Facebook bandisce annunci ingannevoli per criptovalute e opzioni binarie

Facebook, il più grande social network di Internet, ha oggi diffuso la sua nuova politica riguardante la pubblicità, nella quale ha bandito tutti gli annunci di criptovalute e ICO (Initial Coin Offerings).

GandCrab un nuovo Ransomware distribuito tramite Exploit Kits

AGGIORNAMENTO: GandCrab è risolvibile. Chi avesse subito una infezione da parte di questo ransomware può scriverci alla email alessandro@nwkcloud.com, inviandoci due file criptati e la richiesta di riscatto.
_________________________________________________________________________________

Un nuovo ransomware chiamato GandCrab è stato rilasciato verso la fine della scorsa settimana e attualmente viene distribuito tramite exploit kit. GandCrab ha alcune caratteristiche interessanti mai viste prima in un ransomware, come ad esempio, accettare la valuta DASH e utilizzare il dominio .BIT di Namecoin. 

Per il momento non c'è modo di rimettere in chiaro i file criptati da GandCrab gratuitamente, ma la soluzione è in fase di studio ransomware.

Come si diffonde?

Secondo i ricercatori GandCrab è attualmente distribuito attraverso una campagna di malvertising chiamata Seamless, che indirizza i visitatori verso l'exloit kit RIG. L'exploit kit tenterà quindi di utilizzare le vulnerabilità presenti all'interno del software del visitatore per installare GandCrab senza la sua approvazione. Se L'exploit kit riesce ad installare il ransomware, probabilmente la vittima non si renderà conto di essere infetta fino a quando non sarà troppo tardi.

Il pagamento

Aggiornamenti per la vulnerabilità Spectre: Windows fa marcia indietro

Il 27 gennaio 2018, Microsoft ha rilasciato un aggiornamento di emergenza out-of-band per Windows che disabilita le patch precedentemente rilasciate per mitigare gli attacchi Spectre di tipo 2 (CVE-2017-5715).

L’aggiornamento riguarda le seguenti release dei sistemi Microsoft Windows:

• Windows 7 Service Pack 1
• Windows 8.1
• Windows 10
• Windows 10 Version 1511
• Windows 10 Version 1607
• Windows 10 Version 1703
• Windows 10 version 1709
• Windows Server 2008 R2 Standard
• Windows Server 2012 R2 Standard

Intel ha di recente ammesso che gli aggiornamenti del firmware rilasciati fino ad ora per i propri 

Router D-Link sotto attacco: il worm Masuta crea la sua botnet

I router D-Link, diffusissimi, sono sotto attacco. Il worm in questione si chiama Masuta, dal giapponese "maestro": un worm piuttosto all'avanguardia e particolare, che si sta diffondendo a ritmi allarmanti. E' stato individuato dai ricercatori di NewSky Security già in Settembre, ma non aveva destato particolari allarmi. Fino alla versione attualmente in diffusione. Come si vede dal grafico, a Dicembre già 1400 IP erano riguardati dall'infezione. Ad oggi siamo già a 2400. 

Massiccia campagna di spam distribuisce trojan bancari a vittime (anche di altissimo livello) italiane

L'Italia è sotto attacco: Yoroi, gruppo di cyber sicurezza italiano, ha intercettato una campagna massiva di invio di messaggi di posta elettronica contenenti link dannosi che sembrano provenire dal Ministero dell'Economia e delle Finanze. Sotto attacco sono principalmente aziende italiane, ma anche enti pubblici, tra i quali il Ministero degli Interni e la Camera dei Deputati. 

L'email

La mail sembra provenire appunto dal Ministero dell'Economia e delle Finanze e ha, tendenzialmente, due oggetti:

- Codici Tributo Acconti
- F24 Acconti-Codice Tributo 4034

Gli attaccanti molto probabilmente sono italiani: la cosa è deducibile non solo dal fatto che l'email è

Il nuovo ransomware desuCrypt: come cripta e come risolvere l'infezione

Bleepingcomputer ha scoperto una versione modificata del progetto ransomware open source desuCrypt. La nuova versione viene utilizzata come codice base per una nuova famiglia di ransomware attivamente distribuita. Attualmente sono due le varianti distribuite, una con l'estensione .insane e l'altra con estensione .DEUSCRYPT.

La buona notizia è che esiste già decryptor efficace, stato rilasciato per entrambe le versioni. 

Ancora ransomware: ecco KillDisk

E' certamente vero che i ransomware stanno perdendo terreno nella classifica degli strumenti preferiti dai cyber criminali per ammassare profitti. Anche se gli attaccanti propendono ad oggi più per quanto attiene al mondo del "mining" di cripto valute (ne abbiamo diffusamente parlato qui e qui), cioè non significa che i ransomware siano scomparsi. Anzi.

Ecco KillDisk

KillDisk non è propriamente una novità: inizialmente era un Disk Wiper, ovvero non un ransomware

SkygoFree: il primo software spy made in Italy

L'Italia si conferma in grave difficoltà rispetto la cyber-sicurezza, ma, al contrario, torniamo in testa alle classifiche per quanto riguarda il cyber-spionaggio. E' stato infatti individuato di recente uno dei più avanzati software spia per Android mai programmati ed è italiano. 

L'italianità del malware si capisce già dal nome (Skygofree), dato che è stato diffuso facendo credere che fosse un app per guardare a scrocco i canali della celebre Pay TV italiana. Ma è tutta italiana anche la diffusione, non solo il software in sé.

SkygoFree è stato distribuito negli ultimi 3 anni attraverso una serie di pagine Web ed ha subito diverse modifiche che lo hanno ulteriormente affinato e reso più efficace. All'inizio infatti il malware era piuttosto rudimentale e privo di qualsiasi tecnica di offuscamento del codice, fondamentale per passare inosservati ai controlli dei software di sicurezza. 

Le ultime versioni invece sono un vero e proprio capolavoro: il malware ad oggi è un malware modulare con funzioni di spionaggio molto innovative. 

Che cosa fa?

La Botnet Satori "ruba" i software per il mining di criptovalute.

Una nuova variante della botnet Satori è appena tornata alla vita e questa versione attacca le piattaforma di mining Claymore sostituendo le credenziali per il mining della vittima con quelle dell'attaccante. L'attacco è iniziato l8 Gennaio, stando all'analisi di Qihoo 360 Netlab.  L'analisi del codice del malware ha reso concordi i ricercatori rispetto al fatto che dietro questo malware vi sia la stessa persona/gruppo che sta dietro al malware Satori. 

Breve storia della Botnet Satori

La botnet Satori ha debuttato nei primi giorni di Dicembre ed è una versione pesantemente rimodificata del malware Mirai (ne abbiamo parlato già qui).

Spectre e Meltdown: nuovo aggiornamento - gli update fino ad ora in distribuzione e i modelli vulnerabili

Intel, AMD e altri produttori di CPU hanno cominciato a rilasciare aggiornamenti del microcodice CPU (firmware) per i modelli di processori affetti dalle vulnerabilità Meltdown e Spectre. Gli aggiornamenti adesso sono arrivati ai produttori di schede madre che ora stanno integrando queste patch negli aggiornamenti BIOS/UEFI dei pc interessati. 

Quasi tutti i vendor hanno reso disponibili le patch per il problema, solo alcuni ancora ritardano, ma hanno comunque già annunciato le patch.Le patch software a livello di sistema operativo hanno ampiamente mitigato la falla Meltdown, ma le community di utenti Microsoft e Linux ribadiscono che occorre un firmware per risolvere la vulnerabilità Spectre. 

Da Bleeping Computer riportiamo la lista degli aggiornamenti dei vari produttori e i link per il download degli update BIOS/UEFI oppure scoprire se il proprio computer stia usando o meno una CPU vulnerabile.

Il primo malware Mac del 2018 si chiama OSX/MaMi e dirotta i DNS

Il nuovo anno è appena cominciato e i ricercatori di sicurezza hanno già individuato il primo nuovo ceppo di malware per Mac. Chiamato OSX / MaMi, per il momento sembra solamente un prototipo, ma se mai completato e attivato, potrebbe rappresentare una minaccia particolarmente grave.

La prima vittima del malware sembra essere uno statunitense, che ha sospettato un'infezione da malware dopo non essere riuscito a cambiare i server DNS del proprio Mac.

Caratteristiche

Il WPA2 non basta più: in arrivo il WPA3 con nuove funzionalità di sicurezza

Dopo la minaccia della vulnerabilità KRACK di qualche mese fa la Wi-Fi Alliance annuncia il nuovo standard WPA3. Aumenta così la sicurezza delle reti wifi e vengono introdotte nuove funzionalità.

WPA3 andrà a sostituire WPA2, protocollo di sicurezza che esiste da almeno 15 anni e ampiamente utilizzato da miliardi di dispositivi wireless ogni giorno. WPA2 è stato da tempo considerato non sicuro a causa di un problema, ossia le reti Wi-Fi aperte, non criptate, che consentono a chiunque si trovi sulla stessa rete WiFi di intercettare le connessioni con altri dispositivi.

Sono quattro le nuove funzionalità previste in WPA3:

Spectre e Meltdown: un primo aggiornamento

Gli aggiornamenti rilasciati da Microsoft riguardo ai bug alla base degli attacchi Spectre  e Meltdown (dei quali parlavamo giusto ieri qui) hanno creato non pochi problemi agli utenti. Pubblichiamo prima di tutto le patch per Windows, poi elenchiamo alcuni problemi:

• Windows Server, version 1709 (Server Core Installation)--> vedi qui
• Windows Server 2016--> vedi qui
• Windows Server 2012 R2--> vedi qui
• Windows server 2012--> patch non disponibile
• Windows Server 2008 R2--> vedi qui
• Windows Server 2008--> non disponibile
• Windows 10 (RTM, 1511, 1607, 1703, 1709), Windows 8.1, Windows 7 SP1--> vedi qui

Questi update non risolvono tutte le falle: alcuni pc Windows possono richiedere l'aggiornamento del firmware della CPU per mitigare gli effetti di un attacco Spectre, ma l'update di Microsoft pare principalmente incentrato sulla falla Meltdown.

Apple macOS,iOS, tvOS:

Gravi vulnerabilità nei processori Intel e ARM: Meltdown e Spectre.

Google ha rilasciato da qualche giorno i dettagli riguardanti tre vulnerabilità, sfruttabili con due tipi di attacco chiamati Meltdown e Spectre: inizialmente individuate solo per i processori Intel, Google ha affermato successivamente che le due vulnerabilità riguardano praticamente quasi tutti i processori rilasciati dal 1995 in poi. Google afferma che i due bug possono essere sfruttati per rubare dati processati recentemente nel computer, comprese le password archiviate nei password manager o nel browser, foto personali ed email, messaggi e perfino documenti confidenziali. I bug sono stati scoperti da Hann Horn, ricercatore di sicurezza di Google Project Zero, il gruppo di ricerca sulla sicurezza di Google. 

Le problematiche descritte sono bug a livello di hardware che necessitano di patch software. 

CoffeMiner: come un miner può diffondersi in tutti i dispositivi connessi alla stessa Wi-Fi

Da qualche tempo stiamo segnalando i numerosi problemi conseguenti alla diffusione illegale dei miner di criptovalute. 

Come già detto, questo fenomeno è in crescita e probabilmente sarà uno dei temi del 2018 (a meno che non avvenga un crollo verticale del valore delle criptovalute, del quale già alcuni esperti vociferano). Se un fenomeno è in crescita, è perché, nei fatti, è ritenuto profittevole dai cyber-criminali, che selezionano tra vari tipi di strumenti quello più adatto ad accumulare ricchezze: in questo caso il mondo del mining illegale è quasi agli inizi, ma l'attenzione che smuove è ribadita non solo dal numero e dalla frequenza degli attacchi, ma anche dal miglioramento e affinamento delle tecniche di diffusione e dell'efficacia dello strumento in sè. 

L'Uomo nel Mezzo