giovedì 14 dicembre 2017

La botnet BrickerBot si ritira dopo aver raggiunto 10 milioni di dispositivi


L'autore di BrickerBot va in pensione e lo annuncia tramite una email a Bleeping Computer. Nel corso del progetto da lui chiamato "Internet Chemotherapy", iniziato nel Novembre 2016, ha infettato circa 10 milioni di dispositivi IoT. 

Cos'è BrickerBot
Individuato per la prima volta soltanto nell'Aprile 2017, BrickerBot ( ne abbiamo già parlato qui) è un malware creato per infettare i dispositivi IoT facendoli diventare nodi di una botnet. Opera scansionando Internet per individuare eventuali dispositivi vulnerabili, quindi usa un codice exploit per guadagnare un punto di accesso nei dispositivi vulnerabili per sovrascrivere il flash storage dei dispositivi con dati random. I dispositivi infettati spesso devono essere reinstallati o in certi casi rimpiazzati perché il malware riscrive il loro firmware.

Perchè BrickerBot?

martedì 12 dicembre 2017

Trovato un keylogger preinstallato nei notebook HP


HP ha rilasciato un update per i driver di centinaia di diverso modelli di notebook per rimuovere del codice di debug che un attaccante potrebbe usare come componente keylogger. 

Cos'è
Il componente in questione è il file SynTP.sys, contenuto nel driver Synaptics Touchpad integrato nei notebook HP. La funzione è disattivata per impostazione predefinita, ma può essere attivata semplicemente modificando il valore di una voce di registro.

La chiave di registro è
HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando

giovedì 7 dicembre 2017

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.


I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa.

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:

martedì 5 dicembre 2017

Ransomware Shadow: la nuova versione della famiglia BTCWare


E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

venerdì 1 dicembre 2017

Google impedirà ai software di terze parti l'injection code in Chrome.


Google nella giornata di ieri, con un post sul blog Chromium, ha annunciato alcune novità importanti per gli utenti del browser Chrome. Dalla metà del prossimo anno, in maniera tale da migliorare le prestazioni e ridurre i crash causati dal software delle terze parti su Windows,  non sarà più consentito alle app di terze parti di iniettare codice all'interno di Chrome. Le "prime vittime" di questa modifica saranno proprio gli antivirus e altri software di sicurezza, i quali spesso eseguono l'injection code nei processi del browser per intercettare e scansire malware, pagine di phishing e altri rischi. 

martedì 28 novembre 2017

Gravi Falle nelle CPU Intel : 900 modelli di PC di diversi produttori a rischio


L'azienda Intel in questi giorni si è trovata a far fronte ad un grave problema legato alla sicurezza di funzioni e componenti dei suoi processori e che coinvolge e mette a rischio attacco informatico una gran quantità di computer e milioni di utenti. Le vulnerabilità sono state individuate all'interno di alcuni componenti firmware come Intel Management Engine, Server Platform Services e Trusted Execution Engine sebbene la più grave riguardi Intel ME. Il primo allarme lo ha dato Intel stessa, pubblicando un alert riguardante alcune vulnerabilità che potete leggere qui.

I rischi alla sicurezza del computer:
Queste vulnerabilità potrebbero consentire ad un pirata informatico
  • l’installazione sul computer della vittima di rootkit  
  • buffer overflow a livello del kernel, 
  • malfunzionamenti e crash e tutta una serie di altri processi  che potrebbero favorire l'attività criminale di qualsiasi attaccante.
L'annuncio di Intel

venerdì 24 novembre 2017

Il ransomware Scarab distribuito con una massiva campagna di spam.


Il ransomware Scarab (ne abbiamo parlato qui, ricordiamo che la versione 1.0 è risolvibile ), è stato individuato per la prima volta a Giugno: ora è in diffusione attraverso milioni di email di spam lanciate dalla botnet Necurs, la più grossa botnet per l'email spamming. La campagna è cominciata alle prime ore del mattino di ieri.

Necurs sta diffondendo milioni di email di spam
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab. 

mercoledì 22 novembre 2017

Condivisione sicura dei documenti? Noi vi proponiamo AWDoc!


Qualunque azienda, indipendentemente dal settore in cui opera, dalle dimensioni e dalla collocazione geografica, ha fra le sue principali necessità quella di adottare sistemi in grado di assicurare la totale protezione delle informazioni sensibili, utilizzate e condivise ai fini dello svolgimento delle attività quotidiane.  Una questione di buon senso a protezione della confidenzialità dei dati aziendali e di quelli che riguardano i clienti. Ma ormai anche una questione legale, dato il 25 Maggio 2018 rappresenta la data ultima, la death line, per l’adeguamento al GDPR- il General Data Protection Regulation (Regolamento UE 2016/679).

Quali necessità per le aziende dell’era IT?

martedì 21 novembre 2017

Ennesima ondata di app compromesse sbarca nel Play Store di Google: arrivano i malware multi-stage


Un'altra ondata di app dannose si è infiltrata nell'app store ufficiale di Android. Il malware BKY infatti è stato riscontrato in 8 diverse app sul Google Play: le 8 app sono già state segnalate a Google. Nessuna delle app in questione ha ottenuto più di un centinaio di download, ma riteniamo utile parlarne perchè il problema delle app dannose che superano i controlli preventivi di Google Play è diventato ormai allarmante. 

Qualche tempo fa infatti due falsi WhatsApp sul Google Play hanno registrato più di 1 milione di download, comportando l'infezione degli utenti, un numero impressionante di dati rubati ecc...(ne avevamo già parlato qui). Google sta cercando costantemente di migliorare i meccanismi di sicurezza, ma i cyber-criminali stanno implementando tecniche anti-individuazione sempre più raffinate. 

Qui l'elenco delle 8 app compromesse

lunedì 20 novembre 2017

Nuova variante della famiglia Cryptomix : arriva 0000


Qualche giorno fa, l'ennesima variante della famiglia di  ransomware CryptoMix è stata scoperta:  questa versione aggiunge  l'estensione .0000  ai nomi dei file criptati.  Si tratta, ricordiamo ancora una volta, di una  delle famiglie di ransomware più attive. Sono infatti molte le varianti diffuse nello spazio di pochi mesi, solo quest'ultima si va ad aggiungere alle due nuove varianti  rilasciate nella settimana scorsa. In questo articolo indicheremo le variazioni rispetto alle versioni precedenti della stessa famiglia di ransomware. 

1. La nota di riscatto
Il meccanismo di criptazione non ha subito modifiche. La nota di riscatto  non è cambiata ed è ancora denominata   _HELP_INSTRUCTION.TXT, ma sono state cambiate le email che le vittime devono contattare per ricevere le istruzioni di pagamento del riscatto.  Ecco le nuove email:
  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com

giovedì 16 novembre 2017

Un (grave) bug di sicurezza nell'Editor per le Equazioni di Office consente l'esecuzione di codice dannoso senza interazione dell'utente


Microsoft office ha risolto due giorni fa una gravissima falla nella sicurezza di Microsoft Office: una vulnerabilità sfruttabile che consentirebbe ad un attaccante di eseguire codice dannoso senza nessuna interazione dell'utente. La vulnerabilità in questione, CVE-2017-11882, è stata risolta nell'update November 2017 Patch Tuesday.

La vulnerabilità si trova nel vecchio  Equation Editor.
Individuata dal gruppo di ricerca Embedi, la vulnerabilità riguarda il Microsoft Equation Editor (EQNEDT32.EXE), uno degli eseguibili che vengono installati sul computer degli utenti con la suite di Office. Questo strumento, come indica il nome, consente agli utenti di integrare equazioni matematiche nei documenti Office in forma di oggetto OLE dinamico. Embedi ha scoperto che Microsoft usa ancora la versione di EQNEDT32.EXE compilata nel 2000: esegue cioè un codice molto molto vecchio che si basa su librerie decisamente datate e che è privo di ogni più recente funzione di sicurezza aggiunta ai sistemi operativi Windows.

martedì 14 novembre 2017

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX


In questi giorni,  è stata scoperta la diffusione di una ulteriore variante della famiglia di  ransomware CryptoMix:  questa nuova variante va ad aggiungere l'estensione .XZZX ai nomi del file criptati. La famiglia CryptoMix  si dimostra ancora una volta tra le più attive con l'ennesima variante distribuita nell'arco di poche settimane. Le principali differenze di questa nuova versione del ransomware rispetto alle precedenti riguardano nuovamente le email di contatto per ricevere le istruzioni di pagamento e l'estensione di criptazione aggiunta. Il  metodo di criptazione è rimasto  invece sostanzialmente invariato.

1. La nota di riscatto
La nota di riscatto ha nuovamente il nome  _HELP_INSTRUCTION.TXT  ma adesso,  per contattare le vittime per le istruzioni di pagamento, utilizza le seguenti email :

  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com

lunedì 13 novembre 2017

Nuova campagna di diffusione del ransomware Locky, nella variante .asasin


Due giorni fa è stata individuata una nuova ondata di attacchi con il ransomware Locky, nel dettaglio la variante .asasin. La campagna è ancora in corso. 

Come viene distribuito?
Questa ondata è la solita ondata di mail di spam contenenti un allegato Office Word, non solo però per Microsoft Office ma anche per altri software simili come Libre Office. I documenti contengono l'immagine di una busta e recano un messaggio che invita l'utente a fare doppio click sull'immagine per sbloccare il contenuto del documento. 

venerdì 10 novembre 2017

RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis


Finalmente, ogni tanto, una buona notizia. Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: la versione .crysis del ransomware Crysis e la versione XTBL del ransomware Troldesh.

Chiunque sia rimasto vittima di questi ransomware può scrivere all'email alessandro@nwkcloud.com inviandoci due file criptati assieme alla richiesta di riscatto. Ulteriori informazioni qui
Alcune informazioni base per riconoscerli:

1. RANSOMWARE TROLDESH .XTBL
A. Email di contatto collegate:

giovedì 9 novembre 2017

GIBON: nuovo ransomware distribuito via email di spam [risolvibile]


E' notizia di questi ultimi giorni, la scoperta di un nuovo ransomware a scopo di lucro fraudolento, chiamato GIBON. Questo ransomware si distribuisce tramite email di spam con un documento dannoso in allegato: questo documento contiene una macro che è responsabile del download  e dell'installazione del ransomware  sul computer.

Perchè è chiamato GIBON?
Esistono diversi modi per denominare un ransomware quando questo viene scoperto. A volte sono  i ricercatori che, per denominarlo, utilizzano  le stringhe trovate negli eseguibili. Altre volte è invece il malware stesso a  dare le  indicazioni su come andrà  chiamato. Nel caso in questione, il virus è denominato GIBON per  due ragioni : la prima  è la   stringa  ''user agent Gibon'' che è utilizzata quando il virus comunica con il server di comando e controllo.

martedì 7 novembre 2017

Falsi WhatsApp su Google Play fanno più di 1 milione di download.


Google Play sta facendo enormi sforzi per migliorare tutti i meccanismi di sicurezza e vigilanza per la verifica della genuinità delle app che ospita. Il problema è che Google Play è l'app store online più visitato e usato al mondo e questo spiega come mai sia costantentemente nei pensieri dei cyber-criminali, che studiano ogni maniera per aggirare i controlli e mettere in download app dannose/compromesse/manomesse. 

La maggior parte delle volte si tratta di app assolutamente secondarie, che sfruttano la loro posizione "di minor interesse" sperando di passare inosservate (e ci riescono solo per un breve periodo di tempo): in questo caso però il colpaccio è di quelli che fa notizia. 

I falsi Whatsapp
Il 3 Novembre, su Reddit, viene denunciata la presenza, nel Google Play, di una app clone di

lunedì 6 novembre 2017

La crescita del malware super-invisibili grazie alla firma digitale


Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all'acquisto, nel dark web, con un prezzo fino a 1.200 dollari. 

Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di

venerdì 3 novembre 2017

Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing


Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 

Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche

martedì 31 ottobre 2017

Il ransomware Matrix di nuovo in diffusione via exploit kit.


Qualche tempo fa abbiamo parlato del ransomware Matrix: individuato già a partire dal 2016, ma assolutamente minoritario nel panorama delle minacce online. Dopo un lungo periodo di attività sotto traccia, ricompare ad Aprile 2017 con una caratteristica molto particolare: la capacità di diffondersi come un worm (qui più info). La diffusione resta assolutamente secondaria, fino quasi a condannarlo alla scomparsa. Ora è tornato alla carica.

Come si diffonde?
La vecchia versione si diffondeva sfruttando l'exploit kit RIG diffuso via EITest: quella attualmente in distribuzione riconferma l'uso dell'exploit kit RIG_EK. 

lunedì 30 ottobre 2017

Invasione dei miner di cripto-valuta. Ora anche per Android.


I più assidui frequentatori di siti per lo streaming online avranno notato strani rallentamenti del sistema operativo, oppure ancora l'aumento improvviso della temperatura del PC e del lavoro della ventola.. E' in corso una vera e propria epidemia di miner: più si amplia la rete di scambio di moneta virtuale più operazioni si devono svolgere, maggiore è la necessità di potere di calcolo (vedi qui per saperne di più)

I miners in Javascript
L'ultima "moda" è quella di distribuire miner in-browser in JavaScript , una tendenza iniziata ormai a Settembre e che ora sta diventando seriamente preoccupante avendo raggiunto anche app ufficiali nel Google Play Store, ma anche distribuzioni di massa attraverso botnet di siti Wordpress hackerati. Tra questi Coinhive continua ad essere il più pericoloso, perché il più scelto dai cyber-truffatori. 

venerdì 27 ottobre 2017

Anche Bad Rabbit usa exploit rubati all'NSA: implementa ETERNALROMANCE


Due giorni dopo l'attacco ransomware di Bad Rabbit, che ha duramente colpito Russia e Ucraina (ma registrato vittime anche in Germania, Turchia, Stati Uniti ecc..), i ricercatori di sicurezza hanno scoperto altri dettagli riguardo al funzionamento del malware. Inizialmente si era infatti convinti che il meccanismo di diffusione del ransomware dalla vittima iniziale ai computer nella stessa rete passasse dal tentativo di accedere via protocollo SMB usando una serie di credenziali: una nuova ricerca (Cisco Talos e F-Secure) rivela che invece Bad Rabbit ha usato una versione modificata di un exploit dell'NSA per migliorare il processo di diffusione.

Non c'è due senza tre.
E' la terza volta, sono quest'anno, che l'attacco di un ransomware raggiunge livelli di diffusione mondiale sfruttando cyber-armi approntate dall'NSA e pubblicate online dopo l'attacco del gruppo Shadow Brokers che le ha sottratte dall'NSA stessa (per approfondire vedi qui e qui). 

giovedì 26 ottobre 2017

Il trojan bancario LokiBot diventa un ransomware quando si prova a rimuoverlo.


E' stato individuato un trojan bancario per Android, rinominato LokiBot che si trasforma in un ransomware e blocca lo smartphone quando si prova a rimuoverlo con i privilegi di amministrazione. Il malware è più trojan bancario che ransomware. LockyBot funziona mostrando false schermate di login nelle finestre delle app più popolari: cerca di rubare le credenziali delle app per il banking online, ma mira anche a Skype, Outlook e Whatsapp.

N.B: L'infezione E' RISOLVIBILE: vedi in fondo all'articolo. 

In vendita nel web
LokiBot è un in vendita nel web, in alcuni forum di hacking. Il prezzo è di 2000 dollari circa da pagarsi, ovviamente, in Bitcoin. 

mercoledì 25 ottobre 2017

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry


Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell'est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le "vittime eccellenti" l'aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l'Italia riteniamo utile parlarne per l'inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia. 

Come si diffonde?
Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione

martedì 24 ottobre 2017

Arriva Xopero 2.0: tutte le migliorie del backup di seconda generazione.


Siamo felici di annunciare a tutti i nostri rivenditori importanti novità riguardanti i backup di Xopero.
Il backup in Locale cresce e migliora, con nuove funzioni, sistema di reporting migliorato, maggior sicurezza e ripristino semplificato. 

Oltre a ciò, il vendor polacco, specializzato in soluzioni di backup e disaster recovery in cloud, ha annunciato anche l’istituzione di un vero e proprio Partner Program, dedicato sia ai reseller che ai Managed Service Provider (MSP).  L’obiettivo primario è quello di supportare i partner nella crescita del business in cloud e di mantenere la fidelizzazione del cliente finale, con un programma naturalmente diviso in diverse livelli.


Vediamo tutte le migliorie e le proposte nel dettaglio:


lunedì 23 ottobre 2017

Trojan Proton: attacco ai Mac in corso per rubare le informazioni


I server di Eltima, sviluppatore di un software multimediale molto apprezzato dagli utenti MAC come Elmedia Player, sono stati violati. Gli attaccanti sono riusciti a sostituire l'installer originale con una versione che include il trojan Proton.

Trojan Proton: che cosa è?
Il trojan Proton è un malware appositamente pensato per i computer che eseguono sistemi operativi MAC: una volta installato consente agli attaccanti di rubare un gran numero di informazioni dal dispositivo bersaglio. Nel dettaglio Proton punta alle informazioni di sistema:

giovedì 19 ottobre 2017

Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.


Magniber è un nuovo ransomware che viene distribuito attraverso l'exploit kit Magnitude: secondo Bleeping Computer Magniber è il successore di Cerber. Se, infatti, alcuni aspetti di Magniber sono differenti da Cerber, il sistema di pagamento e la modalità di criptazione sono molto simili. 

Il malware è stato individuato da Michael Gillespie su segnalazione di un utente colpito: pochi giorni dopo altri ricercatori scoprivano che l'exploit kit Magnitude, che è stato fino ad ora il distributore di Cerber, aveva cominciato a distribuire un nuovo ransomware (al tempo colpiva specificatamente utenti Sud Coreani).

Leggi anche: Exploit kit as a Service: perchè Ransomware e Exploit kit sono ormai coppia fissa

E' dalla fusione di Magnitude con Cerber che nasce Magniber. Secondo Bleeping Computer vi sono buone possibilità perché il ransomware sia risolvibile: ad oggi, ovviamente, non lo è ancora.

Come si diffonde?

mercoledì 18 ottobre 2017

Il Malware Necurs si potenzia: ruba schermate dai PC infetti e invia report sui propri malfunzionamenti


Le famiglie di malware evolvono ormai su basi quotidiane, ma alcuni update catturano l'attenzione più di altri. Necurs ha appena subito uno di questi aggiornamenti "interessanti". Una precisazione: col nome Necurs si indicano sia una variante di malware che la botnet di computer infetti che il malware ha generato. 

Il malware Necurs è un downloader ed ha solo 3 funzioni principali:
  • ottenere la persistenza in avvio sul PC infetto;
  • raccogliere la telemetria sugli host infetti;
  • scaricare e installare, in un secondo momento, payload.

martedì 17 ottobre 2017

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili


Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

lunedì 16 ottobre 2017

Nuovo ransomware della famiglia CryptoMix: arriva .x1881


Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto
La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

venerdì 13 ottobre 2017

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware


Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

giovedì 12 ottobre 2017

Famiglia ransomware BTCware: individuata una nuova versione, Payday.



E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

mercoledì 11 ottobre 2017

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam


È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.
La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

lunedì 9 ottobre 2017

Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme


Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.

venerdì 6 ottobre 2017

FormBook: il malware impiegato in una nuova campagna di furto dati


Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

giovedì 5 ottobre 2017

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.


Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

mercoledì 4 ottobre 2017

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.


Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo
Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni

martedì 3 ottobre 2017

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti


In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.
In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO
Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

lunedì 2 ottobre 2017

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.


La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento

venerdì 29 settembre 2017

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?


Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.

Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable",  questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.

giovedì 28 settembre 2017

Retefe: il terzo trojan bancario a supportare l'exploit EternalBlue


EternalBlue
è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya

Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è  stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui). 

La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe. 

Retefe e EternaBlue
Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare

mercoledì 27 settembre 2017

CCleaner: 1.646.536 computer colpiti dall'attacco malware. Formattare è la soluzione?


Le stime iniziali circa l’attacco che ha utilizzato CCleaner per diffondere il trojan Floxif (per approfondire) erano fin troppo positive. L’attacco che ha colpito gli utenti che hanno scaricato CCleaner  tra Agosto e  Settembre sembra molto più grave del previsto. Il malware diffuso dai cyber criminali ha infatti infettato 1,646,536 computer.

martedì 26 settembre 2017

Scoperto il primo malware di Android che sfrutta la vulnerabilità Dirty COW


ZNIU è il nome del primo malware Android in-the-wild che usa la vulnerabilità Dirty COW per infettare gli utenti. Dirty COW è una vulnerabilità di escalazione dei privilegi nel kernel di Linux che è venuta alla luce l’anno scorso, nell’Ottobre 2016. La vulnerabilità consente ad un attaccante di elevare il privilegio del codice di attacco al livello "root" e di eseguire operazioni dannose.

Il bug Dirty COW è stato presente nel kernel di Linux per nove anni, fin dal 2007. Al tempo della scoperta, Dirty COW era una 0-day che venne utilizzata contro i server Linux. Una patch fu rilasciata immediatamente.

lunedì 25 settembre 2017

BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.


E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 

Attualmente, le versioni più pericolose sono:
  • Versione 1: .btcware
  • Versione 2: .nuclear
  • Versione 3: .wyvern

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 

venerdì 22 settembre 2017

IoT Botnet invia email spam


Quando si parla di IoT botnet, il riferimento più frequente è quello agli attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) si differenzia da un regolare attacco DoS - effettuato da un singolo hacker che utilizza un solo sistema - in quanto si estende su un raggio d’azione più ampio, attraverso sistemi d’attacco multipli. 

Mentre la maggior parte delle botnet di IoT vengono utilizzate per gli attacchi DDoS, negli ultimi mesi molti ceppi di malware di IoT - solitamente utilizzati per l’assemblaggio di queste botnet - hanno aggiunto delle nuove funzioni. La principale fra queste è la capacità di ritrasmettere il traffico web attraverso l’installazione di un server proxy sui dispositivi infetti

giovedì 21 settembre 2017

Nuovo ransomware della famiglia CryptoMix: ecco SHARK


Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...
Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info

mercoledì 20 settembre 2017

Android e Trojan bancari: qualche aggiornamento e come difendersi


Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.

Red Alert 2.0
L'ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità. 

Che cosa fa?
Red Alert 2.0 ha svariate funzionalità:

martedì 19 settembre 2017

Il Ransomware Locky passa all'estensione Ykcol per i file criptati


Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue. 

lunedì 18 settembre 2017

Una versione compromessa di CCleaner ha diffuso malware per un mese


La versione 5.33 dell'app CCleaner messa a disposizione per il download tra Agosto e  Settembre nel sito ufficiale includeva il malware Floxif.

Che cosa è Floxif?
Floxif è un trojan che raccoglie informazioni riguardo ai sistemi infetti e le invia al proprio server C&C. Il malware ha anche la capacità di scaricare ed eseguire altri programmi dannosi, ma ad ora, non risulta che Floxif stia scaricando payload aggiuntivi in un secondo momento sulla macchina infetta.