Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette

Ryuk è sempre stato considerato un ransomware "mirato": la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l'accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l'accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo "successo", se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E' recentissimo (qualche settimana fa) l'uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times. 

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori

Il Phishing si evolve e batte l'autenticazione a due fattori 2FA: arriva il super tool Modlishka

Nell'eterna lotta tra il cybercrime e la sicurezza informatica, i ricercatori di sicurezza avevano assestato un duro colpo, almeno per quanto riguarda la guerra al phishing: l'autenticazione a due fattori ha reso non sufficiente la detenzione della password di un account per potervi accedere. E' stato però un ricercatore di sicurezza (strano a dirsi, ma neppure troppo, ormai) a inventare il super tool per portare attacchi di phishing in grado di bypassare l'autenticazione a due fattori. 

Il tool, come spiega Piotr Duszynski - il suo creatore, è un "reverse proxy" programmato appositamente per gestire operazioni di phishing. Per "reverse proxy" si intende un tipo di proxy che recupera i contenuti per conto di un client da uno o più server. Tali contenuti vengono trasmessi al client come provenienti dallo stesso proxy: il proxy appare quindi al client come un server. Il funzionamento, in parole semplici, è questo: l'attaccante invece di creare una copia esatta del sito che vuole imitare può usare Modlishka come server per ospitare un sito da usare come tramite tra la vittima e il sito originale mentre ne replica i contenuti in real-time. 

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 

A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce

Il misterioso e (quasi) invisibile quadratino nero

Massimizzare il profitto di un attacco ransomware? Gruppo di cyber attaccanti usa il ransomware Gandcrab e un nuovo infostealer

I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l'intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 

I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l'exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

Il ransomware WannaCry e l'exploit EternalBlue ancora in attività: sono davvero eterni?

EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya. 

Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma. 

1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni.