"Il tuo computer è stato bloccato. Chiama per supporto": la Polizia Postale dirama alert su una nuova ondata di truffe online

La Polizia Postale ha pubblicato pochi giorni fa un avviso per gli utenti italiani, per informare di una nuova ondata di truffe finalizzata all'estorsione di denaro alle vittime. 

Sono state infatti molteplici le segnalazioni di utenti che, durante la navigazione su siti web anche legittimi, hanno improvvisamente visualizzato un messaggio di allarme proveniente, in apparenza, da Microsoft: 

Libero e Virgilio Mail hacked: rubati (da un bar) gli accessi di oltre 1.4 milioni di utenti

E' stato sufficiente appostarsi in un bar di Assago (provincia di Milano) a poche decine di metri in linea d'aria dalla sede di Italiaonline S.p.a con un pc e un antenna per riuscire a rubare le credenziali di accesso ad oltre 1 milione e 400 mila utenti di Libero Mail e Virgilio Mail. La storia, già rimbalzata sulle cronache nazionali, ha dell'incredibile: protagonista uno studente di Giurisprudenza di 24 anni, ingaggiato su Telegram da ignoti attaccanti che gli hanno garantito un buon gruzzolo in Bitcoin come ricompensa. 

L'attacco pare essersi svolto in due diversi momenti: un primo tentativo era stato fermato la scorsa settimana, quando i proprietari del bar in cui si era appostato l'attaccante avevano trovato insolito l'armamentario del ragazzo (montava sul pc una grossa antenna per captare da lontano il WiFi di Italiaonline) e lo avevano inseguito, riuscendo però a scattargli solo una foto.  Il secondo tentativo invece è stato interrotto direttamente dai Carabinieri, che lo attendevano appostati nel bar. 

La riscossa di CryptoMix: nuova versione del ransomware in diffusione

Molti ricercatori lo davano ufficialmente per scomparso: non si avevano notizie né di nuove versioni né di nuove campagne del ransomware CryptoMix da tempo. Invece da qualche giorno fioccano denunce di nuove infezioni: molteplici utenti  hanno denunciato di aver subito un'infezione ransomware caratterizzata dall'aggiunta dell'estensione .DLL al file criptati. 

Le vittime riferiscono di aver subito l'infezione dopo un attacco che ha violato i servizi di desktop remoto connessi direttamente ad Internet. Le testimonianze riferiscono inoltre che il ransomware ha abilitato l'account amministratore di default per poi modificarne la password, così da impedire alla vittima di avervi accesso. Fatto che conferma una tendenza già in atto: sempre meno campagne di mailspam di massa per la distribuzione di ransomware in favore di attacchi più mirati su servizi pubblicamente accessibili che garantiscono un accesso più ampio al sistema. 

La nota di riscatto

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue

Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1. 

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB,  disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile. 

Botnet Mirai: nuove varianti colpiscono nuovi processori e architetture

La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.

Aumenta la superficie di attacco

Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti "consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi". Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati. 

Aumenta la potenza di fuoco