blue[1]

BlueBorne: perchè disattivare sempre il Bluetooth quando non è in uso

BlueBorne: perché disattivare sempre il Bluetooth quando non è in uso
- GIOVEDÌ 21 SETTEMBRE 2017


 
È intuitivo capire il motivo per il quale dovremmo chiudere le porte quando usciamo di casa, così come lo è aggiungere una qualsiasi forma di autenticazione per quanto riguarda lo smartphone. Ma ci sono molti ingressi digitali che vengono lasciati costantemente, come la connessione WiFi e la connessione del cellulare. È un rischio calcolato ed in genere i benefici lo rendono valido. Questo calcolo cambia però con il Bluetooth: ogni volta che non ne abbiamo bisogno è del tutto consigliato spegnerlo. Ridurre al minimo l’utilizzo del Bluetooth minimizza l’esposizione a pericoli concreti. 
Blue Borne: un attacco via bluetooth
Facciamo subito un esempio di rischio reale: BlueBorne è una vulnerabilità che consente di attaccare qualunque dispositivo con il Bluetooth attivo. Questo bug non riguarda il Bluetooth in sé, ma la sua implementazione sui diversi tipi di software. Windows, Android, Linux e iOS sono stati vulnerabili a BlueBorn in passato e molti altri potrebbero essere ancora a rischio. 
 
Per gli attaccanti è un gioco facile

Basta infatti sedersi con il proprio computer dotato di una radio abilitata Bluetooth, scansionare i dispositivi e ottenere informazioni come quelle relative al sistema operativo e la versione Bluetooth. E', questo, il primo passo per l'accesso totale al dispositivo sotto attacco. 


Cos'è BlueBorne?

Mentre la sicurezza complessiva dei dispositivi è in progressivo miglioramento, ricercatori e attaccanti hanno concentrato la loro attenzione sulle componenti accessorie al fine di individuare percorsi d’accesso alternativi. Nel mese di luglio è stato annunciato un bug in un chip di Broadcom mobile WiFI, che, poichè estremamente diffuso, ha messo a rischio un miliardo di dispositivi prima di essere patchato. Nel 2015 è stata invece individuata una criticità nella funzione di condivisione dei file Airdrop di Apple tramite Bluetooth.

BlueBorne è una di queste vulnerabilità. Il sistema operativo di Apple non ne è più affetto dal rilascio, nel 2016, dell' iOS 10. Microsoft ha patchato il bug in Windows nel mese di Luglio e Google sta lavorando alla distribuzione di una patch (anche se ciò potrebbe richiedere del tempo).  Il problema è che questo non basta:  BlueBorne infatti è presente sulla gran parte dei dispositivi con Bluetooth, tra cui smart TV, altoparlanti e persino lampade intelligenti. Molti di questi dispositivi sono basati su Linux e non dispongono di un meccanismo per la distribuzione degli update. Oppure, anche se ciò accade, difficilmente i dispositivi ricevono effettivamente gli aggiornamenti. Linux sta lavorando, ma non ha ancora rilasciato una patch per BlueBorne.

 
Come funziona un attacco BlueBorne?
Quando il Bluetooth è attivo su un dispositivo, esso è costantemente aperto ed alla ricerca di potenziali connessioni. Così un attacco BlueBorne inizia passando attraverso una scansione in cerca di dispositivi che hanno il Bluetooth attivato: si cercano, per iniziare, informazioni quali il tipo di dispositivo e il sistema operativo bersaglio, per capire l'esistenza di una o più vulnerabilità. Una volta che un attaccante ha individuato gli obiettivi vulnerabili, l'attacco è veloce (può avvenire in circa 10 secondi) e dinamico. I dispositivi colpiti non hanno bisogno di connettersi e l'attacco può funzionare anche quando il dispositivo Bluetooth della periferica vittima è già collegato ad un altro dispositivo via Bluetooth. 

Che cosa fa?

BlueBorne può consentire agli attaccanti di prendere il controllo dei dispositivi
delle vittime e di accedere - e potenzialmente rubare - i loro dati. L'attacco può anche diffondersi da dispositivo a dispositivo se nei paraggi ci sono altri obiettivi con il Bluetooth attivato. Come avviene con quasi tutti i dispositivi Bluetooth, gli attaccanti dovrebbero trovarsi nel raggio d’azione del dispositivo per poter sferrare un attacco. Ma anche con l’estesa diffusione delle patch dedicate a BlueBorne, sono ancora molti i dispositivi vulnerabili in ogni edificio ed in ogni area densamente popolata.
 
Come difendersi

 

Non è possibile controllare se e quando i dispositivi vengono patchati per le nuove vulnerabilità del Bluetooth appena scoperte. Il consiglio è comunque quello di applicare tutte le patch disponibili e di disattivare il Bluetooth quando non lo si utilizza. La sicurezza è spesso legata alla valutazione dei costi e dei benefici derivanti da un’azione e nel caso del Bluetooth il calcolo risulta essere piuttosto semplice.
SHARK[1]

Nuovo ransomware della famiglia CryptoMix: ecco SHARK

 Nuovo ransomware della famiglia CryptoMix: ecco SHARKDue giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

 
Dettagliamo meglio le novità rispetto alla precedente versione. 
 
Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

 

Fonte: bleepingcomputer.com
 

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

 

Fonte: bleepingcomputer.com

 

Le chiavi di criptazione...

Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

 
Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:ProgramData[random].exe
 
Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info
shark003@protonmail.com
BTC[1]

BTCWare: un'insidiosa famiglia di ransomware. Con una nuova versione in diffusione

 BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.

 E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 
 
Attualmente, le versioni più pericolose sono:
 
  • Versione 1: .btcware
  • Versione 2: .nuclear
  • Versione 3: .wyvern

 

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 

Infezioni di BTCWare registrate in Aprile 2017

 

La forma di criptazione è
.[].btcware   o 
.[].cryptobyte
 
La nota di riscatto di BTCWare

E' decriptabile: nel Maggio 2017 infatti un utente, probabilmente legato al gruppo autore del ransomware, ne ha rilasciato la master key, permettendo l'approntamento di tool per la risoluzione. Il tool è disponibile qui.

Versione 2: Nuclear
Nuclear ripropone lo stesso meccanismo di criptazione del capostipite: cambia la nota di riscatto, rinominata HELP.hta. Cambia anche  la mail di contatto per ottenere le informazioni necessarie al pagamento: black.world@tuta.io.

 

La nota di riscatto di Nuclear
Ovviamente la differenza più eclatante sta nel cambio dell'estensione che il ransomware aggiunge ai file criptati e la modalità con cui rinomina gli stessi. Nel dettaglio ai file criptati viene aggiunto [affiliate_email].nuclear (vedere immagine sotto). 
 
 
Attualmente non ha soluzione.
 
Versione 3: wyvern.
L'ultima versione è stata individuata in the wild 3 giorni fa. Il nome deriva dalla forma che assumono i file dopo la criptazione: wyvern infatti aggiunge al nome del file .[email]-id-[id].wyvern. Il meccanismo di criptazione non cambia rispetto alle precedenti versioni e anche la nota di riscatto è rimasta identità: HELP.hta.  Cambia anche la mail di contatto per ottenere le informazioni necessarie per il pagamento del riscatto: decryptorx@cock.li
 
Nell'immagine sottostante è possibile vedere come vengono modificati i file dopo la criptazione. 
 
 
Anche questa versione, per ora, non ha soluzione. 

Aggiorneremo in caso di uscita di nuove versioni o di soluzioni. 
perche dovresti mantenere

Perché dovresti mantenere un backup di tutti i tuoi dati?

Le imprese moderne dipendono largamente dall'accessibilità continua ai dati dei propri clienti, dei prodotti, ai dati finanziari o dei dipendenti. Dati in qualsiasi forma (file, email, database ecc...) devono essere disponibili quando richiesto. Proprio come qualsiasi altra risorsa, la perdita di dati è una possibilità reale i cui effetti possono essere gravissimi. I backup dei dati, in questi casi, sono vere e proprie ancore di salvezza per le aziende. 
 
Ci sono molti casi di perdita di dati occorse alle aziende: aver saggiamente deciso di organizzare un sistema di backup dei dati ha permesso a molte di loro di tornare velocemente alla normalità. 
 
Che cosa è il backup dei dati?
Il primo passo da compiere in questo percorso è comprendere appieno cosa sia il backup. Il backup non consiste solo nella creazione di una copia di tutti i dati al fine di usarli in futuro. Il backup dei dati consiste in una copia, secondo precisi criteri, di dati che non possono essere riprodotti e che sono essenziali per il funzionamento aziendale. I software come il sistema operativo, i database ecc.. non vengono backuppati. Vengono invece sempre copiati i dati entro i database, i file creati e stoccai sui computer e i dati contenuti nei sistemi commerciali. 
 
Ci sono 2 tipi di backup
  • Il backup integrale (full-backup), che è una copia di tutti i dati essenziali nella loro interezza.
  • Il backup incrementale, che consiste nel backup solo di quei dati che sono stati modificati o aggiunti dopo l'ultimo backup eseguito. Il backup incrementale permette di risparmiare molto spazio rispetto al full-backup. 
La copia di backup dei dati deve essere tenuta a distanza significativa dall'originale, in modo che, in caso di disastro come incendi o inondazioni, almeno una copia dei dati riesca a conservarsi intatta. Ribadiamo questo importante consiglio perché purtroppo molte imprese tengono le copie di backup nella stessa location dei dati originali, annullando in sunto lo scopo del backup stesso. 
 
Perché è importante eseguire il backup dei dati?
I dati possono essere corrotti o danneggiati a causa di una lunga serie di ragioni. Nonostante gateway, firewall e altri sistemi di difesa, la perdita di dati può verificarsi per: 
  1. Errore di periferica 
    tutti i dispositivi elettrici o meccanici possono rompersi. Gli hard disk tradizionali, contenenti un disco magnetico rotante, costituiscono un insieme di supporti per la memorizzazione di massa. Questi hard disk possono malfunzionare per vari motivi: improvvisi danni fisici, danni alla testina di lettura o rottura del disco stesso sono solo alcuni dei rischi. Anche i dispositivi SSD più recenti non sono esenti dal rischio guasti. Se il disco malfunziona, l'unica possibilità di recupero dei dati (a parte sofisticati e costisissimi sistemi di recupero da periferica guasta) è averne una copia in backup. 
  2. Attacchi malware/virus
    Nonostante i migliori software antivirus e per la difesa a livello di gateway, è ancora possibile che alcuni virus o malware (pensiamo ai disk wiper o ai ransomware), a causa del fatto di recare firme sconosciute, possano penetrare nel sistema e causare gravi danni. In alcuni casi, questi virus rimangono non individuati e finiscono backuppati insieme ai dati "sani". In questa situazione, il backup incrementale può essere usato per ripristinare i dati fino all'ultimo set di dati non infetto: questo è il secondo grande vantaggio del backup incrementale. 
    In caso di attacco ransomware, i backup sono un vantaggio enorme. Invece di pagare il riscatto subendo il ricatto del cyber-criminale, i dispositivi possono essere formattati e ripuliti: col backup si ripristinano poi i dati i cui originali sono finiti criptati e illeggibili a causa dell'attacco. Questa accortezza non solo permette di risparmiare soldi, non dovendo versare il riscatto, ma scoraggia anche futuri attacchi. I cyber-criminali non hanno interesse a condurre attacchi non profittevoli. 
  3. Disaster recovery
    I disastri naturali non possono essere né evitati né previsti. Fuoco, alluvioni, terremoti possono distruggere server e computer, con tutti i dati memorizzati al loro interno. In questi casi, il backup dei server è utile a 2 scopi. Per prima cosa può essere usato per ripristinare velocemente i dati dopo il disastro occorso. In seconda battuta può essere usato anche per impostare un sito alternativo per le operazioni, da usare mentre la location originaria è inutilizzabile. In caso di disaster recovery, il backup dei dati è fondamentale per garantire la continuità aziendale. 
  4. Cancellazione dei dati (accidentale o intenzionale)
    E' possibile anche che un impiegato cancelli, intenzionalmente o accidentalmente, alcuni dati. Alcuni infatti possono avere cattive intenzioni e cancellare volutamente i dati dai sistemi. Alcuni invece possono, banalmente, compiere un errore. In entrambi i casi il backup è utile a risolvere il problema e a ripristinare velocemente le operazioni aziendali.
Ci sono molte altre cause che possono corrompere i dati e comportare la necessità di ripristinarli. Tuttavia, in alcuni casi è impossibile ricreare i dati in tempi ragionevoli, mentre in altri è proprio impossibile ricrearli. Il backup ripristina invece molto velocemente i dati e garantisce alle aziende la continuità delle operazioni. Questo spiega perché il backup è ormai una parte essenziale di ogni business continuity plan. 
 
 
Security Alert!

Security Alert!


E' stato individuato un malware che sfrutta Facebook Messenger per diffondersi da un utente ad un altro. Conosciuto come Facebook Messenger Malware, è un malware molto sofisticato che agisce differentemente in base al browser web in uso dalla vittima: Firefox, Chrome, Mozilla. 
 
