1[1]

Criptojacking? E' quando qualcuno usa il tuo PC illegalmente per produrre moneta virtuale

Che cosa attrae più di una calamita? Beh, la risposta ci pare ovvia: il denaro. E dove si possono fare soldi facili troviamo, ovviamente, un gran bel trambusto. Fino ad ora sono stati i ransomware lo strumento di profitto preferito per i cyber criminali: prendere in ostaggio i file o l'intero dispositivo di una persona e estorcergli un riscatto in cripto valuta. Ora non è più così, perché c'è un meccanismo che permette ben più lauti guadagni: si chiama criptojacking, o, più familiarmente, mining di criptovaluta. Si intende cioè lo sfruttamento illegale del computer o di altro un dispositivo di una persona per produrre moneta digitale. Se con i ransomware, dopo un lasso di tempo più o meno breve, è importante per l'attaccante che la vittima sappia di essere stata attaccata per garantire il pagamento del riscatto, col cryptojacking è importante (per l'attaccante) che la vittima non si accorga di ciò che accade. Grazie alla facilità di implementazione e al ritorno immediato di profitto, il mining di valuta digitale ha rimpiazzato i ransomware come minaccia principale sia per imprese che per home user.

Questo articolo ha lo scopo di aiutare i nostri lettori a comprendere meglio questa nuova, già diffusissima, minaccia digitale: un elenco di domande frequenti sugli aspetti più caratterizzanti di questo nuovo tipo di attacco. 
 
1. Che cosa è il cryptojacking?
Una cripto valuta è una forma di moneta digitale o virtuale che usa la criptazione per sicurezza. Per generare (to mine) questo tipo di valuta è necessario disporre di molto potenziale di calcolo. Si intende quindi con Cryptojacking (o mining di criptovaluta) l'uso nascosto del potenziale di calcolo della CPU del computer della vittima stessa per generare criptovaluta: tutto ovviamente senza che l'utente ne sia a conoscenza o abbia espresso un consenso. In parole semplici, il cryptojacking si ha quando il tuo computer è usato in segreto per generare moneta digitale a vantaggio altrui. 
 
1[1]

HeroRat: via Telegram in diffusione una nuova famiglia di malware

 Colpisce solo Android ed è una nuova famiglia di Remote Adiministration Tool (RAT), ovvero uno strumento programmato per consentire a un dispositivo remoto di controllare un sistema come se vi avesse accesso fisico. Il codice sorgente di HeroRat è disponibile gratuitamente da Marzo 2018 e, dall'Agosto 2017, abusa del protocollo Telegram. 
 
Come si diffonde?
E' in vendita su un canale Telegram dedicato, ma il codice è in diffusione anche gratuitamente. Non è chiaro quindi se la variante in vendita sia stata creata dal codice sorgente trapelato oppure se, al contrario, sia quella la versione originale del malware. In ogni caso, i vettori d'infezione principali sono le app di app store di terze parti, app di messaggistica e social media. Attualmente non è stato riscontrato (almeno per ora) sul Google Play. 
 

Come funziona? 
L'intera famiglia HeroRat dispone di una grandissima quantità di funzioni di spionaggio e di estrapolazione dei file: può intercettare messaggi di testo e contatti, eseguire chiamate, registrare audio attivando il microfono, rilevare la posizione tramite geolocalizzazione, modificare le impostazioni del dispositivo e inviare messaggi di testo. Funziona su tutte le versioni di Android, ai quali richiede, per prima cosa, un ampio livello di autorizzazioni, compresa l'attivazione dell'app stessa come amministratore del dispositivo. Si nasconde in app di terze parti solitamente spacciate come app per connessioni internet gratuite o per la promozione di criptovaluta. Una volta installato e avviato, il malware visualizza un piccolo pop up che avvisa l'utente di un malfunzionamento dell'app stessa, avvisando dell'avvio della disinstallazione. 
 

E' proprio qui che i cyber criminali ottengono l'accesso al dispositivo della vittima e lo inseriscono come bot della botnet da essi controllata, tutto attraverso Telegram. Sempre il protocollo di Telegram funge da copertura sia dei comandi di comunicazione sia della sottrazione dei dati. 
 
Differentemente dalla maggior parte dei RAT per Android di Telegram, solitamente scritti nello standard Android Java, questa nuova famiglia è stata sviluppata da zero in C# utilizzando il framework Xamarin. 
 
Che cosa fare?
La maggior parte dei più affidabili antivirus mobile individua questo Rat e lo blocca. Spesso basta quindi eseguire una scansione del proprio telefono. Sicuramente è utile evitare di scaricare app da app store di terze parti, leggere le recensioni prima di scaricare un app e verificare attentamente il tipo di permissioni richieste al momento dell'installazione.
1[1]

Invasione di nuove varianti del ransomware Scarab

 E' indubbiamente stata, quella appena trascorsa, la settimana del ransomware Scarab, la cui famiglia conta ormai svariate decine di versioni. E' come se ci fosse un flusso continuo di nuove versioni che vengono rilasciate in continuazione: per fortuna sono già disponibili alcuni tool di decriptazione, grazie a Dr.Web.
 
Ricordiamo che chiunque subisca un'infezione da ransomware può visitare la pagina www.decryptolocker.it o scriverci all'indirizzo alessandro@nwkcloud.com inviandoci due file criptati e, possibilmente, la richiesta di riscatto: procederemo ad analisi gratuita dei file e quindi, nel caso l'infezione risulti risolvibile, ad approntare il necessario tool di decriptazione. 
 
Le nuove varianti:
1) .good 
Non modifica il nome dei file. Vi aggiunge solo l'estensione .good. La nota di riscatto si chiama "HOW the TO the RECOVER The ENCRYPTED files.txt", l'email di contatto per il pagamento del riscatto è filedecryption@protonmail.com.


2. .fastrecovery@xmpp.jp
Questa versione del ransomware non modifica il nome dei file, ma vi aggiunge due diverse estensioni:
  • .fastrecovery@xmpp.jp
  • .fastsupport @ xmpp.jp 
La nota di riscatto si chiama "HOW TO RECOVER ENCRYPTED FILES-fastsupport@xmpp.jp.TXT" Nella nota, oltre a fornire le indicazioni e le email di contatto per il pagamento del riscatto, si specifica il tipo di algoritmo usato per la criptazione: il solidissimo RSA-2048. 
 
Fonte: https://id-ransomware.blogspot.com/
Questa variante è risolvibile in alcuni casi, grazie ai nostro partner di Dr.Web.

3. .oneway
Scoperta da Michel Gillespie 6 giorni fa, non modifica il nome dei file, ma vi aggiunge l'estensione .oneway. La nota di riscatto si chiama "Расшифровать файлы oneway.TXT" e contiene la seguentie email di contatto:  ibm14@horsefucker.org
 
4. .bomber
Questa versione del ransomware modifica il nome dei file criptati usando Base64, infine vi aggiunge l'estensione .bomber. Un esempio di file criptato è:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk = wJA.bomber.
Colpisce soltanto utenti russi. La nota di riscatto si chiama "AS recover encrypted FAYLY.TXT" e contiene ben 3 email di contatto:
  • soft2018@tutanota.com;
  • soft2018@mail.ee;
  • newsoft2018@yandex.by.
5. .recme
Il 21 Giugno invece viene individuata "in the wild" la versione .recme. Non modifica il nome dei file criptati, ma vi aggiunge l'estensione .recme.

La nota di riscatto si chiama "HOW_TO_RECOVER_ENCRYPTED_FILES.TXT" e contiene due modalità diverse di contatto per il pagamento del riscatto:
  • l'email recfiles@protonmail.com;
  • un indirizzo Bitmessage (BM-2cTgGUjqALdcJp2kEhsgUUnhpFPgkikerB) qualora non fosse possibile la comunicazione via email. 
6. dan@cock.email.
Il giorno dopo ancora una variante nuova, che cripta i file modificandone l'estensione in .dan@cock.email. La nota di riscatto si chiama "HOW TO RECOVER ENCRYPTED FILES - dan@cock.email.TXT": la mail di contatto per il pagamento del riscatto è dan@cock.email
 


1[1]

Campagna di email dannose ai danni di utenti italiani distribuisce trojan

Il 19 Giugno scorso il CERT-PA (Pubblica Amministrazione) ha rilevato e denunciato una nuova campagna di email di spam volte alla diffusione di malware contro utenti italiani. Le email, secondo la più classica tecnica di ingegneria sociale, tentanto di far credere ai destinatari di aver avuto scambi di email riguardanti il pagamento di alcune fatture. La peculiarità di queste email è legata al fatto che, contrariamente alla maggior parte delle campagne di spam, sono scritte in un italiano perfetto, cosa che le rende ancora più credibili agli occhi degli utenti. Le organizzazioni maggiormente coinvolte sono legate ai settori delle Telecomunicazioni, Statali, Costruzioni, Educazione e tecnologia. 
 
Il CERT-PA (report completo disponibile qui) ha analizzato alcuni casi, il primo dei quali vede l'invio di email ad opera, addirittura, di un account PEC:
 

 
Nel secondo caso analizzato invece si usa una casella di posta convenzionale:
 
 
 
Tutte le campagne sono accomunate dal metodo di propagazione del malware: i malware sono nascosti in allegati con estensione .xls, ovvero un comune foglio di calcolo di Excel, contenenti macro. Ecco qui alcuni esempi di nome di questi file Excel (basati su Excel 97-2003) compromessi:
 
  • Fattura di vendita 6809915.xls
  • Fattura ITALIA_06129.xls
  • 63875 fattura di vendita.xls
  • 46552 fattura di vendita.xls
  • Fattura di Vendita 7488104.xls

 

Le macro contengono codice offuscato, cosa che rende difficile per gli antivirus l'individuazione della compromissione del file. Se un utente, tratto in inganno magari dal senso di urgenza o di importanza (pur sempre di fatture stiamo parlando!) apre il file e abilita il contenuto dinamico (la macro contenuta appunto), si attiva la catena di infezione. In locale viene scaricato un file eseguibile PE contenente un malware della famiglia Sharik: stiamo parlando di un trojan downloader conosciuto col nome Smoke Loader o Dofoil. Dofoil è un payload che diffonde nei computer che infetta un miner di criptovaluta per minare criptovalute sfruttando la CPU dei computer delle vittime. La particolarità è che esegue il mining di Electroneum, una criptovaluta in diffusione dal 2017 per il mobile mining, ma anche di altre valute contemporaneamente. 
 
La foto sotto mostra al diffusione a livello globale:
 
 

 

La buona notizia è che il tasso di individuazione di questo trojan da parte dei più diffusi antivirus è molto elevato: difficilmente quindi l'infezione può avvenire indisturbata, laddove c'è un software antivirus attivo a proteggere le singole macchine e l'intera rete. 
1[1]

MAC sotto attacco: malware e nuove tecniche di attacco.

Sono moltissimi gli utenti convinti che i Mac siano macchine inattaccabili, del tutto a prova di virus. Ci tocca fare il grillo parlante: non è vero, purtroppo. Per essere onesti fino in fondo è innegabile che i malware di ogni tipo e genere pensati per Windows sono di gran lunga un numero superiore a quelli pensati per il Mac, ma ciò non significa che non ne esistano. I Mac sono stati per molto tempo essenzialmente esclusi dal mondo del cyber crimine per una ragione piuttosto semplice (oltre alla stabilità e sicurezza interna del sistema operativo): sono molto meno diffusi di Windows, quindi, banalmente, il numero di potenziali vittime di un cyber attacco è assai ridotto. Ora che invece anche i computer Mac stanno diventando più "di massa" di virus se ne affacciano eccome. Qualche esempio tra i più recenti...
 
1. Coldroot: inizia a essere diffuso nel Febbraio 2017, ma viene rilevato dagli antivirus soltanto un anno dopo. E' un keylogger per Mac pensato per inviare ad un server C&C comandato dagli attaccani ogni comando che viene digitato dall'utente sul pc. 
 


2. OSX/MaMi: individuato all'inizio del 2018, può dirottare i clic del mouse, modificare le impostazionio DNS dell'utente, fare screenshot, eseguire AppleScript, scaricare e caricare file (spesso altri malware), eseguire comandi arbitrari sulla macchina infetta. 
 
3. Proton: è un trojan individuato sul finire del 2017. E' pensato appositamente per il Mac e nel dettaglio ruba una grandissima quantità di informazioni sul sistema: il numero di serie, l'utente, le info sul gateway, tutte le applicazioni installate, eventuali informazioni su wallet di criptovaluta dell'utente ec...
 
4. FruitFly: fu scoperto all'inizio del 2017, ma era in circolazione, non individuato, da oltre 2 anni. E' sia una backdoor che uno spyware: fa screenshot dello schermo, intercetta e modifica le azioni di mouse e tastiera, può eseguire intercettazioni ambientali prendendo possesso di microfono e webcam ecc...
 
Una nuova tecnica per aggirare gli antivirus...
La novità, denunciata in una approfondita ricerca del ricercatore Josh Pitts, è l'individuazione di una nuova tecnica per garantire ad un malware per Mac di non essere individuato dai meccanismi di difesa del sistema operativo e degli antivirus. 
 
Apple ha un sistema di controllo delle app legittime che è tra i più efficaci esistenti e che, affiancato ad un buon antivirus, costituisce un solido sistema di difesa. Il sistema ha però una debolezza, sulla quale si basa appunto questa nuova tecnica di attacco: molti antivirus (sicuramente quelli non dotati di sistema di controllo comportamentale) verificano la dannosità o meno di un file basandosi solo sul certificato digitale. Detengono infatti una white list di certificati e tutti i file che presentano quei certificati sono ritenuti validi in maniera acritica. Il punto debole sta nei file di installazione per computer Mac, i cosiddetti Fat/Universal file: questi sono eseguibili particolari, che hanno più componenti al loro interno. Questo sistema a "matrioska" permette ad esempio di inserire versioni diverse di un software nello stesso file (ad esempio sia la versione a 32-bit che quella a 64-bit). Il problema è che il sistema di verifica del certificato digitale analizza soltanto il primo degli eseguibili incorporati nel file Fat/Universal. 
 
Il gioco quindi è facile: un cyber attaccante può "inserire" un malware in una posizione defilata entro un file Fat/Universal legittimo, così può bypassare la gran parte dei sistemi di sicurezza. 
 
