Smart working: 7 lavoratori su 10 lo preferiscono al tornare in ufficio. Boom del cloud, mentre l'IT si fa strategico

Censuswide ha realizzato un sondaggio (consultabile qui) su un campione di 3.700 executive del settore IT in diversi paesi, per tratteggiare quelli che sono i timori e le aspettative per il post lockdown. I dati più salienti sono che, per i 75% degli interessati, gli impiegati non torneranno a lavorare allo stesso modo di prima in ufficio; inoltre, per il 72% il Covid è stato un vero e proprio acceleratore per la trasformazione digitale delle aziende. 

La maggior parte degli intervistati dichiara di aver registrato un forte aumento della domanda di lavoro flessibile: l'aspettativa è che gli impiegati saranno molto riluttanti a tornare a lavorare in ufficio. La conseguenza sarà la necessità di elaborare e implementare modelli di organizzazione del lavoro sempre più flessibile, comportando una netta riorganizzazione del lavoro. 

Il 69% dei manager IT dichiara anche che lavorare da casa non è stato molto complesso per la maggioranza del personale, il 71% è convinto che le tecnologie utilizzate abbiano consentito di lavorare come si fosse in presenza fisica. 

La conseguenza? Il 62% degli intervistati dichiara che sta assistendo una vera e propria impennata del ricorso ai sistemi in cloud. 

Smart working post covid: le prospettive

Italia sotto attacco: il ransomware [F]Unicorn si diffonde camuffandosi da app di contact tracing Immuni

E' stato individuato un nuovo ransomware, rinominato [F]Unicorn, che sta colpendo esclusivamente utenti italiani: l'attacco inizia con una email che sembra inviata dalla Federazione Ordini farmacisti italiani e cerca di convincere gli utenti a scaricare la versione beta dell'app Immuni, scelta dal governo italiano per il contact tracing dei contagi Covid. 

La campagna di attacco è stata individuata dal CERT e dall'Agenzia per l'Italia Digitale, segnalata poi tramite specifico alert. Un campione delle email fake è visibile sotto:

Installer fake di Zoom per diffondere backdoor e botnet: come il cyber crime sfrutta app legittime per azioni illegittime

Abbiamo parlato spesso di Zoom, l'app per le videoconferenze che ha registrato un boom improvviso, forse inaspettato ai suoi stessi sviluppatori, in piena epidemia Covid. Ne abbiamo parlato a causa dei bug e della scarsa consapevolezza nell'utilizzo che ne hanno dimostrato gli utenti, fattori che hanno reso questa applicazione un vero e proprio ghiotto bersaglio per i cyber attaccanti, tra dati rubati e accessi illegittimi a conferenze (per approfondire consigliamo di leggere qui e qui). 

Avevamo però segnalato anche un diverso modo di abusare di Zoom, ovvero quello di aprire domini fake sui quali attirare utenti per poi convincerli a installare versioni fake e dannose dell'app. Qualche giorno fa sono state individuate online da alcuni ricercatori di sicurezza due installer fake di Zoom che integrano l'installer ufficiale con codice dannoso: codice dannoso che consente agli attaccanti di prendere il controllo da remoto della macchina. Uno di questi riguarda l'installazione della botnet Devil Shadow sul dispositivo. 

eBay analizza i computer dei visitatori in cerca di porte aperte per programmi di accesso remoto

La notizia ha dell'incredibile e serpeggia nel web da qualche giorno. Prima un report specifico, poi i test dei tecnici della testata online BleepingComputer quindi la conferma: eBay, in tutti i propri domini, esegue una verifica sul computer di ogni utente alla prima visita in cerca di porte aperte per individuare applicazioni di accesso remoto o di supporto remoto. Un "port scanning" come spesso ne effettuano i cyber attaccanti in cerca di porte aperte da sfruttare per accedere alle macchine egli utenti. 

La versione integrale del report pubblicato dai tecnici di Nullsweep e disponibile qui, conferma inequivocabilmente il port scanning effettuato da eBay. 

Il port scanning: come funziona la verifica di eBay

Gli hacktivisti di LulzSec violano i sistemi dell'ospedale San Raffaele di Milano: cronaca di una giornata di smentite e attacchi

Tornano a colpire gli hacktivisti del gruppo italiano LulzSec, affiliati alla rete di Anonymous: ieri 21 Maggio hanno pubblicato su Twitter un estratto dei dati contenuti nei database dell'Ospedale San Raffaele di Milano. Con il tweet LulzSec, oltre a rivendicare pubblicamente l'azione, attacca frontalmente il San Raffaele sulla questione sicurezza dei dati: l'accesso ai sistemi ha consentito al gruppo di mettere le mani sui dati di migliaia di utenti, compresi infermieri e pazienti, con password in chiaro. In dettaglio hanno ottenuto 2400 indirizzi email del personale sanitario con tanto di password in chiaro e i dati (nom, cognome, codice fiscale, nazionalità, comune di residenza) di 600 pazienti. Inoltre la decisione di rendere pubblico il breach consegue al fatto che l'Ospedale non ha comunicato il breach al Garante Privacy entro le 72 ore previste dal GDPR, ma neppure agli utenti riguardati dall'esposizione dei dati. 

Dal primo tweet, pubblicato alle 9.28 di ieri mattina, il gruppo di hacktivisti ha iniziato una vera e propria escalation, sfidando apertamente l'Ospedale che, ad ora, pare non avere ancora effettuato nessuna notifica come previsto da legge: inizia un turbinio di tweet contenti ulteriori prove del breach. In mezzo finisce pure il noto virologo Roberto Burioni, dipendente del San Raffaele: LulzSec ha messo le mani anche sulla sua password in chiaro, ma il gruppo ha voluto ribadire quanto quella password sia il più classico esempio di password debole da non usare mai. 

Alert di Microsoft: è in corso un attacco di phishing di massa a tema Covid per ottenere l'accesso da remoto ai pc delle vittime

L'alert è di due giorni fa e proviene direttamente da Microsoft, che ha ritenuto importante avvisare gli utenti di questa campagna a causa della sua diffusione di massa. La campagna è l'ennesima a tema Covid, ma è molto insidiosa e peculiare: cerca di convincere gli utenti ad installare un Remote Access Trojan legale, ovvero il tool di assistenza da remoto NetSupport Manager.

L'email vettore

L'attacco inizia con la ricezione di una email apparentemente proveniente dal Johns Hopkins Center, uno dei centri di ricerca più importanti degli Stati Uniti e pluri citato dai media nel mondo proprio in queste settimane per le sue attente e continuative ricerche riguardanti l'andamento della pandemia da Covid nel mondo. L'email sembra essere un aggiornamento del numero delle morti causate dal Covid. 

Fonte: Microsoft

Grave data breach per EasyJet: esposti i dati di 9 milioni di clienti

EasyJet, una delle più grandi compagnie aree lowcost del Regno Unito, ha scoperto di aver subito un attacco informatico a seguito del quale sono stati esposti dati come indirizzi email e informazioni di viaggio di circa 9 milioni di clienti. Tra questi 9 milioni, circa 2.208 clienti hanno subito anche il furto dei dettagli delle carte di credito con le quali hanno effettuato i pagamenti per le prenotazioni dei voli. 

La notifica del data breach è avvenuta due giorni fa: EasyJet ha informato pubblicamente di aver subito un attacco informatico che ha reso possibile a terze parti non autorizzate l'accesso ai sistemi aziendali. Accessi non autorizzati che,adesso,  il team di sicurezza IT aziendale è riuscito a bloccare, spiegano. 

La compagnia aerea ha già comunicato che contatterà celermente, nei prossimi giorni, i clienti riguardati dal data breach: entro il 26 Maggio, promettono. Da questo punto di vista è forse utile ricordare, dato che gli utenti italiani di EasyJet sono moltissimi, che se si è viaggiato con EasyJet ma non si viene contattati nei prossimi giorni, semplicemente il breach non ha riguardato i vostri dati. 

Ci sono già inchieste in corso per verificare come gli attaccanti siano riusciti a violare i sistemi della compagnia aerea: per ora non si conosco i dettagli e EasyJet ha commentato con uno scarno "è stato un attacco molto complesso". 

Suggerimenti per i clienti EasyJet

Hackerati i supercomputer europei: misterioso cyberattacco per minare criptovaluta

Molti computer ad alte performance, ma anche datacenter usati per progetti di ricerca sono stati spenti in vari stati europei a seguito di un incidente di sicurezza. La maggior parte sono situati in Germania, Svizzera e Regno Unito e l'incidente subìto ha reso impossibile continuare il proprio lavoro per centinaia di ricercatori. In realtà l'attacco si è prolungato nel tempo: pare infatti che alcuni supercomputer siano stati compromessi già all'inizio del Gennaio di quest'anno.

Per supercomputer si intendono sistemi con enorme potenziale di calcolo, usati principalmente in ambito scientifico per testare modelli matematici per complessi fenomeni fisici, per il design, per le simulazioni, per i test di laboratorio. 

Le notifiche degli incidenti di sicurezza sono iniziate Lunedì: le prime vittime sono state nel Regno Unito e in Germania. Le notifiche avvisavano pubblicamente dello shut down dei sistemi a causa di attacchi informatici. Ad esempio ARCHER, il servizio di supercomputing del Regno Unito è divenuto inaccessibile ai ricercatori l'11 Maggio a causa di un exploit di sicurezza sul nodo di login. Il servizio è rimasto inaccessibile dall'esterno, quindi nessuno, neppure il tema di cybersicurezza governativo, vi ha accesso. L'intero set di password di Archer, ma anche le chiavi SSH dovranno essere resettate. 

iOS: crolla il mercato degli exploit kit. Ci sono troppi bug

C'è una convinzione estremamente diffusa, quella secondo la quale la sicurezza degli iPhone e del sistema operativo iOS sia infallibile: non ci sono brecce, non ci sono vulnerabilità da sfruttare. In realtà non è mai stato proprio così, ma si può dire che era estremamente difficile trovare exploit kit per sfruttare vulnerabilità del sistema iOS. Non a caso, nel dark web ma anche nel mercato grigio (a cavallo tra legalità e illegalità) un exploit per iOS costava cifre astronomiche fino a pochi mesi fa. 

Ora però i tempi sono cambiati e la novità è certificata dalla più grande e specializzata società di compravendita di exploit, la Zerodium. Zeordium solo 5 anni fa offriva fino a 1.5 milione di dollari a chiunque offrisse loro codice per sfruttare qualche vulnerabilità di iOS per ottenere il classico "escalation of privilege", l'ottenimento dei diritti di amministrazione per assumere il controllo totale di un iPhone. 

Qualche giorno fa però Zerodium ha aggiornato i propri listini, decretando quello che si può definire un vero e proprio crollo nel "mercato" degli exploit per i dispositivi Apple: Zerodium è disposta a pagare exploit per Android ben 2.5 milioni, mentre ha sospeso per almeno 3 mesi l'acquisto di exploit per iOS. Il motivo è semplice: in pochi anni l'azienda ha ricevuto una quantità tale di exploit kit per iOS da aver reso più "appetibili" quelli per Android. Insomma, troppi bug per iOS quindi gli exploit per sfruttarli valgono semplicemente meno. 

Arriva il ransomware che chiede il doppio riscatto: uno per decriptare i file, uno per non pubblicare quelli rubati

Parliamo della famiglia di ransomware AKO, non molto diffusa ne pericolosa quanto gli ormai rinomati Sodinokibi, Maze o Ryuk, ma che si è posta come capofila di una nuova tattica di ricatto: AKO ha iniziato infatti a richiedere alle vittime un doppio riscatto, non solo quello per ottenere il decryptor ma anche uno per non rendere pubblici i dati rubati e cancellarne le copie in mano agli attaccanti. 

Un ennesimo salto di livello per i ransomware, dopo quello apportato dal ransomware Maze a partire dal Novembre 2019, ovvero il rendere pubblici alcuni dei dati rubati dalla rete violata prima della criptazione dei file: modello che in pochi mesi si è esteso a moltissime altre famiglie di ransomware tra i quali Sodinokibi, Clop, Sekhmet, Nephilim e altri, tutti dotati di appositi siti web dove rendere pubblica parte dei dati rubati. 

Qualche dettaglio sul ransomware AKO

Il governo statunitense pubblica la lista delle vulnerabilità più sfruttate dal 2016

Alcune agenzie di cybersicurezza statunitensi hanno pubblicato ieri una interessante lista delle 10 vulnerabilità più sfruttate dai cyber attaccanti dal 2016 ad oggi. 

L'alert è il AA20-133A emesso da Cybersecurity and Infrastructure Security Agency (CISA), dal Federal Bureau of Investigation (FBI) e dal governo stesso per indicare sia al settore pubblico che a quello privato quali sono le patch delle quali è assolutamente urgente fissare l'installazione. Consigliamo di prendere visione del report, disponibile qui, perchè contiene anche la lista delle mitigazioni. 

Le più sfruttate: Microsoft OLE e Apache Struts

1200 siti web corrotti per rubare carte di credito: 31 sono domini italiani

Un ricercatore di sicurezza ha individuato in meno di due settimane circa 1.200 domani infettati con stealer per il furto dati di carte di credito: un rischio, questo, molto diffuso e che conferma come MageCart continui ad essere la minaccia prevalente per quegli utenti abituati a frequentare shop online poco sicuri.

MageCart è un gruppo di hacker individuato già una decina di anni fa: inizialmente facevano piccoli attacchi, ma negli ultimi due anni il livello è salito molto. I loro attacchi hanno iniziato a colpire obiettivi sempre più di peso, per lasciare "sul campo" vittime eccellenti come Biritish Airways, Ticketmaster, OXO ecc... Da allora, i sistemi automatizzati messi in campo per rilevare questo specifico tipo di minaccia, hanno individuato e continuano a individuare centinaia di migliaia di sitiweb contenenti il Javascript dannoso che utilizza questo gruppo e che ha un solo scopo: ruibare i dati delle carte degli acquirenti. 

L'ultima ricerca: 200 alert inviati, nessuna risposta

Il ransomware Sodinokibi è ancora più pericoloso: cripta più file, anche quelli chiusi

Il Ransomware Sodinokibi, del quale tocca purtroppo parlare spesso perchè attualmente nella top 3 dei ransomware, ha subito l'implementazione di una nuova funzione. La nuova versione, individuata in distribuzione la scorsa settimana, ha una funzione che permette la criptazione di più file della vittima, anche quelli che vengono aperti e bloccati da un altro processo. 

Ci sono infatti alcune applicazioni, si pensi ai database o ai mail server, che bloccano i file che hanno aperto in modo tale che non sia possibile per altri programmi procedere a modifiche. La tecnica della chiusura è molto utile per impedire che i file finiscano danneggiati da due processi che scrivono sullo stesso file contemporaneamente. Ovviamente se un file è chiuso anche i ransomware non possono criptarlo, a meno che prima non arrestino il processo che blocca il file stesso. Questo è il motivo per cui molti ransomware, prima di avviare la criptazione, cercano di arrestare database server, email server e le altre applicazioni che possono procedere al "file locking". 

Sodinokibi mira ad arrestare i processi che chiudono i file

C'è un gruppo di cyberattaccanti che si sta specializzando nei data breach e nella rivendita dei dati nel dark web

Tokopedia, Unacademy, GhitHub: queste le ultime tre vittime di data breach ad opera del gruppo di cyber attaccanti Shiny Hunters. L'ultimo in ordine cronologico è l'attacco a GitHub, con il furto delle repository private di Microsoft: dal breach sono stati raccolti e messi in vendita ben tre database di alto profilo. Ma le vittime sono molte di più: Shiny Hunters ha violato anche i database utenti del servizio di consegna di cibo HomeChef, del servizio di stampa fotografica Chatbook, ma anche di Chronicle.com. 

Milioni di record utenti in vendita

Insieme, i database messi in vendita contengono username e password di più di 26 milioni di account. Il prezzo varia tra 1.500 e i 2.500 dollari. Il database più costoso?  Quello di HomeChef, che contiene ben 8 milioni di record utenti. In alcuni casi le password sono sotto forma di hash, ma ciò non ne riduce il valore, visto che le informazioni contengono anche email e indirizzi IP, ma anche numeri di telefono, codici di previdenza sociale, indirizzi fisici. 

Immuni: non solo privacy, ma anche rischi informatici - il cybercrime è pronto a sfruttare l'occasione

Il tempo di Immuni, l'ormai famosa app "di Stato" per la mappatura dei contatti e dei contagi, si avvicina: Domenico Arcuri, il commissario all'emergenza, ha parlato di fine Maggio. In quel periodo l'app dovrebbe essere definitiva, pronta per essere installata sui dispositivi dei cittadini. Il quadro privacy risulta piuttosto definito, con l'emanazione del decreto legge del 30 Aprile 2020, nr.28 (per approfondire leggi qui). Eppure ancora la discussione attorno a questa app non si placa: la community di cyber security e Infosec infatti lancia l'allarme sicurezza. I rischi informatici sono infatti dietro l'angolo e non tutti derivano da software in sé. 

In prima battuta c'è da aspettarsi che i cyber criminali decidano di sfruttare il momento del rilascio dell'app per il download sui dispositivi, mettendo in circolazioni falsi siti web e false app, magari anche molti simili, nella veste grafica, al sito e all'applicazione legittimi. Tre sono i fattori che possono aiutare i cyber attaccanti: paura, responsabilità, scarsa dimestichezza diffusa con tecnologie e cyber sicurezza. Mirare all'anello debole della catena, cioè le persone, è sicuramente più facile che puntare a "scassinare" il codice di un app di Stato, perennemente sotto i riflettori, cercando bug da sfruttare.

Ransomware Shade e CrySis: decriptazione possibile!

Ogni tanto anche dal mondo dei ransomware arrivano buone notizie: sono risolvibili le infezioni dei ransomware Shade e Crysis. Ne facciamo una breve panoramica, invitando chi è stato vittima di questi attacchi ransomware a verificare le versioni risolvibili confrontandole con le estensioni di criptazioni sotto elencate.

Invitiamo chi avesse bisogno di assistenza a contattare il nostro servizio di decriptazione, inviandoci due file criptati e la nota riscatto. I nostri tecnici verificheranno la versione della criptazione e forniranno le indicazioni utili per riportare i file in chiaro. Maggiori informazioni e form di invio file su https://www.decryptolocker.it/ oppure contattando l'email alessandro@nwkcloud.com

1. Ransomware Shade

Ransomware: Sodinokibi e Ryuk fanno lievitare le richieste di riscatto - parte 2

Nel Luglio 2019 avevamo ritenuto importante pubblicare questa notizia:

• I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

In breve, ci era sembrato importante perchè rendeva oggettivamente l'inizio di un importante cambiamento nel mondo dei ransomware, ovvero quello del passaggio da attacchi "nel mucchio" ad attacchi mirati, più specifici e sopratutto ben più remunerativi dell'utente home ricattato per riavere in chiaro le foto delle vacanze. Protagonisti di questo cambiamento erano i ransomware Sodinokibi e  Ryuk, le cui richieste di riscatto contro aziende ed enti pubblici avevano fatto segnare un boom: da 12.700 dollari nel 1° trimestre 2019 a 36.000 dollari nel 2° trimestre. 

A distanza di mesi ritorniamo sul tema perchè nuovi dati non hanno fatto altro che confermare questo infausto trend: ad oggi il riscatto medio, sempre spinto da Sodinokibi e Ryuk (che si confermano con Maze i top player del mondo ransomware), si attesta a 111.000 dollari. Stando ai dati pubblicati in un report di BleepingComputer insieme all'azienda di cyberisicyrezza Coveware, il primo trimestre dell'anno ha registrato un aumento dei riscatti medi del 33% circa rispetto al trimestre precedente. 

Da grandi responsabilità derivano grandi riscatti