Come funziona questo malware
1. Prima di tutto si riceve un messaggio sul proprio Facebook messenger
2. Il messaggio sembra provenire da uno degli amici online
3. Il messaggio conterrà il nome della vittima, la parola "video", una emoji e un link abbreviato

 
Molti utenti, vedendo il messaggio provenire da un amico, possono essere portati a cliccare sul link istintivamente. Chi lo fa verrà reindirizzato su un documento di Google. Questo documento presenterà un video riproducibile: il video presenta una immagine di sfondo (sfocata) presa dal tuo profilo Facebook.


Il click sul video comporta un altro reindirizzamento, verso un sito web diverso a seconda delle configurazioni del tuo dispositivo e del browser web in uso, ma anche in base alla location ecc..Con Mozilla si viene reindirizzati su siti che invitano ad aggiornare Flash Player, su Chrome si viene reindirizzati su un sito che invita a scaricare una estensione dannosa dal Chrome Web Store, con Safari si apre un sito fake simile a quello che si visualizza con Mozilla, solo che il file in download è in estensione .dmg ecc.. I vari siti che verranno visualizzati, pur in forma diversa, puntano tutti allo stesso scopo: convincere la vittima a installare un software dannoso (un'estensione dannosa per il browser, un adware o altri tipi di file dannosi...)
 
E dopo, che succede?
Bisogna ricordare che, se si è ricevuto questo pericoloso messaggio da un amico, significa che il suo account Facebook è stato compromesso da un attaccante. I profili di tutti coloro che sono caduti nella trappola e hanno installato i software dannosi sono stati violati. Infatti questo malware si diffonde a catena: da vittima a vittima. Nel frattempo l'attaccante guadagna soldi tanto più riesce a far crescere il numero di clic sul link contenuto nel messaggio.
 
Che cosa fare?
1. Se ricevete strani messaggi (provenienti o meno da amici) su Facebook messenger contenenti link, NON CLICCATECI! Chiamate l'amico dal quale proviene il messaggio avvisandolo della cosa e della possibilità che il suo account sia stato compromesso. 
2. Tenere sempre aggiornato il software antivirus in uso è ormai necessario: i software antivirus possono impedire di approdare sul siti web dannosi e bloccano l'installazione di software dannosi che potrebbero diffondersi attraverso l'attacco.
 
Ransomware Locky

Ransomare Locky

Nel corso della settimana appena passata, vari ricercatori di sicurezza hanno individuato diverse campagne di spam che diffondono il ransomware Locky secondo diverse modalità di distribuzione.
Ne elenchiamo alcune, rinnovando l'invito a fare molta molta attenzione a ciò che si riceve via email, a tenere ben "affilati" i filtri antispam e a dotarsi di antivirus che eseguano scansione comportamentale dei file e verifica proattiva delle email e dei file contenuti.

1. Distribuzione attraverso macro di Word
La prima ondata di email di spam diffonde un documento Word contenente una macro. E' una modalità di distribuzione che non ha nulla di nuovo, anzi, è una delle più comuni metodologie di diffusione di malware. Messaggi ingannevoli tentano di indurre la vittima ad abilitare la macro contenuta nel documento Word, solitamente spacciandola come necessaria per visualizzare contenuti o abilitare nuove funzioni. L'attivazione della macro di solito innesca uno script dannoso integrato nel documento stesso: lo script quindi esegue il download e installa un malware.


La particolarità di questa campagna è che lo script non si esegue finché la vittima non chiude il documento Word. Questa modalità non comporta alcuna differenza per l'utente in sé, ma potrebbe ridurre l'efficacia di vari strumenti di sicurezza. Ad esempio l'uso delle sandbox qui sarebbe inutile: entro la sandbox infatti questo documento appare del tutto innocuo, ma infetta gli utenti appena chiudono il file, magari dopo essersi resi conto che in realtà non c'è nulla da vedere in quel documento Word.
 
2. Campagna fake di verifica degli account Dropbox
Una seconda campagna invece, usa finte richieste di verifica degli account Dropbox per diffondere Locky. Questa campagna diffonde l'ultima versione di Locky, che cripta i file e ne modifica l'estensione in .lukitus.
 
La mail si finge proveniente da Dropbox (ovviamente Dropbox è vittima al pari di chi viene infettato dal ransomware): no-reply@dropbox.com è l'indirizzo del mittente. L'oggetto è solitamente "Please verify your email address". Nel corpo email è contenuto un bottone che invita a fare click per verificare l'email. Il link conduce ad una pagina Dropbox fake. Con Edge o IE non accade nulla: il click invece sul "click here", se fatto tramite Chrome (ma anche con Opera accade lo stesso), mostra un falso avviso, come si può vedere sotto.

Si invita la vittima a scaricare l'estensione HoeflerText, necessaria a visualizzare il contenuto della pagina: si cerca di indurre cioè la vittima a scaricare un font necessario a leggere il contenuto della pagina. 
Il click su update comporta il download di un file JS rinominato Win.JSFontlib09.js: il file js fungerà quindi da donwloader del ransomware.
 
3. La campagna via allegati email
In ultimo, per tutta la settimana, il resto delle campagne sono state le classiche campagne di email di spam contenenti finte fatture, foto, ordini ecc.. Le email, recanti mittenti e oggetti diversi a seconda della tipologia, recano tutte un archivio .zip (o .rar o .7Z) contenente uno script VBS che installa Locky non appena l'utente fa il doppio click sul file.
Nuova Variante Criptomix

Nuova variante della famiglia criptomix : Arena Ransonware.

Qualche giorno fa è stata individuata un'altra variante della famiglia di ransomware CryptoMix: sulla famiglia CryptoMix stiamo scrivendo ormai da molto tempo non solo per l'alto numero di infezioni che si registrano da ormai un anno, ma anche perché è una delle famiglie ransomware più attive e costantemente in espansione/miglioramento, con una media di una nuova variante ogni settimana.  

L'ultima variante: Arena Ransomware
L'ultima variante, individuata dai ricercatori di MalwareHunterTeam, cripta i file modificandone l'estensione in.arena. E' il secondo ransomware, rilasciato nelle ultime settimane, che modifica l'estensione in .arena: non vanno però confusi, in quanto l'altro, individuato qualche settimana prima, appartiene alla famiglia Crysis. La differenza più lampante tra le due varianti è che quella appartenente alla famiglia CryptoMix modifica il nome dei file con una stringa esadecimale.


Come cripta i file?
Il meccanismo di criptazione non è cambiato rispetto alla precedente versione (chiamata Error poiché modifica l'estensione dei file in .error): il nome dei file viene sostituito con una serie di 16 caratteri e numeri e l'estensione modificata in .arena. In comune con la vecchia variante è anche il fatto che Arena- CryptoMix contiene 11 chiavi di criptazione pubbliche RSA-1024, che verranno usate per criptare la chiave AES privata usata per criptare i file delle vittime. Questo consente al ransomware di poter operare offline, senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle usate in una ulteriore precedente versione, il ransomware Empty Criptomix. Empty ha preceduto Error: la cosa dimostra che le varie versioni si differenziano, mano a mano, per piccoli upgrade o affinamenti.

Sotto un'immagine di file criptati da Arena-CryptoMix.

Che cosa fa?
Oltre a criptare i file, questo ransomware, esegue molti comandi per impedire il recupero dei file:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

son tutti comandi eseguiti dal ransomware allo scopo di disabilitare la risoluzione problemi di Windows e di cancellare le copie shadow di volume. 

La nota di riscatto
La nota di riscatto non ha modificato il nome:  _HELP_INSTRUCTION.TXT. L'unica modifica rilevante è l'email di contatto per il pagamento, che per questa versione è ms.heisenberg@aol.com


Alcuni consigli:
"curare" gli effetti di un ransomware è spesso difficile: nonostante gli sforzi, molti di questi restano senza soluzione. Impedire le infezioni diventa quindi necessario. Ecco alcuni consigli:

  1. fai sempre il backup dei file, almeno di quelli più importanti. Se fai il backup su un hard drive esterno, disconnettiti da Internet prima di iniziare il backup. Rimuovi quindi la periferica contenente il backup PRIMA di riconetterti. La forma più sicura di backup è quella in cloud.
  2. Non aprire allegati né fare click su link contenuti in email inaspettate o dubbie. 
  3. Se proprio hai dei dubbi, prima di aprire un qualsiasi allegato, esegui una scansione usando il tuoantivirus o tool online come Virus Total
  4. Contro i ransomware che si diffondono via exploit-kit, l'unica difesa è tenere sempre aggiornati tutti i software in uso, dal sistema operativo ai browser. 
  5. Consigliamo l'installazione di un buon antivirus con specifici moduli anti-ransomware e di individuazione comportamentale, oltre che di scansione proattiva. 


Sei in cerca di un Antivirus affidabile e completo? Ti ricordiamo che S-mart è distributrice italiana Quick-Heal.Vedi il sito Quick Heal Italia e, se sei un rivenditore, visita il nostro portale www.s-mart.biz

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy