mercoledì 30 marzo 2016

Rasomware alert: Northpole e Petya!

Vi mettiamo in guardia da due tipi di ransomware di cui ci sono arrivate segnalazioni, ovvero Northpole e Petya.


Northpole, così chiamato perchè cripta i file in .northpole, non è proprio nuovo (se ne parlava già a metà del 2015), ma sembra essere di nuovo in diffusione.
Cripta sicuramente file del tipo .doc, .xls, .pdf e simili, ma può anche modificare alcune impostazioni del sistema operativo e chiede un riscatto per rimetterli in chiaro.
Ad esempio il documento di calcolo “riepilogo.xls” viene rinominato “riepilogo.xls.northpole”.
Il messaggio di richiesta del riscatto (“HOW TO DECRYPT FILES.txt”) , in inglese, si apre così:
“se stai leggendo questo file, significa che  TUTTI I TUOI FILE sono stati BLOCCATI con la più forte cifratura militare.  Tutti i tuoi dati –documenti, foto, video, backup- tutto è BLOCCATO”.

martedì 29 marzo 2016

[Quick Heal Lab] come prevenire le infezioni da Ransomware

Il team di QuickHeal ha rilevato un incremento del numero di infezioni da ransomware (virus che bloccano l’accesso al computer o criptano i file presenti su di esso, chiedendo poi una ricompensa in denaro per sbloccare sistema operativo e files) nelle corso delle ultime settimane. Questo indica che gli autori di malware stanno facendo enormi profitti con le molte varianti esistenti di questo virus.
Le motivazioni di questo aumento di attacchi da ransomware sono molte:
  • Hanno dimostrato di essere uno dei modi più efficaci per estorcere soldi sfruttando internet.
  • Sono diventati software facili da sviluppare, grazie alla reperibilità del codice sorgente necessario per la loro produzione. Inoltre, si stanno moltiplicando sul mercato nero le possibilità di acquistare questi pericolosi malware.
  • Sono diffusi con campagne di spam ed altre tecniche come il Malvertising ( l’utilizzo degli avvisi on-line per diffondere malware) e l’ ingegneria sociale (il furto delle credenziali dell’utente tramite software malevoli)
  • Sono diventati molto efficienti grazie ai Bitcoin, una moneta virtuale che consente ai cyber criminali di accumulare denaro senza essere rintracciati.
 Rilevamenti di ransomware

giovedì 24 marzo 2016

Phishing alert! E-mail truffa da un falso account di Banca d’ Italia


Di recente stanno circolando messaggi e-mail provenienti da un account, ovviamente fasullo, di Banca d’Italia con l’intento di estorcere i dati d’acceso finanziari dell’utente.
La mail risulta essere inviata da 
Banca d’Italia – Registrazione F.I.T.D [mailto:fitd@bancaditalia.it]”;

l’oggetto della mail è il seguente : "IMPORTANTE! – Istanza di registrazione al FONDO INTERBANCARIO DI TUTELA DEI DEPOSITI”. 

Contrariamente a molte email di phishing, le quali presentano errori ortografici o di sintassi, questa volta il testo pare perfettamente credibile: è scritto correttamente ed appare molto tecnico.



In particolare tocca un tasto molto dolente e quindi che può attirare molto l'attenzione, ovvero il rischio di vedere sparire i propri risparmi a causa del fallimento della propria banca.

Alcuni estratti per facilitarti il riconoscimento:

"Alla Vostra Cortese attenzione,

dopo i recenti fatti che hanno visto coinvole alcune banche italiane con la conseguente perdita di ingenti capitali da parte dei risparmiatori, la Banca d’Italia ha reso obbligatoria l’iscrizione al F.I.T.D (Fondo Interbancario di Tutela dei Depositi).

martedì 22 marzo 2016

[Quick Heal Lab] Applicazioni potenziamente indesiderate nascoste negli aggiornamenti di Java e FlashPlayer

Si sa che i cyber criminali utilizzano identità falsamente genuine per entrare nei computer delle vittime. Una delle tecniche più utilizzate consiste nel far apparire dei Pop Up su Internet Explorer, Firefox e Chrome che propongono di aggiornare ad esempio Adobe Flash Player, Java ecc..
Questi Pop Up non provengono dagli sviluppatori di Adobe Flash Player o di Java bensì da cyber criminali che infettano i computer delle vittime con adware (pubblicità online) e browser hijackers (software indesiderati che modificano le impostazioni del browser internet, reindirizzando le ricerche su pubblicità, cambiando la pagina iniziale del browser web ecc).
Riportiamo di seguito alcune tecniche usate per deviare gli utenti e far scaricare software indesiderati.

Per esempio, navigando su alcuni siti apparentemente innocui, può apparire un pop up che richiede l’aggiornamento di Flash Player, anche quando il software è già aggiornato.
Cliccando questo Pop Up verrà avviato un download di un file dannoso sul PC che successivamente scaricherà le applicazioni potenzialmente indesiderate. Questi download, che consento successivamente il download delle applicazioni potenzialmente indesiderate, appartengono alla famiglia degli InstallCore.

venerdì 18 marzo 2016

[Quick Heak Lab] INFOGRAFICA: Cosa è il Phishing?

Se dobbiamo dire la verità, il phishing è uno dei più vecchi e più efficaci strumenti dei cyber-criminali. I primi tentativi di phishing sono conosciuti a partire dal 1995: di lì in poi sono solo cresciuti in maniera più agguerrita e subdola.
Senza immergersi troppo dettagliatamente nell'argomento, ecco qua una breve e semplice infografica che ci illustra ciò che è fondamentale sapere per riconoscere un attacco di phishing

Click sull'immagine per vedere tutta l'infografica

http://s-martitalia.blogspot.it/p/blog-page_18.html

mercoledì 16 marzo 2016

Malware alert! Mazarbot, nuovo malware per Android


Recentemente è stato scoperto un nuovo Malware per Android, chiamato MazarBot che ha la capacità di dirottare gli smartphone degli utenti. Il malware si presenta sul telefono della vittima come un SMS, contenente il seguente testo:
You have received a multimedia message from +[xx] [xxxxxxxxxx]. Follow the link hxxp://www.mmsforyou[.]Net/mms.apk to view the message.


Nei laboratori di ricerca QuickLab è stato testato l’accesso a questo link ed un file APK (Android Package file: file usato per la distribuzione e l’installazione di applicazioni su dispositivi Android) è stato installato sul dispositivo in questione.
Questo file APK si è rivelato essere un malware piuttosto dannoso.



martedì 15 marzo 2016

[Dr Web] Le minacce più diffuse nel Febbraio 2016

Il mese di Febbraio è stato piuttosto movimentato, per quanto riguarda la sicurezza informatica. All’inizio del mese, gli specialisti di Dr Web hanno rilevato un pericoloso Trojan per Android capace di “intrufolarsi” nei processi di sistema.
Inoltre, a fine Febbraio è stato rilevato un gran numero di programmi dannosi per Windows.

Trend principali di Febbraio:
-Comparsa del Trojan per Android capace di inserirsi nei processi di sistema
-Un nuovo backdoor per Windows che ha restrizioni geografiche

Minaccia del mese:
Un gruppo di tre Trojan per Android denominati Android.Loki.1.origin, Android.Loki.2.origin e Android.Loki.3 che sono considerate le minacce  più sofisticate tra quelle individuate durante il mese scorso. Per eseguire la propria attività dannosa, usano la libreria liblokih.so che Dr Web ha indivuato come Android.Loki.6. Questa libreria è incorporata nei processi di sistema tramite Android.Loki.3. Così Android.Loki.1.origin, il modulo principale del Trojan, ottiene l’accesso ai privilegi di sistema.
E’ utile sottolineare che i ricercatori non avevano mai incontrato un malware per Android che fosse capace di insediarsi nei processi di sistema, ottenendo i privilegi da amministratore.
Android.Loki.1.origin può eseguire una vasta gamma di funzioni. Ne indichiamo alcune:

lunedì 14 marzo 2016

Cryptowall alert! Nuova versione che usa WMI (Windows Management Instrument)

Sono arrivate nei laboratori Quicklab alcuni documenti infetti che usano le email contenenti spam per diffondere il Cryptowall Ransomware
                                                   

ANALISI
I file infetti che abbiamo analizzato contengono delle macro che, una volta aperte, scaricano ed installano il CryptoWall Ransomware sul computer. Il virus è una variante del Cryptowall 4.0. Questa nuova versione disattiva la protezione di Windows bloccando e disabilitando i servizi come ShareAccess,  wscsvc, e wuauserv. La nuova variante del virus in questione usa il WMI ( Windows Management Instrumentation) per eseguire i contenuti scaricati dal malware e criptare i dati sul pc infetto. Questa tecnica riesce ad eludere anche i sistemi di sicurezza basati sul riconoscimento del comportamento dei file.


ATTIVITA’ DEL CRYPTOWALL
Una volta che il virus è stato scaricato sul pc consente a sconosciuti il pieno accesso alla macchina, con i seguenti rischi:
  • Il furto delle credenziali per il Web browser e dei contatti e-mail
  • La disattivazione del Windows Security Service
  • Il download e l’attivazione del Ransomware usando il WMI

giovedì 10 marzo 2016

Dati in cassaforte, ma sempre a portata di mano! Ecco le soluzioni iStorage!

iStorage offre soluzioni di storage cryptate in hardware AES256bit con attivazione a mezzo PIN! I tuoi dati e dei tuoi clienti e del tuo business in generale saranno letteralmente in una cassaforte! E non rischierai più nulla se perdi o se ti rubano la chiave USB o i dischi. Tutte le soluzioni sono certificate FIPS 140-2 livello 2 o 3. Una soluzione indispensabile per aziende, scuole, governi, sanità, istruzione, viste le sempre più stringenti normative in termini di protezione di dati.

Che cosa è la crittografia AES 256-bit?

è un algoritmo di cifratura a blocchi utilizzato come standard dal governo degli Stati Uniti d'America, che lo ha adottato dopo 5 anni di affinamenti e standardizzazioni. Rispetta standard di sicurezza di livello militare. Rende i dati illeggibili a meno che non si disponga della chiave di decriptazione. Ha ottenuto la certificazione FIPS che indica formalmente che i prodotti iStorage rispettano gli standard di sicurezza richiesti dal governo degli Stati Uniti.


                             DISCO ESTERNO portatile sicuro con USB 3.0



  •  Fips 140-2 livello 2.
  •  Indipendente dal sistema operativo.
  •  Indipendente dalla piattaforma.
  •  PIN Ammin. e fino a 5 PIN users.
  •  Crittografia Militare AES256bit.
  •  Resistente all'acqua e alla polvere.
  •  Fino a 8TB.
  •  Sia normale che SSD.
                               CHIAVE DI MEMORIA UBS 3.0, ultra veloce, ultrasicura

  •  Fips 140-2 Liv 3.
  •  Indipendente dal Sistema Operativo.
  •  Indipendente dalla piattaforma.
  •  PIN Ammin. e PIN User.
  •  Blocco automatico.
  •  PIN per cancellare i dati.
  •  Funzione read only.
  •  Fino a 250GB.
  •  IP 58 resistente ad acqua e polvere.
  •  Sia normale che SSD.

istorage.jpg
VISITA LA PAGINA DI iSTORAGE
1.tutte le chiavette e gli hard disk
2.tutte le caratteristiche tecniche

3.tutte le certificazioni di sicurezza
http://istorage.s-mart.biz/


CBT-Locker alert! Oggi cripta anche i siti web!




E’ in diffusione una nuova variante del ransomware CBT-Locker.
Stavolta, invece di infettare i file dei PC degli utenti, cripta i file dei siti web e li mette offline.
Cripta i file secondo l’algoritmo AES256 e chiede circa 0.4 bitcoin di riscatto.

Sul sito web apparirà un messaggio in inglese
“Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.”

lunedì 7 marzo 2016

Ransomware alert! Attenzione a Cerber!


C’è un nuovo ransomware che sta colpendo vari utenti e per il quale abbiamo già ricevuto alcune segnalazioni. Quando colpisce, cripta i dati dell’utente usando la criptazione AES e richiede un riscatto di circa 1.24 bitcoin per rimettere in chiaro I file. Attualmente non esistono vie conosciute per decriptare i file, quindi prestate assolutamente attenzione alle mail e ai siti in cui navigate.
Pare si diffonda tramite siti commerciali e si ha notizia di molte diffusioni a causa della navigazione su forum di origine russa.

Che cosa fa?
Per prima cosa Cerber fa un test che controlla se la vittima proviene da un paese in particolare.
Se la vittima proviene da Armenia, Azerbaijan, Belarus, Georgia, Kyrgyzstan, Kazakhstan, Moldova, Russia, Turkmenistan, Tajikistan, Ukraine, Uzbekistan il ransomware si auto-termina e non cripta il PC. Se la vittima non proviene da uno di questi paesi, Cerber si auto installa nella cartella

%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\

Applicazioni non desiderate: non dare il tuo pc in pasto agli hacker!

Che cosa sono le Applicazioni potenzialmente indesiderate? (PUA)
 
Di solito sono legate ad un software genuino che è disponibile gratuitamente online e sono di solito provenienti da siti poco popolari o non affidabili.
Tra le PUA possiamo includere spyware, adware, downloader. Sono così definite perché quasi sempre sono scaricate dall’utente erroneamente o senza consapevolezza. Questo accade soprattutto nei casi in cui gli utenti non leggono il contratto del software appena scaricato.

I
n casi più rari alcuni link ingannevoli portano conseguenze più gravi, come i ransomware
ecc..


martedì 1 marzo 2016

6 consigli per capire al volo quali app sono dannose per il nostro Android



Qual’è la prima cosa che facciamo non appena mettiamo le mani sul nostro nuovo scintillante cellulare? Nessun dubbio! Scarichiamo app di ogni tipo: giochi, app per messaggi, sfondi, utility e così via. Ma attenzione! Siamo davvero prudenti rispetto a ciò che scarichiamo sul nostro telefono?

Purtroppo la maggior parte di noi non lo è. Il Google Play Store è spesso protagonista di notizie a causa del fatto di essere infestata da app false o dannose. E questo è il motivo per cui dobbiamo tenere sempre gli occhi aperti per tutte le app che abbiamo installato sul nostro telefono, al fine di assicurarci di non finire nel mezzo del terreno di caccia di hacker e truffatori. Quindi qui ci sono alcuni semplici consigli su come identificare false app nello store di Google Play: se puoi, annotali!

Identificare false app su Android