venerdì 29 luglio 2016

Ransomware news: Locky si evolve ancora ,CrypMIC imita CryptXXX

E’ ormai impossibile (e forse poco interessante) seguire tutte le evoluzioni o le nuove diffusioni dei ransomware. Questa settimana ha presentato notevoli e numerose novità, ma ne abbiamo selezionate due:
Locky, perché è molto diffuso (anche in Italia) e tra i “ransomware di punta” per i cyber-crimnali, come ci dimostrano i continui miglioramenti.

CrypMIC, nuovo ransomware che vuole sfruttare il successo del ransomware che ha preso il posto del famigerato TeslaCrypt sul podio, ovvero CryptXXX

Nuova versione del ransomware Locky



Di Locky abbiamo abbondantemente parlato qui e qui, data anche la campagna didiffusione mirata sull’Italia di qualche settimana fa.
Dal 20 Luglio vari ricercatori di sicurezza hanno osservato nuove campagne di diffusione email del virus, che ha subito una grande evoluzione: il codice eseguibile del malware è inserito direttamente nell’allegato Javascript. Il codice JS non ha più quindi la mera funzione di downloader, ma estrae e mette in memoria il codice binario del malware sul PC della vittime senza nessuna necessità di scaricarlo da remoto.

martedì 26 luglio 2016

Aggiornamenti: nuove versioni dei ransomware Petya&CryptXXX

Ecco un doppio aggiornamento su due nostre vecchie conoscenze: i ransomware Petya e cryptXXX. Di entrambi, negli ultimi giorni, sono state rilasciate versioni ulteriormente aggiornate, volte a rendere più solide le cifrature e a ridurre quindi le possibilità di rimettere in chiaro i file senza pagare il riscatto. 

venerdì 22 luglio 2016

AVG rilascia il decryptor per Bart!


N.d.R= il tool in oggetto non presenta un tasso di risoluzione del 100%. Non garantiamo quindi la possibilità di soluzione in tutti i casi. 

E’ di questi ultimi giorni la notizia che AVG ha rilasciato un decryptor per il ransomware Bart, che memorizza i file  zip protetti da password. Proprio come il personaggio frutto della matita di Matt Groening anche il Ransomware omonimo ha portato scompiglio tra miglia di utenti.

giovedì 21 luglio 2016

Campagna di diffusione via email del malware Andromeda contro le aziende italiane

I ricercatori di Palo Alto Network hanno individuato due distinte, ma pesanti e capillari, campagne di spam il cui obiettivo principale sono utenti residenti in Italia. Sono stati analizzati ben 210 mila email relative a queste due campagne e la percentuale di indirizzi mail italiani risultanti tra i destinatari è schiacciante: ben il 97%. 
La maggior parte di questi indirizzi appartiene ad aziende assicurative,  del settore high tech, universitarie, di servizi legali e del settore manifatturiero, come si può vedere nell'immagine sotto:







venerdì 15 luglio 2016

Ransomware as a service: come si sta organizzando il mercato dei ransomware

Qualche tempo fa abbiamo parlato dei ranomware Misha e Petya, due ransomware “fratelli” diffusi dallo stesso gruppo di cyber-criminali. Nel dettaglio facemmo notare che i due ransomware erano acquistabili online, nel deep web, nella piattaforma denominata Janus Cybercrime. La piattaforma (vedere l’immagine sotto) prevedeva anche una vera e propria forma di marketing dei prodotti Misha e Petya, con elenco dei vantaggi, prezzario e percentuali di guadagno.




La strategia si consolida e ripete

E’ in circolazione un nuovo ransomware, denominato Stampado. Critpa i file con estensione .locked e non ha nessuna grossa differenza di funzionamento rispetto al Cryptolocker. Non presenta cioè, tecnicamente, nessuna novità rilevante. La novità rilevante è che Stampado viene venduto in Internet esattamente con un qualsiasi servizio. E’ ciò che è stato definitio RaaS (Ransomware as a Service).

mercoledì 13 luglio 2016

Technical Webinar QNAP&Xopero- Venerdì 22 Luglio, h 10.00



Come già comunicato qualche settimana fa 
QNAP, Quality Network Appliance Provider (QNAP) eXopero, produttore di applicazioni di backup in Europa, hanno annunciato di aver dato il via ad una partnership tecnologica in Italia per il prodotto Xopero QNAP Appliance, una soluzione di backup gestibile centralmente che permette di trasformare il NAS QNAP in un dispositivo di backup atto a proteggere l'infrastruttura IT dell’azienda ( leggi qui per ulteriori info). 
L’attività di distribuzione è stata affidata a noi del Network s-mart

martedì 12 luglio 2016

Campagna Realstatistics: cybercriminali diffondono il ransomware CryptXXX tramite siti web infetti


Il team di ricercatori di sicurezza di Sucuri ha individuato una massiccia campagna di infezioni nell’arco di queste ultime due settimane, denominata Realstatistics.
Questa campagna ha compromesso migliaia di siti web costruiti con Joomla! e con WordPress. 

La campagna prende il nome dai domini usati dagli attaccanti, rintracciabili in questo codice Javascript malevolo che viene iniettato nei template PHP dei siti web sotto attacco.