1[1]

Quanto costa la tua identità nel Dark Web?

 
Se pensi che sul mercato nero ci siano solo telefoni cellulari rubati, droghe e software piratati probabilmente sbagli. C'è una parte del mercato nero online che guadagna principalmente da una sola fonte di profitto: la vendita di informazioni personali rubate. Stiamo parlando di tutte quelle informazioni sensibili che possono essere utilizzate per identificare, contattare, localizzare, fingersi un'altra persona. 
 
I siti web di e-commerce hanno ridefinito la maniera nella quale le persone fanno acquisti. Arrivare a sfogliare una varietà di prodotti praticamente infinita comodamente da casa è indubbiamente meno faticoso di recarsi ogni giorno in un centro commerciale. Pochi click e in pochissimo tempo ciò che hai comprato arriva direttamente a casa tua. Ora però dobbiamo parlare anche dell'altra faccia della medaglia, ovvero dei rischi che si corre comprando online. Ogni volta che fai un acquisto online fornisci una grandissima quantità di informazioni molto sensibili: numero della carta di credito/debito, nome e cognome, indirizzo, indirizzo email, magari perfino il numero di telefono. E' proprio a queste informazioni che mirano i cyber-criminali e, una volta che uno di loro ha ottenuto queste informazioni, semplicemente ne fa mercato nel dark web. Si, proprio così: guadagnerà vendendo o affittando i tuoi dati sensibili nel mercato nero online. 
 
Quanto vale la tua identità nel mercato nero online?
Pubblichiamo una piccola infografica utile inquadrare la questione. 
 
Tradotto da:  https://www.experian.com/blogs/ask-experian/heres-how-much-your-personal-information-is-selling-for-on-the-dark-web/
 
Quick Heal difende le tue informazioni personali!
Quick Heal Total Security protegge la tua identità dai cyber criminali grazie alle seguenti funzioni:

 

1+28129+28129[1]

Cyber crime: 5 nuovi tipi di cyber attacco

Le minacce informatiche sono in continua e costante evoluzione: ogni giorno si scoprono nuove vulnerabilità e vengono quindi prodotti strumenti utili per sfruttarle, si producono e diffondono nuovi malware, si strutturano nuove tecniche di attacco. Il 2017 è stato l'anno nel quale la cyber sicurezza "ha fatto irruzione" nella coscienza di tutto il mondo a causa di famigerati malware ormai passati alla storia del cyber crimine: parliamo di ransomware e disk-wipe come WannaCry, NotPeya e Petya e Locky. Il 2018, che ha già fatto il giro di boa, non ha visto una diminuzione del livello di rischio, tutt'altro ha dimostrato un salto in avanti da parte del cyber crimine, con la comparsa di nuove e numerose tecniche di attacco sempre più efficaci. 
 
1. Cryptojacking o mining di cripto valuta (vedi qui e qui per approfondire)
Il cryptojacking era già in embrione, ma è diventato assai diffuso e popolare con l'avvento dell'era delle cripto valute come Bitcoin, Monero ecc.. Visto che le cripto valute sono sempre più usate e diffuse, i cyber criminali tentano continuamente di rubarne/produrne a scopo di profitto e per farlo sfruttano il potere di calcolo di un sistema bersaglio. E' un tipo di attacco che produce danni hardware a causa del surriscaldamento, danni software perchè spesso porta al crash di sistema o comunque a rallentamenti e riduzione delle performance e, in conseguenza, danni economici (anche dovuti all'incremento improvviso del consumo di energia elettrica). Uno dei più famosi miner in Javascript è stato, ed è tutt'ora CoinHive: si tratta di una libreria Javascript che, per i primi tempi, doveva servire ai proprietari di siti web per sostituire i proventi delle fastidiose pubblicità con proventi in estrazione 
di cripto valuta. Peccato sia finito talmente presto in mano ai cyber crimianali da essere ormai usato più in forma illegale che illegale e, molto spesso, all'insaputa sia delle vittime che lo subiscono sia dei proprietari di quei siti web che ospitano il codice.
 
 
2. Ransomware in cloud
Dato l'impressionante numero di attacchi ransomware degli anni scorsi, molti utenti (sia home user che aziende) hanno optato per l'adozione degli strumenti in cloud. Hanno cioè spostato i dati più importanti su piattaforme in cloud sperando così di scoraggiare gli aggressori e porsi al riparo da eventuali ricatti. Ovviamente il cyber crimine non si è fatto intimorire e cominciano già a essere diffuse le prime versioni di ransomware per le piattaforme in cloud. Nel 2017 un report di Netskope riferiva che il 43,7% dei malware rilevati nei cloud portavano con sé anche un ransomware. La media rilevata l'anno scorso è stata di 26 file infetti per applicazione cloud tra le aziende campione nel rilevamento. Il 55,9% dei malware cloud, ransomware compresi, è finita perfino condivisapubblicamente, con utenti esterni o interni (l'anno precedente il dato si aggirava intorno al 26%).  La maggior parte si diffondono tramite exploit o dropper Javascript, macro di Office, malware per Linux. Con un vantaggio: in un ambiente in cloud è molto facile che tra i file criptati finiscano non solo quelli della vittima effettiva, ma tutti quelli che si trovano, ad esempio, in cartelle condivise. Tenendo di conto che le aziende di cloud computing ospitano un numero già enorme, ma sempre crescente di dati, si capisce al volo il perchè di tanto impegno dei cyber criminali a produrre strumenti di attacco contro le piattaforme cloud: sono obiettivi che, se attaccati con successo, potranno essere molto molto redditizi. 
 
3. Attacchi con l'AI (Intelligenza Artificiale)
Avrete sentito parlare dell'intelligenza artificiale (AI), la nuova frontiera della sicurezza informatica. Il problema è che è una tecnologia già contesta tra il mondo dei ricercatori di sicurezza e il cyber crimine. Gli esperti di sicurezza e di reti hanno adottato l'AI e il machine learning (l'apprendimento automatico) perché strumenti molto utili per individuare tempestivamente gli attacchi, isolarne i segnali rivelatori e agire in conseguenza. Il problema è che, di contro, i cyber criminali stanno usando gli stessi strumenti in senso inverso, per attacchi su vasta scala per infettare sistemi e reti.
 
4. Attacchi IoT
L'Internet delle Cose (Internet of Things - IoT) è sempre più diffuso e popolare: stiamo parlando di tutti quei dispositivi come videocamere, termostati, tv, centraline di allarme, sistemi di condizionamento/riscaldamento che si connettono ad Internet. Più si sono diffusi, più sono diventati "attrattivi" per il cyber crimine, che vi ha visto una possibile fonte di profitto. Un rapporto di Gartner riporta che ogni giorno sono 5 milioni di dispositivi IoT che vengono aggiunti: una "platea di possibili vittime" da fare spavento. Attaccarne e violarne uno vuol dire ottenere la possibilità di controllare la moltitudine di altri dispositivi IoT ad esso collegati. Inoltre è risaputo che c'è scarsissima attenzione (tendenza fortunatamente che sta avendo una netta inversione di rotta) alla sicurezza dei dispositivi IoT, problematica che ha più volte fatto finire nell'occhio del ciclone i maggiori produttori. Chi si è mossa è stata la Wi-Fi Alliance, l'organizzazione che gestisce le tecnologie Wi-Fi: nel nuovo protocollo WPA3 (che supera appunto le vulnerabilità di WPA2) è prevista una precisa tecnologia per gli IoT, la  Wi-Fi Easy Connect. Consentirà di poter accedere alle impostazioni di autenticazione e sicurezza dei dispositivi IoT senza schermo attraverso un altro device con schermo. Questa possibilità potrebbe rendere dura la vita dei gestori di botnet, solitamente affamati di debolissimi e vulnerabili dispositivi IoT da inserire in enormi botnet in affitto sul web per devastanti attacchi DoS o DDoS.

Leggi >> Rilasciato ufficialmente il nuovo standard di sicurezza WiFi WPA3
 
5. La Non conformità
Il GDPR è gia effettivo, ma ci sono ancora centinaia di aziende che non si sono organizzate per la compliance al Regolamento. La non conformità non è soltanto un problema legale, ma è anche un rischio per la sicurezza informatica: gli attaccanti potrebbero monitorare il livello di vulnerabilità di una azienda per assicurarsi vittime facili. Ugualmente aziende conformi al GDPR devono prestare attenzione nel caso in cui si trovino a collaborare con realtà non conformi: i data breach sono ormai all'ordine del giorno. I più famosi, a parte al vicenda Cambridge Analytics, sono stati quelli di Equifax e Yahoo: data breach che hanno violato, per debolezze del sistema informatico, i dati di decine di milioni di utenti.

Leggi >> GDPR: regolamento europeo per la Privacy.
 
Tra le soluzioni antivirus che distribuiamo, è importante segnalare che Quick Heal e Seqrite hanno recentemente introdotto il machine learning nel "corredo" del motore antivirus (per approfondire leggi qui), rendendosi quindi capaci di apprendere automaticamente da un attacco e poter così individuare celermente e rispondere automaticamente in maniera più efficace.
 
1(1)(1)(1)[1]

Nuova campagna ransom – miner individuata online: diffonde ransomware e miner

 
Dalla scorsa settimana i Quick Heal Security Labs stanno osservando una serie interessante di malware pericolosi, bloccati sulle macchine dei nostri clienti. La quasi totalità contenevano il malware 't.exe', che si è rivelato essere un trojan dropper (usato cioè per scaricare altri malware). La particolarità è che questo trojan dropper può scaricare sia una componente ransomware sia una componente per il mining di criptovaluta. Non contento, tenta pure di eseguire operazioni ulteriormente dannose connettendosi a uno o più server Command&Control. Nel dettaglio questa campagna, tutt'ora in corso, diffonde il ranomware GandCrab e il malware Monero Cryptominer. 
 
Non sappiamo quale sia il vettore iniziale dell'attacco del file 't.exe', ma sospettiamo fortemente che venga diffuso tramite email di phishing. La maggior parte delle email di phishing contiene link a URL dannosi, oppure ancora contengono allegati dannosi che scaricano malware sul sistema dell'utente. 
 
Sotto il funzionamento della catena di attacco osservata in questa campagna miner-ransomware. 
 
Anche se non abbiamo ancora individuato il vettore di attacco, siamo riusciti a tracciare la catena di attacco dall'URL dannoso 92.63.197.112/t[.]exe.
 
Il file 't.exe' è un file PE32 eseguibile solo per Microsoft Windows compilato in Microsoft Visual C++: è criptato e contiene una grande quantità di dati. Sotto è possibile vedere le risorse del malware. 
 
 
Dopo una prima analisi abbiamo scoperto che il malware legge una delle risorse, quindi la decripta. Decripta appunto del codice, ma anche un file compresso PE. Dopo la criptazione il controllo passa al codice decriptato, il quale decomprime il file PE in memoria e quindi sovrascrive il processo principale con il file decompresso. A questo punto il malware vero e proprio viene eseguito. Il file principale del malware contiene due processi a codifica fissa:  ‘process32First’ e  ‘process32next’. Enumerano vari processi e li comparano con una lista di 16 processi che indicano, se riscontrati, la presenza di Virtual Box e Virtual Machine coi relativi componenti. Verifica anche la presenza di eventuali sandbox tramite la presenza o meno della libreria “sbiedll.dll”. Sono classiche e molto diffuse tecniche anti sandbox e anti-VM. Se viene individuata la presenza di una qualsiasi forma di ambiente virtuale, il malware richiama la funzione ‘ExitProcess’ e blocca ogni processo in esecuzione. Insomma si interrompe. 
 
 
Il ransomware GandCrab
Se non riscontra ambienti virtuali, comincia l'infezione vera e propria: crea una copia di se stesso in %appdata%, rinominata con numeri random, nella cartella C:\WINDOWS\T-5682806352635035603\winsvc.exe. Subito dopo cancella la copia originale. Crea anche una chiave di registro (vedi sotto) che gli consentirà l'esecuzione ad ogni avvio di Windows
 
 
Come non bastasse, crea una ulteriore chiave di registro che disabilita Windows Firewall.
 
 
Il trojan rimane quindi persistente in memoria e tenta di inviare richieste a più server C&C tramite protocollo HTTP per scaricare ulteriori componenti dannosi. Tra i file che scarica troviamo file di testo, file Javascript, file PE ecc.. Nel dettaglio:
  • exe : 001bc79a0cc7a86c81f5fd3dc55d1f1e (file ransomware)
  • exe : 43cf277a897b299a8d0c27bbed98fa85 (Trojan)
  • exe : 83df5b076f23e0bf2e68fbda29b245e2 (Trojan)
  • exe : a3e5dabdfc394091e06e265f0c96c98d (cryptomining malware)
  • exe : b74ad6183e0cc5471a219b4925c7e339 (Trojan)
new.exe altro non è che una vecchia conoscenza: è il ransomware GandCrab, che viene eseguito tramite uno script js. Inoltre prova a individuare immediatamente l'indirizzo IP della macchina tramite richiesta all'host ipv4bot.whatismyipaddress.com: l'operazione avviene in loop fino a quando un tentativo va a buon fine. Se invece non riceverà mai l'IP pubblico, semplicemente non cripterà alcun file. 
 
I server C&C 'hardcoded' nel malware sono:
  • nslookup ransomware.bit wowservers[.]ru
  • nslookup carder.bit ns1.wowservers[.]ru
Ultimo file scaricato da 't.exe' è un file di testo contenente un indirizzario di email, probabilmente ulteriori vittime verso le quali distribuire il malware miner e ransomware.
 
Il malware Monero Cryptominer:
't.exe" scarica anche un altro file .exe, ovvero 'm.exe': la cui copia, chiamata 'wuapp.exe' per connettersi a monerhash.com tramite il protocollo TCP sulla porta 3333 (porta non standard) per avviare l'attività di mining. L'uso di porte non standard serve a evitare i software di sicurezza di rete come IDS/IPS.
 
 
Conclusioni:
le campagne malware ransom+miner rappresentano ormai una minaccia emergente alla sicurezza. Nell'ambito di tali campagne non si distribuiscono poi solo malware miner o ransomware, ma anche altri malware scaricati in successivi stage dell'infezione. Consigliamo ai nostri utenti di evitare l'accesso a siti web sospetti e di non fidarsi mai di email improvvise o provenienti da fonti sconosciute, sopratutto quando recano un allegato o incorporano un link. Mantenere l'antivirus aggiornato aiuta a individuare e prevenire infezioni al sistema, anche da parte di malware così complessi come quello appena trattato. Quich Heal esegue una meccanismo di individuazione molto efficace grazie all'avanzata tecnologia in uso: continuiamo costantemente il monitoraggio dei dati provenienti dai nostri clienti per aggiornare le nostre difese e sapere individuare prontamente le nuove minacce.
1+28129+28129[1]

Individuato il primo malware sia ransomware che miner di criptovaluta.

Alcuni ricercatori di sicurezza hanno individuato un interessantissimo "frammento" di malware che ha doppia capacità di attacco: può cioè infettare un sistema sia con un miner di criptovaluta sia con un ransomware. La scelta tra l'uno o l'altro tipo di attacco dipende semplicemente da quale, tra i due schemi di infezione, risulti più profittevole per gli attaccanti. Da una parte quindi un meccanismo di criptazione dei file o blocco della macchina in cambio di un riscatto, dall'altra l'utilizzo del potenziale di calcolo di una CPU per minare moneta digitale. 
 
Entrambi i meccanismi di attacco rientrano nelle "top threats" e hanno delle caratteristiche comuni, sopratutto a partire dal fatto che sono entrambi attacchi piuttosto semplici, portati avanti per soldi contro vittime "a caso" (ovvero non targetizzate, si spara semplicemente nel mucchio) e che guadagnano dalle monete digitali la necessaria anonimia per non essere individuati. Il ransomware ha però un difetto: il blocco di un computer o dei file non garantisce necessariamente che la vittima paghi il riscatto. Una vittima potrebbe detenere un backup per ripristinare i file, oppure ancora non avere nulla di particolarmente grave da perdere al punto da essere indotta a pagare. Quindi, come diciamo già da qualche tempo, il cyber crimine ha virato verso la più sicura e redditizia estrazione di cripto valuta, studiano nuovi mezzi e varianti per sfruttare le CPU delle vittime. 
 

Rakhni = Ransomware+ Miner
Il malware del quale stiamo parlando è una variante modificata della famiglia di ransomware Rakhni, che ora è stata aggiornata per includere anche funzionalità di mining. Scritto in linguaggio di programmazione Delphi, il ransomware Rakhni viene diffuso principalmente via email di spam contenenti allegati Office (solitamente file Word) i quali, se aperti, chiedono alla vittima di salvare il documento per poterlo modificare. Il documento include una icona PDF la quale, se cliccata, avvia un eseguibile dannoso sul computer della vittima e mostra immediatamente un falso messaggio di errore: lo scopo è indurre la vittima a pensare che al sistema manchi un file per aprire il file in allegato alla mail vettore. 
 

 
Come avviene la decisione tra ransomware o miner?
In background il malware esegue, prima di tutto, funzionalità anti Virtual Machine e anti Sandbox sui computer della vittima per aver la certezza di non rischiare di "cadere in trappola". Se questa prima analisi dà esito positivo, il malware avvia ulteriori verifiche sulla macchina, utili a prendere la decisione fatidica. 
 
1. Installazione come ransomware
si avvia se il sistema bersaglio ha una cartella "Bitcoin" nella sezione AppData. Prima di criptare i file con l'algoritmo RSA-1024, il malware termina tutti i processi che coincidono con quelli contenuti in una lista di popolari applicazioni di sicurezza della quale è dotato il malware. Quindi viene mostrata la nota di riscatto in forma di file di testo. 
 
2. Installazione del miner
si avvia invece se la cartella Bitcoin non esiste e la macchina ha almeno due processori logici. In questo caso il malware attiva la Modalità Miner. Il sistema viene infettato con il miner di cripto valuta: nel dettaglio userà l'utility MinerGate per estrarre Monero (XMR), Monero Original (XMO) e Dashcoin (DSH), ovviamente in background. Oltre a ciò, il malware usa CertMgr.exe per installare certificati root falsi che dichiarano di essere stati emessi da Microsoft Corporation o Adobe System Incorporated, nel tentativo di mascherare il processo di mining spacciandolo per legittimo. 
 
 
Attivazione della componente worm:
è la terza opzione, quella di emergenza. Il malware la attiva se non trova una cartella "Bitcoin" e se riscontra un solo processore logico. Questa componente aiuta il malware a auto copiarsi su tutti i computer presenti in una rete locale usando le risorse condivise. Per ogni computer elencato nel file, il trojan verifica se la cartella Utenti sia o meno condivisa nella rete e, se si, il malware si copia nella cartella \AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup di ogni utente accessibile. 
 
Al di là della scelta effettuata, il malware verifica anche se viene avviato o meno nel sistema uno dei processi antivirus che ha in elenco. Se nel sistema non viene trovato alcun processo AV, il malware eseguirà diversi comandi cmd nel tentativo di disabilitare Windows Defender. Attualmente colpisce vittime russe, tedesche, kazache e ucraine. 
 
1(1)(1)[1]

Mining di Criptovaluta: breve FAQ per le aziende

 
Come se ransomware, malware, attacchi hacker, data breach non fossero sufficienti, da qualche tempo c'è un nuovo problema da affrontare in termini di cyber sicurezza. Abbiamo già parlato qui della diffusione impressionante di una nuova tecnica di guadagno per i cyber criminali: stiamo parlando del mining di criptovaluta
 
Per iniziare: cosa è il mining di criptovaluta? 
E' detto anche Cryptojacking ed è un problema reale, nonostante non avvenga alcuna perdita di dati. Se sei un imprenditore cioè, non sottovalutare il problema solo perchè non si parla di furto/criptazione dati. Gli attacchi di mining di criptovaluta non causano la perdita di dati, però servono ad uno scopo più insidioso: sono infatti usati dagli attaccanti per sfruttare i computer delle vittime per generare o estrarre criptovaluta.
 
Come funziona questo attacco?
Un attaccante tenta di convincere le vittime a fare click su link dannosi contenuti in email fake o su siti web/ad contenenti del codice dannoso. Una volta che la vittima è infetta, il codice si avvia in background (così che per l'utente è ancora più difficile rendersi conto di essere sotto attacco) e comincia le operazioni di mining. 
 
Gli effetti dannosi
Per capire come funziona il cryptojacking bisogna prima di tutto afferrare alcuni concetti basilari riguardanti le criptovalute. Vi sono due modi per ottenere criptovaluta: si possono comperare da altri utenti, oppure si posso generare (to mine). Generare criptovaluta richiede un potenziale di elaborazione che in pochissimi possono permettersi. E' così che gli attaccanti hanno trovato il modo di guadagnare criptovaluta: sfruttare la potenza di calcolo delle macchine di sconosciuti per guadagnare cripto moneta. 
 
Ovviamente l'operazione comporta degli effetti collaterali: il sistema che viene usato per questa operazione deve elaborare alla massima capacità, cosa che comporta ovviamente un altissimo uso di corrente elettrica. Il computer si surriscalda, le ventole funzionano molto velocemente e rumorosamente. Alla lunga questi effetti collaterali producono il crash del sistema, influenzano la sicurezza, riducono la produttività dell'azienda, accorciano di non poco la vita delle macchine infette. Tutto va a vantaggio esclusivo dell'attaccante ovviamente. 
 
Il mining riguarda solo i pc?
No, non proprio. Ogni browser che esegue Javascript può essere infettato con del codice di cryptojacking. Questo significa che possono essere infettati desktop, laptop, ma anche dispositivi mobile.
 
Che cosa fare per mettersi al sicuro dal mining?
Il primo passo, fondamentale, è garantire che tutti coloro che lavorano in azienda abbiano consapevolezza di cosa sia il cryptojacking. Già essere a conoscenza del problema è un enorme passo avanti. 
  1. Installa un software ad-blocking sul tuo browser
    La magigor parte degli script per il cryptojacking vengono distribuiti tramite codice dannoso incorporato in siti web in cui gli utenti si imbattono inavvertitamente. Installare un ad-blocker o un software anti-mining aiuta a impedire l'esecuzione del codice Javascript dannoso. 

  2. Filtro Web
    La maggior parte delle soluzioni di cyber sicurezza dispongono di un Filtro Web: questo toll di filtraggio può essere personalizzato per garantire che siti web che risultino sospettati di contenere codice per il mining di criptovaluta possano essere bloccati. Gli utenti semplicemente non potranno accedere ai siti indicati nella black list del Filtro Web. 

  3. Monitoraggio Rete Aziendale
    In maniera simile, uno strumento di monitoraggio  della rete aziendale aiuta a rilevare quei picchi di attività del processore solitamente sintomo principale di un dispositivo sfruttato per il mining. Se gli amministratori di rete tengono d'occhio i dati di monitoraggio possono celermente individuare anomalie simili.

  4. Una soluzione di Mobile Device Management (MDM)
    Come detto precedentemente, il cryptojacking colpisce anche i dispositivi mobile. Dotarsi di una solida soluzione di Mobile Device Management (MDM) aiuta la tua azienda a prevenire questo tipo di attacchi.
La soluzione di Seqrite UTM (Unified Threat Management) può garantire una solida difesa contro il cryptojacking grazie al filtro URL e al sistema avanzato di Individuazione delle Intrusioni. Per i dispositivi mobile la tua azienda potrebbe valutare la soluzione MDM (Mobile Device Management), dotata di  funzioni chiave per prevenire il cryptojacking. 
1+28129+28129[1]

Ransomware Thanatos: disponibile tool di decriptazione gratuito

 

Ransomware Thanatos: disponibile tool di decriptazione gratuito

Thanatos è un ransomware in diffusione da molti mesi: è stato individuato intorno alla fine del Febbraio di quest'anno e ha prodotto moltissimi danni, sopratutto a causa di un malfunzionamento del meccanismo di criptazione che ha impedito il recupero dei file anche a vittime paganti. Il problema venne riscontrato da Francesco Muroni, un ricercatore che, studiando a fondo il malware, aveva notato che le chiavi di criptazione (una per ogni file criptato) non venivano salvate da nessuna parte. Ciò ha significato l'impossibilità del recupero dei file anche in caso di pagamento del riscatto: neppure il tool di decriptazione inviato dai cyber criminali infatti è capace di riportare in chiaro i file. 
 
Il primo ransomware ad accettare i Bitcoin Cash
Thanatos si è però distinto per essere il primo ransomware a richiedere il pagamento del riscatto non in Bitcoin o Monero (le due cripto valute più usate dagli sviluppatori di ransomware), ma in Bitcoin Cash. Stiamo parlando di una cripto valuta molto giovane nata quando Bitcoin ha colpito il blocco di 478.558: Bitcoin è stato quindi diviso in due e la nuova cripto valuta è appunto Bitcoin Cash. In ogni caso è possibile pagare il riscatto del ransomware Thanatos anche in Bitcoin classici e in Ethereum. 
 
Come cripta i file
Quando questo ransomware cripta un computer, genera una chiave di criptazione per ogni singolo file criptato. Come già detto però queste chiavi di criptazione non vengono salvate da nessuna parte. I file criptati non subiscono alcuna variazione del nome: viene però sostituta l'estensione in .THANATOS. 
 
 
Terminata la criptazione il ransomware si connette a  iplogger.com/1t3i37 così da poter tenere traccia dell'ammontare di vittime che sono state colpite dall'infezione. Infine genera una chiave di autorun chiamata "Microsoft Update System Web-Helper"che apre la nota di riscatto ogni volta che l'utente esegue il login nel sistema. 
 
La nota di riscatto
La nota di riscatto richiede circa 200 dollari americani da versare appunto verso tre diversi conti: quello per Bitcoin, quello per gli Ethereum, quello per Bitcoin Cash. La nota di riscatto contiene una email di contatto thanatos1.1@yandex.com, le istruzioni per contattare i gestori del ransomware e l'ID unico della vittima per ricevere il tool di decriptazione.
 


Il tool di decriptazione
Cisco Talos è riuscito a produrre un tool di decriptazione che riesce a rompere la routine di criptazione sia della prima versione, la 1.0 (che non ha avuto grande diffusione), sia per la 1.1 che ha visto invece una distribuzione ben più ampia. Il decryptor è disponibile qui (download al click): è necessario avere installato sul sistema Microsoft Visual C++ Redistributable for Visual Studio 2017, altrimenti verranno visualizzati errori di librerie DLL mancanti quando si tenta di avviare il tool.


A oggi il decryptor decripta i seguenti file:
 
  • Immagini: .gif, .tif, .tiff, .jpg, .jpeg, .png
  • Video: .mpg, .mpeg, .mp4, .avi
  • Audio: .wav
  • Documenti: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf
  • Altri: .zip, .7z, .vmdk, .psd, .lnk

Cisco Talos raccomanda di usare il tool solo sulla stessa macchina dove è avvenuta l'infezione. Non possiamo garantire l'efficacia totale del tool in questione, ma i feedback degli utenti sono per la stragrande maggioranza positivi. 
1+28129+28129[1]

Saga GandCrab: in diffusione la versione 4.

 
Durante il weekend il ransomware GandCrab ha subito molteplici cambiamenti. Tra questi l'estensione che il ransomware aggiunge ai file criptati, la nota di riscatto, il sito di pagamento Tor e l'algoritmo di criptazione. Attualmente la versione 4 di GandCrab non ha soluzione. 
 
In diffusione su siti web fake
Secondo alcuni ricercatori, riuniti sotto il nome di Fly, uno dei metodi di distribuzione di GandCrab V.4 vede l'uso di falsi siti web che offrono software crackati. Gli sviluppatori del ransomware hanno hackerato cioè siti legittimi e impostato falsi blog che offrono al download crack per svariati software. Quando un utente scarica ed esegue queste crack, si ritroverà il computer infetto. Sotto un esempio di questi falsi blog: 

Fonte: bleepingcomputer.com
Un cambiamento importante quindi: la famiglia GandCrab si è infatti contraddistinta nel tempo per l'uso di vari exploit kit, tra i quali, sopratutto, Magnitude e RIG (vedi qui e qui). 
 
GandCrab usa l'algoritmo di criptazione Salsa20
Le analisi condotte su alcuni campioni della versione 4 hanno mostrato come GandCrab sia passato all'algoritmo di criptazione Salsa20. Così conferma Marcelo Rivero, tra i primi ad aver individuato la sostituzione dell'algoritmo di criptazione.

Come cripta i file?
Quando GandCrab viene eseguito, per prima cosa avvierà la scansione del computer in cerca di qualsiasi condivisione di rete contenente file da criptare. Una volta eseguita la scansione per le condivisioni di rete, produrrà una lista di tutte le condivisioni di rete, sia quelle mappate sia quelle non mappate. 
 
Per quanto riguarda la criptazione, il ransomware modifica l'estensione dei file aggiungendovi l'estensione .KRAB:non ne modifica invece il nome. Sotto un esempio di file criptati:
 
Fonte: bleepingcomputer.com

La nota di riscatto
Conclusa la routine di criptazione, il ransomware creerà la nota di riscatto KRAB-DECRYPT.txt: questo file di testo contiene le informazioni riguardo a cosa sia succeso ai file, un sito TOR (gandcrabmfe6mnef.onion) per ricevere le istruzioni di pagamento e altre informazioni criptate che servono ai gestori del ransomware di recuperare le chiavi di criptazione.


La pagina TOR
Il sito per il pagamento del riscatto, ospitato appunto sulla rete TOR, mostra l'ammontare del riscatto, un conto alla rovescia e le istruzioni per il pagamento. Attualmente il riscatto richiesto è molto alto: 1200 dollari americani circa, da pagarsi nella cripto valuta DASH (DSH). 
 
Il sito prevede persino una sezione dalla quale è possibile inviare un messaggio agli sviluppatori del ransomware e decriptare un file gratuitamente, a riprova del corretto funzionamento del tool di decriptazione. 
 

Buone abitudini per proteggersi dai ransomware 
Qualche consiglio per difendersi dai ransomware: innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
 
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza con protezione multi-livello.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.
Indicatori di compromissione:File associati al ransomware GandCrab V.4: KRAB-DECRYPT.txt
wpa3[1]

Rilasciato ufficialmente il nuovo standard di sicurezza WiFi WPA3

 
Questo Lunedì la Wi-Fi Alliance, l'organizzazione che gestisce le tecnologie Wi-Fi, ha annunciato il rilascio ufficialedi WPA3. WPA3 è l'ultima versione del WPA (Wi-Fi Protected Access), una tecnologia di autenticazione dell'utente per le connessioni Wi-Fi. 
 
Già in Gennaio la Wi-Fi Alliance aveva annunciato di essere a lavoro per migliorare la tecnologia di sicurezza WPA: i lavori si erano avviati quando alcuni ricercatori di sicurezza hanno pubblicato report riguardanti KRACK, Key Reinstallation Attack, un tipo di attacco capace di violare il protocollo WPA2 rendendo insicura la connessione Wi-Fi (per saperne di più leggi qui). Va detto che il WPA2 ha anche dimostrato, nel corso del tempo, una certa debolezza verso attacchi di brute-force a dizionario: un ulteriore stimolo a innovare e affinare questi meccanismi di sicurezza. 

Il nuovo protocollo WPA3 è attualmente opzionale per tutti i dispositivi di nuova produzione, ma diverrà de-facto nei prossimi anni lo standard di autenticazione per tutti i dispositivi capaci di connettersi via Wi-Fi. Non è ancora stata fissata una data precisa, ma il nuovo WPA3 manterrà l'interoperabilità con i vecchi dispositivi WPA2: si ridurranno così al minimo le problematiche di transizione a WPA3. 
 
WPA3 Personal e WPA3 Enterprise
Esattamente come il WPA1 e WPA2, anche il WPA3 vedrà due diversi "modelli di sicurezza". La principale differenza tra queste due modalità si trova nella fase di autenticazione. Il WPA3 usa l'algoritmo Simultaneous Authentication of Equals (SAE), che sostituisce il Pre-shared Key (PSK) della WPA2-Personal. Invece il WPA3 Enterprise usa un set più complesso di funzioni che sostituiscono l'IEEE 802.1X  del WPA2 Enterprise. Ovviamente la modalità di sicurezza WPA3 Enterprise è consigliata per quei dispositivi usati in aziende, istituzioni governative e reti finanziarie.  Il WPA3 Personal sarà invece lo standard con il quale la maggior parte di noi interagirà ogni giorno una volta sostituiti i vecchi dispositivi. 
 
Qualche dettaglio in più:
 
    1.  Resistenza agli attacchi a dizionario

Una delle caratteristiche principali, dicono da Wi-Fi Alliance, è la maggior capacità di resistenza del SAE di WPA3 agli attacchi a dizionario offline, ovvero quelle situazioni nelle quali un attaccante cerca di individuare la password di una rete Wi-Fi tramite velocissimi tentativi di inserimento di varie password. La soluzione al problema è stata individuata piuttosto facilmente: l'algoritmo SAE porterà il router a bloccare i tentativi di accesso di un dato dispositivo dopo eccessivi inserimenti di password errate, individuando il dispositivo stesso come possibile vettore di attacco. Il potenziale di riuscita di un attacco di brute-force risulta così quasi azzerato. 
 
Oltre a ciò WPA3 vanta anche l'uso del metodo di criptazione forward secrecy, un protocollo utile a garantire la segretezza delle chiavi di crittografia generate ad ogni sessione da parte degli utenti connessi alla rete Wi-Fi. In tale maniera, anche nel caso in cui il router subisse un attacco efficace, gli attaccanti non potrebbero in ogni caso risalire alle singole chiavi crittografiche generate dai vari dispositivi connessi in rete. 
 
 
    1.  Wi-Fi Easy Connect per i dispositivi Iot

Anche questa è una novità rispetto al protocollo WPA2: la tecnologia Wi-Fi Easy Connect è rivolta ai dispositivi IoT che non dispongono di uno schermo dal quale l'utente possa vedere e configurare le impostazioni di rete Wi-Fi (caratteristica questa, che ha reso questo tipo di dispositivi assai bersagliati dagli hacker). Il nuovo standard introduce la modalità Easy Connect che permette di configurare il WiFi WPA3 di un dispositivo IoT senza schermo tramite altri dispositivi (tablet/smartphone). Basterà scansionare il codice QR presente sul router e il codice QR presente sul dispositivo IoT compatibile con WPA3 e attendere che la configurazione si completi automaticamente. Questa funzione in ogni caso sarà disponibile per dispositivi che seguono sia il WPA2 che il WPA3. 
      3. Wi-Fi Enhanced Open
A inizio mese invece la Wi-Fi Alliance ha annunciato un'altra tecnologia proprietaria, la Wi-Fi Enhanced Open. Questa tecnologia è pensata per la protezione di reti Wi-Fi aperte come quelle che si trovano negli aeroporti, nei bar, negli Internet cafè e così via... La tecnologia funziona utilizzando un algoritmo chiamato Opportunistic Wireless Encryption (OWE), che cripta ogni connessione tra l'utente WiFi e il ruoter/access point con una propria e personalizzata chiave di criptazione:una tipologia di protezione per ogni singolo utente che impedisce ad un attaccante di curiosare nel traffico degli altri utenti, sia che la rete richieda o non richieda una password di accesso. 
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy