Down del sito Inps: la colpa è davvero degli hacker?

I fatti sono tristemente noti: in pieno lockdown, il primo giorno della possibilità di richiedere accesso al contributo di 600 euro per le Partite Iva, il sito dell'Inps va in tilt. Impossibile visualizzare alcune pagine, rallentamenti tali da rendere impossibili le operazioni: i server sono sovraccarichi, il servizio non funziona, finchè il sito viene temporaneamente messo offline. Quando torna accessibile succede l'incredibile: gli utenti che accedono visualizzano i dati personali di altri utenti. Le aree private si mischiano, finiscono esposti nome e cognome, iban e altri dati sensibili. Il commento di Pasquale Tridico, travolto dalle polemiche è : "abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker. Abbiamo dovuto sospendere temporaneamente il sito dell’istituto". 

Viene annunciata una commissione d'inchiesta. Da più parti la comunità di esperti di cyber sicurezza esprime aperta perplessità, quando non aperta ironia, sulle dichiarazioni di Tridico, mentre da Anonymous il commento è lapidario: "vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento".

Il report dell'Organismo di monitoraggio sulla criminalità: colpa degli hacker

Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza

La Commissione europea e l'Enisa (Agenzia europea per la sicurezza delle reti e dell'informazione) hanno annunciato pochi giorni fa la creazione dello  Stakeholders Cybersecurity Certification Group (SCCG), un nuovo ente il cui compito sarà quello di certificare la sicurezza informatica dei prodotti e dei sistemi informatici. Una novità rispetto al passato, perché entrerà in vigore un modello unico di certificazione valido per l'Unione Europea: l'operazione diviene quindi molto meno costosa e più semplice, oltre a ridurre la frammentazione che invece fino ad oggi l'ha fatta da padrona a causa dei numerosi modelli in circolazione. 

"La certificazione svolgerà non solo un ruolo cruciale nell'aumentare la fiducia e la sicurezza dei prodotti ICT, ma fornirà anche alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano degli standard di sicurezza informatica. Quest'ultimo, inoltre, consentirà loro di competere meglio nel mercato globale", ha dichiarato Thierry Breton, commissario per il mercato interno.

Faranno parte dell'SCCG rappresentati delle istituzioni europee, delle università, delle imprese, dei consumatori e delle associazioni di categoria: in tutto saranno 50 membri (nel progetto è presente anche il Politecnico di Milano). 

Il Cybersecurity Act

MassLogger passa ai fatti: campagna di spam distribuisce il malware contro utenti italiani

Lo CSIRT ci aveva visto lungo, diramando un alert specifico su un malware non ancora in diffusione ma che mostrava tutte le caratteristiche necessarie per poter fare "il salto" dalla teoria alla pratica. Parliamo del malware MassLogger, individuato nei forum dell'underground hacking in vendita a prezzi più che accessibili: un malware specializzato nel furto dati. 

Per approfondire > L'alert del CERT-AgID: il malware MassLogger si prepara alla diffusione di massa

Lo CSIRT aveva dedicato qualche giorno fa un approfondimento su questo malware, ritenendo molto alto il rischio di tentativi di diffusione anche in Italia. L'alert ha trovato, purtroppo, riscontro nella realtà. Qualche giorno fa è stato pubblicato un nuovo alert: è stata individuata una campagna di email di spam rivolta contro utenti italiani che distribuisce proprio il keylogger MassLogger. 

Stando ai dati dello CSIRT, le email di questa campagna contengono un allegato Microsoft Excel (.xls) contenenti una macro VBA dannosa. Il "gioco" è sempre lo stesso: sia il testo dell'email che il "messaggio di errore" che viene mostrato al momento dell'apertura del documento servono ad indurre l'utente ad abilitare la macro. Abilitare la macro avvia la catena d'infezione.

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione

I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria. 

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti  e le macro. 

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk

Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...