Nonostante i due anni di vita, il trojan "ruba-password" Loki è ancora una minaccia

Loki è attivo da qualche anno e giusto qualche settimana fa è stato visto di nuovo in azione, diffuso in una campagna di spam mirata contro mailbox aziendali. Nei fatti, nonostante ormai sia "una vecchia conoscenza", bisogna constatare come questo trojan sia ancora una minaccia per la sicurezza informatica. 

Loki-Bot: informazioni di base

Loki-Bot è un malware per il furto di password, avvistato ultimamente in the wild non poche volte. Ha la capacità di sottrarre differenti tipi di credenziali e gode di una componente keylogger che gli conferisce un altissimo tasso di successo. Il malware è in vendita, incluso il server C&C, a circa 70 dollari statunitensi, un prezzo molto conveniente. 

Il codice sorgente della v.1 è trapelato nel 2015 e da quel momento è stato usato da centinaia di cyber criminali: appare ormai del tutto impossibile, quindi, risalire allo sviluppatore originale. Il codice è stato ritoccato e riadattato nel tempo, sia per renderlo più efficace sia per adattarlo alle esigenze del singolo utilizzatore. La maggior parte degli antivirus lo intercetta e, proprio per questo, il grosso delle modifiche è finalizzato all'oscuramento del codice e a misure anti virtual-machine. 

Prime osservazioni sul D. Lgs. 101 / 2018: l'adeguamento in Italia al GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Dopo essere stato approvato in Agosto, accompagnato da aspettative disattese su un presunto rinvio nell’applicazione del GDPR, il 4 Settembre è stato pubblicato nella Gazzetta Ufficiale del 10 agosto il Decreto Legislativo 101/2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679. In questo testo abbozziamo le prime riflessioni e considerazioni.

1. Le sanzioni amministrative
   Il Decreto dovrebbe coordinare le previgenti norme in materia di protezione dei dati personali di cui al D.Lgs. 196/2003, con il nuovo regolamento entrato in vigore nel Maggio 2016 e al quale ogni destinatario avrebbe dovuto adeguarsi entro lo scorso 25 Maggio, data da cui già trova piena applicazione. Il nostro legislatore non è stato certo tempestivo; le norme di coordinamento avrebbero dovuto essere emanate quantomeno contestualmente all’entrata in vigore della normativa europea per evitare sovrapposizioni e problemi interpretativi. Appare pertanto logica, anche se non certo in linea con il dettato europeo, la “raccomandazione” al Garante di essere flessibile e “clemente” nell’erogazione di sanzioni perlomeno fino ad aprile 2019, anche al fine di consentire ai destinatari non solo di adeguarsi completamente alla nuova disciplina, ma anche comprendere che cosa sopravviva di quella precedente e come si coordinino. Coerente in questo senso è anche la possibilità concessa all’interessato di ridurre a 2/5 del minimo edittale stabilito dal D.lgs. 196/2003 le sanzioni per le violazioni antecedenti al 25 maggio 2018, per cercare di abbattere il contenzioso in essere.
   

PyLocky: nuovo ransomware in linguaggio Python colpisce utenti tedeschi, francesi e italiani

Tra la fine di Luglio e l'intera durata di Agosto diversi ricercatori di sicurezza hanno individuato una serie di ondate di email di spam vettrici di un nuovo ransomware chiamato PyLocky. Fin dal nome colpisce l'evidente tentativo di simulare, ma la nota di riscatto conferma il dubbio, il famigerato e tutt'ora irrisolto ransomware Locky: tutti gli esperti di sicurezza però concordano nell'affermare che questo ransomware, che è pensato per colpire utenti francesi, italiani, coreani e tedeschi nel dettaglio, non ha alcun legame con la famiglia di ransomware Locky. 

E' scritto in Python e "confezionato" con PyInstaller, un tool che consente la creazione di eseguibili autonomi da programmi Python. L'uso combinato di Inno Setup Installer (un installer open source basato su script) e PyInstaller rende molto difficile l'analisi statica, anche per le soluzioni basate sull'auto apprendimento (la tecnica non è nuova: qualcosa di simile si è verificato col ransomware Cerber, anche se, in quel caso, veniva usato l'installer NullSoft). 

La distribuzione del ransomware

Come detto, PyLocky viene distribuito sopratutto in Europa. Il fatto che la nota di riscatto (vedi sotto), sia scritta anche in italiano rende chiaro che l'Italia è già stata e continuerà ad essere un campo

Il ransomware GandCrab di nuovo all'attacco... anche in Italia!

C'è un nuovo exploit kit, chiamato Fallout, che viene attualmente usato per la distribuzione del ransomware GandCrab, di trojan downloader e di altri programmi potenzialmente indesiderati (PUP). La prima individuazione di questo exploit risale alla fine di Agosto 2018 e si deve al ricercatore di sicurezza nao_sec: lo ha rintracciato, pronto a sfruttare le vulnerabilità dei computer dei visitatori, su una serie di siti web compromessi. Le vulnerabilità che vengono sfruttate sono:

1. vulnerabilità CVE-2018-4878 di Adobe Flash Player;

2. vulnerabilità CVE-2018-8174 di Windows VBScript

Quando nao_sec ha scoperto l'exploit kit, questo scaricava e installava sul pc della vittima SmokeLoader, che altro non è che un malware che scarica altri malware. Nel caso specifico scaricava CoalaBot e altri malware non identificati. 

"Il file exe eseguito tramite shellcode è "Nullsoft Installer self-extracting archive" spiega nao_sec. "Questo file eseguirà SmokeLoader e altri due file exe". 

Fallout distribuisce GandCrab

Indipendenza del DPO nel sistema GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il regolamento europeo in materia di protezione dati personali prevede (art.37), che il TITOLARE DEL TRATTAMENTO, vale a dire colui che ha la responsabilità in un’azienda o in un ente della gestione e conservazione dei dati personali, insieme al RESPONSABILE DEL TRATTAMENTO, cioè la figura incaricata dal titolare di gestire materialmente il trattamento dati, debbano nominare un RESPONSABILE DELLA PROTEZIONE DATI: parliamo di quella figura che viene comunemente definita DPO (Data Protection Officer). Si tratta di figure che hanno caratteristiche diverse e sono ognuna soggetta a una specifica disciplina con le proprie distinte responsabilità. In poche parole, mentre il TITOLARE corrisponde al legale rappresentante di un’azienda o di un ente, il RESPONSABILE del trattamento è il soggetto incaricato dal TITOLARE per lo svolgimento materiale delle operazioni di raccolta, gestione, trattamento, comunicazione dei dati.

Il DPO è la figura introdotta dal regolamento 679/2016 e si pone come ponte tra la vigilanza dei processi interni alla struttura e le autorità esterne (in Italia con il Garante della Privacy); ricopre un ruolo di consulenza che gli impone doveri interni, ma anche l’obbligo di attivarsi con gli organismi di controllo per le comunicazioni previste dalla normativa.