Segnalato il problema, Apple ha ribadito che la responsabilità è dei singoli produttori di antivirus: la maggior parte degli antivirus ha quindi già risolto il problema dopo indicazione del ricercatore, ma la lista di antivirus "ciechi" potrebbe essere più lunga rispetto a quella pubblicata nella ricerca.
1[1]

La polizia postale lancia l'allarme: attenti alla truffa dei biglietti aerei omaggio!

L'allarme è di due giorni fa, ma non denuncia una specifica truffa (magari già conclusa): al contrario ricorda e mette in guardia rispetto ad una modalità di truffa che si ripropone da alcuni anni sempre nel periodo estivo. L'allarme in questione è stato lanciato due giorni fa dalla pagina Facebook della Polizia Postale Italiana.
 
 
La tecnica di diffusione della truffa è tripla:
  • via chat/messaggi sui social,
  • via email
  • via ads ingannevoli.
In tutti e 3 i casi si invita a fare click su un link per ottenere il "premio". Ovviamente il link in diffusione conduce ad una pagina di phishing finalizzata al furto dei dati degli utenti. 

Come detto però, è una modalità di truffa ricorrente: vediamo i casi degli ultimi anni. 
 
Whatsapp e i falsi buoni Ryanair
Nel 2016 ci fu la truffa dei messaggi Whatsapp che promettevano falsi buoni omaggio Ryanair del valore di circa 200. I messaggi erano tutti del tono:
  • "Congratulazioni! Segui queste indicazioni per ricevere il voucher regalo di 200 euro di Ryanair"
  • "Vinci 2 Biglietti Aerei del valore di € 200 Ryanair".
Il messaggio invitava quindi a fare click su link per aprire un modulo da compilare inserendo i dati personali. Nessuno ottenne il buono di 200 Euro, ciò che invece risultò sicuro fu che i dati inseriti (personali e credenziali) furono tutti inviati ad un server C&C, finendo in possesso dei cyber truffatori.

 
Facebook, KTM e Alitalia
Nel 2017 vi furono ben due gravi truffe di questo genere a danni di ignari utenti. Quell'anno si teneva l'anniversario di fondazione dell'azienda KLM Royal Dutch Airlines e Facebook fu invaso dal link ad un questionario: ai primi due che avessero aderito compilando i campi, si promettevano biglietti gratis. Il link appariva credibile perché veniva diffuso tramite profili Messenger rubati o da utenti in buona fede, ma raggirati. Completato il modulo apparivano una serie di messaggi che dichiaravano l'utente vincitore, con invito a fare click per raggiungere altre pagine: inutile dire che non solo i dati inseriti venivano rubati, ma anche che le pagine sulle quali si veniva "caldamente invitati" a navigare per ottenere i biglietti omaggio in realtà ospitavano svariate tipologie di malware. 
 
Qualche giorno dopo fu la volta di Alitalia: la tecnica era molto simile. Si distribuivano tramite social allettanti messaggi che promettevano la vincita di biglietti di viaggio gratuiti. Ogni messaggio conteneva il link ad un questionario da compilare con una serie di dati sensibili e personali: nessun biglietto omaggio ovviamente, ma l'ennesimo furto di credenziali e dati personali. 
 
In questi casi un antivirus con buone funzioni Anti-Spam e Anti-Phishing può aiutare, ma il grosso della responsabilità, in questi casi, è nelle mani degli utenti. Ricordiamo di prestare sempre molta attenzione all'inserimento di dati personali su pagine, moduli, siti web sconosciuti. Ricordiamo anche che messaggi promozionali/offerte/vincite esageratamente vantaggiose celano molto più probabilmente una truffa che un benefit. Qualora una compagnia aerea decidesse, come accade spesso, di effettuare promozioni ne troverete sicuramente traccia nei canali di comunicazione ufficiali (sito web, account/pagine social ecc...). 
1[1]

MysteryBot: trojan bancario+keylogger+ransomware, tutto in uno.

 E' attualmente in diffusione una nuova famiglia di malware che colpisce soltanto i dispositivi Android: le caratteristiche lo rendono un malware molto molto pericoloso dato che funziona sia come trojan bancario, keylogger e ransomware. Si chiama MysteryBot ed è ancora in fase di sviluppo, così almeno affermano i ricercatori di sicurezza che l'hanno individuato in the wild. 
 
Parentele con Lokibot
Ad una prima analisi del codice, MysteryBot appare collegato al famoso (e famigerato) trojan bancario per Android LokiBot. Il codice dei due malware infatti presenta molte similitudini. Oltretutto è emerso che MysteryBot invia i dati allo stesso server Command&Control usato in una delle tante campagne di distribuzione di Lokibot: un suggerimento piuttosto chiaro rispetto alla comune paternità di questi due malware. Non è facile dire se il gruppo dietro questi malware abbia deciso di sostituire Lokibot per precise ragioni: un indizio è il fatto che qualche mese fa il codice di LokiBot "è sfuggito", venendo pubblicato in rete. Evento che ha determinato una nuova impennata nella diffusione di Lokibot, per quanto in una miriade di versioni lievemente modificate e corrette. Al contrario MysteryBot per adesso non appare pubblicizzato/segnalato in alcun forum nel dark web.
 

MysteryBot e Android
Le analisi indicano che MysteryBot può operare su Android 7 e 8, con una particolarità: è per adesso l'unico malware con la capacità di sovrapporre alle schermate originali schermate fake (spesso si tratta di false pagine di login mostrate sopra le schermate di app legittime, finalizzate al furto di credenziali di accesso). Le funzioni di sicurezza introdotte da Google in Android 7 e 8 erano infatti fino ad ora riuscite a impedire ad ogni malware di mostrare schermate sovrapposte a quelle originali. La differenza era che le precedenti famiglie di malware mostravano le schermate sovrapposte con un "tempismo sbagliato" non potendo rilevare quando realmente l'utente sta visualizzando quell'app sullo schermo. 
 
Ecco la novità...
MysteryBot ha trovato una via affidabile per "sincronizzare" con l'utente le schermate fake da sovrapporre alle app legittime: in sunto MysteryBot è molto temibile perchè mostra le schermate fake proprio al momento giusto, cosa che complica moltissimo la possibilità che l'utente si accorga che la schermata di login visualizzata è falsa. Ciò avviene perchè questo malware abusa della permissione PACKAGE_USAGE_STATS (comunemente chiamata Usage Access Permission), una funzione di Android che mostra statistiche di utilizzo riguardo un app e che, indirettamente, si "lascia scappare" dettagli riguardo l'uso corrente delle app in uso.

 

Alcune app che richiedono l' Usage Access permission

 

L'attuale versione include una grande quantità si schermate sovrapponibili, personalizzate cioè per imitare e schermate di app originali di molte dellòe principali app di mobile banking di banche australiane, austriache, tedesche, spagnole, francesi, italiane, corate, polacche e rumene, ma anche di social come Facebook, WhatsApp e Viber. Il malware punta alle 100 e oltre app imitabili: i ricercatori ritengono che il grosso degli sforzi dei cyber criminali sia ora rivolto in questa direzione. 
 
La componente keylogger
Oltre a tutto ciò il malware vanta anche una componente keylogger, anch'essa peculiare se confrontata con altre componenti keylogger rintracciabili nel mercato per Android. I ricercatori infatti confermano che MysteryBot non esegue screenshot al momento in cui l'utente digita qualcosa sul touch screen, come fanno tutti i keylogger, ma al contrario registra la posizione del tocco. In sunto questa componente cerca di indovinare quale tasto ha premuto l'utente in base al "luogo" sullo schermo dove è stato digitato quel carattere, come se l'utente stesse usando una tastiera virtuale. I ricercatori sospettano che il sistema sia ancora in via di test, dato che i dati raccolti dalla componente keylogger non vengono, per adesso, inviati al server C&C. 
 
Il modulo ransomware
Arriviamo all'ultimo componente: quello ransomware. Questo modulo consente agli attaccanti di "rinchiudere" tutti i file dell'utente in un dispositivo di storage esterno. Il ransomware quindi non sovrascrive i file, ma li blocca rinchiudendoli in un archivio .zip protetto da una password ovviamente sconosciuta all'utente. Per ora la questione è risolvibile facilmente: la password di compone di solo 8 caratteri ed è abbastanza facile quindi, con un attacco di brute force, riuscire a "forzare" la cassaforte in cui sono bloccati i file. E' verosimile però ritenere che a breve non sarà più così facile. La password e l'ID random generato per identificare ogni singola vittima sono inviate ad un pannello di controllo remoto chiamato Myster_Locker.

 

Il pannello di controllo remoto per le vittime della componente ransomware

 

Il travestimento usato? FlashPlayer per Android
I ricercatori spiegano anche che la versione di MysteryBo individuata si travisava da app Flash Player per Android. Come viene diffuso? Ancora non è certo: gli esperti però spiegano che la maggior parte die Trojan Bancari viene diffuso tramite SMS o messaggi di phishing, oppure tramite installazione di app compromesse con il downloader del malware stesso. 
1[1]

DBGer Ransomware: usa Eternalblue e Mimikats per diffondersi nelle reti aziendali

 DBGer Ransomware non è nuovo, anzi: è il rebranding "rivisto e coretto" di un ransomware in diffusione da qualche tempo, il RaaS Satan. La nuova versione, individuata giusto ieri da MalwareHunter, non ha visto solo il cambio del nome, ma dell'intero modus operandi del ransomware che appare invece ora un'arma davvero temibile. Non solo l'adozione dell'exploit Eternalblue, quello che permise una diffusione impressionante di WannaCry (per ulteriori info leggi qui), ma anche di Mimikatz per potersi muovere lateralmente nelle reti compromesse. 
 
