venerdì 30 settembre 2022

Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende


Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:

  • CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
  • CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle. 

"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Le due 0-day sono in uso in attacchi reali contro le aziende

Continua a leggere...>>
Pubblicato da alle Nessun commento:
Etichette: , , , , , , ,

giovedì 29 settembre 2022

Anatomia di Hydra, il nuovo banking trojan diffuso in Italia

Individuato in diffusione la scorsa settimana dal CERT, non si era mai visto in Italia. Arriva Hydra, il trojan bancario diffuso via SMS.

La campagna di diffusione della scorsa settimana

Il CERT-AgID ha individuato, assieme a D3Lab, un nuovo malware pensato per i dispositivi Android che non era mai stato intercettato in Italia: il malware si chiama Hydra ed è stato diffuso la scorsa settimana con una campagna di smishing mirata contro utenti italiani. 

Il malware è stato diffuso via SMS contenenti un link che conduce ad una pagina di download. Questa pagina risulta visibile solo nel caso in cui  il browser presenti uno user agent Android. Il file dannoso, in formato APK, è hostato su un server Discord e da lì viene scaricato.  La pagina di download si presenta come una pagina dove scaricare o aggiornare l'APP per transazioni in criptovalute CoinBase.

Continua a leggere...>>
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , ,

martedì 27 settembre 2022

Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati


Pessima notizia che potrebbe segnare un cambio di passo nelle strategie ransomware: è stata individuata in diffusione una versione di BlackCat che, una volta rubati i dati, non cripta quelli rimasti nella macchina, ma li distrugge. Dopo il modello del Ransomware as a service, dei leak site e della tripla estorsione, siamo di fronte all'ennesima evoluzione del mondo ransomware? 

BlackCat "sposa Exmatter", il modulo distruggi-dati

La nuova versione di BlackCat che distrugge i dati è stata individuata dalla società di sicurezza informatica Cyderes. La particolarità di questa versione è quella di portare con sé, oltre alle classiche funzionalità di esfiltrazione dei dati, anche un modulo chiamato Exmatter. 

Exmatter è un tool di esfiltrazione dati in .NET  ed è sviluppato per prendere alcuni tipi specifici di file da cartelle selezionate e caricarli in server controllati dagli attaccanti, prima che il ransomware entri in esecuzione e avvii la routine di criptazione. Va detto, è già usato da molte operazioni ransomware, non solo BlackCat. Il punto è che il gruppo BlackCat lo utilizza in una maniera del tutto nuova. 

Questa versione di Exmatter infatti tenta di corrompere i file nel sistema bersaglio anzichè criptarli: in pratica li mette in fila per distruggerli. Infatti, la prima operazione compiuta da Exmatter è quella di generare la coda dei file rispondenti ad una lista di estensioni bersaglio: questa lista è "hard-coded" nel tool stesso. La coda viene composta proprio mettendo in fila tutti i file con le estensioni target. Questi file vengono quindi esfiltrati verso server controllati dagli attaccanti. Una volta esfiltrati, i dati sono aggiungi in una nuova coda per essere processati da una classe che si chiama Eraser. In dettaglio un segmento di dati di dimensioni arbitrarie che inizia all'inizio del secondo file viene letto in un buffer, quindi scritto all'inizio del primo file: in pratica viene sovrascritto e danneggiato. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva


Ulteriori analisi hanno individuati altri dettagli

Continua a leggere...>>
Pubblicato da alle Nessun commento:
Etichette: , , , ,

lunedì 26 settembre 2022

Attacchi ransomware: Italia prima in Europa, settima nel mondo


Il "Report sulla cybersecurity del primo semestre 2022" di Trend Micro non lascia spazio a interpretazioni: i gruppi ransomware hanno scelto l'Italia come bersaglio preferito. Il numero di attacchi è addirittura aumentato rispetto al 2021

Ransomware: bad news per l'Italia

L'Italia è al primo posto per numero di attacchi ransomware per il periodo Gennaio - Marzo 2022. Se guardiamo alla classifica mondiale invece siamo la 7° nazione più colpita al mondo. Più in generale, siamo in testa in Europa anche per attacchi malware subiti, terzi nel mondo.

Ecco qualche numero.

Classifica attacchi ransomware nel mondo:

  • Stati Uniti (19,69%), 
  • Giappone (10,18%), 
  • Turchia (7,97%), 
  • India (5,11%), 
  • Taiwan (4,29%), 
  • Messico (4%), 
  • Italia (3,56%), 
  • Olanda (3,26%), 
  • Francia (3,08%), 
  • Germania (2,96%).

In questa classifica, l'Italia è prima in Europa. LockBit e Conti i due ransomware più aggressivi, facendo registrare un +500% su base annua di attacchi. nei primi sei mesi del 2022 hanno raddoppiato il numero dei rilevamenti. Ora, come raccontato qui, Conti è un'operazione ransomware abbandonata che però si è "divisa" in mille rivoli di altre operazioni ransomware e malware ed è responsabile del ritorno in attività della botnet Emotet

Classifica attacchi macro - malware

Continua a leggere...>>
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , , ,

venerdì 23 settembre 2022

L'anello debole della sicurezza informatica: hacker 18enne viola i sistemi di Uber mandando una email ad un dipendente


Stiamo parlando di Uber, il colosso della mobilità condivisa a basso costo. Che spende milioni di dollari in cyber sicurezza. Eppure Uber è stata "bucata" qualche giorno fa:

"sembra che abbiano compromesso molte cose” e "da quello che sembra, si tratta di una compromissione totale" ha dichiarato Sam Curry, un ingegnere informatico tra i primi a comunicare con l'attaccante. L'attaccante infatti ha dimostrato di aver fatto irruzione, con accesso completo, anche negli ambienti cloud aziendali ospitati su Amazon e Google, dove Uber archivia sia dati che codice sorgente. Non solo: l'attaccante ha fornito anche prove che confermano che ha avuto accesso alla rete Slack interna della società. 

Uber è stata costretta a disattivare i sistemi di comunicazione e di ingegneria interni, per analizzare l'incidente e minimizzare i rischi. Certo è che il data breach è avvenuto, come confermato dalla società stessa su Twitter.

La società ha anche diramato un comunicato ufficiale, consultabile integralmente qui 

Come un 18enne ha violato la sicurezza informatica di un colosso

Continua a leggere...>>
Pubblicato da alle Nessun commento:
Etichette: , , , , , ,
Iscriviti a: Post (Atom)