Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili

Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

Nuovo ransomware della famiglia CryptoMix: arriva .x1881

Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto

La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware

Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

Famiglia ransomware BTCware: individuata una nuova versione, Payday.

E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam

È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.

La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che