RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis

Finalmente, ogni tanto, una buona notizia. Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: la versione .crysis del ransomware Crysis e la versione XTBL del ransomware Troldesh.

Chiunque sia rimasto vittima di questi ransomware può scrivere all'email alessandro@nwkcloud.com inviandoci due file criptati assieme alla richiesta di riscatto. Ulteriori informazioni qui
Alcune informazioni base per riconoscerli:

1. RANSOMWARE TROLDESH .XTBL
A. Email di contatto collegate:

GIBON: nuovo ransomware distribuito via email di spam [risolvibile]

E' notizia di questi ultimi giorni, la scoperta di un nuovo ransomware a scopo di lucro fraudolento, chiamato GIBON. Questo ransomware si distribuisce tramite email di spam con un documento dannoso in allegato: questo documento contiene una macro che è responsabile del download  e dell'installazione del ransomware  sul computer.

Perchè è chiamato GIBON?

Esistono diversi modi per denominare un ransomware quando questo viene scoperto. A volte sono  i ricercatori che, per denominarlo, utilizzano  le stringhe trovate negli eseguibili. Altre volte è invece il malware stesso a  dare le  indicazioni su come andrà  chiamato. Nel caso in questione, il virus è denominato GIBON per  due ragioni : la prima  è la   stringa  ''user agent Gibon'' che è utilizzata quando il virus comunica con il server di comando e controllo.

Falsi WhatsApp su Google Play fanno più di 1 milione di download.

Google Play sta facendo enormi sforzi per migliorare tutti i meccanismi di sicurezza e vigilanza per la verifica della genuinità delle app che ospita. Il problema è che Google Play è l'app store online più visitato e usato al mondo e questo spiega come mai sia costantentemente nei pensieri dei cyber-criminali, che studiano ogni maniera per aggirare i controlli e mettere in download app dannose/compromesse/manomesse. 

La maggior parte delle volte si tratta di app assolutamente secondarie, che sfruttano la loro posizione "di minor interesse" sperando di passare inosservate (e ci riescono solo per un breve periodo di tempo): in questo caso però il colpaccio è di quelli che fa notizia. 

I falsi Whatsapp
Il 3 Novembre, su Reddit, viene denunciata la presenza, nel Google Play, di una app clone di

La crescita del malware super-invisibili grazie alla firma digitale

Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all'acquisto, nel dark web, con un prezzo fino a 1.200 dollari. 

Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di

Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing

Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 

Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche