Il malware TrickBot ora infetta anche i sistemi Linux

Abbiamo parlato spesso di TrickBot che, ad oggi, è tra i malware più diffusi al mondo: in breve è definibile come una piattaforma malware polivalente per Windows che utilizza differenti moduli per poter eseguire diverse attività dannose tra le quali il furto di informazioni e password, l'infiltrazione di domini Windows e la distribuzione di altri malware. TrickBot viene affittata da cyber attaccanti che la utilizzano per infiltrare reti e raccogliere da queste tutti quei dati che hanno un qualche valore. Tra le altre cose, questa piattaforma è usata per distribuire i ransomware Conti e Ryuk. 

Alla fine del 2019, sia SentinelOne che NTT pubblicarono report che svelavano l'esistenza di un nuovo framework di TrickBot chiamato Anchor, che utilizza DNS per comunicare coi propri server di comando e controllo.

Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un'udienza infuocata

Jeff Bezos, Sundar Pichai, Mark Zuckerberg, Tim Cook: c'erano tutti ieri a Capital Hill, sede del Congresso americano.  Si conta solo un grande assente, tra i CEO delle big dell'Hi Tech, ovvero Jack Dorsey di Twitter. Le testimonianze dei 4 big sono durate oltre 5 ore e mezza, chiamati a difendere le proprie aziende (Amazon, Google Alphabet, Facebook e Apple) che, insieme, valgono circa 5mila miliardi di dollari l'anno. 

In dettaglio i quattro sono stati chiamati a testimoniare da una sotto commissione della magistratura del Congresso che si occupa di Antitrust, riguardo la posizione dominante e eventuali comportamenti non conformi alle regole dell'antitrust nei rispettivi settori. L'inchiesta in realtà è iniziata nel Giugno 2019, ma è la prima volta che tutti e 4 i big sono stati chiamati a testimoniare e rispondere a domande dirette su quanto emerso dagli oltre 1,3 milioni di documenti raccolti dai commissari stessi. 

L'accusa è diretta e pesante: "Queste aziende sono ormai troppo potenti e la pandemia ha peggiorato le cose: bisogna fare qualcosa" contro questi "titani, imperatori dell'economia online", si legge nell'atto di accusa della Commissione Antitrust. Un processo alle Big Tech che, ormai, si è fatto mediatico e molto atteso, anche sulla spinta delle dichiarazioni di molti politici, pur di schieramenti diametralmente opposti: dalla democratica Ocasio Cortez, che da mesi cerca di torchiare sopratutto Zuckerber, a Trump che invece colpisce tutti indistintamente, dichiarando poco prima dell'inizio dell'audizione che  "se il Congresso non riesce a portare correttezza e onestà nelle Big Tech, cosa che avrebbe dovuto fare anni fa, lo farò io con dei decreti”.

Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

La Cybersecurity and Infrastructure Security Agency(CISA) statunitense e il National Cyber Security Centre (NCSC) del Regno Unito hanno diramato appena due giorni fa un alert specifico riguardante QSnatch, un malware  specializzato in attacchi contro i dispositivi NAS QNAP. QSnatch è un malware individuato nel 2014 e che ha visto due ampie campagne di diffusione dal 2014 al 2017 e dal 2018 al 2019. Nonostante l'inattività momentanea del malware, le due agenzie di sicurezza hanno deciso di lanciare gli alert e invitare urgentemente tutti i clienti QNAP ad aggiornare i propri dispositivi NAS e ridurre il più possibile il rischio di futuri attacchi. 

Il malware in breve

Prima di passare ai numeri, che effettivamente rendono esplicito il pericolo, è utile una breve ricapitolazione delle funzionalità e caratteristiche di questo malware. QNAP ha informato per la prima volta i propri clienti riguardo ad una serie di attacchi in corso contro i dispositivi NAS nel Novembre 2019, quando un ricercatore del National Cyber Security Centre finlandese aveva individuato centinaia di NAS QNAP infetti: per ben 4 anni il malware è rimasto fondamentalmente sconosciuto e sotto traccia.

Le funzionalità principali di QSnatch sono il furto di credenziali e l'iniezione di codice dannoso recuperato dal server di comando e controllo degli attaccanti. E' comunque un malware modulare, quindi può ampliare le proprie funzioni secondo le esigenze degli attaccanti. Tra le altre cose, lascia una backdoor in ogni dispositivo infetto. Alcune funzionalità sono:

Cyber attaccanti sotto attacco: qualcuno sta smantellando la botnet Emotet

E' periodo di supereroi, pare: dopo l'ignoto giustiziere che cancella i dati contenuti in database non sicuri ed esposti sul web, ecco un altro ignoto vigilante che sta letteralmente smembrando la botnet Emotet. Della botnet di Emotet abbiamo parlato qualche giorno fa perchè, dopo 5 mesi di inattività, è tornata sulle scene "col botto", mettendo in distribuzione malware come TrickBot e QakBot, ma anche ransomware come Ryuk e Conti. 

Il sabotaggio, perchè di questo parliamo, è iniziato qualche giorno fa, il 21 Luglio ed è cresciuto di intensità col passare del tempo: se in un primo momento poteva sembrare uno semplice scherzo, pian piano si la situazione si è fatta seria, impattando pesantemente larga parte delle operazioni di Emotet. La sostituzione del payload dannoso di Emotet con immagini GIF animate ha effettivamente salvato centinaia di vittime dall'infezione. 

Stando a quanto dichiarato da Cryptolaemus, un gruppo di ricercatori white-hat specializzati nel tracciamento delle attività di Emotet, l'ignoto giustiziere è riuscito a colpire e compromettere oltre un quarto di tutti i payload di Emotet in diffusione. 

Emotet in breve

Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

E' uno di quegli attacchi ransomware di peso, che fa notizia sulla stampa perchè la vittima è eccellente: parliamo della Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable. 

L'attacco è avvenuto Giovedì scorso ed ha obbligato l'azienda a chiudere i servizi connessi e quelli di call center in tutte le sue sedi nel mondo: ora è confermato che il down dei sistemi è stato conseguenza di un attacco del ransomware WastedLocker. Interessati Garmin.com e Garmin Connect. Nonostante Garmin non li abbia citati nell'avviso di down, sono divenuti inutilizzabili anche servizi flyGarmin, utilizzati dai piloti di aereovelivoli: tra questi il sito web flyGarmin e l'app mobile, i servizi Connext (meteo e report di posizione) e l'App Garmin Pilot. Anche i servizi Garmin Explorer e la tecnologia satellitare inReach sono finite in down ed è stata sospesa la produzione di tutti i dispositivi. 

Il supereroe dei database: attaccante sconosciuto cancella database esposti

Un giustiziere sui generis? Un vigilante? Nessuno riesce a rispondere alla domanda su chi possa essere la fonte della serie di attacchi denominati Meow. Quello che si sa è che c'è qualcuno che, spinto probabilmente dalla volontà di proteggere la privacy degli utenti, attacca e cancella tutti i dati contenuti in database esposti sul web, ovvero privi di meccanismi di protezione. La maggior parte di questi database non prevede nessun meccanismo di autenticazione, quindi chiunque può accedervi tramite una semplice ricerca sul web. 

Questa attività è stata individuata recentemente, pochi giorni fa: inizialmente si concentrava solo su database esposti Elasticsearch e MongoDB, ma si è poi estesa ad altre tipologie di database. L'attaccante non lascia alcuna spiegazione del wiping del database né viene rilasciata alcuna richiesta di riscatto, quindi la serie di attacchi non è a fine estorsivo o ricattatorio. 

Nuovo ransomware: AgeLocker usa una utility di un dipendente Google per criptare i file

E' stato individuato, già in diffusione, un nuovo ransomware chiamato AgeLocker: deve il suo nome al tool di criptazione "Age", creato da un dipendente di Google. Dalle prime analisi infatti è emerso che, in ogni singolo file criptato, viene aggiunto un header testuale che inizia con l'URL 'age-encryption.org', come è possibile vedere nella foto sotto:

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot

I ricercatori attivamente impegnati nel tracciamento della botnet Emotet hanno lanciato, a distanza di pochi giorni, due alert riguardanti due nuove campagne di distribuzione malware che segnano il ritorno all'attività di questa botnet dopo un periodo di inattività durato diversi mesi. Il primo alert riguarda la distribuzione del malware TrickBot, il secondo del malware Qakbot. 

1. TrickBot diffuso via spam contro macchine Windows

La prima campagna è stata individuata il 17 Luglio, dopo oltre 5 mesi di inattività della botnet Emotet. La campagna si basa sulle solite email di spam spacciate per fatture, informazioni di di consegna, opportunità di lavoro o fatture: ovviamente è tutto falso, la classica tecnica di ingegneria sociale per convincere le vittime ad aprire l'allegato dannoso. 

Scuola: tutti i rischi connessi all'accesso ad Internet e come affrontarli

Una scuola iper connessa gode di grandissimi vantaggi in termini di funzionalità e servizi, ma, ovviamente, si espone a rischi informatici. Proviamo ad entrare, passaggio per passaggio, nella giusta ottica, percorrendo quello che dovrebbe essere il percorso che porta a scegliere come organizzare la sicurezza informatica. 

I rischi informatici sono migliaia, ma sono riassumibili in due tipologie: esterni e interni, a seconda della provenienza della minaccia. Da questo punto di vista è utile ricordare che molto spesso i peggiori e più dannosi attacchi provengono dall'interno e non dall'esterno, compiuti ad opera di soggetti che conoscono la struttura della rete e dei servizi scolastici perchè hanno o hanno avuto accesso ai sistemi di elaborazione per le funzioni che hanno ricoperto. 

Rischi esterni:

- Accessi non autorizzati: se la rete interna non è correttamente protetta, un cyber attaccante esterno potrebbe accedervi in maniera non autorizzata, esponendo sia gli endpoint collegati che i dati in essi contenuti. I dati potrebbero essere manomessi o sottratti.

Apocalisse Twitter: bucati centinaia di account verificati VIPS per diffondere una truffa

C'è chi già parla del più grave attacco hacker nella storia del social: per raccontare i crudi fatti , centinaia di profili Twitter verificati, tra i quali quelli di molti VIP come Barack Obama, Elon Musk, Bill Gates, Jeff Bezos ma anche aziende come Apple, Uber e Coinbase hanno iniziato a pubblicare tweet riguardanti una truffa su scala globale. 

I tweet erano tutti simili, con pochissime varianti tra loro: uno schema già usato in precedenza che si chiama Give Away. L'attaccante utilizza varie tecniche di ingegneria sociale per convincere i possessori di criptovaluta a inviare una certa quantità di denaro per poterne ricevere in cambio una quantità maggiore offerta da una celebrità. Questo piccolo anticipo viene giustificato dal fatto che occorre una prima transazione da parte dell'utente per poter verificare l'indirizzo del suo portafoglio. Se un utente si convince ed esegue questa transazione non potrà fare nulla per recuperare quanto inviato, poichè le transazioni in criptovaluta sono irreversibili.

E' con questo schema che gli attaccanti hanno raccolto 120.000 dollari in pochissime ore, finchè cioè la truffa è stata attiva. Va detto che la maggior parte delle transazioni sono equivalenti ad 1 dollaro, inviati evidentemente per test, ma la somma totale raccolta rende ancora più chiaro in quanti ci sono caduti: 350 milioni le persone che hanno visualizzato o ricevuto il messaggio fake. 

Il tweet usato in questo schema è visibile sotto, questa la traduzione “Mi sento generoso, raddoppio tutti i pagamenti inviati al mio indirizzo BTC. Voi mi mandate 1.000 dollari e io ve ne mando indietro 2.000! Lo faccio solo per i prossimi 30 minuti“

Ancora PEC compromesse: il malware sLoad diffuso contro utenti italiani

Il CERT-AgID ha individuato online una nuova massiva campagna di email di spam che vede come canale di distribuzione il circuito PEC. La campagna è terminata, è durata dalla tarda serata di Domenica 12 Luglio alle 2.40 del giorno successivo. 

L'email è un classico della truffa e dell'ingegneria sociale: l'oggetto è "Invio documenti elettronici" e il testo fa riferimento ad una fantomatica fattura. 

Secondo i dati in possesso di Cert-AgID le vittime sono tutte utenti PEC che hanno ricevuto sulla posta certificata questi messaggi: le email contengono un archivio .ZIP contenente a sua volta un file VBS e un file XML. 

La catena di infezione

Anche i cyber criminali sbagliano: TrickBot avvisa gli utenti dell'infezione e si fa scoprire

Per i cyber attaccanti è fondamentale che i malware restino più a lungo possibile non individuati una volta che infettano una macchina. Sono studiate e messe in pratica centinaia di differenti tecniche per ottenere i privilegi di amministrazione senza che un utente se ne accorga, per offuscare il codice del malware lasciando nascoste agli antivirus le porzioni di codice dannoso ecc...  Un malware che avvisa un utente di averlo infettato, a meno che non si tratti di un ransomware che manifesta la sua presenza nel sistema a fini estorsivi, è un vero paradosso. E infatti la nuova versione di TrickBot che avvisa l'utente dell'infezione configura un paradosso, ma è frutto di un errore piuttosto stupido dei suoi sviluppatori.

In dettaglio gli amministratori del malware hanno lasciato attivo un modulo di test che visualizza un alert che invita perfino a contattare l'amministratore di rete per affrontare il problema. Il contrario di quello che fa Trickbot di solito: infetta l'utente via email, poi si esegue nella maniera meno appariscente possibile sul computer, mentre scarica più moduli per eseguire differenti azioni dannose sul sistema, dal furto di password e cookie dai browser, al furto di chiavi OpenSSH fino alla diffusione laterale lungo la rete. Oltretutto gli sviluppatori di Trickbot guadagnano anche "affittando" le backdoor che lasciano aperte sulle reti a ransomware del calibro di Ryuk e del nuovo Conti. Insomma, se TrickBot avvisa della sua presenza su un sistema esegue un autogol da più punti di vista. 

La nuova versione e il modulo test

Ransomware Conti: è arrivato il successore di Ryuk?

Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif

Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno

Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid

Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni

E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent

Cosa possiamo fare per sostenere la digitalizzazione della scuola?

Digitalizzare la scuola pare, in Italia, un'impresa titanica: se ne parla da decenni ma, a parte qualche virtuoso esempio, la maggior parte delle scuole e istituti arranca. Le difficoltà sono molte, ma ne possiamo individuare due centrali: la mancanza di fondi e di competenze tecniche. Eppure la digitalizzazione della scuola pare urgente e necessaria, per adattarsi ai tempi, per formare gli studenti ad un uso consapevole di quella tecnologia con la quale si confrontano già nel tempo libero e con la quale avranno a che fare nel mondo del lavoro e per l'intero corso della vita. 

Qualcosa però si muove: finalmente è in arrivo un grande piano di investimenti per garantire alle scuole una componente essenziale della digitalizzazione, ovvero la connettività.

Il Piano Scuola: finalmente l'Italia investe sul digitale

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa

Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l'infezione, nel caso di Geox invece l'azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore. 

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall'altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze. 

1. Maze vs Xerox Corporation