giovedì 29 giugno 2017

NotPetya non è un ransomware, ma una cyber-arma a fini di sabotaggio.


NotPetya, il ransomware che negli scorsi giorni ha infettato e bloccato centinaia di computer in tutto il mondo in realtà non è un ransomware: è un disk wiper, ovvero uno strumento pensato per sabotare e distruggere i computer. 

La conferma viene da Comae Technologies e da numerosi altri ricercatori di sicurezza. Gli esperti affermano che NotPetya opera come un ransomware, ma, uno attento studio del codice sorgente rivela che gli utenti non potranno mai recuperare i file. Ma questo non ha nulla a che fare col fatto che un provider tedesco ha chiuso l'account email dell'operatore di NotPetya: infatti,

WannaCry Deja Vù: ancora epidemia ad opera di un nuovo ransomware, un misto tra Petya e WannaCry.


Ancora lo spettro di WannaCry? Dal 27 Giugno un nuovo ransomware ha iniziato a colpire duramente in un numero piuttosto ampio di stati: Regno Unito, India, Spagna, Danimarca ecc... 
Questo ransomware usa come dettagli di conttato la mail wowsmith123456@posteo.net e richiede circa 300 dollari in Bitcoin come riscatto per rimettere i file in chiaro. 

Che tipo di ransomware è?
Inizialmente si è pensato ad una vecchia conoscenza, il Ransomware Petya (del quale abbiamo già parlato qui, qui e qui) dato che questo nuovo ransomware - esattamente come Petya- sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk.
I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere

martedì 27 giugno 2017

Rubare le password dell'email con una finta registrazione


E' una nuova tecnica, ribattezzata PRMitM (Password reset Man in the Middle): induce la vittima a fornire tutti i dati necessari al cambio passwordE' improprio definirlo attacco in quanto, in realtà, è ben più assimilabile al concetto di truffa: PRMitM è una tecnica che non necessita di malware o software dannosi, violazione di siti internet né pagine di phishing. Tutto ciò che occorre è un sito web sotto il controllo dei cyber-criminali che preveda una procedura di registrazione, il resto è pura ingegneria sociale.

Cosa si intende per ingegneria sociale?
Si intende lo studio del comportamento di una persona o di un gruppo di persone, al fine di organizzare meccanismi volti a catturarne l'attenzione e indurre quindi le vittime a rilasciare spontaneamente informazioni sensibili. Si può fare leva sul panico, sull'ignoranza, sul senso di colpa della vittima. 

Password reset Man in the Middle
La truffa inizia con la richiesta di compilazione di un falso form di iscrizione ad un sito web sotto

giovedì 22 giugno 2017

Locky torna sulle scene con una ondata massiva di email di spam



Dopo mesi di silenzio, il ransomware Locky (ancora non risolvibile) torna sulle scene via massive campagne di spam distribuite tramite la botnet Necurs. Fortunatamente però, un difetto del ransomware impedisce di criptare i file sui sistemi operativi Windows più recenti: la criptazione avviene solo su Windows XP e Vista.

La nuova ondata
Il nuovo attacco è stato individuato da molti ricercatori di sicurezza. Il motivo per il quale la criptazione funziona solo su XP e Vista pare essere che gli autori di Locky hanno cercato di sostituire il codice di Jaff con quello di Locky, trascinandosi dietro però diversi errori.

martedì 20 giugno 2017

Risolvibile il ransomware Jaff


Il ransomware Jaff fu individuato all'incirca a metà Maggio del 2017: la prima campagna di distribuzione fu estremamente virulenta, ma non colpì particolarmente in Italia. Ne sono state messe in diffusione varie versioni, con diverse estensioni di criptazione.