La storia del ransomware Satan
Il ransomware Satan fu lanciato nel Gennaio 2017 come RaaS (ransomware as a service - leggi qui), consentendo a chiunque di registrarsi e creare la propria versione personalizzata del ransomware. La prima versione era assolutamente "base", come accade alla quasi totalità dei ransomware "al debutto". Eppure sono stati moltissimi i "clienti" degli sviluppatori di Satan e per molti mesi il ransomware è stato diffuso sopratutto tramite campagne di spam. Col tempo la reputazione di Satan è cresciuta, di pari passo con il crescere del numero dei "clienti" del servizio. Per dire: il gruppo che si cela dietro il ransomware LockCrypt ha iniziato come cliente di Satan, prima di sviluppare un ransomware tutto suo. Molti sono stati poi i ransomware che hanno preso spunto dal codice di Satan. 
 

Il portale di gestione di Satan. Fonte: Bleepingcomputer

La lezione di WannaCry
Come si è evoluto l'intero panorama dei ransomware, così anche Satan ha proseguito nel suo percorso di avanzamento. Il 2017 ha introdotto due grandi novità, che hanno avuto un ruolo campale nella diffusione dei più gravi attacchi ransomware della storia (stiamo parlando di WannaCry e NotPetya): i meccanismi di self-spreading e la capacità di "muoversi" per infettare le reti aziendali anzichè, uno per uno, soltanto gli home user. Nel Novembre 2017 anche Satan ha avviato le operazioni di updating nella stessa direzione. Per prima cosa ha incorporato una versione dell'exploit SMB EternalBlue, facendo si che il nuovo ransomware possa eseguire scansioni in una rete locale in cerca di computer col servizio SMB non aggiornato: una maniera molto efficace per massimizzare l'impatto di un attacco. L'implementazione di un sistema di movimento laterale è proseguita nel 2018, quando il ransomware, con un secondo update, ha ricevuto il proprio meccanismo: così la nuova versione di Satan non solo può scansire le reti locali, ma anche tentare di infettare altri computer usando ulteriori exploit/metodi, tra i quali:
 
  • JBoss CVE-2017-12149
  • Weblogic CVE-2017-10271
  • Il brute force della web application Tomcat

 

Mimikatz
L'ultima aggiunta al ransomware, che nel frattempo ha anche mutato nome in DBGer Ransomware, è stata Mimikatz. Il ransomware installa Mimikatz nel computer infetto, scaricando le password per i computer in rete e utilizzando queste credenziali per accedere e infettare ulteriori dispositivi. 
 
 
 Tutti i meccanismi sopra descritti diverranno molto probabilmente assai comuni nei ransomware: è verosimile infatti ritenere che questi nuovi meccanismi per aumentare il potenziale di diffusione diverranno piuttosto comuni. Il cyber crimine infatti si è reso conto che è ben più profittevole organizzare una campagna di diffusione di malware per il mining di criptovaluta che un ransomware. Così i gruppi che hanno deciso di continuare a "lavorare" puntando sui ransomware devono trovare strade alternative per massimizzare il potenziale di infezione e quindi il profitto. 
1+28129[1]

[ GDPR ] Le responsabilità del DPO

 ono passati solo pochi giorni dall’entrata in vigore del nuovo GDPR e,  come era facile immaginare, non c’è chiarezza su molti aspetti della sua applicazione. Tra molte cose, si chiede quali siano esattamente le responsabilità del DPO ( Data Processor Officer), la figura non presente nelle precedenti normative e non coincidente con il Titolare del Trattamento Dati, che deve agire in maniera indipendente e senza vincoli di subordinazione.
 
Tenuto presente che la nomina del DPO deve essere effettuata con atto scritto (consigliamo che sia estremamente dettagliato), è evidente la sua responsabilità di natura contrattuale nei confronti dell’impresa, del privato o della Pubblica Amministrazione che lo abbia nominato.
 
La nuova disciplina sul GDPR lascia inalterato l’attuale quadro sanzionatorio in ordine ai reati di accesso abusivo ad un sistema informatico o telematico (art. 615 ter CP), o la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater CP), nonché i reati previsti dal c.d. Codice della Privacy (in particolare gli artt. 167, 168, 169 e 170 del D.lgs. 30 giugno 2003, n. 196). Non sembrerebbe quindi che queste norme vadano ad incidere sulla nuova disciplina, salvo nei casi in cui, in mala fede e in violazione dei propri doveri, il DPO si appropri dei dati di cui viene in possesso per utilizzi illeciti ma, come vedremo, potrebbe non essere così.
 

La nuova figura del DPO ha, tra gli altri, i seguenti compiti:
 
  • informare e consigliare le organizzazioni ed i dipendenti sui loro obblighi derivanti dal GDPR e dalla normativa nazionale;
  • sorvegliare l’osservanza del GDPR, delle policy interne in materia di protezione e trattamento dati, compresa l’attribuzione delle responsabilità e la formazione del personale e i relativi audit;
  • fornire, se richiesto, pareri sulla valutazione d’impatto del trattamento sulla protezione dei dati e sorvegliarne ogni attività;
  • cooperare con le autorità di controllo per facilitare l’accesso ai documenti ed alle informazioni necessarie per lo svolgimento dei compiti e ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi attribuiti alle stesse dal GDPR.

 

È intuitivo come la qualifica di DPO difficilmente possa essere attribuita ad un membro interno di un ente o società, essendo anche previsto un vincolo di indipendenza e l’assenza di conflitti. Emerge inoltre chiaramente come il DPO debba disporre di competenze a più livelli e multidisciplinari, tenendo adeguatamente conto delle specifiche problematiche non solo pratiche, ma anche quelle eventuali e le criticità improvvise cui, quale front officer della privacy, dovrà far fronte. Inoltre nel caso delle pubbliche amministrazioni, avrà bisogno di una conoscenza approfondita delle norme e procedure amministrative applicabili.
 
E’ inoltre indispensabile la conoscenza dello specifico settore di attività e della struttura dell’azienda /organizzazione in cui opera; inoltre, dovrà avere buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dall’azienda.
 
Attualmente, come precisato dal Garante Privacy, la qualifica prescinde da attestati formali o iscrizione ad albi professionali, ma dovrà essere effettuata dalle aziende e dagli enti valutando autonomamente il possesso dei requisiti necessari per i compiti assegnati. La normativa, infatti, non prevede al momento l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Eventuali certificazioni “rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’adempimento” pur “rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del DPO né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del RGP. Il DPO deve riferire direttamente al vertice in modo che quest’ultimo possa essere immediatamente a conoscenza delle indicazioni e delle raccomandazioni dal primo fornite nell’esercizio delle sue funzioni; dovrà inoltre disporre di risorse (finanziarie, umane e infrastrutturali) adeguate per assolvere tali compiti e si ritiene  sia suo dovere mantenere e aggiornare la propria conoscenza specialistica
 
Sembrerebbe che in capo al DPO non incombano obblighi penalmente rilevanti di vigilanza e sui controlli e non ha certo gli stessi obblighi di garanzia che incombono in capo al Titolare/Responsabile del trattamento, al dirigente e al preposto, nell’ambito delle loro rispettive attribuzioni. Tuttavia si ritiene abbia precisi doveri e oneri di attivazione e impulso anche rispetto al Titolare/Responsabile del trattamento che si riveli inerte, violando il disposto di cui all’art. 38 GDPR.
 
Inoltre, poiché ai sensi dell’art. 39, comma 1, lettera b) del GDPR, il DPO è incaricato di attribuire le responsabilità, sensibilizzare e formare il personale che partecipa ai trattamenti (dei dati) e alle connesse attività di controllo, come prima accennato, è suo compito anche stabilire, di concerto con il Titolare/Responsabile del trattamento, chi e in quale misura risponderà del buon andamento delle procedure interne di gestione dei dati. Saranno così i responsabili individuati ad avere il compito di “impedire il verificarsi dell’evento” dannoso o pericoloso, anche in ordine alle responsabilità penali, da cui potranno esimersi soltanto qualora dimostrino di aver correttamente adempiuto ai propri doveri e di aver fatto tutto quanto in loro potere per impedire il verificarsi dell’evento dannoso o pericoloso, quantomeno a titolo di colpa. Peraltro, oltre alle responsabilità civili, con ogni conseguenza economica e di risarcimento danni, si deve porre in evidenza che un profilo di responsabilità penale in capo al DPO permane nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso in caso di violazione dei doveri imposti dal GDPR quale, ad esempio l'aver indotto il Titolare del trattamento ad omettere l’adozione di una doverosa misura organizzativa o di prevenzione.

Infine, ai sensi dell’art. 39, comma 1, lettere d) ed e) del GDPR, si ritiene sussistere in capo al DPO anche una responsabilità per quanto concerne la correttezza delle comunicazioni e notificazioni effettuate al Garante (Art. 168 D.lgs. 30 giugno 2003, n. 196), salvo dimostrare un affidamento incolpevolmente sulle informazioni ricevute dai vertici aziendali.
1+28129[1]

VPNFilter: il malware è peggio del previsto. Già implementate nuove funzionalità.

 Del malware VPNFilter, alla base di una botnet di oltre 500,000 router e dispositivi NAS sparsi in oltre 54 paesi, abbiamo già parlato qua. La novità rispetto alla situazione già grave descritta nel precedente articolo, è che il malware ha subito l'implementazione di nuove funzionalità che lo rendono ancora più pericoloso, ma si è anche allungata la lista dei dispositivi target. 
 
Cisco Talos ha pubblicato i dettagli tecnici di una nuova ricerca e ha aggiunto alla lista dei dispositivi sotto attacco (che ricordiamo essere Linksys, MikroTik, Netgear, TP-Link e QNAP ) anche i router di ASUS, D-Link. Huawei, Ubiquiti, UPVEL e ZTE. Si passa, giusto per dare un dato che dia la misura di questa minaccia, da una prima lista di 16 dispositivi a una seconda di 71.. e chissà che non se ne aggiungano altri. In chiusura di articolo la lista dei dispositivi vulnerabili. 
 
I nuovi plugin
Come già detto, VPNFilter si diffonde con un meccanismo due fasi+una: l'ultima fase è quella nella quale il RAT (remote access trojan) che viene scaricato sulla macchina bersaglio subisce l'implementazione di una serie di plugin secondo i comandi impartiti dal server C&C controllato dagli attaccanti. 
 
I nuovi plugin sono: 
 

1. ssler: è un plugin per intercettare e modificare il traffico web sulla porta 80 tramite un attacco man-in-the-middle. Supporta anche il downgrade dal protocollo HTTPS al quello HTTP.

 
2. dtsr: plugin er sovrascrivere il firmware del dispositivo. Cisco sapeva già che VPNFilter può manomettere/cancellare il firmawre del dispositivo, ma durante questa analisi ha individuato il plugin specifico. 
 
I plugin già conosciuti invece:
1. ps: questo plugin intercetta i pacchetti nella rete e ha la capacità di individuare uno specifico tipo di traffico di rete. Cisco ritiene che questo plugin serva a controllare i pacchetti Modbus TCP/IP, spesso usati in software industriali e apparecchiature SCADA. Nel report più recente però si afferma che il plugin ricerca anche apparecchiature industriali che si collegano su reti private virtuali TP-Link R600. 
 
2. tor: plugin usato dai bot VPNFilter per comunicare col server C&C tramite la rete Tor. 
 
La lista dei dispositivi target
Sotto trovate la lista aggiornata di router e NAS bersagliati dal malware VPNFilter. Cisco fa sapere,  che VPNFilter non usa una vulnerabilità 0-day, il che significa che tutti i modelli elencati sono vulnerabili ad exploit contro versioni non aggiornate all'ultima di firmware. Aggiornare i firmware all'ultima versione potrebbe aiutare a porsi fuori dalla portata del malware. 
 
Dispositivi Asus:
 
  • RT-AC66U (nuovo)
  • RT-N10 (nuovo)
  • RT-N10E (nuovo)
  • RT-N10U (nuovo)
  • RT-N56U (nuovo)
  • RT-N66U (nuovo)

 

Dispositivi D-Link:
 
  • DES-1210-08P (nuovo)
  • DIR-300 (nuovo)
  • DIR-300A (nuovo)
  • DSR-250N (nuovo)
  • DSR-500N (nuovo)
  • DSR-1000 (nuovo)
  • DSR-1000N (nuovo)

 

Dispositivi Huawei:
 
  • HG8245 (nuovo)

 

Dispositivi Linksys:
 
  • E1200
  • E2500
  • E3000 (nuovo)
  • E3200 (nuovo)
  • E4200 (nuovo)
  • RV082 (nuovo)
  • WRVS4400N

 

Dispositivi  Mikrotik: (Bug risolto nella versione 6.38.5 del SO del router)
 
  • CCR1009 (nuovo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nuovo)
  • CRS112 (nuovo)
  • CRS125 (nuovo)
  • RB411 (nuovo)
  • RB450 (nuovo)
  • RB750 (nuovo)
  • RB911 (nuovo)
  • RB921 (nuovo)
  • RB941 (nuovo)
  • RB951 (nuovo)
  • RB952 (nuovo)
  • RB960 (nuovo)
  • RB962 (nuovo)
  • RB1100 (nuovo)
  • RB1200 (nuovo)
  • RB2011 (nuovo)
  • RB3011 (nuovo)
  • RB Groove (nuovo)
  • RB Omnitik (nuovo)
  • STX5 (nuovo)

 

Dispositivi Netgear:
 
  • DG834 (nuovo)
  • DGN1000 (nuovo)
  • DGN2200
  • DGN3500 (nuovo)
  • FVS318N (nuovo)
  • MBRN3000 (nuovo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nuovo)
  • WNR4000 (nuovo)
  • WNDR3700 (nuovo)
  • WNDR4000 (nuovo)
  • WNDR4300 (nuovo)
  • WNDR4300-TN (nuovo)
  • UTM50 (nuovo)

 

Dispositivi QNAP:
 
  • TS251
  • TS439 Pro
  • Altri dispositivi NAS QNAP che eseguono il software QTS

 

Dispositivi TP-Link:
 
  • R600VPN
  • TL-WR741ND (nuovo)
  • TL-WR841N (nuovo)

 

Dispositivi Ubiquiti:
 
  • NSM2 (nuovo)
  • PBE M5 (nuovo)

 

Dispositivi UPVEL:
 
  • Unknown Models (nuovo)

 

Dispositivi ZTE:
 
  • ZXHN H108N (nuovo)
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy