venerdì 21 febbraio 2020

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult


E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta. 

mercoledì 19 febbraio 2020

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam


E' stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un'altra, pericolosa, famiglia di ransomware chiamata Crysis. E' inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l'installazione tramite RDP hackerati. 

La campagna è stata individuata da più fonti e, dall'analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif. 

Le email di spam

martedì 18 febbraio 2020

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!


Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l'impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la "storica" famiglia di ransomware Xorist, individuata per la prima volta nel 2016. 

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell'infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione:  l'estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato "HOW TO DECRYPT FILES.txt", l'email di contatto pronis@cock.li. 

Qualche informazione tecnica

lunedì 17 febbraio 2020

Anonymous attacca le PA in Basilicata, LulzSec Ita colpisce tre università: le carenze della protezione dati in Italia


Anonymous torna a farsi sentire e lo fa contro le trivellazioni petrolifere in Basilicata, compiendo una lunga serie di attacchi informatici ai danni della Pubblica Amministrazione in Basilicata. Gli hacktivisti sono riusciti ad avere accesso ai database della Giunta e del Consiglio Regionali ma anche dell'azienda di promozione turistica regionale e di diversi comuni della Val D'Agri, il sito prescelto per le future trivellazioni. Accusata numero uno è l' ENI: il comunicato col quale gli hacktivisti rivendicano l'attacco parla apertamente, infatti, di  "scempio, disastro, ecatombe, tutto firmato dall'italiana Eni". 

L'operazione segue di qualche giorno una serie di attacchi del gruppo LulzSecITA, affiliato ad Anonymous, che nelle scorse settimane ha attaccato  i sistemi dell'Università della Basilicata, di Napoli e di Roma 3, diffondendo poi i dati ottenuti e criticando apertamente la debolezza dei sistemi protettivi e la scarsa attenzione posta dagli atenei italiani nella protezione dei dati di studenti, docenti e dipendenti. 

Operation GreenRights

venerdì 14 febbraio 2020

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni


Nel corso di un convegno organizzato dall'Università LUISS di Roma la Polizia Postale ha lanciato l'allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come "una emergenza assoluta". 

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell'utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come "tappa intermedia" per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale. 

mercoledì 12 febbraio 2020

Nuova versione di Emotet attacca le reti Wi-Fi vicine per fare più vittime


Il malware Emotet non ha bisogno di presentazioni: è uno dei più noti e diffusi malware degli ultimi anni con funzioni di info stealer e furto di credenziali, sopratutto bancarie. I ricercatori di Binary Defense hanno individuato una nuova tecnica di diffusione del malware: Emotet utilizza dispositivi già infettati per individuare nuove vittime che sono connesse alle reti wi-fi nei dintorni della vittima. Insomma, questa nuova versione ha un "Wi-fi spreader" per scansionare le reti wi-fi nei dintorni e tentare di attaccare tutti i dispositivi che vi sono connessi. I ricercatori fanno sapere che lo spreader wi-fi in realtà potrebbe risalire già al 2018: contiene infatti un timestamp del 16 Aprile 2018. Sarebbe quindi rimasto non individuato per oltre due anni. Un cambiamento, questo, che rende l'idea della crescita e miglioramento continuo delle capacità di Emotet, che adesso può attaccare anche vittime in stretta vicinanza fisica con la vittima originale. 

Come funziona il nuovo modulo?

martedì 11 febbraio 2020

Il Ransomware Robbin Hood installa un driver vulnerabile... per attaccarlo e terminare i processi antivirus


Il ransomware Robbin Hood non è molto conosciuto al di fuori della cerchia degli esperti del panorama ransomware: individuato ormai quasi un anno fa, non ha mai raggiunto numeri allarmanti né in termini di campagne di distribuzione né di infezioni. Ha segnato, effettivamente, un picco di popolarità quando è stato impiegato per attaccare le municipalità di Baltimora e Lake City, nell'ambito di quella lunga scia di cyber attacchi mirati che stanno funestando gli Stati Uniti ormai da più di un anno.


Mira tra l'altro principalmente aziende, in dettaglio i computer nelle reti aziendali. Non è diffuso via email di spam, ma cerca altri metodi tra i quali l'attacco ai servizi di desktop remoto e lo sfruttamento di altri trojan che forniscono un sufficiente livello di accesso al sistema per installare il payload del ransomware. 

venerdì 7 febbraio 2020

Google "elimina" i cookie di terze parti su Chrome


Google aveva già annunciato tempo fa di essere a lavoro per una radicale modifica della gestione dei cookie di terze parti, cercando un approccio meno rigido di quello adottato, ad esempio da Firefox che ha optato per il blocco predefinito di tutti i cookie di terze parti. Una scelta, quella di Firefox, che mina alla base una le modalità attualmente in uso per fare business su Internet e che, proprio per questo, non ha convinto Google. Comune la volontà, insomma, di aumentare sicurezza e privacy nella navigazione web, ma dalle parti di Google le preoccupazioni degli inserzionisti e degli editor di contenuti hanno trovato ascolto. 

E' proprio con un post sul blog Chromium (il progetto open source dove è stato sperimentato il nuovo modello di gestione dei cookie) che Google ha annunciato come la nuova versione 80 vedrà già attive, in parte, tali modifiche: l'implementazione di tutto il nuovo meccanismo di gestione avverrà gradualmente. Nemici numero uno i cookie traccianti di terze parti. 

mercoledì 5 febbraio 2020

PMI: nel 2020 diventano fondamentali la sicurezza dei dispositivi e la formazione dei dipendenti


Il 2020 si preannuncia come un anno difficile sotto il profilo della sicurezza informatica: già si prevede un aumento dei ransomware e dei malware in generale per mirare ai dispositivi mobile. Da questo punto di vista non bisogna farsi ingannare dalle notizie che girano sulla stampa, dove si parla quasi esclusivamente di attacchi eclatanti contro grandi aziende. In realtà sono proprio le piccole e medie imprese quelle più esposte a questa tipologia di attacchi e la situazione si farà più urgente dato il dilagare dell'uso dei dispositivi mobile nelle aziende. 

Una recente ricerca del Ponemon Insitute rende chiaro il problema, rivelando come il 66% delle PMI a livello globale ha subito un qualche tipo di attacco informatico nell'ultimo anno. 

Formazione e messa in sicurezza dei dispositivi mobile dei dipendenti diventano quindi punti centrali nella programmazione della gestione delle risorse aziendali (i dati confermano infatti che, molto spesso, è il fattore umano - un dipendente che fa il clic sbagliato sulla email compromessa, a facilitare gli attacchi informatici). E' la diffusione dello "smart working" che porta nuovi rischi alle PMI. 

martedì 4 febbraio 2020

Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10


Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l'utente visualizzi alcun alert UAC. 

L'UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l'utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l'esecuzione. E' evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell'attacco in corso. 

lunedì 3 febbraio 2020

Vendita dati a terze parti: Avast annuncia la chiusura della controllata Jumpshot


Qualche giorno abbiamo dato notizia di un'inchiesta congiunta tra le redazioni di Motherboard e PCMag che ha rivelato come Avast rivendesse a terze parti i dati (dettagliatissimi e abbondanti) raccolti durante la navigazione dagli utenti che utilizzano i suoi servizi. Un episodio che ha acceso, di nuovo, le polemiche contro il famoso vendor di software antivirus, che già qualche mese fa aveva subito la rimozione di alcune sue estensioni dai portali degli add on sia di Mozilla che di Chrome proprio per l'eccesso di dati raccolti, ben oltre quando necessario per il funzionamento delle estensioni stesse e in aperta violazione delle policy privacy dei due popolari browser. Le estensioni sono state reinserite nei portali di Chrome e Mozilla quando Avast ha inserito un chiaro avviso per gli utenti, nel quale è richiesto l'esplicito consenso da parte dell'utente riguardo al tracciamento delle attività via browser. 

Per approfondire >>