fino a 1.5 milione di dollari a chiunque offrisse loro codice per sfruttare qualche vulnerabilità di iOS per ottenere il classico "escalation of privilege", l'ottenimento dei diritti di amministrazione per assumere il controllo totale di un iPhone. 

Qualche giorno fa però Zerodium ha aggiornato i propri listini, decretando quello che si può definire un vero e proprio crollo nel "mercato" degli exploit per i dispositivi Apple: Zerodium è disposta a pagare exploit per Android ben 2.5 milioni, mentre ha sospeso per almeno 3 mesi l'acquisto di exploit per iOS. Il motivo è semplice: in pochi anni l'azienda ha ricevuto una quantità tale di exploit kit per iOS da aver reso più "appetibili" quelli per Android. Insomma, troppi bug per iOS quindi gli exploit per sfruttarli valgono semplicemente meno. 

giovedì 14 maggio 2020

Arriva il ransomware che chiede il doppio riscatto: uno per decriptare i file, uno per non pubblicare quelli rubati


Parliamo della famiglia di ransomware AKO, non molto diffusa ne pericolosa quanto gli ormai rinomati Sodinokibi, Maze o Ryuk, ma che si è posta come capofila di una nuova tattica di ricatto: AKO ha iniziato infatti a richiedere alle vittime un doppio riscatto, non solo quello per ottenere il decryptor ma anche uno per non rendere pubblici i dati rubati e cancellarne le copie in mano agli attaccanti. 

Un ennesimo salto di livello per i ransomware, dopo quello apportato dal ransomware Maze a partire dal Novembre 2019, ovvero il rendere pubblici alcuni dei dati rubati dalla rete violata prima della criptazione dei file: modello che in pochi mesi si è esteso a moltissime altre famiglie di ransomware tra i quali Sodinokibi, Clop, Sekhmet, Nephilim e altri, tutti dotati di appositi siti web dove rendere pubblica parte dei dati rubati. 

Qualche dettaglio sul ransomware AKO

mercoledì 13 maggio 2020

Il governo statunitense pubblica la lista delle vulnerabilità più sfruttate dal 2016


Alcune agenzie di cybersicurezza statunitensi hanno pubblicato ieri una interessante lista delle 10 vulnerabilità più sfruttate dai cyber attaccanti dal 2016 ad oggi. 

L'alert è il AA20-133A emesso da Cybersecurity and Infrastructure Security Agency (CISA), dal Federal Bureau of Investigation (FBI) e dal governo stesso per indicare sia al settore pubblico che a quello privato quali sono le patch delle quali è assolutamente urgente fissare l'installazione. Consigliamo di prendere visione del report, disponibile qui, perchè contiene anche la lista delle mitigazioni. 

Le più sfruttate: Microsoft OLE e Apache Struts

martedì 12 maggio 2020

1200 siti web corrotti per rubare carte di credito: 31 sono domini italiani


Un ricercatore di sicurezza ha individuato in meno di due settimane circa 1.200 domani infettati con stealer per il furto dati di carte di credito: un rischio, questo, molto diffuso e che conferma come MageCart continui ad essere la minaccia prevalente per quegli utenti abituati a frequentare shop online poco sicuri.

MageCart è un gruppo di hacker individuato già una decina di anni fa: inizialmente facevano piccoli attacchi, ma negli ultimi due anni il livello è salito molto. I loro attacchi hanno iniziato a colpire obiettivi sempre più di peso, per lasciare "sul campo" vittime eccellenti come Biritish Airways, Ticketmaster, OXO ecc... Da allora, i sistemi automatizzati messi in campo per rilevare questo specifico tipo di minaccia, hanno individuato e continuano a individuare centinaia di migliaia di sitiweb contenenti il Javascript dannoso che utilizza questo gruppo e che ha un solo scopo: ruibare i dati delle carte degli acquirenti. 

L'ultima ricerca: 200 alert inviati, nessuna risposta

lunedì 11 maggio 2020

Il ransomware Sodinokibi è ancora più pericoloso: cripta più file, anche quelli chiusi


Il Ransomware Sodinokibi, del quale tocca purtroppo parlare spesso perchè attualmente nella top 3 dei ransomware, ha subito l'implementazione di una nuova funzione. La nuova versione, individuata in distribuzione la scorsa settimana, ha una funzione che permette la criptazione di più file della vittima, anche quelli che vengono aperti e bloccati da un altro processo

Ci sono infatti alcune applicazioni, si pensi ai database o ai mail server, che bloccano i file che hanno aperto in modo tale che non sia possibile per altri programmi procedere a modifiche. La tecnica della chiusura è molto utile per impedire che i file finiscano danneggiati da due processi che scrivono sullo stesso file contemporaneamente. Ovviamente se un file è chiuso anche i ransomware non possono criptarlo, a meno che prima non arrestino il processo che blocca il file stesso. Questo è il motivo per cui molti ransomware, prima di avviare la criptazione, cercano di arrestare database server, email server e le altre applicazioni che possono procedere al "file locking". 

Sodinokibi mira ad arrestare i processi che chiudono i file

venerdì 8 maggio 2020

C'è un gruppo di cyberattaccanti che si sta specializzando nei data breach e nella rivendita dei dati nel dark web


Tokopedia, Unacademy, GhitHub: queste le ultime tre vittime di data breach ad opera del gruppo di cyber attaccanti Shiny Hunters. L'ultimo in ordine cronologico è l'attacco a GitHub, con il furto delle repository private di Microsoft: dal breach sono stati raccolti e messi in vendita ben tre database di alto profilo. Ma le vittime sono molte di più: Shiny Hunters ha violato anche i database utenti del servizio di consegna di cibo HomeChef, del servizio di stampa fotografica Chatbook, ma anche di Chronicle.com. 

Milioni di record utenti in vendita
Insieme, i database messi in vendita contengono username e password di più di 26 milioni di account. Il prezzo varia tra 1.500 e i 2.500 dollari. Il database più costoso?  Quello di HomeChef, che contiene ben 8 milioni di record utenti. In alcuni casi le password sono sotto forma di hash, ma ciò non ne riduce il valore, visto che le informazioni contengono anche email e indirizzi IP, ma anche numeri di telefono, codici di previdenza sociale, indirizzi fisici. 

mercoledì 6 maggio 2020

Immuni: non solo privacy, ma anche rischi informatici - il cybercrime è pronto a sfruttare l'occasione


Il tempo di Immuni, l'ormai famosa app "di Stato" per la mappatura dei contatti e dei contagi, si avvicina: Domenico Arcuri, il commissario all'emergenza, ha parlato di fine Maggio. In quel periodo l'app dovrebbe essere definitiva, pronta per essere installata sui dispositivi dei cittadini. Il quadro privacy risulta piuttosto definito, con l'emanazione del decreto legge del 30 Aprile 2020, nr.28 (per approfondire leggi qui). Eppure ancora la discussione attorno a questa app non si placa: la community di cyber security e Infosec infatti lancia l'allarme sicurezza. I rischi informatici sono infatti dietro l'angolo e non tutti derivano da software in sé. 

In prima battuta c'è da aspettarsi che i cyber criminali decidano di sfruttare il momento del rilascio dell'app per il download sui dispositivi, mettendo in circolazioni falsi siti web e false app, magari anche molti simili, nella veste grafica, al sito e all'applicazione legittimi. Tre sono i fattori che possono aiutare i cyber attaccanti: paura, responsabilità, scarsa dimestichezza diffusa con tecnologie e cyber sicurezza. Mirare all'anello debole della catena, cioè le persone, è sicuramente più facile che puntare a "scassinare" il codice di un app di Stato, perennemente sotto i riflettori, cercando bug da sfruttare.

martedì 5 maggio 2020

Ransomware Shade e CrySis: decriptazione possibile!


Ogni tanto anche dal mondo dei ransomware arrivano buone notizie: sono risolvibili le infezioni dei ransomware Shade e Crysis. Ne facciamo una breve panoramica, invitando chi è stato vittima di questi attacchi ransomware a verificare le versioni risolvibili confrontandole con le estensioni di criptazioni sotto elencate.

Invitiamo chi avesse bisogno di assistenza a contattare il nostro servizio di decriptazione, inviandoci due file criptati e la nota riscatto. I nostri tecnici verificheranno la versione della criptazione e forniranno le indicazioni utili per riportare i file in chiaro. Maggiori informazioni e form di invio file su https://www.decryptolocker.it/ oppure contattando l'email alessandro@nwkcloud.com

1. Ransomware Shade

lunedì 4 maggio 2020

Ransomware: Sodinokibi e Ryuk fanno lievitare le richieste di riscatto - parte 2


Nel Luglio 2019 avevamo ritenuto importante pubblicare questa notizia:

In breve, ci era sembrato importante perchè rendeva oggettivamente l'inizio di un importante cambiamento nel mondo dei ransomware, ovvero quello del passaggio da attacchi "nel mucchio" ad attacchi mirati, più specifici e sopratutto ben più remunerativi dell'utente home ricattato per riavere in chiaro le foto delle vacanze. Protagonisti di questo cambiamento erano i ransomware Sodinokibi e  Ryuk, le cui richieste di riscatto contro aziende ed enti pubblici avevano fatto segnare un boom: da 12.700 dollari nel 1° trimestre 2019 a 36.000 dollari nel 2° trimestre. 

A distanza di mesi ritorniamo sul tema perchè nuovi dati non hanno fatto altro che confermare questo infausto trend: ad oggi il riscatto medio, sempre spinto da Sodinokibi e Ryuk (che si confermano con Maze i top player del mondo ransomware), si attesta a 111.000 dollari. Stando ai dati pubblicati in un report di BleepingComputer insieme all'azienda di cyberisicyrezza Coveware, il primo trimestre dell'anno ha registrato un aumento dei riscatti medi del 33% circa rispetto al trimestre precedente. 

Da grandi responsabilità derivano grandi riscatti

mercoledì 29 aprile 2020

App per il contact tracing: perchè il Sistema Sanitario inglese ha detto no ai piani di Google e Apple. E in Italia?


Da qualche settimana c'è, ovviamente, un gran dibattito intorno al tema delle applicazioni per il tracciamento dei contatti a fine di contenimento dei contagi da Coronavirus. Il tema è dibattuto a più livelli, da quello dell'efficacia di questo strumento (è davvero utile davvero? Quante persone dovranno scaricare questa app perchè risulti efficace?) a quello tecnico (come garantire la sicurezza dei dati? Verranno salvati in cloud privati o pubblici? Si adotterà un sistema centralizzato o decentralizzato?) a quello legale (come garantire la Privacy? Oppure la privacy diviene secondaria?). 

Un tema altrettanto dibattuto è la scelta di avvalersi o meno della nuova API che i due giganti tech Apple e Google hanno appositamente approntato. Il governo inglese, come tutti i governi europei in questo momento, sta valutando come sfruttare la tecnologia a fine di prevenzione, approntando un meccanismo di tracciamento e alert in caso in cui qualcuno mostri sintomi da Coronavirus o entri in contatto con un infetto. Inaspettatamente però il Sistema Sanitario Inglese (NHS)  ha fatto sapere che svilupperà un proprio sistema centralizzato di tracciamento anzichè usare la tecnologia di "notifica di esposizione" sviluppata da Google e Apple. L'applicazione dell'NHS quindi funzionerà basandosi sul continuo invio di dati ad un database centrale gestito dal governo britannico. 

In breve l'Api di Google e Apple

martedì 28 aprile 2020

Scoperto un grave bug in 28 popolarissimi antivirus


I ricercatori di RACK911 hanno reso pubblico un bug piuttosto grave, individuato in ben 28 diversi antivirus e per i tre diversi sistemi operativi Windows, Linux e Mac. 

Qualche dettaglio tecnico
La vulnerabilità in questione è detta "symlink race" e consiste, in breve, nella possibilità di un attaccante di "legare" un file corrotto ad uno legittimo, rendendolo nei fatti invisibile in fase di scansione. Diventa possibile così evadere le individuazioni delle soluzioni di sicurezza  e procedere all'esecuzione di codice dannoso. Esiste infatti un intervallo tra il momento in cui un file viene scansionato e considerato dannoso e il momento in cui l'antivirus rimuove la minaccia: l'attacco si basa sulla sostituzione del file dannoso con un collegamento simbolico a un file legittimo proprio entro questa finestra temporale. Quando l'antivirus rileva il file dannoso e si attiva per eliminarlo, finisce in realtà per eliminare file propri o file legittimi relativi al sistema operativo

Spesso questi file dannosi vengono legati a file con alti privilegi di amministrazione, garantendo anche la possibilità di eseguire attacchi di tipo Elevation Of Privilege (ottenimento illegittimo su un sistema di privilegi superiori, spesso di amministrazione). 

Quali antivirus?

venerdì 24 aprile 2020

Windows 10: l'ultimo aggiornamento ha creato importanti problemi


La scorsa settimana, in occasione del Patch Tuesday di Aprile, Microsoft ha rilasciato come da tradizione gli aggiornamenti e  i fix necessari per tutte le versioni di Window 10 supportate. Qualcosa però è andato storto. 

L'ultimo aggiornamento cumulativo per Windows 10 1909, il KB4549951, ha creato molti problemi non previsti sui sistemi di alcuni utenti: sulla build 18363.778 sono stati riscontati problemi col wi-fi, perdita di dati e BSOD (Blue screen of Death), rallentamenti delle prestazioni e crash. Le segnalazioni di questi problemi sono molteplici, dai semplici forum al Feedback Hub ufficiale di Microsoft. Gli utenti segnalano sopratutto la visualizzazione di questi errori:

giovedì 23 aprile 2020

Dati e dark web: un business illegale sempre in crescita


Non basta mai ribadire, evidentemente, quanto sia ormai divenuto fondamentale organizzare una seria e solida protezione dei dati. Non c'è soltanto il rischio, per le aziende, di incorrere in sanzioni: data breach e data leak hanno un risvolto ben più pesante, quello di andare a violare il diritto fondamentale di ogni individuo alla privacy. Il GDPR ne ha fatto la colonna portante, non è un caso che sia un regolamento che protegge indubbiamente la privacy, ma ponendo l'attenzione principalmente sulla protezione del dato. E' forse ridondante ribadire, ma repetita iuvant, che il GDPR è anche uno strumento che, razionalizzando raccolta e memorizzazione dei dati, migliora anche l'organizzazione aziendale ed mitiga i rischi di subire incidenti, con conseguente danno economico e reputazionale. 

Torniamo sul punto, anche se ne abbiamo scritto molto spesso, perchè ancora, nonostante il GDPR sia in vigore già da quattro anni e applicato da due, le notizie di data breach e data leak continuano a susseguirsi. Nelle ultime due settimane ci sono stati vari incidenti eclatanti, che hanno di nuovo fatto scattare l'allarme sulla protezione dei dati. Due almeno riguardano aziende italiane. 

mercoledì 22 aprile 2020

Anche il malware Trickbot sceglie il Coronavirus


Con un apposito report, il Microsoft's Security Intelligence ha avvisato gli utenti che, durante lo scorso fine settimana, gli operatori che gestiscono il malware TrickBot hanno iniziato a diffondere centinaia di migliaia di email a tema Coronavirus, sia in forma di alert sanitari che di informazioni relative ai test con tampone. Per fare un esempio, una delle forme più diffuse di questa email riferisce a fantomatiche organizzazioni umanitarie che si offrono per eseguire test gratuiti sul contagio: si invitano quindi gli utenti a scaricare l'allegato allegato all'email per ricevere ulteriori informazioni su come eseguire il test. 

Al di là delle varianti, tutte queste email, diffuse in varie lingue, presentano lo stesso schema: un breve testo introduce la tematica Covid e cerca di indurre l'utente a scaricare ed aprire l'allegato contenente una macro. 

martedì 21 aprile 2020

Attenzione alle truffe dei buoni spesa gratuiti


Non torniamo di nuovo a ribadire, pensiamo sia chiaro, che il Coronavirus ha aperto la strada ad una incredibilità quantità di diverse tipologie di truffe e attacchi informatici. Tutte molto odiose, perchè sfruttano e fanno leva sulla paura delle persone, ma alcune sono anche peggiori perchè sfruttano anche la situazione di difficoltà economica delle persone. Parlavamo giusto ieri dell'eclatante caso di phishing avvenuto in Germania: per chi volesse approfondire, rimandiamo a questo articolo. 

