Ransomware: l'Italia prima in europa e decima nel mondo per numero di vittime

TrendMicro lancia un allarme che non può essere ignorato: stando ai dati del loro ultimo rapporto annuale sulla sicurezza, che ripercorre i cyber-rischi nel 2018, l'Italia è una delle vittime preferite degli sviluppatori di ransomware.

Se nella classifica mondiale del numero di vittime di ransomware, siamo in decima posizione (dove i primi gradini di questo infausto podio sono occupati da Stati Uniti, Brasile e India), in Europa abbiamo conquistato il gradino più alto del podio.

In controtendenza...

La particolarità è che, in senso inverso rispetto allo scenario italiano, i ransomware presentano un trend di forte decrescita confermato dalla maggior parte dei vendor di software antivirus mondiali: si parla di una riduzione del fenomeno di oltre il 91% rispetto al 2017. Segno, come abbiamo ripetuto già in altre occasioni, che la scena del cyber-crime sta mutando nell'approccio e nelle tattiche.  Ad esempio il 2018 ha ribadito un cambio qualitativo nell'approccio dei cyber criminali: non più campagne di attacco di proporzioni enormi finalizzate a colpire la più grande quantità di utenti possibili; al contrario gli attacchi si sono fatti più raffinati e mirati. Il trend è confermato dall'aumento degli attacchi BEC (Business Email Compromise), aumentati di quasi il 30% rispetto al 2017. 

Facebook: di nuovo a rischio milioni di account a causa di una falla

Per Facebook l' "annus horribilis" pare non finire mai:  l'ultimo scandalo relativo alla sicurezza di uno dei social network più diffuso al mondo è di qualche giorno fa.  Circa 600 milioni di account sono a rischio a causa di una falla nel sistema: le loro password sono finite salvate in un normalissimo documento di testo privo di qualsiasi basilare forma di sicurezza o criptografia, accessibili completamente a tutti i dipendenti della società. 

L'ammissione dell'errore viene da fonti interne allo stesso social, nel dettaglio da Pedro Canahuati,  Vice Presidente del team Engineering, Security and Privacy di Facebook stessa, con un un post pubblicato sul blog ufficiale di Facebook: nel testo si specifica che il problema ha riguardato utenti di Facebook Lite, Facebook, ma anche decine di migliaia di utenti Instagram. 

La falla: cosa si sa?

L'università di Venezia scopre 10mila siti a rischio e mette (definitivamente) in dubbio la sicurezza del protocollo HTTPS

Lo studio è stato effettuato dall'Università Ca' Foscari di Venezia (qui l'abstract del paper) e mette in dubbio, forse più nettamente di altri situazioni studi simili, l'effettiva sicurezza del protocollo HTTPS: insomma, la presenza di questa sigla nell'indirizzo di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga su un sito. 

Come risaputo, il protocollo HTTPS serve a rendere sicura la comunicazione sul web fornendo un livello di protezione criptata che garantisca riservatezza e integrità alla comunicazione. Abilita inoltre l'autenticazione tra client e server. L'HTTPS si basa però, a sua volta, su un insieme di protocolli SSL / TLS che nel corso degli anni hanno dimostrato di avere alcune falle che ne hanno "certificato" una certa vulnerabilità. Questa problematica ha richiesto patch e mitigazioni sia nei server che nei browser, portando ad un complesso mix di diverse versioni di protocolli e implementazioni che, talvolta, rendono assai difficile capire quali tipi di attacchi siano ancora efficaci sul web e quali ripercussioni causino alle applicazioni di sicurezza. 

Italia ancora sotto attacco: documenti Excel compromessi nascondono il trojan bancario Gozi

Il Cert-PA ha reso nota una campagna di diffusione malware via email pensata appositamente per utenti italiani.  Ricalca una campagna avvenuta poco tempo fa, sempre contro utenti italiani (ne abbiamo reso nota qui), che utilizza tecniche di steganografia per evitare l'individuazione da parte dei sistemi di sicurezza perimetrali. 

Il testo dell'email vettore, in italiano, è visibile sotto:

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c'è pure un ransoware

WinRAR è un programma estremamente diffuso e popolare, il più usato dagli utenti Windows per la gestione di archivi compressi in diversi formati: non ci sono dubbi quindi che, per i cyber attaccanti, sia un target sicuro che permette un vasto "terreno di caccia". Qualche giorno fa il ricercatore Nadav Grossman ha denunciato la presenza in WinRAR di un bug presente da oltre 19 anni e mai scoperto: una vulnerabilità 0-day di livello critico. 

La problematica ruota attorno al formato compresso ACE: è nella gestione dei file compressi in questo formato che si annida la vulnerabilità CVE-2018-20250, che consente l'esecuzione di codice da remoto al momento stesso in cui viene estratto il file. Se infatti un utente apre un archivio compromesso in formato ACE usando WinRar, un eventuale malware contenuto al suo interno  può essere immediatamente installato sul computer.  Ma un exploit con successo di questo bug consente all'attaccante anche altre azioni dannose, come la possibilità di estrarre file nella cartella che contiene i programmi di startup, quelli che vengono immediatamente eseguite all'avvio stesso del pc o la possibilità di sfruttare il protocollo SMB per diffondersi ulteriormente nella rete.  Il rischio di contagiosità poi è elevatissimo, dato che gli archivi compressi sono pensati appositamente per la condivisione agile e veloce di file pesanti.