venerdì 18 maggio 2018

3 campagne contemporanee diffondono miner di criptovaluta: WinstarNssmMiner fa 500.000 vittime in tre giorni.


I ricercatori di Qihoo 360 Total Security hanno individuato una massiccia e davvero virulenta campagna di diffusione di un nuovo coinminer che ha infettato oltre 500.000 vittime in appena 3 giorni. Il malware in questione si chiama “WinstarNssmMiner" e bersaglia solo utenti Windows. 

Il malware
Di per sé “WinstarNssmMiner" è il tipico malware per il mining di criptovaluta, basato sull'utility XMRig (open source e legittima) per il mining di Monero. Non è chiaro come si diffonda, ma un dato certo c'è: si tratta di un malware che rappresenta un caso unico nell'attuale mercato dei malware per il mining di criptovaluta. Il modus operandi di WinstarNssmMiner è il seguente:
  1.  Infetta la vittima;
  2.  verifica la presenza di processi legati ad antivirus come Avast e Kaspersky e altri;
  3.  se l'utente usa uno di questi due antivirus interrompe l'infezione;
  4.  se non vengono trovati i processi sopra indicati, lancia due processi svchost.exe;
  5. il codice dannoso viene iniettato entro i due svchost.exe: uno di questi avvia il mining di Monero in background;
  6. il secondo processo verifica invece la presenza di processi di altri antivirus;
  7. lo stesso processo termina i processi legati ai software antivirus per evitare l'individuazione.

giovedì 17 maggio 2018

Individuata nuova versione del ransomware Dharma: cripta i file in .bip


Michael Gillespie ha annunciato la diffusione di una nuova variante del ransomware Dharma, segnalata dal ricercatore Jakub Kroustek. Questa nuova variante, palesemente appartenente alla famiglia di ransomware Dharma, cripta i file e ne modifica l'estensione in .Bip. Non è chiaro come venga distribuita questa versione, ma la famiglia Dharma si è distinta per la diffusione tramite attacco ai servizi di Desktop Remoto per poter procedere all'installazione manuale del ransomware.

Come cripta i file
Una volta che questa variante viene installata, esegue subito la scansione del computer in cerca di data file e li cripta. I file criptati subiscono la modifica del nome e dell'estensione secondo lo schema:
  • .id-[id].[email].bip
Ad esempio il file test.jpg diventa test.jpg.id-BCBEF350.[Beamsell@qq.com].bip. Sotto un esempio di file criptati da Bip Dharma. 

martedì 15 maggio 2018

Backup e GDPR: Xopero, Strongbox e la sicurezza e privacy dei Dati


Il General Data Protection Regulation (GDPR) è alle porte. Imporrà numerose responsabilità alle aziende per quanto riguarda la raccolta e la gestione dei dati personali dei cittadini dell'UE. A seguito del nuovo Regolamento, le imprese saranno obbligate ad implementare in modo specifico i ruoli, i processi e le tecnologie che assicurano la sicurezza dei dati personali dei cittadini dell'UE.

Cosa devi tenere a mente:           
Tutti i cittadini dell’UE hanno il diritto legale di accedere ai dati che un’azienda ha raccolto su di loro durante un acquisto online, accedendo a servizi statali online, servizi sanitari o acquisiti da applicazioni mobile. È responsabilità dell’azienda garantire di essere in grado di fornire questo tipo di informazioni su richiesta. Le imprese devono fornire informazioni dettagliate sul modo in cui stanno usando i dati dei consumatori. I consumatori acquistano il diritto di richiedere alle organizzazioni di trasferire i propri dati ad una controparte. Ricorda inoltre che le aziende devono essere in grado di proteggere e mantenere la privacy dei dati anche in caso di attacchi ransomware. Le aziende che non soddisfano i requisiti GDPR si troveranno soggette a ingenti multe.

lunedì 14 maggio 2018

L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo


Il 12 Maggio cadeva il primo anniversario del più celebre attacco ransomware della storia, WannaCry. Un anno dopo, stando ai dati telemetrici provenienti da svariate fonti di ricerca, l'exploit che è stato alla base di questo epocale attacco è più popolare e diffuso che mai. 

Questo exploit, chiamato EternalBlue, è stato sviluppato dalla divisione cybernetica dell'Agenzia di Sicurezza Nazionale USA (NSA): faceva parte di una serie di tool che un gruppo di hacker, denominato The Shadow Broker, ha rubato dai server NSA nel 2016 e quindi rilasciato online dall'Agosto 2016 all'Aprile 2017. Nel Marzo del 2017 Microsoft pubblica il bollettino di sicurezza MS17-010, contenente le patch proprio per le vulnerabilità bersagliate da EternalBlue. Che cosa è successo dopo è ben documentato: EternalBlue è stato usato per creare un meccanismo di self-spreading (si si, come un worm) per diffondere prima il ransomware WannaCry, poi, poco dopo, il wiper NotPetya e il ransomware Bad Rabbit. L'impatto di EternalBlue è stato devastante: 8 miliardi di danni alle aziende, vittime in oltre 150 paesi solo durante l'attacco WannaCry, stando a IBM X-Force.

L'inizio... a rilento

venerdì 11 maggio 2018

Malware Nigelthorn: si diffonde via Facebook e false estensioni di Chrome per rubare le password degli account social


Una tecnica truffaldina piuttosto in uso tra i cyber criminali consiste nell'attirare gli utenti dai social network a versioni sosia (ma false) di popolari siti web, nei quali poi una finestra popup avvisa della fantomatica "necessità di installare una particolare estensione di Chrome" per risolvere problemi di visualizzazione. Ovviamente non c'è alcuna estensione ad attendere l'utente, ma un bel malware. 

Questo tipo di truffe è sempre più frequente e, proprio ieri, ne è stata denunciata pubblicamente una, attualmente ancora in corso: questa campagna è attiva almeno da Marzo e pare aver infettato già 100.000 utenti in svariate parti del mondo. Il malware in diffusione è stato soprannominato Nigelthorn e si diffonde su Facebook, ad una velocità piuttosto preoccupante, tramite link ben costruiti secondo i canoni dell'ingegneria sociale: è programmato per infettare i sistemi delle vittime con estensioni browser dannose che rubano le credenziali degli account social, installano miner di criptovaluta e coinvolgono in "click fraud" ( si parla di click fraud quando una persona o un software automatizzato clicca sugli annunci sponsorizzati su un sito web con lo scopo di far spendere all’inserzionista senza un reale ritorno in termini di vendite).

Come viene diffuso il malware Nigelthorn?