lunedì 31 luglio 2017

WannaCry ha fatto scuola: individuati trojan bancari che si diffondono come worm entro le reti locali


Due trojan bancari -Emotet e Trickbot- hanno aggiunto componenti di auto-diffusione per aumentare le proprie possibilità di infettare quante più macchine possibile entro la stessa rete. 

E' una novità perché, fino ad oggi, i trojan bancari non hanno implementato moduli di auto diffusione nel tentativo di rimanere più a lungo possibile non individuati nei dispositivi infetti e di poter rubare informazioni senza dare possibilità alle vittime di rendersene conto. Il successo di WannaCry e, poco dopo di Not Petya, entrambi con moduli di auto-diffusione che hanno permesso loro la virulenza per i quali sono diventati famosi, hao fatto tornare in voga le componenti worm. 

Emotet
Il primo trojan bancario dotato di componenti di self-spreading ad essere individuato è stato Emotet.

giovedì 27 luglio 2017

FruitFly: una famiglia di malware e spyware per il Mac


E' stata individuata una nuova variante di spyware per i sistemi macOS: questo spyware è conosciuto come FruitFly. 

La particolarità di questo spyware è la longevità del suo anonimato:è stato individuato solo nel Gennaio del 2017, ma si scopri che era attivo e in circolazione da almeno due anni, senza però venire mai individuato né dai comuni antivirus commerciali né dagli strumenti di sicurezza integrati nel sistema operativo macOS.

A seguito della scoperta Apple ha emesso un aggiornamento di sistema che blocca il download e l'esecuzione del malware, limitando in conseguenza le infezioni.

mercoledì 26 luglio 2017

Unicredit Hacked: fuga dei dati di 400.000 clienti


Stamani mattina
Unicredit Banca ha diramato un nota ufficiale nella quale afferma di aver subito una intrusione informatica in Italia. Nel dettaglio la Banca dichiara accessi non autorizzati a dati riguardanti clienti italiani, relativi però solo a prestiti personali. I dati fuoriusciti, si legge nella nota, non comprenderebbero né password né codici per autorizzare transazioni bancarie, ma dati anagrafici dei clienti e i loro IBAN.

L'accesso sarebbe tramite un partner commerciale esterno italiano, ma la nota non rende chiaro se

martedì 25 luglio 2017

Risolvibile il Ransomware Scarab


Il Ransomware Scarab è una variante di Hidden Tear, un ransomware open-source rilasciato nel 2015 usato sia a fini di studio che per fini criminosi. I nostri tecnici sono in grado di risolvere quest'infezione: chi avesse subito questo attacco può scriverci alla mail alessandro@nwkcloud.com e/o visitare il sito www.decryptolocker.it

Come si diffonde
I vettori di diffusione del ransomware Scarab sono email di spam contenenti allegati che veicolano l'eseguibile del ransomware. 

Come cripta i file
Gli allegati, di solito .zip., contengono l'eseguibile del ransomware: l'exe viene di solito copiato nelle cartelle di sistema. L'esecuzione del .exe comporta l'infezione: per prima cosa il ransomware esegue

giovedì 20 luglio 2017

I tuoi server web davvero al sicuro? Verificalo con un penetration test gratuito


I ransomware WannaCry e Petya sono stati protagonisti, per qualche settimana, delle cronache riguardo il cyber-crime. La virulenza impressionate che li ha contraddistinti è stata possibile a causa del fatto che entrambi hanno sfruttato, tramite l'exploit kit Eternal Blue, una vulnerabilità presente nel protocollo SMBv1. Vulnerabilità che era stata risolta ben 2 mesi prima dell'inizio della diffusione di WannaCry: se si fosse proceduto  all'installazione massiccia della patch, WannaCry non avrebbe costituito uno dei più grossi attacchi ransomware della storia. 

Exploit kit e Brute-Force Attack sono solo alcuni tipi di attacco che un sistema può subire e i cui effetti possono essere molto gravi per aziende e utenti.

Abbiamo perciò ritenuto utile offrire gratuitamente un servizio di "Penetration test":  mettiamo a

mercoledì 19 luglio 2017

[STRONGBOX] Disponibile la nuova versione della App Strongbox Cloud 1.3 per iPhone e iPad


Strongbox è la soluzione di backup in cloud che ti libera da ogni preoccupazione, perché archivia e protegge i tuoi file dopo averli portati al sicuro in cloud. StrongBox permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device - anche dal tuo tablet o smartphone - attraverso l'app dedicata.
E' ora disponibile al download la nuova versione (1.3) della App StrongBox Cloud per iPad e iPhone. Sono state introdotte alcune novità e risolti alcuni bug. Così il tuo backup è sempre con te!

NOVITA' :

martedì 18 luglio 2017

La famiglia Cryptomix cresce ancora: ecco EXTE Ransomware


La famiglia Cryptomix è abbastanza florida: CryptoShield, il capostipite, conta ben 3 versioni. Revenge è stato abbandonato pochi mesi dopo la messa in distribuzione, ma solo perché è stato sostituito da MOLE. MOLE ha 2 versioni ad oggi entrambi decriptabili. Per questo il o i cyber-criminali dietro questo gruppo di ransomware stanno distribuendo due nuove versioni: uno è Azer (ne abbiamo già parlato qui) l'altro è stato individuato qualche giorno fa e si chiama Exte Cryptomix. 

Cambiamenti nella variante Exte Cryptomix.
Se, tendenzialmente, il meccanismo di criptazione non ha subito grandi modifiche tra una versione e

lunedì 17 luglio 2017

Varie campagne di spam stanno distribuendo il ransomware NemucodAES e il trojan Kovter. Fate attenzione!


Un ricercatore del SANS Insitute Internet Storm Center ha dato notizia di aver individuato circa 2 settimane fa un significativo incremento di campagne di email di spam finalizzate alla diffusione del ransomware NemucodAES e del trojan Kovter.

Queste campagne sono ancora in corso: attenzione a non aprire email dubbie o provenienti da mittenti sconosciute. Evitare sopratutto l'apertura di eventuali archivi allegati!

Le email di spam
Le email di spam sono di vario tipo: le prime individuate dal SANS Institute sono email di spam provenienti da un finto account mail di UPS (United Parcel Service), il famoso corriere espresso statunitense. Queste email contengono archivi .zip contenenti file javascript finalizzati al download

venerdì 14 luglio 2017

Eternal Blues: disponibile il tool per la verifica delle vulnerabilità sfruttate da EternalBlue.


Il ricercatore di sicurezza Elad Erez ha creato un tool, denominato Eternal Blues, che può essere usato dagli amministratori di sistema per verificare se i computer della propria rete siano o meno vulnerabili ad exploit con EternalBlue, l'exploit kit rubato all'NSA e responsabile delle infezioni di WannaCry, NotPetya e ormai una altra lunga lista di ransomware e malware minori. 

Nell'ambiente della sicurezza IT EternalBlue è considerato uno dei più potenti exploit mai visti: una prova della sua efficacia e della capacità di creare minacce virulente sono stati per l'appunto i due massivi attacchi con WannaCry e NotPetya. Come abbiamo già detto EternalBlue sfrutta la

giovedì 13 luglio 2017

[CASE STUDY] I dati sensibili di 14 milioni di utenti esposti sul web


Parliamo di un caso reale, perché nulla come la realtà può dare indicazioni rispetto alla crescente attenzione che è ormai d'obbligo riservare alla sicurezza dei dati e alla privacy dei clienti delle aziende (e non solo). 

I dati sensibili di circa 14 milioni di utenti Verizon sono stati esposti online fino a qualche giorno fa a causa del fatto che un contractor di terza parte ha dimenticato di limitare gli accessi esterni ad un server Amazon S3 che ospita un servizio di storage in cloud.

La scoperta è del gruppo di ricercatori di UpGuard, una compagnia di cyber-sicurezza che denuncia

mercoledì 12 luglio 2017

Esistono malware per Mac? Si e tra i più diffusi c'è un Miner di criptovalute


Il Mining di cripto-valute è ormai diffusissimo: in parole semplici si tratta di guadagnare Bitcoin o altri tipi di cripto-moneta per svolgere il compito di verificare che le transazioni avvengano in modo lecito e sicuro e per evitare la cosidetta "doppia spesa" (cioè che si possano usare gli stessi bitcoin per eseguire due diversi acquisti). Il termine "Mining" ( Miner indica invece il soggetto che esegue il compito di mining) significa letteralmente "estrazione", ma forse è fuorviante. I miner infatti mettono a disposizione la potenza di calcolo dei propri pc per eseguire i maxi calcoli

martedì 11 luglio 2017

Panic button: Google introduce il pulsante d'emergenza per Android


Esistono e sono in diffusione malware molto sofisticati che colpiscono i sistemi Android. Altri invece sono alquanto "rozzi": parliamo ad esempio di quei  malware pensati per "piazzarsi" sullo schermo e impedire all'utente di chiudere le app. Google, con Android 7.1, introduce il cosidetto "panic button", che consente agli utenti di chiudere immediatamente qualsiasi app l'utente sospetti essere infetta da malware. 

La caratteristica è per ora aggiunta come opzionale nel sistema operativo Android, presente nel file config.xml: attualmente è disabilitata . I settaggi sono nel file PhoneWindowManager.java

4 pressioni per uscire da ogni app
Stando ai settaggi previsti nei due file, qualora Google decidesse di abilitare questa funzione, all'utente basterebbero 4 rapide pressioni sul bottone di emergenza per far si che Android chiuda

lunedì 10 luglio 2017

Due app sul Google Store diffondevano il ransomware per Android LeakerLocker.


Individuate qualche giorno fa su Google Play due app usate come vettore per la diffusione di un ransomware per Android: LeakerLocker. LeakerLocker non è un ransomware finalizzato alla criptazione dei file: semplicemente blocca il dispositivo e minaccia l'invio di dati privati e sensibili agli amici della lista contatti della vittima. Una forma di doppio ricatto per ottenere il riscatto.

Come viene distribuito?
Il ransomware era integrato in due app dal nome "Wallpapers Blur HD" (app per il cambio di wallpaper)  e "Booster & Cleaner Pro" (app per la pulizia della memoria degli smartphone). 

venerdì 7 luglio 2017

Nuovo ransomware della famiglia CryptoMix: risolto Mole02 spunta AZER.


Pochi giorni dopo il rilascio del decrypt per Mole02, è stata individuato un nuovo membro della famiglia CryptoMix, la variante Azer.

Tendenzialmente le differenze nel meccanismo di criptazione sono praticamente nulle, ma ci sono alcune modifiche in questa versione che elenchiamo sotto.

Le differenze della variante Azer

1. La nota di riscatto
La nota di riscatto ha cambiato nome
 _INTERESTING_INFORMACION_FOR_DECRYPT.TXT. e sono stati cambiati anche gli indirizzi di contatto webmafia@asia.com o donald@trampo.info

giovedì 6 luglio 2017

Risolvibile il ransomware MOLE V.2.0


Ogni tanto una buona notizia! Gli esperti di Bleeping Computer hanno rilasciato un tool di decriptazione gratuito per il ransomware MOLE v.2.0 della famiglia CryptoMix.

Le vittime del ransomware MOLE 2.0 possono facilmente individuare la variante dalla maniera in cui rinomina i file criptati. MOLE 2.0 modifica infatti il nome dei file con una serie di caratteri random e modifica l'estensione degli stessi in MOLE02.

lunedì 3 luglio 2017

Cerber ancora una volta in diffusione, ma con un nuovo nome


E' stata individuata, in diffusione nel web, una nuova versione di Cerber, il ransomware CRBR ENCRYPTOR. In realtà è improprio definirla "nuova versione" in quanto l'unico cambiamento saliente è stato, appunto, il cambio di nome. Esattamente come per le altre versioni, anche questa non ha soluzione.