App per il contact tracing: perchè il Sistema Sanitario inglese ha detto no ai piani di Google e Apple. E in Italia?

Da qualche settimana c'è, ovviamente, un gran dibattito intorno al tema delle applicazioni per il tracciamento dei contatti a fine di contenimento dei contagi da Coronavirus. Il tema è dibattuto a più livelli, da quello dell'efficacia di questo strumento (è davvero utile davvero? Quante persone dovranno scaricare questa app perchè risulti efficace?) a quello tecnico (come garantire la sicurezza dei dati? Verranno salvati in cloud privati o pubblici? Si adotterà un sistema centralizzato o decentralizzato?) a quello legale (come garantire la Privacy? Oppure la privacy diviene secondaria?). 

Un tema altrettanto dibattuto è la scelta di avvalersi o meno della nuova API che i due giganti tech Apple e Google hanno appositamente approntato. Il governo inglese, come tutti i governi europei in questo momento, sta valutando come sfruttare la tecnologia a fine di prevenzione, approntando un meccanismo di tracciamento e alert in caso in cui qualcuno mostri sintomi da Coronavirus o entri in contatto con un infetto. Inaspettatamente però il Sistema Sanitario Inglese (NHS)  ha fatto sapere che svilupperà un proprio sistema centralizzato di tracciamento anzichè usare la tecnologia di "notifica di esposizione" sviluppata da Google e Apple. L'applicazione dell'NHS quindi funzionerà basandosi sul continuo invio di dati ad un database centrale gestito dal governo britannico. 

In breve l'Api di Google e Apple

Scoperto un grave bug in 28 popolarissimi antivirus

I ricercatori di RACK911 hanno reso pubblico un bug piuttosto grave, individuato in ben 28 diversi antivirus e per i tre diversi sistemi operativi Windows, Linux e Mac. 

Qualche dettaglio tecnico

La vulnerabilità in questione è detta "symlink race" e consiste, in breve, nella possibilità di un attaccante di "legare" un file corrotto ad uno legittimo, rendendolo nei fatti invisibile in fase di scansione. Diventa possibile così evadere le individuazioni delle soluzioni di sicurezza  e procedere all'esecuzione di codice dannoso. Esiste infatti un intervallo tra il momento in cui un file viene scansionato e considerato dannoso e il momento in cui l'antivirus rimuove la minaccia: l'attacco si basa sulla sostituzione del file dannoso con un collegamento simbolico a un file legittimo proprio entro questa finestra temporale. Quando l'antivirus rileva il file dannoso e si attiva per eliminarlo, finisce in realtà per eliminare file propri o file legittimi relativi al sistema operativo. 

Spesso questi file dannosi vengono legati a file con alti privilegi di amministrazione, garantendo anche la possibilità di eseguire attacchi di tipo Elevation Of Privilege (ottenimento illegittimo su un sistema di privilegi superiori, spesso di amministrazione). 

Quali antivirus?

Windows 10: l'ultimo aggiornamento ha creato importanti problemi

La scorsa settimana, in occasione del Patch Tuesday di Aprile, Microsoft ha rilasciato come da tradizione gli aggiornamenti e  i fix necessari per tutte le versioni di Window 10 supportate. Qualcosa però è andato storto. 

L'ultimo aggiornamento cumulativo per Windows 10 1909, il KB4549951, ha creato molti problemi non previsti sui sistemi di alcuni utenti: sulla build 18363.778 sono stati riscontati problemi col wi-fi, perdita di dati e BSOD (Blue screen of Death), rallentamenti delle prestazioni e crash. Le segnalazioni di questi problemi sono molteplici, dai semplici forum al Feedback Hub ufficiale di Microsoft. Gli utenti segnalano sopratutto la visualizzazione di questi errori:

Dati e dark web: un business illegale sempre in crescita

Non basta mai ribadire, evidentemente, quanto sia ormai divenuto fondamentale organizzare una seria e solida protezione dei dati. Non c'è soltanto il rischio, per le aziende, di incorrere in sanzioni: data breach e data leak hanno un risvolto ben più pesante, quello di andare a violare il diritto fondamentale di ogni individuo alla privacy. Il GDPR ne ha fatto la colonna portante, non è un caso che sia un regolamento che protegge indubbiamente la privacy, ma ponendo l'attenzione principalmente sulla protezione del dato. E' forse ridondante ribadire, ma repetita iuvant, che il GDPR è anche uno strumento che, razionalizzando raccolta e memorizzazione dei dati, migliora anche l'organizzazione aziendale ed mitiga i rischi di subire incidenti, con conseguente danno economico e reputazionale. 

Torniamo sul punto, anche se ne abbiamo scritto molto spesso, perchè ancora, nonostante il GDPR sia in vigore già da quattro anni e applicato da due, le notizie di data breach e data leak continuano a susseguirsi. Nelle ultime due settimane ci sono stati vari incidenti eclatanti, che hanno di nuovo fatto scattare l'allarme sulla protezione dei dati. Due almeno riguardano aziende italiane. 

Anche il malware Trickbot sceglie il Coronavirus

Con un apposito report, il Microsoft's Security Intelligence ha avvisato gli utenti che, durante lo scorso fine settimana, gli operatori che gestiscono il malware TrickBot hanno iniziato a diffondere centinaia di migliaia di email a tema Coronavirus, sia in forma di alert sanitari che di informazioni relative ai test con tampone. Per fare un esempio, una delle forme più diffuse di questa email riferisce a fantomatiche organizzazioni umanitarie che si offrono per eseguire test gratuiti sul contagio: si invitano quindi gli utenti a scaricare l'allegato allegato all'email per ricevere ulteriori informazioni su come eseguire il test. 

Al di là delle varianti, tutte queste email, diffuse in varie lingue, presentano lo stesso schema: un breve testo introduce la tematica Covid e cerca di indurre l'utente a scaricare ed aprire l'allegato contenente una macro. 

Attenzione alle truffe dei buoni spesa gratuiti

Non torniamo di nuovo a ribadire, pensiamo sia chiaro, che il Coronavirus ha aperto la strada ad una incredibilità quantità di diverse tipologie di truffe e attacchi informatici. Tutte molto odiose, perchè sfruttano e fanno leva sulla paura delle persone, ma alcune sono anche peggiori perchè sfruttano anche la situazione di difficoltà economica delle persone. Parlavamo giusto ieri dell'eclatante caso di phishing avvenuto in Germania: per chi volesse approfondire, rimandiamo a questo articolo. 

Oggi però ci concentriamo sull'Italia, dove ci sarebbero da segnalare centinaia di diverse truffe, tutte però riassumibili in un trend comune: la truffa dei buoni spesa.  Queste truffe avvengono nel solco della distribuzione dei buoni spesa, che viene operata tramite i Comuni e coperti dai fondi stanziati appositamente dal Governo per le famiglie in difficoltà economiche. Queste truffe avvengono in varie modalità, alcune girano sui social, altre arrivano tramite messaggi su Whatsapp, alcune addirittura avvengono con chiamate. Descriverle tutte sarebbe complesso, faremo una panoramica delle principali, che però hanno tutte lo stesso effetto: sottrarre denaro e dati alle vittime. 

1. Truffe Coop, Conad ed Esselunga su Facebook

Caso eclatante di phishing in Germania: rubati i contributi per l'emergenza Covid

Come in gran parte degli stati europei e non solo, le amministrazioni statali e locali hanno varato una serie di misure di protezione sociale per quelle famiglie e aziende per le quali la pandemia da Covid ha creato forti dissesti economici. Le modalità di erogazione sono state tutte mosse da una principale esigenza, data l'urgenza: la celerità. Contrariamente alle lungaggini burocratiche con le quali siamo spesso abituati a confrontarci, in questa situazione si è fatto ampio ricorso all'online per la presentazione della domanda per il contributo sociale, come strumento che permettesse da casa e celermente di procedere alla richiesta. 

Ovviamente i limiti tecnici si sono fatti sentire, la vicenda che ha riguardato il nostro Inps è forse un caso che ha fatto scuola: difficile, forse improbabile, dire che gli hacker o Anonymous ci abbiano messo lo zampino. Nel caso del portale dell'INPS è probabile poter dire, semplicemente, che il portale non fosse né pronto, né adatto né dotato della infrastruttura necessaria per reggere una mole tale di richieste. 

Nel caso occorso in Germania, precisamente nella Regione del Nord Reno Westfalia, l'incidente che raccontiamo ha visto una "sinergia" tra leggerezza dell'ente amministrativo e furbizia dei cyber attaccanti. L'amministrazione della zona ha avviato negli scorsi giorni un programma di sussidi pubblici per sostenere i lavoratori autonomi e le aziende in difficoltà. I responsabili IT dell'ente hanno però commesso una leggerezza che ha aperto la strada al successivo attacco di phishing: il sito web dedicato alla richiesta del contributo si limitava a prevedere la mera compilazione di un modulo, senza procedere ad ulteriori verifiche o incrocio di dati. 

Phishing, malware e Covid-19: Gmail blocca più di 18 milioni di email a settimana

Google ha fatto sapere che lo scanner malware integrato nel servizio email gratuito di Gmail ha bloccato circa 18 milioni di email di phishing e per la distribuzione di malware, tutti a tema Covid-19: questo nell'arco di soli 7 giorni, la scorsa settimana. 

"Ogni giorno, Gmail blocca più di 100 milioni di email di Phishing. Nel corso dell'ultima settimana abbiamo individuato circa 18 milioni di email di phishing e malware a tema Covid-19: questi si aggiungono agli oltre 240 milioni di messaggi di spam a tema Covid-19 che Gmail individua ogni giorno" spiegano Neil Kumaran e Sam Lugani, responsabili della sicurezza Gmail e GSuite

Le tipologie delle campagne di phishing che sfruttando l'epidemia da Coronaviurs usano diverse "esche" per attrarre le vittime a cedere dati o installare malware: da quelle finanziarie  a trucchetti per indurre paura, così che le vittime si fanno più propense ad eseguire le azioni richieste nelle email o a cedere dati.  

Stando ai dati, gli esperti di Google spiegano che gli attacchi di phishing individuati provano a:

• impersonare autorità sanitarie e governative, ma anche enti quali l'Organizzazione Mondiale della Sanità, per ottenere donazioni per false raccolte fondi o per distribuire malware;
• ottenere  i dati e le credenziali di lavoratori in smart working;
• cercare di capitalizzare gli incentivi e aiuti governativi e impersonare enti governativi per attacchi phishing contro le piccole imprese;
• colpire in maniera mirata aziende sottoposte a ordine di sospensione della produzione in forma anti contagio.
  

Ogni tanto una buona notizia: il ransomware Nemty cessa le operazioni. Ma c'è già un erede

Avevamo parlato del ransomware Nemty qualche mese fa: individuato nell'estate del 2019 fa in uso in attacchi reali, per qualche tempo fu ritenuto molto pericoloso perchè era "convolato a nozze"col temibile Exploit Kit Rig, uno strumento molto efficace di distribuzione malware. Nemty, in breve, è un RaaS (ransomware as a service), quei ransomware messi in affitto online, personalizzabili e con tanto di servizio di supporto da parte degli sviluppatori: un sistema che permette di guadagnare dal pagamento del riscatto sia gli "affittuari" (30%) del malware che gli sviluppatori, che ricevono una percentuale di ogni riscatto pagato dalle vittime (70%). 

Questo malware ha avuto vicende alterne: il primo stop arrivò già un mese dopo la prima individuazione "in the wild", quando l'azienda di sicurezza informatica Tesorion riuscì a violare l'algoritmo di criptazione delle versioni 1.4, 1.5 e 1.6 e approntare un decryptor poi distribuito gratuitamente. Lo stop fu però breve: appena pochi giorni dopo la pubblicazione del tool, i suoi sviluppatori erano già corsi ai ripari, mettendo subito in diffusione una nuova versionecon una massiva campagna di malvertising. Nei mesi è stato distribuito tramite diversi vettori, a seconda delle scelte operate dagli affiliati alla rete RaaS: è stato distribuito con campagne di email di spam, exploit kit, brute-forcing degli RDP ecc...

Dopo 10 mesi di attività annunciato lo shut down

Cyber minacce emergenti: arriva la nuova botnet Dark Nexus

E' stata individuata una nuova botnet, che colpisce attivamente dispositivi IoT tramite un payload compilato per funzionare su una decina di diverse architetture CPU: è pensata per lanciare diverse tipologie di attacchi DDoS e diffondere diverse famiglie di malware. Dark Nexus è il nome i ricercatori hanno dato alla nuova botnet, protagonista di un processo di sviluppo molto veloce, almeno questo indicano le analisi effettuate dal momento dell'individuazione ad ora. 

Sono state individuate circa 40 differenti versioni, contenenti nuove funzionalità e miglioramenti e tutto questo nell'arco temporale tra Dicembre 2019 e Marzo 2020. Analizzando il codice, dato il nome del codice binario e alcune stringhe che vi sono contenute, si ritiene che la botnet abbia origine greca: sospettato numero uno greek.Helios, conosciuto sviluppatore di botnet che pubblicizza e vende servizi DDoS e botnet dal 2017. 

Qualche dettaglio tecnico

L'alert dell'InterPol: gli attacchi ransomware contro gli ospedali sono in crescita

L'InterPol lancia l'allarme riguardo la crescita dei tentativi di attacco contro gli ospedali: in aumento infatti i tentativi di diffusione di malware nelle reti ospedaliere, nonostante la pandemia in corso. Avevamo trattato il problema pochi giorni fa, rilevando come nel mondo dei ransomware, gli attori dietro a questi malware avessero reagito in fila sparsa, tra chi aveva annunciato il "cessate il fuoco" contro strutture ospedaliere e chi invece non si è fatto alcuno scrupolo a proseguire nell'attività. 

Ora il problema ha assunto dimensioni piuttosto allarmanti, tanto da spingere l'InterPol ad occuparsene direttamente. Ad esempio il ransomware Ryuk ha continuato a colpire gli ospedali, nonostante il quotidiano impegno nella gestione della pandemia. Gli attori del ransomware Maze invece, non solo non hanno cessato gli attacchi, ma hanno anche pubblicato alcuni dati rubati prima della criptazione: questo nonostante gli sviluppatori di questo ransomware avessero annunciato lo stop agli attacchi contro strutture sanitarie. Risultano anche attacchi contro due grandi compagnie farmaceutiche europee, si presume ad opera di attaccanti di lingua russa. Ma la scorsa settimana si è registrato un vero e proprio picco di attacchi, che ha visto perfino un tentativo di attacco contro l'Ospedale Spallanzani di Roma, in prima fila nella gestione dell'emergenza Covid, fortunatamente non arrivato a compimento.

Campagna malware per Android contro utenti italiani: ci sono riferimenti all'INPS e al Covid-19

Con un tweet sul profilo ufficiale, l'INPS ha diramato ieri un alert riguardante una campagna malware volta alla diffusione di una applicazione dannosa ai danni dei dispositivi che eseguono il sistema operativo Android.

La campagna, via SMS, sfrutta come appoggio un dominio "verosimile", quanto falso, ovvero inps-informa[.]online.

L'sms fake. Fonte: https://twitter.com/malwrhunterteam

Zoom nell'occhio del ciclone: gli USA vietano il software nelle scuole

Abbiamo già parlato qualche giorno fa del boom di utenti del software per le videoconferenze Zoom: boom dovuto indubbiamente al lockdown imposto in molti stati nel mondo in seguito all'emergenza Covid-19. Zoom è stato adottato infatti dalle scuole per la didattica a distanza, da molte aziende per lo smart working, ma anche da milioni di utenti privati per poter contattare amici e parenti a distanza. Nello scorso articolo tracciavamo un primo quadro del vero e proprio assalto che i cybercriminali stavano facendo alla piattaforma in oggetto, occasione ghiotta per rubare dati, diffondere malware a mezzo di siti web fake, ma anche, banalmente, per stupidi scherzi di dubbio gusto. 

La situazione non pare essere migliorata negli ultimi giorni, perchè gli attacchi continuano e la piattaforma sta mostrando segni di debolezza rispetto alle pressioni alla quale viene sottoposta in questo periodo. La scarsa consapevolezza con la quale moltissimi utenti usano questa piattaforma, fa il resto. 

La privacy violata

Anzitutto c'è stato un problema di privacy piuttosto grave, risolto solo il 27 Marzo. Chiunque ha installato sul proprio iPhone l'app di Zoom prima di questa data ha visto i propri dati inviati a Facebook anche senza essere iscritto al social e senza che questa cessione di dati a terze parti fosse specificata nell'informativa. La falla è stata risolta eliminando l'SDK di Facebook, che altro non è che quello strumento che consentiva di accedere a Zoom col login di Facebook. 

Malware a tema Coronavirus: arriva il ransomware che ti chiude fuori da Windows

Era dai tempi di Petya e GoldenEye che non si vedevano ransomware pensati per bloccare gli utenti fuori dal sistema operativo. Entrambi questi ransomware, attivi tra il 2016 e il 2018, fanno parte della famiglia MBRLocker e hanno una caratteristica peculiare rispetto ad altri ransomware: sostituiscono il master boot record (MBR) di un computer e impediscono così al sistema operativo di avviarsi. Una vittima che dovesse tentare di accendere il computer infetto vedrebbe soltanto la nota di riscatto. 

Alcuni dei ransomware di questa famiglia, Petya su tutti, criptano anche la tabella contenente le partizioni con le informazioni per i driver, così rendono del tutto impossibile accedere ai file o ricostruire l'MBR senza inserire un codice o pagare il riscatto. 

Il primo MBRLocker a tema Coronavirus 

La scorsa settimana è stato individuato in circolazione, già in uso in attacchi reali, l'installer di un nuovo ransomware, chiamato "Coronavirus" e diffuso tramite un file eseguibile rinominato COVID-19.exe. 

Ancora Ursnif: campagna di email di spam contro utenti italiani

Il Cert-PA ha diramato un nuovo alert riguardante l'ennesima campagna di email di spam rivolta contro utenti italiani: anche in questo caso, come ormai da molto tempo, le email veicolano il malware Ursnif. 

Lo schema è quello classico: una voluminosa massa di email di spam viene inviata tramite account compromessi. Gli utenti ricevono una email avente, come oggetto, "Invio fattura". Il testo più che italiano corretto, appare una traduzione da altra lingua: invita a scaricare l'allegato per poter visualizzare "le procedure di sicurezza da attuare in fase di consegna della merce".  Il riferimento è chiaramente alle modalità di protezione e riduzione del contagio attualmente in atto in tutto il territorio italiano per l'emergenza Covid-19.