Estensioni di criptazione
V.1--> .jaff
V.2--> .wlu
V.3--> .sVn

Come si diffonde?
Jaff è stato diffuso, in tutte le sue versioni, tramite email di spam originate, per quanto riguarda la

lunedì 19 giugno 2017

Istituti finanziari italiani sotto attacco: malware diffusi via email di phishing


Il Cert Nazionale Italiano avvisa che i ricercatori della società Yoroi hanno individuato una pericolosa, quando capillare, campagna di email volta alla diffusione di malware verso organizzazioni italiane di vario genere, ma tutte legate all'ambito finanziario. 

Che cosa fa?
Dalle analisi condotte dai ricercatori di sicurezza su più campioni del malware è emerso che lo stesso è in grado di rubare contatti, credenziali di accesso agli account e i cookie presenti sia nei client di posta che nel/nei browser installati sulla macchina bersaglio. 

Le email di phishing
Le email sono scritte in lingua italiana, hanno oggetti quali "info su bonifico" e "conferma di

venerdì 16 giugno 2017

Cloud Computing: aiuta davvero le imprese? Una panoramica e qualche dato di mercato


Il Cloud Computing, nell'era in cui condivisione, efficienza, velocità di azione e sicurezza sono diventati punti fermi del business aziendale, è ormai uno strumento indispensabile con cui organizzazioni grandi e piccole hanno ottenuto flessibilità e risparmiato rispetto ad infrastrutture tecnologiche poco scalabili e soggette a rapida obsolescenza. Le nuove piattaforme hanno consentito di aggiungere al concetto di scalabilità, proprio delle soluzioni basate sul Cloud, anche quello di semplicità d’uso e di gestione.

Perchè?
Trova la sua origine nella necessità da parte di persone e imprese di infrastrutture avanzate di calcolo

martedì 13 giugno 2017

Il trojan CertLock blocca i programmi di sicurezza disattivandone i certificati



Una nuova tendenza tra i programmatori di adware e programmi indesiderati è quella di installare software di protezione per i propri programmi che rendono difficile l’avvio dei software di sicurezza e pulizia dalle infezioni agli utenti Windows. Questo metodo era già stato usato dal rootkit Smartservice e ora viene nuovamente usato da un programma chiamato CertLock. Dalla fine di Maggio, i forum di sicurezza informatica hanno riportato testimonianze di utenti non più in grado di installare ed eseguire programmi di sicurezza nei propri computer infetti. Infatti, nel momento in cui un utente prova ad avviare uno di questi programmi, viene avvisato dal sistema che il publisher è stato bloccato e non può procedere all'avvio. Si è scoperto che questi problemi sono causati da CertLock che disattiva il certificato dell'azienda di sicurezza nel computer infetto così da non permettere a Windows di avviare il programma.

CertLock disattiva il certificato di sicurezza del venditore

Essendo solitamente rilevato dagli antivirus come trojan Ceram o Wdfload, CertLock viene diffuso

lunedì 12 giugno 2017

MacRansom: Ransomware-as-a-Sevice che mira i sistemi operativi Mac


Molti utenti con sistema operativo Mac potrebbero pensare che il proprio computer sia al riparo da minacce come gli attacchi ransomware e che il proprio sistema sia sostanzialmente “sicuro”. È vero che un utente Mac può essere colpito o infettato da malware meno frequentemente di un utente Windows, ma questo non ha niente a che vedere con il livello di vulnerabilità del sistema operativo. La causa principale è che oltre il 90% dei computer utilizza Windows Microsoft e solo il 6% Apple Mac.

Il portale di MacRansom
Recentemente, i ricercatori di FortiGuard Labs hanno scoperto un Ransomware-as-a-service

giovedì 8 giugno 2017

Operazione Shadowfall: un team di ricercatori mette al tappeto l'Exploit Kit RIG


Negli ultimi mesi, un gruppo di ricercatori ha abbattuto migliaia di siti internet sfruttati dai cyber criminali per diffondere malware. Quest’operazione Shadowfall, come è stata poi chiamata, ha attaccato RIG, uno degli Exploit Kit più attivi negli ultimi mesi: ve ne abbiamo parlato in diverse occasioni, sopratutto come veicolo di distribuzione di una serie di ransomware. I ricercatori hanno individuato tutti i sotto-domini collegati a RIG, creati all’interno di siti web compromessi, attraverso una complessa operazione di intelligence sfruttando i database Whols e incrociando le informazioni dei soggetti che li hanno registrati per individuare altri sotto-domini sospetti.

In che modo diffondevano malware?

mercoledì 7 giugno 2017

WannaCry: alcuni file potrebbero essere recuperabili a causa di errori nel codice del ransomware.



Ha seminato il panico nel mondo, conquistandosi la scena e la ribalta dei maggiori quotidiani internazionali, nonché dei siti specializzati e di settore. Quindi apparirà strano a molti l'affermazione che, in realtà, WannaCry  sia un ransomware di "serie z", quasi archiviabile come ransomware amatoriale. Invece è proprio così, non fosse stato per l'uso degli exploit (quelli si, davvero efficaci) dell'NSA. 

Quello cioè che ha reso famigerato - oltre che famoso- WannaCry è il fatto che grazie ad EternalBlue e DoublePulsar WannaCry ha avuto una diffusione senza precedenti (sopratutto, così dicono le statistiche, contro utenti cinesi, più che contro utenti russi o europei). 

Il codice di WannaCry è pieno di falle
La maggior parte dei ransomware usa una procedura a più stadi per criptare i file e quindi poter 

martedì 6 giugno 2017

Fireball: il malware cinese che ha già infettato 250 milioni di computer


I ricercatori di sicurezza di Check Point hanno scoperto recentemente una massiccia campagna di distribuzione di un malware che ha già colpito 250 milioni di utenti da tutto il mondo. Il malware viene distribuito principalmente in "bundle" con prodotti software della società di marketing digitale Rafotech (o Rafo Technology, Inc.), con base a Pechino, Cina. Il malware installato, chiamato Fireball, si appropria dei dispositivi infettati e li trasforma in “zombie”. Fireball ha dalle caratteristiche tecniche che lo rendono non dissimile da un normale trojan:

lunedì 5 giugno 2017

EternalBlue, uno strumento in mano ai cyber criminali


ETERNALBLUE , un exploit dell’NSA che attacca il protocollo SBMv1, diffuso dal gruppo di cyber-criminali Shadow Brokers a metà Aprile, è diventato uno strumento facilmente reperibile ed utilizzabile dagli sviluppatori di malware. La notorietà di questo strumento viene dal successo che ha avuto come parte del meccanismo di diffusione del ransomware WannaCry, dove è stato usato assieme ad un altro strumento dell’NSA chiamato Doublepulsar per aiutare il ransomware ad infettare computer tramite le porte SMB non protette. 

ETERNALBLUE l'exploit dei malware moderni
Dopo che il ransomware WannaCry è diventato il più famoso incidente di cyber sicurezza conosciuto
fino ad ora, i fatti mostrano che altre famiglie di malware hanno usato exploit ETERNALBLUE prima di WannaCry. 

Facciamo qualche esempio:
  • Proofpoint ha scoperto l’impiego dell’exploit ETERNALBLUE da parte del malware miner Adylcuzz 
  • Cyphort  ne ha segnalato l'uso nei vari trojan per accesso remoto (RAT) usati in Cina
Dopo l’ondata di attacchi del ransomware WannaCry, le cose sono peggiorate: ad esempio Benkow,

giovedì 1 giugno 2017

Il Ransomware PEC 2017 "si è suicidato": disponibile il tool di decriptazione gratuito


NB: in fondo all'articolo è disponibile il tool di decriptazione gratuito. Non possiamo garantire il totale recupero dei file. Non ci assumiamo responsabilità di eventuali danni ai file o alla macchina. In ogni caso svariati test hanno avuto esito positivo. 


Tutto è bene quel che finisce bene, in questo caso è del tutto corretto dirlo: tempo fa vi abbiamo illustrato il ransomware PEC 2017, pensato appositamente per colpire le aziende italiane. Tutto il ransomware era "italianissimo".

Ricordate?