GDPR: diamo i numeri! 42.000 data breach notificati, 255 indagini in corso.

Il 25 Gennaio 2019 il Primo Presidente Timmermans, il Vice Presidente Ansip e i commissari Jourova e Gabriel hanno rilasciato una dichiarazione congiunta in vista della Giornata della Protezione dei Dati.  La dichiarazione è arrivata in occasione del Data Protection Day, che cade per l'appunto precisamente 8 mesi dopo l'entrata in vigore del GDPR.

Leggi qui il testo integrale >> http://europa.eu/rapid/press-release_STATEMENT-19-662_en.htm

La dichiarazione è molto utile perchè, per la prima volta dall'entrata in vigore del GDPR, traccia un quadro della situazione attuale relativa alla compliance al GDPR e alle denunce/indagini in corso. 

Nella dichiarazione, i membri della Commissione Europea affermano che le autorità per la protezione dei dati (DPA) in tutta Europa hanno ricevuto oltre 95.000 reclami riguardanti la cattiva gestione dei dati personali: la maggior parte di queste sono state presentate da persone fisiche, ma non mancano i reclami provenienti da persone giuridiche. 

I tipi più comuni di reclami, stando ai dati della Commissione Europea, riguardano il telemarketing, le e-mail promozionali e la videsorveglianza / CCTV, settori nei quali sono risultate evidenti le violazioni di più disposizioni. 

Una nuova campagna di spam diffonde la versione 5.1 di Gandcrab

I ricercatori di sicurezza hanno individuato, già in diffusione con una capillare campagna di spam, la nuova versione del ransomware GandCrab: siamo ormai alla versione 5.1 di questo pericolosissimo ransomware.  Il ransomware viene diffuso secondo lo schema classico: la vittima riceve una emal di spam contenente, in allegato, un documento Word dannoso. All'apertura, il documento Word scarica e installa il ransomware da un computer remoto. 

Questa campagna è "spinta" da un server già conosciuto dalla comunità dei ricercatori di sicurezza: è lo stesso server che, fino a poco tempo fa, distribuiva il trojan bancario Ursnif e che adesso invece funge da "base di invio" per GandCrab v.5.1.

L'email di spam

L'email è composta secondo alcuni principi di ingegneria sociale: per ingannare il destinatario e convincerlo ad aprire il documento allegato l'email si finge la mappa aggiornata delle uscite di sicurezza dell'edificio del destinatario.  Il mittente di quasi tutte queste email risulta essere Rosie L. Ashton, l'oggetto ricorrente è "Up to date emergency exit map".  L'allegato, in formato .doc, è rinominato "Emergencyexitmap.doc". 

Nuovo ransomware ruba i dati di PayPal con un link di phishing nella nota di riscatto

Che i ransomware non godano più "della forma" della quale godevano qualche anno fa è un dato di fatto: che ormai siano altri i tipi di attacco preferiti dai cyber criminali è anch'esso un fatto, confermato dalle statistiche di rilevamento e dai report di praticamente tutti i maggiori vendor di soluzioni antivirus. Questo però, come abbiamo ribadito più volte, non significa che la minaccia dei ransomware sia "estinta" o che non vi siano ancora nuove tecniche di attacco in sperimentazione. 

Proprio di questo, di una nuova tecnica di attacco, parliamo a riguardo di un ransomware ancora in sviluppo che è stato individuato dai ricercatori di MalwareBytes. Il ransomware in sé non manifesta alcuna particolarità, fatta eccezione per la nota di riscatto, che contiene un link ad una pagina di phishing di PayPal. Il tentativo è quello, ovviamente, di massimizzare il profitto conseguente all'attacco: non solo quindi l'estorsione di denaro per riportare in chiaro i file criptati, ma anche il furto dei dati della carta di credito della vittima e, in caso di clic, anche delle credenziali PayPal. 

La nota di riscatto

Google Drive può diventare il Server di comando e controllo dei malware?

Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose. 

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente. 

La campagna attuale

L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows). 

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)

Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);

- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità

Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.