1[1]

Saturn: il nuovo ransomware che “si regala gratuitamente” a chiunque voglia distribuirlo.

Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 
 
Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di
Windows.
 
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet.

Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn. 
 

Lascerà quindi, in ogni cartella criptata, due note di riscatto, una in formato html e l'altra in formato .txt e il file chiave #KEY-[id].KEY. 
 
La nota di riscatto: 
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.


Il servizio del ransomware Saturn:
l'autore del ransomware Saturn sta consentendo a chiunque di divenire gratuitamente distributore del ransomware, lanciando il primo servizio del tutto gratuito di affiliazione di partner di un RaaS (Ransomware as a Service). L'idea alla base di Saturn è per l'appunto quella di garantire un facile accesso a tutti alla versione "ben equipaggiata" di questo nuovo ransomware. Gli aspiranti distributori non dovranno fare altro che registrarsi su questo nuovo portale ospitato nel Dar Web e riceveranno una copia del ransomware con alcune indicazioni su come iniziare a diffonderlo.

Fonte: Bleepingcomputer.com
Fonte: bleepingcomputer.com

L'utente che riceverà il ransomware dovrà integrarlo in altro file, come i .exe, i file Office, i .pdf o altri tipi. Questi file devono poi essere inviati alle vittime attraverso campagne di email di spam o di malvertising, i due metodi più comuni di diffusione di questo tipo di minacce informatiche. Le vittime dovranno pagare il riscatto, per decriptare i file, sul portale di pagamento di Saturn locato presso l'indirizzo  su34pwhpcafeiztt.onion (vedi le foto sopra). I riscatti finiscono dritti nel conto principale in Bitcoin dell'autore del ransomware. Se però il file è stato generato tramite il portale Raas, l'utente che ha generato il file e lo ha diffuso ad altre vittime riceverà il 70% del pagamento totale: il 30% rimarrà al "padre" di Saturn. Lo schema di pagamento 70%-30% non è nuovo: era lo stesso sistema di pagamento dal RaaS Cerber, una delle operazioni di diffusione ransomware più grande ad oggi. 
 

 

1annual[1]

Quick Heal: report annuale 2018 sulle minacce informatiche.

ll report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc...
 
Nel 2017 sono stati individuati dai Laboratori di Sicurezza Quick Heal circa 705 milioni di malware per Windows: il picco è stato toccato nel primo trimestre (Gennaio, Marzo) con oltre 295 milioni. Su base giornaliera, i Labs hanno individuato oltre 1 milione di malware, 30.000 ransomware, 23.000 exploit. Nel 2017 i ransomware che hanno colpito utenti Windows sono cresciuti del 300% rispetto al 2016. La famiglia dei trojan continua a restare sul podio dei malware in tutti i trimestri del 2017. Si registra, causata dalla crescita esponenziale del valore della cripto valuta, l'avvento di una nuova minaccia informatica: quella dei malware (e non solo) per il mining di cripto valute (sopratutto Monero ed Ethereum). 
 
In questo articolo ci concentriamo sulle minacce al sistema operativo Windows.
Il report completo è disponibile qui in lingua inglese. 
 
Le statistiche di individuazione
 
Individuazione dei Malware nel 2017
Il 2017 è stato dominato principalmente dai ransomware e dai miner di cripto valuta: si sono registrati anche gravissimi exploit di vulnerabilità 0-day. Il grafico sotto mostra le statistiche dell'ammontare totale dei malware individuati da Quick Heal.
 
Suddivisione per categorie dei malware individuati
Il grafico sotto rappresenta i dati di individuazione dei malware per Windows suddivisi per tipologie.
 
 
Il grafico sotto invece scorpora le individuazioni sia per tipologia che per trimestre di individuazione. 

 
L'anno degli Shadow Brokers
Nell'Aprile del 2017, il gruppo Shadow Brokers sottrae svariati exploit dall'NSA, l'Agenzia di Sicurezza Nazionale Usa. Finiscono nelle mani dei cyber criminali exploit kit molto efficaci e pericolosi come EternalBlue, EternalChampion, EternalRomance e altri che sfruttato una grave vulnerabilità del protocollo SMB. Sono gli strumenti usati nella diffusione del peggior attacco ransomware della storia, WannaCry, ma anche NotPetya (un disk wiper più che un ransomware) e Bad Rabbit. 
 
L'attacco di WannaCry ha colpito oltre 230.000 computer in 150 nazioni diverse. Ne sono state vittime organizzazioni di alto profilo come ospedali, colossi di telecomunicazione, fornitori di servizi energetici (gas ed elettricità) e alri fonitori di servizi. 
 
Nel grafico sotto mostra l'adozione dell'exploit EternalBlue in varie campagne:

 
La top 10 dei Malware per Windows
I 10 malware più individuati per Windows nell'ultimo anno. 
 


Un piccolo sguardo ai primi tre.

1. W32.Sality. U
Livello di rischio: medio
Categoria: file infector polimorfico
Metodo di diffusione: dischi di rete o removibili
Comportamento:
  • inietta il proprio codice in tutti i i processi di sistema. Si diffonde quindi ulteriormente infettando i file eseguibili in locale, le condivisioni di rete ecc...
  • tenta di interrompere i software di sicurezza e cancellare tutti i file a loro relativi nel sistema infetto;
  • ruba informazioni confidenziali dal sistema infetto. 
2. JS.Nemucod.BO
Livello di rischio: alto
Categoria: trojan
Metodo di diffusione: email di spam
Comportamento: 
  • si connette ad un host remoto per il download di payload dannosi e/o per riceverere aggiornamenti delle funzioni;
  • infetta i pc con ransomware, trojan per il furto di informazioni e backdoor. 
3. AdWare.Firseria.AA3
Livello di rischio: medio
Categoria: adware
Metodo di diffusione: scaricato da altri malware o caricato su siti web dannosi. 
Comportamento: 
  • modifica i settaggi dei browser;
  • aggiunge estensioni, add on, plug in;
  • scarica ed esegue file dannosi con nomi random. 
1annual[1]

Quick Heal: report annuale 2018 sulle minacce informatiche.

l report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc...
 
Nel 2017 sono stati individuati dai Laboratori di Sicurezza Quick Heal circa 705 milioni di malware per Windows: il picco è stato toccato nel primo trimestre (Gennaio, Marzo) con oltre 295 milioni. Su base giornaliera, i Labs hanno individuato oltre 1 milione di malware, 30.000 ransomware, 23.000 exploit. Nel 2017 i ransomware che hanno colpito utenti Windows sono cresciuti del 300% rispetto al 2016. La famiglia dei trojan continua a restare sul podio dei malware in tutti i trimestri del 2017. Si registra, causata dalla crescita esponenziale del valore della cripto valuta, l'avvento di una nuova minaccia informatica: quella dei malware (e non solo) per il mining di cripto valute (sopratutto Monero ed Ethereum). 
 
In questo articolo ci concentriamo sulle minacce al sistema operativo Windows.
Il report completo è disponibile qui in lingua inglese. 
 
Le statistiche di individuazione
 
Individuazione dei Malware nel 2017
Il 2017 è stato dominato principalmente dai ransomware e dai miner di cripto valuta: si sono registrati anche gravissimi exploit di vulnerabilità 0-day. Il grafico sotto mostra le statistiche dell'ammontare totale dei malware individuati da Quick Heal.
 
Suddivisione per categorie dei malware individuati
Il grafico sotto rappresenta i dati di individuazione dei malware per Windows suddivisi per tipologie.
 
 
Il grafico sotto invece scorpora le individuazioni sia per tipologia che per trimestre di individuazione. 

 
L'anno degli Shadow Brokers
Nell'Aprile del 2017, il gruppo Shadow Brokers sottrae svariati exploit dall'NSA, l'Agenzia di Sicurezza Nazionale Usa. Finiscono nelle mani dei cyber criminali exploit kit molto efficaci e pericolosi come EternalBlue, EternalChampion, EternalRomance e altri che sfruttato una grave vulnerabilità del protocollo SMB. Sono gli strumenti usati nella diffusione del peggior attacco ransomware della storia, WannaCry, ma anche NotPetya (un disk wiper più che un ransomware) e Bad Rabbit. 
 
L'attacco di WannaCry ha colpito oltre 230.000 computer in 150 nazioni diverse. Ne sono state vittime organizzazioni di alto profilo come ospedali, colossi di telecomunicazione, fornitori di servizi energetici (gas ed elettricità) e alri fonitori di servizi. 
 
Nel grafico sotto mostra l'adozione dell'exploit EternalBlue in varie campagne:

 
La top 10 dei Malware per Windows
I 10 malware più individuati per Windows nell'ultimo anno. 
 


Un piccolo sguardo ai primi tre.

1. W32.Sality. U
Livello di rischio: medio
Categoria: file infector polimorfico
Metodo di diffusione: dischi di rete o removibili
Comportamento:
  • inietta il proprio codice in tutti i i processi di sistema. Si diffonde quindi ulteriormente infettando i file eseguibili in locale, le condivisioni di rete ecc...
  • tenta di interrompere i software di sicurezza e cancellare tutti i file a loro relativi nel sistema infetto;
  • ruba informazioni confidenziali dal sistema infetto. 
2. JS.Nemucod.BO
Livello di rischio: alto
Categoria: trojan
Metodo di diffusione: email di spam
Comportamento: 
  • si connette ad un host remoto per il download di payload dannosi e/o per riceverere aggiornamenti delle funzioni;
  • infetta i pc con ransomware, trojan per il furto di informazioni e backdoor. 
3. AdWare.Firseria.AA3
Livello di rischio: medio
Categoria: adware
Metodo di diffusione: scaricato da altri malware o caricato su siti web dannosi. 
Comportamento: 
  • modifica i settaggi dei browser;
  • aggiunge estensioni, add on, plug in;
  • scarica ed esegue file dannosi con nomi random. 
1[1]

Vulnerabilità 0-day di Telegram sfruttata per diffondere Mining Malware

 Vulnerabilità 0-day di Telegram sfruttata per diffondere Mining Malware

Gli autori di malware hanno individuato una vulnerabilità 0-day nel clienti Windows di Telegram: la stanno usando per infettare gli utenti con un malware per il mining di cripto valute.
 
La 0-day
La vulnerabilità sfruttata in questo attacco si trova in "come" il clienti Windows di Telegram gestisce il carattere Unicode RLO (right to left override). Questo carattere è usato per passare da dalla visualizzazione del testo RTL (right to the left) a quella LTR (left to the right). Va detto, al momento in cui scriviamo, che la vulnerabilità è già stata risolta: non è chiaro però quali versioni di Telegram siano affetti da questa vulnerabilità. Si sa solo che questi exploit sui client Windows sono iniziati nel Marzo 2017. 
 
Gli utenti Telegram hanno ricevuto dai truffatori dei messaggi contenenti un file allegato. Il nome
del file contiene il carattere RLO, che cambia la direzione della visualizzazione del testo. Ad esempio, in una delle varie campagne di diffusione, i truffatori hanno inviato fli utenti un file rinominato "photo_high_re*U+202E*gnp.js", dove "U+202E" è il carattere RLO. Quando il nome del file viene reso sullo schermo, l'ultima parte del nome viene capovolta e il file appare come "photo_high_resj.png", come si vede sotto...


 

I malware in diffusione
Quando un utente clicca ed esegue il file, immagina di aprire una immagine: in realtà esegue un JavaScript che scarica e installa un malware sul sistema.
 
La prima campagna di diffusione individuata, sfruttava la 0-day per installare senza consapevolezza dell'utente un malware per il mining di cripto valuta, sopratutto per Monero, Zcash e Fantomcoin. 
 
In altri casi invece è in diffusione un trojan backdoor (controllabile tramite l'API di telegram) e altri strumenti malware, ma comunque in misura assai minore rispetto al mining malware.
1miner[1]

Malware per il mining di cripto valuta trovati su oltre 4000 siti.

 Sono stati individuati oltre 4000 siti, inclusi svariati siti web appartenenti ad agenzie governative del regno Uniti e statunitensi, infettati da malware per il mining di criptovaluta. Il ricercatore di sicurezza Scott Helme ha, per primo, esaminato  il sito web dell'  Information Commissioner’s Office (ICO) dato che svariati antivirus lo segnalavano come sito compromesso. 

 
" Era logico pensare che quel sito web fosse compromesso, così mi sono messo a analizzare meglio il sito, inviando mail per segnalare ad alcuni esperti il problema e chiedere aiuto nella divulgazione della notizia. Mi sono reso subito conto del fatto che lo script dannoso non era presente nel sito web dell'ICO, ma era ospitato in una libreria caricata sul sito da terze parti ignote", ha spiegato.
 
"Se vuoi caricare un malware per il mining di cripto valuta su 1000 siti web, non devi attaccare mille siti web, ma quelli da cui tutti caricano i i contenuti. Ad esempio si è scoperto che TextHel, un provider di assistenza tecnologica, era stato compromesso e uno dei loro file script era stato modificato".
 
L'esito delle verifiche è stato che gli attaccanti hanno compromesso un file JavaScript che era parte del prodotto Texthelp Browsealout: vi è stato cioè aggiunto il codice necessario per installare il famoso miner CoinHive (cosa è CoinHive?)
 
Tra i siti compromessi troviamo quello della United States Courts, quello del General Medical Council, della Students Loans Company inglese, l'NHS Inform e molti altriHelme ha spiegato che la mitigazione di questo attacco è piuttosto facile e richiede solo la modifica di una piccola parte del codice, cambiando il modo in cui viene caricato lo script su Browsealoud. La buona notizia è che l'attacco è avvenuto Domenica mattina e Texthelp è stata molto molto rapida nel riconoscere il problema, mettere temporaneamente offline il servizio e ripristinarlo senza compromissioni. 
 
Quella del mining di cripto valute è una nuova, sempre più in crescita, strada di guadagno facile per i cyber criminali. Il problema funesterà lo stato delle nostre CPU per tutto il 2018, almeno finchè le cirpto valute continueranno ad avere dei valori così alti.
 
Come proteggersi?
Seqrite individua i miner di cripto valuta come dannosio. Si può anche aggiungere SRI Integrity Attribute, che consente al browser di verifica se un file viene modificato e consente, nel caso sia accaduto, di rigettarlo. Qui ulteriori informazioni.
 
Per una soluzione definitiva, consiglia ancora Helme, è possibile usare una policy di Content Security e l'uso di SRI Integrity Attribute per essere sicuri che non venga consentito il caricamento di alcuno script su pagine senza il SRI integrity attribute. 
1[1]

Furti e truffe: le cripto valute attirano guai.

 Furti e truffe: le cripto valute attirano guai.

 
Twitter e gli Ethereum rubati. 
Il 9 febbraio è verificata una truffa molto facile, ma altrettanto efficace: un gruppo di truffatori ha guadagnato 5.000 euro in cripto-valuta in pochissime ore. E' bastato registrare una serie di falsi account Twitter facenti riferimento a personaggi noti del mondo hi-tech, come Johan McAfee o il creatore di Ethereum Vitalik Buterin. I falsi profili hanno poi cominciato a pubblicare tweet nei quali promettevano 2 Ethereum a chiunque ne avesse versati 0,2 su un wallet il cui link era indicato nel messaggio stesso. Inspiegabilmente centinaia di persone hanno abboccato: è stato un grande esperimento di igegneria sociale, viosto che si sono usati accorgimenti per aumentare la credibilità del messaggio (ad esempio sotto si può vedere il riferimento al Presidente Usa Donald Trump).


Fonte: securityinfo.it
Risultato: nella sola notte del 6 Febbraio i cyber criminali hanno raccolto oltre 6,72 Ethereum. La campagna ha poi perso slancio, ma ha comunque garantito un incasso finale di 5.000 euro. Dato lo sforzo minimo per organizzare la truffa, il guadagno è stato di non poco conto.
 
BitGrail: un caso tutto italiano.
BitGrail è un exchange con sede a Firenze: il 9 febbraio scorso BitGrail ha pubblicato una nota sul proprio sito web in cui annunciava il blocco di tutte le operazioni. Il motivo?
 
“Da controlli di verifica interna di congruità delle operazioni di prelievo sono emerse delle transazioni non autorizzate che hanno portato ad un ammanco di n. 17 Mln di Nano c.a. costituenti parte dei portafogli gestiti da Bitgrail S.r.l.”
 
BitGrail ha denunciato alle autorità di polizia competenti l'accaduto e informa che le indagini sono in corso. Ma cosa è successo?
 
I Nano
I Nano (la cui sigla è XRN) sono una tra le tante cripto valute, come Bitcoin, Monero e Ethereum. E' gestita dal Team Nano Core, che ne gestisce la blockchain. Stando al valore attuale dei Nano, il danno per BitGrail equivale a circa 200 milioni di dollari. Non è il furto di cirpto valuta peggiore, va detto: a fine Gennaio in Giappone si è verificato un furto di cripto valute ammontante a circa 500 milioni di dollari (vedi qui per maggior info). 
 
La risposta del Nano Core Team
E poi, inaspettatamente, il Nano Core Team ha rilasciato una nota nella quale solleva pesanti dubbi sull'operato di BitGrail. 
 
“Siamo stati informati l’8 febbraio dell’insolvenza di BitGrail” scrivono nel comunicato. “Dalla nostra investigazione preliminare non è stata rilevata nessuna doppia spesa nel libro mastro e non abbiamo ragione di credere che l’ammanco sia dovuto a un problema nel protocollo di Nano. Il problema sembra legato al software di BitGrail. Non eravamo a conoscenza dell’insolvenza di BitGrail prima dell’8 febbraio”. 
 
Nano Core Team in sunto rovescia ogni responsabilità sul software usato da BitGrain: così i truffati che hanno visto sparire le proprie cripto valute, stanno preparando svariati ricorsi legali, insieme a durissime critiche e perfino minacce di morte all'amministratore di BitGrain. 
 
4000 siti infetti da malware per il mining: tra questi anche siti di enti governativi.
Per completare la panoramica, riportiamo un'ultima notizia riportata da Seqrite. 
 
Sono stati individuati oltre 4000 siti, inclusi svariati siti web appartenenti ad agenzie governative del regno Uniti e statunitensi, infettati da malware per il mining di criptovaluta. Il ricercatore di sicurezza Scott Helme ha, per primo, esaminato  il sito web dell'  Information Commissioner’s Office (ICO) dato che svariati antivirus lo segnalavano come sito compromesso. 
 
"Era logico pensare che quel sito web fosse compromesso, così mi sono messo a analizzare meglio il sito, inviando mail per segnalare ad alcuni esperti il problema e chiedere aiuto nella divulgazione della notizia. Mi sono reso subito conto del fatto che lo script dannoso non era presente nel sito web dell'ICO, ma era ospitato in una libreria caricata sul sito da terze parti ignote", ha spiegato. "Se vuoi caricare un malware per il mining di cripto valuta su 1000 siti web, non devi attaccare mille siti web, ma quelli da cui tutti caricano i i contenuti. Ad esempio si è scoperto che TextHelp, un provider di assistenza tecnologica, era stato compromesso e uno dei loro file script era stato modificato".
 
L'esito delle verifiche è stato che gli attaccanti hanno compromesso un file JavaScript che era parte del prodotto Texthelp Browsealout: vi è stato cioè aggiunto il codice necessario per installare il famoso miner CoinHive. 
 
Concludendo: 
Il mining di cripto valute è un fenomeno legale, che però sta assumendo sempre più spesso dimensione illegale e truffaldina. Il valore spropositato raggiunto da alcune cripto valute ha reso queste ultime più appetibili di altri tipi di attacchi (ransomware, phishing ecc...). La quantità enorme di calcoli necessari al mining inoltre richiede una quantità talmente grande di potere di calcolo, da richiede la costruzione di intere farm: questo ha indotto i cyber criminali a costruire farm costituite da dispositivi i cui proprietari NON SONO A CONOSCENZA di essere stati attaccati e di "prestare" la propria CPU o scheda video ai cyber truffatori.
 
Un consiglio:
per limitare i danni almeno riguardanti il mining in-browser, consigliamo l'installazione di estensioni anti-miner sui propri browser. 
1[1]

Microsoft pubblica l’Update di Windows Analytic per aiutare nel patching di Meltdown e Spectre.

 Microsoft pubblica l'Update di Windows Analytic per aiutare nel patching di Meltdown e Spectre.

 
Con i fix di sicurezza del Patch Tuesday, Microsoft ha pubblicato un update per il servizio Windows Analytics che aiuterà le imprese col processo di patching delle vulnerabilità Meltdown e Spectre (ne avevamo già parlato qui e qui e qui
 
Windows Analytic è un tool gratuito che Microsoft offre alle imprese e che fornisce un report dettagliato dello stato del parco computer interno di un'azienda.  Il tool non è molto conosciuto, ma riscuote un certo favore tra gli amministratori di sistema che devono gestire ampie reti di decine o centinaia di computer. 
 
Le patch per Meldtdon e Spectre hanno prodotto un disastro
 
Il nuovo update per Windows Analytic serve ad aiutare gli amministratori di sistema che stanno ancora lottando contro il complesso processo di patch dei bug Meltdown e Spectre, rivelati a inizio anno e che hanno impatto su quati tutti i modelli di CPU immessi nel mercato negli ultimi due decenni.
 
Il processo di update contro queste vulnerabilità richiede update del sistema operativo, update del BIOS/firmware e, in alcuni casi, anche la presenza di una specifica chiave di registro la quale però, in futuro, potrebbe bloccare ulteriori update di sicurezza. L'intero processo quindi è un disastro e, se già è difficile tenerne traccia su una piccola rete, figuriamoci in una azienda con una ampia flotta di PC.
 
Windows Analytics fornisce statistiche sulle patch
Microsoft ha fatto sapere di aver eseguito un update di Windows Analytic finalizzato proprio a mostrare lo stato del patching di Meltdown e Spectre. Iniziato ieri, Windows Analytic non mostrerà solo lo status dei computer che eseguono le patch delle due vulnerabilià sul SO Windows, ma anche lo stato dell'arte degli update del BIOS/Firmware. Inoltre ripoterà lo status della misteriosa chiave di registro che i computer che eseguono antivirus personalizzati dovranno avere. 
 
Windows Analytic però non potrà essere usato per applicare le patch a tali sistemi in maniera centralizzata, per questo ci sono altri strumenti, ma aiuterà non poco gli amministratori di sistema a farsi un quadro della situazione e ad intervenire dove necessario.

Sotto qualche immagine della nuova sezione di Windows Analytics.
1ewrstgfsxrg+Copia+-+Copia[1]

Conformità al GDPR: a che punto siamo e come possiamo aiutarvi?

Conformità al GDPR: a che punto siamo e come possiamo aiutarvi?

 
Come ripetiamo da qualche tempo, il 25 Maggio 2018 scade il termine ultimo per l'adeguamento alle nuove disposizioni in materia di Privacy previsto dal nuovo GDPR, il General Data Protection Regulation. 

Ma a che punto siamo? 
Qualche numero utile lo fornisce IDC per Microsoft e conferma un dato importante: lo scenario italiano, dal punto di vista della compliance al GDPR è ancora molto eterogeneo. Solo il 3% delle realtà con più di 10 dipendenti ha raggiunto la compliance, il 43% ha appena iniziato l'analisi e il 54% ha già un piano, più o meno efficiente, per la conformità. 

Alcuni settori strategici come Finanza e Pubblica Amministrazione registrano il maggior tasso di compliance, rispettivamente 10% e 8%: nel 76% e nell'85% dei casi si registra almeno l'esistenza una roadmap per l'adeguamento. 
 
Nei settori Manifattura e Servizi invece la percentuale più alta che si registra è quella delle aziende che hanno invece iniziato da poco ad affrontare il problema (rispettivamente il 53% e il 60%).  Il quadro è confermato, a livello italiano ed europeo, anche per le realtà più grandi (con più di 250 addetti). 
 
Siamo in ritardo?
Dai dati IDC emerge che si, siamo in ritardo. Ma ciò è da addebitarsi ad alcune cause specifiche:
  • Alcuni requisiti sono percepiti come vere e proprie sfide tecnologiche
  • Ad esempio dallo studio emerge come, nel mercato italiano, oltre la metà delle imprese ritenga particolarmente impegnativi i requisiti tecnici come la notifica dei data breach entro le 72 ore (70% degli intervistati), l'implementazione di sistemi di criptazione/anonimizzazione dei dati (66%) e la definizione di casi d'uso specifici nella gestione del consenso al trattamento dei dati (48%). 
  • Alcuni requisiti organizzativi sono ritenuti molto complessi
  • Ancora, anche alcuni requisti organizzativi sono ritenuti difficili: la classificazione di tutti i dati (67%), sensibilizzazione dei dipendenti alle policy di sicurezza (62%), l'eliminazione dei dati irrilevanti (62%). 
  • Alcuni requisiti sono ritenuti onerosi
  • Nel dettaglio la creazione di nuovi processi di documentazione (70% delle risposte),  l'organizzazione di attività di comunicazione interna e formazione (69%), la mappatura dei dati (64%) e l'aggiornamento/adeguamento dei processi di backup (64%).
Che aiuto possiamo fornirvi?
Ci occupiamo da oltre 20 anni di privacy, abbiamo studiato il GDPR e vogliamo mettere a vostra disposizione non solo la nostra conoscenza (in forma di consulenza e formazione), ma anche strumenti software adatti a tutti gli adempimenti legali che diverranno obbligatori nei prossimi mesi.
 
Abbiamo preparato una piattaforma apposita, organizzato nuovi servizi, consulenze, formazione e molto altro, sui quali vi informeremo costantemente nelle prossime settimane.

Scopri i nostri servizi → Le 3 modalità di servizio di GDPRlab
Scopri la nostra piattaforma → GDPRlab: la nuova piattaforma per la GDPR Compliance

Abbiamo organizzato anche una serie di webinar per fare il quadro sugli obblighi previsti per legge e per presentare la vasta gamma di servizi e una piattaforma apposita che abbiamo approntato per aiutarvi nella compliance. 
1[1]

Come individuare e rimuovere un malware miner di cripto valuta

Come individuare e rimuovere un malware miner di cripto valuta.


 

 
Questo articolo sarà utile ai nostri lettori per individuare e rimuovere i nuovi malware file less (sotto una breve spiegazione) per l'estrazione di cripto vauta. 
 
Bitcoin è un sistema di moneta digitale: la differenza tra usare un Bitcoin o la moneta regolare sta nel fatto che il Bitcoin può essere usato senza che si abbia nessuna informazione sulla reale identità di chi li estrae/usa. Il mining di Bitcoin è quel processo tramite il quale le transazioni vengono verificate aggiunte alla blockchain. Questo processo è estremamente importante perchè rende la rete Bitcoin stabile, sicura e verificata. Tutto ciò però non ha impedito l'utilizzo del Bitcoin da parte di cyber criminali a fine di guadagno illegale.
 
L'immagine sotto mostra il flusso di una transazione in Bitcoin. 

 
Una panoramica sui malware per il mining di Bitcoin
Per malware per il mining si intende quel malware che i cyber criminali usano per installare miner di Bitcoin sui sistemi degli utenti senza il loro consenso. Qui a Quick Heal abbiamo osservato che la maggior parte di questi malware appartengono alla categoria dei malware file less.
 
Cosa è un malware filess?
Un malware fileless è una variante di un codice dannoso che infetta i sistemi senza scaricarvi in memoria nessun file.E' un malware che viene scritto direttamente nella memoria volatile del computer bersaglio, ovvero nella RAM. Il suo codice viene iniettato entro i processi in esecuzione, spesse volte nei browser web come Internet Explorer, Chrome, Firefox ecc...
 
Come si diffonde e infetta i pc?
I miner di Bitcoin vengono diffusi in vari metodi: dai siti web compromessi alle email di spam. Possono anche venire scaricati o copiati da altri malware. Spesso gli utenti subiscono l'infezione perchè eseguono download sul proprio sistema di file sconosciuti da siti web compromessi. Abbiamo individuato perfino dei Tweet con link abbreviati che conducono al download di questi malware. I cyber criminali più sofisticati invece utilizzano exploit per sfruttare le vulnerabilità di una certa rete per infettare il sistema dell'utente. 
 
Una volta che il malware è installato, costringe il sistema infetto a generare Bitcoin (ma anche altre cripto valute come Monero e Ethereum), oppure a entrare a far parte come nodo di un pool di mining senza che l'utente ne sia al corrente. 
 
Il metodo esatto di infezione dei malware di mining non è chiaro, tuttavia, potrebbe accadere per l'esecuzione di una molteplicità diversa di tipi di malware (trojan, worm e altri malware) che potrebbero avere precedentemente infettato il pc.  Il metodo di distribuzione inoltre varia molto da tipo a tipo di malware. 
 
Se noti che il tuo computer rallenta improvvisamente, potrebbe non dipendere solo dal fatto che la macchina sia stata infettata, ma potrebeb anche significare che sta generando Bitcoin per qualcun altro (l'attaccante). Secondo la telemetria ricevuta dai Quick Heal Security Lab, i malware per il mining si diffondono sopratutto tramite i browser, gli attacchi di brute force, i worm, gli attacchi DoS (Denial of Service).
 
Come individuare un malware per il mining?
E' piuttosto difficile individuare qusti malware proprio per la loro caratteristica di essere fileless. Sotto elenchiamo i sintomi più evidenti di un attacco di questo tipo sui computer:
 
1. surriscaldamento del computer;
2. l'utilizzo della CPU o della scheda grafica è molto più alto della normalità;
3. il sistema rallenta drasticamente;
4. l'hardware del sistema protrebbe smettere di funzionare normalmente. 
 
L'individuazione da parte di Quick Heal
I Quick Heal Security Lab hanno individuato con successo milioni di malware per il mining. Il grafico seguente fornisce le statistiche di individuazione:

 
Come rimuovere questi malware?
Segui i seguenti step:
  1.  Resetta il tuo browser
  2.  Usa Quick Heal
  3.  Pulisci il registro di Windows usando tool specifici come Quick Heal PCTuner. 
In che maniera Quick Heal ti difende a questa minaccia?
  • Quick Heal offre una individuazione multi livello (statica e dinamica) contro queste minacce.
  • Grazie al suo sistema di individuazione comportamentale di prossima generazione, Quick Heal monitora attivamente sotto controllo questo tipo di attività dannose.
  • Quick Heal blocca e impedisce all'utente di visitare siti web dannosi, li protegge dai download e da tutti quei file dannosi provenienti da fonti sconosciute. 
1[1]

Nuova botnet per il mining di Monero bersaglia i dispositivi Android

Nuova botnet per il mining di Monero bersaglia i dispositivi Android

 
Nel weekend è comparsa una nuova botnet: mira ai dispositivi Android dopo aver effettuato una scansione in cerca di porte di debug aperte. Una volta individuate, infettano il dispositivo della vittima con un malware che estrae la criptovaluta Monero. 
 
La botnet ha fatto la sua comparsa Sabato scorso, il 3 febbraio e prende di mira la porta 5555, che, nei dispositivi che seguono il SO Android, è la porta usata dal sistema operativo nativo Androird Debug Bridge (ADB). ADB è una interfaccia di debuggin che garantisce l'accesso ad alcune funzioni più delicate del sistema operativo stesso. 
 
Solo i dispositivi Android, per adesso, sono stati infettati, come smartphone, smart TV ecc..: questi i
dati raccolti dai ricercatori di sicurezza di Qihoo 360, che hanno indivioduato la botnet. La botnet è chiamata ADB.miner.
 
I dispositivi bersaaglio
La botnet è estremamente aggressiva e in crescita giorno per giorno: si comporta come un worm che usa i dispositivi infetti per scansionare Internet in cerca di altre vittime
"Il numero delle fonti di scansione è raddoppiato in appena 12 ore" dichiarano da Qihoo 360. "Vedremo quando riuscirà a crescere questa botnet". 

Attualmente Qihoo 360 ha individuato scansioni da parte di ADB.miner provenienti da circa 7400 indirizzi IP univoci:
 

Le scansioni sulla porta 5555 sono aumentate così tanto d'improvviso da aver portato la porta 5555 stessa al 4° posto delle porte più scansionate. Prima della comparsa di questa botnet non era neppure tra le prime 10. 
 
 
 
La maggior parte degli indirizzi IP usati per la ricerca di altri dispositivi (segno che sono già stato infettati) si trovano principalmete in Cina e Corea del Sud. 
 
ADB.miner: qualche dettaglio tecnico
ADB.miner porta con sé una novità: è la prima volta che un malware per Android prende in prestito il codice di Mirai, malware basato su Linux che in precedenza aveva preso di mira solo dispositivi di rete e IoT. Qihoo 360 conferma che ADB.miner ha usato i codici di Mirai per la scansione delle porte. 
 
I ricercatori non hanno fornito ulteriori dettagli riguardo alle vulnerabilità sfruttate dagli attaccanti per prendere il controllo dei dispositivi, ma hanno specificato che il problema non riguarda un fornitore particolare. Se ne può dedurre, probabilmente, che il bug in questione interessi il nucleo stesso del componente ADB Android. 
 
Per impostazione predefinita, tutte le istanze del sistema operativo Android vengono "spedite"con la porta ADB disabilitata. In sunto, e questa è l'unica buona notizia, la botnet ADB.miner rileva soltanto i dispositivi in cui i vendor o gli utenti sono intervenuti manualmente ad abilitare la porta 5555. 
 
L'analisi del codice sorgente del malware ha rivelato che i truffatori stanno "minando" Monero usando lo stesso indirizzo di wallet Monero su due, diverse, mining pool. 
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy