venerdì 17 gennaio 2020

L'exploit kit di WannaCry torna alla carica: il ransomware 5ss5c recupera EternalBlue


Ricorderete sicuramente WannaCry, il ransomware con capacità di diffusione simili a un worm che registrò così tante infezioni e mostro virulenza tale da essere a tutt'oggi considerato l'attacco ransomware più devastante della storia. L'impressionante virulenza di WannaCry derivava dall'uso di un exploit kit ben preciso, EternalBlue appunto. 


EternalBlue in breve
EternalBlue è un exploit kit sviluppato dalla divisione cyber dell'NSA, l'Agenzia di Sicurezza nazionale degli Stati Uniti. Rientrava in una più ampia serie di tool che gli Stati Uniti usavano per questioni di sicurezza nazionale: peccato che nel 2016 tutti questi tool sono stati rubati dai server NSA. Il furto, avvenuto per opera del gruppo di hacking Shadow Broker, ha avuto come conseguenza la perdita di controllo da parte dell'NSA di tutti gli exploit kit sottratti e, ovviamente, l'impiego degli stessi da parte del cyber crimine. 

giovedì 16 gennaio 2020

Ransomware: si diffonde la pratica della pubblicazione dei dati rubati per chi non paga il riscatto


Il capofila, ne abbiamo parlato ampiamente, è stato il ransomware Maze. Fin dal primo "colpo grosso" contro Allied Universal, una delle principali aziende di servizi di sicurezza statunitense, Maze si è distinto per la pratica di rendere pubblica una parte dei dati sottratti dai sistemi infetti, come forma di pressione ulteriore al fine di convincere la vittima a pagare il riscatto. Di questa pratica gli attori di Maze, ransomware usato ormai a cascata contro obiettivi mirati come enti pubblici e aziende, scuole e ospedali negli U.S.A, ne hanno fatto una specializzazione, al punto da aver perfino aperto un "sito di news" dove pubblicare i dati: questo anche perché ben presto la stampa di settore (e non solo) ha deciso di non dare più spazio a questa tipologia di ricatto e di non far girare alcun database di dati rubati e pubblicati a fini estorsivi. 

La tecnica funziona, purtroppo, e si cominciano a registrare casi di emulazione da parte di nomi altisonanti nel panorama delle cyber minacce: primo tra tutti Sodinokibi, ma appena due giorni fa anche gli attori dietro al ransomware Nemty hanno effettuato le prime operazioni di pubblicazione dati.

martedì 14 gennaio 2020

Data breach e data leak: quali sono le differenze?


E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019. 

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo

venerdì 10 gennaio 2020

Il Cert-Pa individua una campagna di spam contro utenti italiani: diffonde il temibile malware TrickBot


L'alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.

La campagna di email di spam
Le email di spam, veicolo dell'infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l'attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware. 

Mittente, oggetto, corpo email, nome dell'allegato sono variabili: tendenzialmente l'allegato contiene un file chiamato "Documento_doganale_XXXXXXX.doc". Sotto due campioni email analizzate dal Cert-Pa:

giovedì 9 gennaio 2020

2020: tutti i software Microsoft che arriveranno a FINE VITA


Il 2020 vedrà scattare il fine vita per molteplici software sviluppati da Microsoft: Windows 7 è quello di cui si è più parlato, sia perchè è un sistema operativo, nelle sue varie versioni, ancora estremamente diffuso sia perchè è sicuramente il software più importante e famoso tra quelli che arrivano al cosiddetto EOL, ossia End of Life. 

Cosa significa EOL, end of life
Arrivare a fine vita vuol dire, per un software, che la casa madre, in questo caso Microsoft appunto, non fornirà più patch di sicurezza per le vulnerabilità, fix per i bug e supporto tecnico. Inutile, forse, ribadire quanto sarà rischioso per gli utenti non provvedere al passaggio alle versioni più recenti o più aggiornate di un software: questi sistemi operativi vedranno aumentare sempre di più il numero di falle presenti, con un aumento della superficie di attacco che crescerà costantemente. 

Windows 7 e Server 2008

venerdì 3 gennaio 2020

Il ransomware Maze colpisce senza sosta negli USA: pubblicati i dati rubati alle vittime


I primi giorni di Dicembre il ransomware Maze, del quale abbiamo già parlato più volte anche perchè è stato distribuito anche in Italia, ha colpito i sistemi informatici della città di Pensacola. Sono finiti in down i servizi email cittadini, alcuni servizi telefonici e altri servizi online a causa anche del fatto che le autorità cittadine hanno deciso lo shut down dei sistemi informatici onde evitare ulteriore diffusione dell'infezione. 

Gli autori del malware, dopo aver confermato il furto dei dati prima della criptazione di tutto quanto si trovava nella rete, hanno richiesto un riscatto di oltre un milione di dollari. Le autorità cittadine hanno deciso di non pagare il riscatto, come suggerito ed indicato da FBI e dal nuovo gruppo di pronto intervento in caso di cyber attacco, isituito con legge del Senato a livello federale per affiancare i sempre più numerosi privati (enti e aziende) e istituzioni a fare fronte alla costante cyber guerrilla che ormai contraddistingue gli USA da oltre un anno. 

Poco prima di Natale, data il ferreo diniego da parte dell città di Pensacola al pagamento del riscatto, gli attaccanti hanno pubblicato circa 2GB dei 32 GB di dati rubati prima della criptazione dei file. 

giovedì 2 gennaio 2020

Cyber rischi: previsioni 2020 by Seqrite


Il 2020 si preannuncia come un anno molto molto impegnativo per aziende, governi e anche semplici cittadini: si apre infatti una nuova era di minacce emergenti. Gli attaccanti hanno a disposizione (fortunatamente non solo loro) una nuova arma, l'intelligenza artificiale. L'AI infatti è già stata, e sarà sempre più, molto utile per la costruzione di strategie di cyber guerriglia che massimizzino l'impatto degli attacchi e per neutralizzare le difese informatiche dei target. 

Oltre all'impiego dell'AI, si prevedere che i cyber criminali useranno nuove tecniche di attacco, i cui primordi sono già stati visibili negli ultimi mesi del 2019. Ecco le previsioni degli esperti di Seqrite per il 2020. 

1. Aumento degli attacchi di "web skimming"