Oggi però ci concentriamo sull'Italia, dove ci sarebbero da segnalare centinaia di diverse truffe, tutte però riassumibili in un trend comune: la truffa dei buoni spesa.  Queste truffe avvengono nel solco della distribuzione dei buoni spesa, che viene operata tramite i Comuni e coperti dai fondi stanziati appositamente dal Governo per le famiglie in difficoltà economiche. Queste truffe avvengono in varie modalità, alcune girano sui social, altre arrivano tramite messaggi su Whatsapp, alcune addirittura avvengono con chiamate. Descriverle tutte sarebbe complesso, faremo una panoramica delle principali, che però hanno tutte lo stesso effetto: sottrarre denaro e dati alle vittime. 

1. Truffe Coop, Conad ed Esselunga su Facebook

lunedì 20 aprile 2020

Caso eclatante di phishing in Germania: rubati i contributi per l'emergenza Covid


Come in gran parte degli stati europei e non solo, le amministrazioni statali e locali hanno varato una serie di misure di protezione sociale per quelle famiglie e aziende per le quali la pandemia da Covid ha creato forti dissesti economici. Le modalità di erogazione sono state tutte mosse da una principale esigenza, data l'urgenza: la celerità. Contrariamente alle lungaggini burocratiche con le quali siamo spesso abituati a confrontarci, in questa situazione si è fatto ampio ricorso all'online per la presentazione della domanda per il contributo sociale, come strumento che permettesse da casa e celermente di procedere alla richiesta. 

Ovviamente i limiti tecnici si sono fatti sentire, la vicenda che ha riguardato il nostro Inps è forse un caso che ha fatto scuola: difficile, forse improbabile, dire che gli hacker o Anonymous ci abbiano messo lo zampino. Nel caso del portale dell'INPS è probabile poter dire, semplicemente, che il portale non fosse né pronto, né adatto né dotato della infrastruttura necessaria per reggere una mole tale di richieste. 

Nel caso occorso in Germania, precisamente nella Regione del Nord Reno Westfalia, l'incidente che raccontiamo ha visto una "sinergia" tra leggerezza dell'ente amministrativo e furbizia dei cyber attaccanti. L'amministrazione della zona ha avviato negli scorsi giorni un programma di sussidi pubblici per sostenere i lavoratori autonomi e le aziende in difficoltà. I responsabili IT dell'ente hanno però commesso una leggerezza che ha aperto la strada al successivo attacco di phishing: il sito web dedicato alla richiesta del contributo si limitava a prevedere la mera compilazione di un modulo, senza procedere ad ulteriori verifiche o incrocio di dati. 

venerdì 17 aprile 2020

Phishing, malware e Covid-19: Gmail blocca più di 18 milioni di email a settimana


Google ha fatto sapere che lo scanner malware integrato nel servizio email gratuito di Gmail ha bloccato circa 18 milioni di email di phishing e per la distribuzione di malware, tutti a tema Covid-19: questo nell'arco di soli 7 giorni, la scorsa settimana. 

"Ogni giorno, Gmail blocca più di 100 milioni di email di Phishing. Nel corso dell'ultima settimana abbiamo individuato circa 18 milioni di email di phishing e malware a tema Covid-19: questi si aggiungono agli oltre 240 milioni di messaggi di spam a tema Covid-19 che Gmail individua ogni giorno" spiegano Neil Kumaran e Sam Lugani, responsabili della sicurezza Gmail e GSuite

Le tipologie delle campagne di phishing che sfruttando l'epidemia da Coronaviurs usano diverse "esche" per attrarre le vittime a cedere dati o installare malware: da quelle finanziarie  a trucchetti per indurre paura, così che le vittime si fanno più propense ad eseguire le azioni richieste nelle email o a cedere dati.  

Stando ai dati, gli esperti di Google spiegano che gli attacchi di phishing individuati provano a:
  • impersonare autorità sanitarie e governative, ma anche enti quali l'Organizzazione Mondiale della Sanità, per ottenere donazioni per false raccolte fondi o per distribuire malware;
  • ottenere  i dati e le credenziali di lavoratori in smart working;
  • cercare di capitalizzare gli incentivi e aiuti governativi e impersonare enti governativi per attacchi phishing contro le piccole imprese;
  • colpire in maniera mirata aziende sottoposte a ordine di sospensione della produzione in forma anti contagio.