In diffusione le ultime due versioni System e Mole66 del ransomware Cryptomix

Due nuove versioni del ransomware Cryptomix

Sono state scoperte altre due varianti del Ransomware Cryptomix, denominate System e Mole66. Per il momento i due ransomware sono stati analizzati solo superficialmente, dunque verranno fornite ulteriori informazioni a riguardo non appena questa verranno scoperte. Inoltre, per adesso non c'è la possibilità di decifrare nessuno dei due ransomware gratuitamente. Vediamo dunque

Microsoft, la patch per correggere Meltdown ha aperto una falla più grave

In passato vi abbiamo spesso parlato di Meltdown (qui e qui) e della sua possibilità di accedere alla memoria della CPU rompendo l'isolamento tra questo e le applicazioni utente. Microsoft aveva messo mano al problema approntando una patch ad hoc per ciascuna versione del proprio sistema operativo. Mentre per le versioni più recenti (da Windows 8 in poi) il problema è stato risolto con successo, ad aver attirato l'attenzione è stata la versione 7, dove non solo la situazione non è stata risolta, ma è stata addirittura aggravata. Per dirla in parole povere, la patch che avrebbe dovuto mettere fine a Meltdown ha invece creato una falla ancor più critica all'interno del Sistema Operativo. L'errore sarebbe stato attribuito agli sviluppatori stessi, rei di aver inserito un bit sbagliato nelle impostazioni responsabili dell'accesso alle aree protette di memoria consentendo il libero accesso a sezioni del kernel normalmente ristrette. 

iOS 11, un bug nella codifica dei codici QR rischia di condurvi su siti pericolosi

Chi ha detto che i dispositivi Apple sono al sicuro da qualunque minaccia? Con il passare degli anni sono emersi nuovi potenziali fattori di rischio che hanno come vittime designate proprio i dispositivi prodotti dalla casa di Cupertino. Con iOS 11, Apple ha introdotto un sistema proprietario per la scansione dei codici QR. La problematica di cui ci occuperemo in questo articolo è emersa proprio sotto forma di falla all'interno di questa nuova funzione. 

Di cosa si tratta

Per poter usufruire di questa nuova funzione è sufficiente aprire la fotocamera del proprio dispositivo ed inquadrare il codice QR che ci interessa. A questo punto verrà mostrato un messaggio che ci chiede se desideriamo aprire il link su Safari, il browser predefinito su tutti i dispositivi Apple. Cliccando sul banner che apparirà abbandoneremo la fotocamera per spostarci sulla pagina web indicata. Ecco, la falla di cui stiamo parlando riguarda proprio questo passaggio. E' stata infatti riscontrata la possibilità che  il sistema venga in qualche modo ingannato facendo in modo che venga visualizzato un sito internet diverso rispetto a quello a cui ci si dovrebbe collegare una volta dato l'assenso post scansione. Questo sarebbe dovuto ad un problema di rilevazione del nome host nell' URL da parte del analizzatore deputato a tale funzione incorporato all'interno della fotocamera. Il bug in questione è dunque una manna dal cielo per truffatori che possono sfruttarlo a proprio vantaggio e indirizzare gli utenti su siti dannosi in maniera inconsapevole. Il problema principale verrebbe da un'errata interpretazione del carattere "@" da parte del sensore quando questo viene inserito fra due indirizzi.

Il ricercatore di sicurezza Roman Mueller ha effettuate alcuni test: ha analizzato un QRcode con il

AVCrypt: il Ransomware (wiper?)che tenta di disinstallare il tuo antivirus e non fornisce contatti per il riscatto

C'è un nuovo arrivato nella già nutrita famiglia dei ransomware. Ribattezzato col nome di  AVCrypt dal nome dell'eseguibile del ransomware stesso av2018.exe, sembra essere in grado di disinstallare i software di sicurezza presenti sul computer prima di dar via alla criptazione. In più, vista la possibilità di  rimuovere numerosi servizi, uno su tutti Windows Update, e poiché non fornisce informazioni di contatto, si pensa che questo malware possa essere più un wiper che un ransomware.: per wiper si intende un programma che cancella i file in maniera definitiva, rendendoli irrecuperabili.

In alcuni casi questo ransomware è chiamato anche LOL, dizione ricorrente nei messaggi di debug riscontrati nella versione in oggetto di studio. Al di là di quale sia il vero nome, quello che ci interessa puntualizzare e spiegare è la peculiarità di AVCrypt: tentare di disabilitare i software di sicurezza in un modo che non avevamo mai visto.

Il DPO: una figura professionale per privacy e sicurezza

Il GDPR, cioè il regolamento europeo sulla protezione dei dati, porterà molte novità per quanto riguarda l'ambito della privacy ed è bene conoscerle il più approfonditamente possibile. Tra le numerose novità che introduce, occupa sicuramente un posto molto importante il DPO. Vediamo di cosa si tratta. 

Chi è il DPO?

Il DPO (acronimo di Data Protection Officer) è una figura professionale, esterna o interna, che ha il compito di gestire il trattamento dei dati personali all'interno dell'azienda (che può essere sia pubblica che privata) con lo scopo di garantire il rispetto delle normative riguardanti la privacy nazionali ed europee. Data la trasversalità della sua professione, è necessario che abbia competenze riguardanti campi

Le campagne CoinMiner si spostano sul cloud

Dopo essere stati una gran piaga per browser e sui server, i malware per il mining di criptovaluta stanno iniziando l'invasione dei servizi in cloud e con discreto successo. Sono ormai molteplici i report che, già dallo scorso mese, indicano questa nuova tendenza: da qualche tempo sono in corso tentativi di ottenere l'accesso ai sistemi Docker e Kubernetes, due tipi di applicazione che sono attualmente alla base di moltissimi servizi di cloud computing. 

Il ruolo di questi due tool è quello di aiutare gli sviluppatori a implementare applicazioni virtualizzate o anche intere configurazioni server ogni volta che l'infrastruttura di una azienda ha bisogno di maggiore potenza di calcolo per gestire picchi di traffico o attività di elaborazione aggiuntive. Quindi, se un attaccante riesce ad accedere a questi sistemi, non solo ottiene l'accesso all'intera società, ma si trova a disposizione una vasta potenza di calcolo. 

Proprio questo indicano gli ultimi report: la stragrande maggioranza dei tentativi di violazione di infrastrutture in cloud sono state finalizzate proprio ad ottenere il controllo di questa enorme potenza di calcolo, strumento assai ghiotto per i "minatori" di criptovaluta.

Gli attacchi ai sistemi cloud sono aumentati nell'ultimo anno

Vulnerabilità critica nel Windows Remote Assistance: può essere sfruttato per rubare dati sensibili

E' stata scoperta una vulnerabilità critica nella funzionalità Windows Remote Assistance (Quick Assist) di Windows,  che riguarda tutte le versioni di Windows fino ad oggi, inclusi Windows 10, 8.1, RT 8.1, e 7: permette agli aggressori di rubare da remoto file sensibili dalla macchina presa di mira. Windows Remote Assistance è un tool built-in che permette a qualcuno di cui ti fidi di controllare il tuo PC (oppure a te di prendere il controllo  da remoto del PC di altri) così che possano aiutarti a risolvere un problema da qualsiasi luogo in tutto il mondo. La funzione si basa sul Protocollo di Desktop Remoto (RDP) per stabilire una connessione sicura con la persona che ne ha bisogno.

La vulnerabilità individuata è la CVE-2018-0878 ed è presente nel Windows Remote Assistance: se sfruttata potrebbe permettere agli aggressori di ottenere informazioni per compromettere

Il trojan RottenSys ha infettato 5 milioni di smartphone Android

RottenSys è un trojan che, per ora, si è limitato a visualizzare insistentemente pubblicità sui dispositivi Android compromessi. E' assai diffuso in Cina, ma non solo, e pare stia iniziando a puntare anche all'Europa: sicuramente è stato individuato su dispositivi Huawei, Xiaomi, OPPO, vivo, LeEco, Coolpad e GIONEE. Ma la notizia non è questa: la notizia è che il malware è stato individuato in quasi 5 milioni di dispositivi e che a brevissimo subirà l'implementazione di un ulteriore modulo che ne aumenterà la capacità di azione sui dispositivi infetti. 

Che cosa fa?

Il trojan è in circolazione dal 2016 e da tempo si sospetta che venga preinstallato (almeno da alcune marche) ancora prima di essere messo in vendita nei negozi. Si presenta come un servizio Wi-Fi, ma, al momento dell'installazione, richiede una serie di permessi che, se concessi, garantiscono a RottenSys una quasi totale libertà di azione, compresa la possibilità di scaricare ed eseguire ulteriore codice. Come detto, fino ad ora si è però limitato a mostrare insistentemente pubblicità.

Perchè è così diffuso?

Facebook e Cambridge Analytica: i nostri dati e la nostra privacy non sono al sicuro?

In questi giorni l'attenzione del mondo dell'informazione è concentrata, giustamente, sulla vicenda che ha coinvolto Facebook e Cambridge Analytica relativa all'acquisizione da parte  di quest'ultima dei dati personali di 50 milioni di utenti Facebook al fine di "orientarne" il comportamento elettorale in concomitanza con  le ultime elezioni americane.

La notizia ha avuto una eco ancor più grande dal momento che Cambridge Analytica si è occupata della campagna elettorale del neoeletto Trump alimentando ancora una volta le voci circa una sua elezione circondata da un alone di mistero. L'inchiesta è stata portata avanti dal New York Times, il Guardian e l'Observer e sono in molti ad averlo già ribattezzato come lo scandalo del secolo. In questo articolo cercheremo di fare chiarezza sui quanto successo e su come fare per proteggere i propri dati e continuare ad utilizzare il social network di Zuckerberg. Procediamo con ordine dunque.

GDPR: quali cambiamenti in materia di consenso ed email marketing?

Il tema del consenso è al centro del GDPR, il nuovo regolamento europeo sulla privacy (che entrerà in vigore il 25 maggio 2018), il cui principale obiettivo è accordare le leggi europee riguardanti, appunto, la privacy. Tutti coloro che trattano dati personali di terzi dovranno tenere conto del consenso come elemento fondamentale riguardante il lavoro che fanno, e come qualcosa di preciso e ben definito. Anche tutti quelli che operano nel mondo dell'e-mail marketing dovranno tenerlo costantemente presente.  

Ma che cos'è il consenso?

Il consenso è un elemento fondamentale per il trattamento dei dati personali (agendo sempre nel rispetto della volontà del singolo utente): infatti è l'utente/cliente che autorizza il trattamento dei propri dati personali da parte di un'azienda, ma è importante ricordare che deve ricevere tutte le informazioni necessarie per poter decidere autonomamente e nella più completa libertà. Riportiamo

Dopo Intel è il turno di AMD: rischio nuovi attacchi alle CPU

L'allarme riguardante gli ultimi processori AMD arriva da parte della società di sicurezza israeliana CTS Labs, la quale, in un report pubblicato di recente, ha dettagliato la presenza di 13 bug riguardanti i processori EPYC, Ryzen, Ryzen Pro e Ryzen Mobile appartenenti appunto alla AMD. La notizia è stata resa pubblica da CTS Labs solo 24 ore dopo la comunicazione alla AMD, un fatto che ha colto l'azienda decisamente di sorpresa. AMD ha dichiarato che sta ancora indagando su tale report per comprendere la metodologia e la validità di tali scoperte. 

Ma di cosa stiamo parlando esattamente? Come si legge in un sito dedicato i CTS Labs avrebbero individuato 4 macro-vulnerabilità, ognuna delle quali ha delle varianti relative. Tutte, in qualche modo, prendono di mira il Secure Processor delle CPU (basato su un chip ARM Cortex M5) e il chipset Promontory usato dai sistemi AMD. La tabella riassume le vulnerabilità che CTS Labs avrebbe verificato e quelle che vengono considerate efficaci a livello teorico sulle diverse CPU.

Attacchi tramite USB: ecco una lista di 29 diversi attacchi, per ricordare la necessità di controlli anche sui dispositivi USB.

Alcuni ricercatori di sicurezza della Ben Gurion University del Negev hanno enumerato, suddividendoli in categorie che tengono conto delle modalità di attacco, 29 diverse tipologie di attacco portati tramite dispositivi USB per compromettere i pc degli utenti. Ne pubblichiamo qualche estratto per ribadire la necessità di verificare la sicurezza delle reti anche da questo punto di vista. L'intero studio è disponibile qui.

4 sono le macro categorie di attacco:

A. Ripogrammando il microcontroller interno del dispositivo USB. Il dispositivo apparirà come un particolare dispositivo USB, in realtà eseguirà una serie di operazioni ben diverse.

B1. Riprogrammando il firmware del dispositivo USB al fine di renderlo capace di eseguire azioni dannose (ad esempio scaricare malware, rubare dati ecc...)

B2. Non riprogrammando il firmware, ma sfruttando le vulnerabilità nella modalità con la quale i sistemi operativi interagiscono normalmente con i protocolli/standard USB.

C. Attacchi elettrici via USB.

Campagna Coinminer bersaglia i Server Windows, Redis e Apache Solr

I server Windows, Apache Solr e Redis sono stati presi di mira da ignoti gruppi di cyber criminali in cerca di macchine vulnerabili per installare malware per il mining di criptovaluta (coinminer). Sono state individuate due diverse campagne, una di Imperva crew, che ha individuato quella contro i server Windows e Redis e una da ISC SANS, che ha individuato invece quella contro le installazioni Apache Solr.

La campagna contro i server Redis e Windows

La più attiva tra le due campagne è stata quella individuata da Imperva, soprannominata RedisWannaMine. E' attualmente ancora in corso e sta scansionando Internet in maniera massiva in cerca di server vulnerabili all'exploit CVE-2017-9805, perché eseguenti versioni obsolete di Redis. Una volta ottenuto l'accesso all'host, la catena di infezione tipica per ora rilevata consiste nella copia del malware ReddisWannaMine che, in un secondo momento, installa il miner di criptomoneta. Ma la campagna ReddisWannaMine mostra anche il comportamento classico di auto propagazione tipico dei worm: ciò è possibile perché gli attaccanti usano gli stessi server infetti per eseguire ulteriori scansioni di massa e eseguire l'exploit su altre macchine bersaglio individuate come vulnerabili.

A peggiorare lo scenario c'è il fatto che le scansioni non mirano soltanto ai server Redis, ma cercano

Necurs e Gamut: le due botnet responsabili del 97% delle email di spam

Le email di spam sono un fastidio per tutti, su questo non ci piove. Quello che forse non sapete, però, è che nell'ultimo trimestre del 2017 quasi tutte le email di questo tipo sono riconducibili a due sole botnet: Necurs (ne abbiamo parlato qui) e Gamut. La prima ha passato gli ultimi tre mesi a diffondere esche di "ragazze in cerca di compagnia" conducenti su siti per adulti compromessi, schemi "pump and dump" e payload di ransomware di varie famiglie. Lo schema "pump and dump" è semplice: l’attaccante sceglie delle azioni a basso prezzo, inventa una storia credibile per renderle appetibili e, prima di mandare la campagna spam, ne compra un po’. Dopo di che diversi utenti vengono convinti a comprare le quote facendo aumentare il prezzo che incoraggerà altri utenti a comprare le azioni. Quando l'attaccante è soddisfatto del prezzo raggiunto, vende tutte le sue quote per un piccolo profitto e lascia le sue vittime in balia del mercato azionario: la maggior parte delle volte il prezzo delle azioni cala drasticamente fino ad arrivare ad un valore più basso rispetto al valore pre-truffa. A ben vedere, anche il 2018 sembra destinato alla stessa sorte, dal momento che 2 email di spam su 3 provengono da questa mastodontica botnet.

Per quanto riguarda invece la "seconda classificata", Gamut, le sue dimensioni ridotte rispetto a Necurs non le hanno impedito di essere molto attiva nel terzo trimestre del 2017. La maggior parte delle email inviate da Gamut sono truffe di phishing legate a offerte di lavoro o di "money mule recruitment", ovvero finalizzate a convincere persone a comperare prodotti con soldi rubati inviando poi i prodotti ai truffatori oppure per trasferire denaro da conti hackerati verso i conti degli attaccanti.

I dati relativi al quarto periodo del 2017

Cripto valute ancora nel mirino: 500,000 PC infettati in poche ore

Un paio di giorni fa Microsoft si è trovata a dover fare i conti con un malware responsabile del mining di cripto valuta. L'attacco ha causato l'infezione di almeno 500,000 PC nel giro di poche ore. Nonostante la straordinaria capacità di diffusione, Microsoft è riuscita ad intervenire con successo scongiurando un'ulteriore diffusione massiccia del malware. Il malware è conosciuto con i nomi di  "Dofoil" o "Smoke Loader". I casi di attacco più importanti si sono avuti nell'area geografica che comprende Russia, Turchia ed Ucraina. 

Il processo di infezione
Dofoil è un payload che diffonde nei computer che infetta un miner di criptovaluta per minare criptovalute sfruttando la CPU dei computer delle vittime. La particolarità è che esegue il mining di Electroneum, una criptovaluta in diffusione dal 2017 per il mobile mining, ma anche di altre valute contemporaneamente. Non è chiaro come si diffonda, si sa solo che si "traveste" da codice binario legittimo di Windows per passare inosservato ai software di sicurezza, ma non si sa molto altro. La diffusione è stata impressionante: il 6 Marzo Windows Defender individuava improvvisamente oltre 80.000 infezioni di diverse versioni di Dofoil: in appena 12 ore le individuazioni sono arrivate a 400.000. 

Una vulnerabilità mette a rischio la metà dei server email esistenti

Sarebbero centinaia di migliaia i server email affetti da vulnerabilità critiche. Di recente è stato rilasciato un aggiornamento che dovrebbe risolvere il problema; tuttavia la mole di server a rischio è tale che saranno necessari mesi perché il problema venga definitivamente risolto.  

La vulnerabilità di cui stiamo parlando interessa il software Exim, un MTA (mail transfer agent) utilizzato all'interno dei server di posta elettronica e che si occupa di trasferire le email dal mittente al destinatario. Stando ai risultati di un'indagine condotta a Marzo del 2017, il 56% dei server di posta elettronica utilizza Exim e tra questi sono 560,000 quelli potenzialmente vulnerabili, anche se la cifra sembra destinata a salire fino a raggiungere la quota del milione. 

La vulnerabilità CVE-2018-6789

Scoperto ai primi di Febbraio, il bug è stato subito riportato al team di Exim che in poco tempo ha rilasciato un aggiornamento chiamato "Exim distribution 4.90.1" allo scopo di risolvere il problema. Entrando nello specifico, la vulnerabilità è la CVE-2018-6789: è categorizzato come "pre-auth remote code execution," il che significa che un eventuale aggressore potrebbe ingannare il mail server Exim eseguendo comandi dannosi da remoto prima che l'attaccante stesso incorra nell'obbligo di autenticarsi al server.

Tutte le versioni di Exim sono esposte a questo rischio, eccettuata l'ultima release. 

Exim 4.90.1: installare l'aggiornamento è il modo migliore per evitare gli attacchi

Ransomware GandCrab: sconfitta la prima versione, c'è già la seconda in diffusione.

La scorsa settimana è stato diffuso il tool di decriptazione per la prima versione del ransomware GandCrab, grazie ad una operazione della Polizia Rumena e dell'Europol che, ottenuto l'accesso ai server Command e Control del ransomware stesso, ha permesso il recupero di alcune chiavi di decriptazione delle vittime. 

Gli sviluppatori di GandCrab, dopo la violazione subita, hanno annunciato la messa in diffusione di una seconda versione includente server command & control più sicuri così da prevenire operazioni simili che possano compromettere la diffusione del ransowmare. 

La seconda versione

SGXSpectre è in grado di ottenere informazioni dall'enclave SGX di Intel

Un gruppo di ricercatori dell'Università dell'Ohio ha reso noto di aver individuato una novità che  riguarda gli attacchi portati da Spectre legata all'enclave SGX di Intel.

SGX, ovvero "Software Guard Extension" è una funzione aggiuntiva dei nuovi processori prodotti da Intel che permette ad un applicazione di creare un'enclave omonima. Questa enclave è una sezione isolata dall'hardware della memoria della CPU dove le applicazioni possono eseguire operazioni concernenti dati estremamente sensibili come chiavi di criptazione, password, dati utente e altri...

Gli attacchi Meltdown e Spectre erano già noti per la loro capacità di spezzare la separazione tra il Sistema Operativo e le applicazioni, permettendo all'aggressore di impadronirsi di informazioni attraverso il kernel del Sistema Operativo stesso o tramite altre app.  

Una novità poco gradita

Memcached Server: le nuove armi per attacchi DDoS Reflection da record

Memcached è un sistema di caching distribuito in RAM per oggetti: è molto usato nell'ambito delle web app dinamiche per ridurre il carico sul database. Fornisce infatti alcuni dati ai quali l'accesso è più frequente direttamente nella memoria RAM. 

Da qualche giorno alcuni ricercatori hanno scoperto che i server Memcached vengono usati per lanciare attacchi DDoS massivi usando pochissime risorse computazionali. Tutto ciò è stato reso possibile a causa dell'implementazione, tutt'altro che sicura, da parte degli sviluppatori di Memcached del supporto per il protocollo UDP nei propri prodotti. Per peggiorare le cose i server Memcached espongono anche la loro porta UDP a connessioni esterne in configurazione di default: in parole povere significa che qualsiasi server Memcached non è protetto da firewall e può subire in qualsiasi momento attacchi DDoS. 

I server Memcached sono sotto attacco da qualche giorno: Cloudflare ha pubblicato un report dettagliato per spiegare il problema.

Come funzionano gli attacchi?

Truffa online: EiTest distribuisce il ransomware GandCrab e Netsupport Manager per accedere da remoto

Ufficialmente il ransomware GandCrab è risolvibile: sono stati pubblicati online alcuni tool di decriptazione gratuiti (facilmente rintracciabili con ricerce sui principali motori di ricerca). Ciò però non ne sta impedendo la distribuzione, anzi.

Oggi è stata individuata una campagna EITest sfruttata per diffondere il ransomware GandCrab come parte della truffa HoeflerTextFont. Questa truffa di ingegneria sociale rimescola il testo di un sito compromesso quando un visitatore lo raggiunge attraverso il motore di ricerca. Il codice Javascript mostra quindi un avviso che informa che il  testo è illeggibile a causa del fatto che il