1+28129[1]

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Usavano una botnet di oltre 20.000 siti WordPress per attaccare e infettare altri siti WordPress. Una volta compromessi nuovi siti, questi venivano aggiunti alla botnet e usati anch’essi per attaccare altri obiettivi secondo i comandi inviati dagli attaccanti. 
I 20.000 siti WordPress costituivano una botnet finalizzata al brute-forcing delle credenziali di login di siti WordPress in Internet: i dati parlano di circa 5 milioni di tentativi di autenticazione provenienti da questa botnet. Gli attacchi di brute-force sono diretti contro l’implementazione XML-RPC di WordPress e tentano infinite combinazioni fino ad individuare un account sul quale tali credenziali sono valide. XML-RPC è un’implementazione molto utile per alcuni utenti, poichè permette di postare contenuti da remoto su siti WordPress usando WordPress stesso o altre API: si trova nella directory principale di installazione di WordPres, nel dettaglio nel file xmlrpc.php. 
Il vero problema di XML-RPC è che, di default, non prevede alcuna limitazione all’ammontare i richieste API che gli vengono indirizzate: ciò significa, concretamente, che un attaccante può tentare e ritentare diversi nomi utenti e password senza alcuna limitazione e senza che questo comporti nessun tipo di alert per l’utente. L’utente vittima può individuare questi tentativi di accesso solo verificando i log. 
Come funziona questo attacco?Gli attaccanti utilizzano ben 4 server di comando e controllo (C&C) che inviano comandi ad una botnet di oltre 20.000 siti WordPress attraverso un server proxy locato sul servizio russo Best-Proxies.ru. Gli attaccanti hanno usato oltre 14.000 server proxy offerti dal servizio in questione, proprio allo scopo di anonimizzare la rete dei server C&C.

Una volta che i siti WordPress infetti ricevono i comandi, viene avviato il brute-force attack per forzare le interfacce XML-RPC bersaglio e tentare l’acquisizione delle credenziali di login. L’attacco è stato individuato proprio a causa dell’impressionante quantità di tentativi di login falliti provenienti da client che si spacciavano per client iPhone e Android WordPress. Ulteriori analisi dei siti compromessi hanno permesso di individuare gli script usati per il brute-force.  Questi script accettano input POST dai server C&C, che comunicano appunto quali domini colpire e quali elenchi di parole usare per l’attacco a dizionario. 

Nel caso l’elenco di parole scaricato non fosse sufficiente, lo script può accettare un URL dal quale recuperare nuove liste di parole nel caso quelle precedentemente inviate non fossero state sufficienti per ottenere l’accesso al sito target.

E’ da questo ultimo script che i ricercatori sono risaliti all’indirizzo IP di uno dei server C&C: una volta ottenuto l’accesso hanno potuto vedere i vari comandi che il server poteva inviare e il numero di siti compromessi che costituivano la botnet. 
Come difendersi da questo attacco?Il punto centrale è organizzarsi affinché l’attacco di brute-force non abbia successo: è sufficiente quindi dotarsi di un plugin capace di stabilire una soglia massima di tentativi, oltre la quale viene chiusa ogni sessione di login. 

1+28129[1]

Il Trojan bancario DanaBot sta bersagliando l’Italia

Il Trojan bancario DanaBot sta bersagliando l’Italia

Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima. 
L’ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l’Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.
Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell’account, come risposta alle email presenti nella Posta in Arrivo. 

Questa tattica viene utilizzata su qualsiasi servizio webmail basato su Open-XChange e aiuta l’attacco in due maniere: garantendo legittimità all’email grazie alla fiducia stabilita tra mittente e destinatario e aumentando la possibilità che il ricevente disabiliti le protezioni antispam e apra l’allegato dannoso. Un altro script in dotazione a DanaBot raccoglie gli indirizzi email presenti negli account sui servizi webmail bersaglio.
Attacco alla Posta Elettronica CertificataStando ai ricercatori, gli attaccanti si concentrano sugli indirizzi con la sottostringa “pec”, che sta per “Posta Elettronica Certificata”, un sistema di equiparazione legale della corrispondenza digitale con servizio postale convenzionale: è in uso non sono in Italia, ma anche in Svizzera e Hong Kong. 
DanaBot ha un nuovo alleato: GootKitAnalizzando uno script VBS dannoso individuato nel server C&C di DanaBot, i ricercatori hanno scoperto che questo è diretto a un modulo downloader per un altro malware, chiamato GootKit. E’ la prima volta, fanno sapere i ricercatori, che DanaBot distribuisce anche un secondo malware. Ciò ha stupito non poco i ricercatori: di DanaBot infatti si è sempre pensato fosse gestito da un singolo gruppo isolato. L’introduzione però di GootKit, descritto dai ricercatori stessi come uno strumento privato (ovvero non in vendita ne né dark né nel deep web) indica nuove collaborazioni e un cambio di comportamento notevole. GootKit è ora stato scovato in diffusione anche con un altro malware, Emotet, cosa che indica una diversificazione del business illegale. Le connessioni tra GootKit e DanaBot sono confermate anche dall’uso dello stesso registrar (Todaynic.com, Inc) per i propri nomi dominio e dello stesso server (dnspod.com). 

1[1]

Riconoscimento biometrico: cosa è e perchè è un utile strumento in funzione del GDPR

Riconoscimento biometrico: cosa è e perchè è un utile strumento in funzione del GDPR

 

Attualmente, col termine "biometria" si indica una vasta tipologia di tecnologie pensate per verificare l'identità di un soggetto analizzando e misurando le caratteristiche fisiche/comportamentali dell'utente. Per fare qualche esempio, sono tecnologie di riconoscimento biometrico quelle che riconoscono un soggetto a partire dai tratti somatici del volto, oppure dalle impronte digitali (fingerprint) o dall'iride o della retina ecc...
 
In concreto, il riconoscimento biometrico si basa su due componenti:
 
  1.  la componente hardware, che acquisisce il dato biometrico (sensori e scanner...)
  2.  la componente software che consente, tramite l'impiego di algoritmi matematici, di analizzare i dati raccolti e confrontarli con quelli acquisiti in precedenza: si riconduce così il dato raccolto ad una specifica persona e la si riconosce proprio da tali informazioni. 
Per fare qualche esempio...
 
1. Riconoscimento facciale:
consente di identificare una persona sulla base delle specifiche caratteristiche del volto. In particolare vengono presi in considerazione elementi come naso, bocca, occhi, orecchie, mento, fronte, struttura ossea ma anche la relazione che intercorre tra loro (la distanza tra gli occhi ad esempio). I dati vengono rilevati con un sensore che cattura un certo numero di immagini sia 2D che 3d del volto del soggetto, che vengono quindi memorizzate in formato digitale: sarà un algoritmo poi a registrare le caratteristiche rilevanti al fine di impostare i parametri di confronto per la verifica dell'identità.
 
2. Riconoscimento tramite scansione dell'iride:
in questo caso si utilizzano sensori che illuminano l'iride del soggetto con un laser a bassa intensità, una luce infrarossa effettua quindi la scansione dell'occhio e ne rileva le particolarità della struttura. Queste vengono poi rappresentate matematicamente da un algoritmo. La verifica dell'identità avviene tramite paragone delle caratteristiche rilevate con le immagini di iridi conservate in template. 
 
3. Riconoscimento tramite scansione della retina:
la retina è la membrana che riveste l'interno del bulbo oculare. Sulla retina di ogni individuo vi sono "pattern" caratteristici formati dai vasi sanguigni che circondano il sottile nervo che, posizionato nel retro del bulbo oculare, "processa" la luce che filtra attraverso la pupilla. In questo metodo di riconoscimento biometrico vengono confrontati proprio i sistemi dei vasi sanguigni, il cui pattern è diverso da persona a persona. 
 
4. Riconoscimento vocale:
E' un tipo di riconoscimento particolare, essendo sia biometrico che comportamentale. Il sistema infatti registra tono, frequenza, intensità e articolazione nasale più una lunga altra serie di coefficienti e spettri. Sopratutto i dati elencati in ultimo sono molto importanti: lo scopo è infatti quello di poter riconoscere la voce umana da una voce artificialmente riprodotta. 
 
5. Riconoscimento tramite impronta digitale:
elencato per ultimo, ma, in realtà il sistema di riconoscimento biometrico più diffuso. L'utilizzo dell'impronta digitale infatti presenta due vantaggi: l'immutabilità e l'individualità. Col termine immutabilità ci si riferisce al fatto che le impronte digitali non cambiano nel tempo. Con individualità si indica invece il fatto che le caratteristiche dell'impronta digitale sono uniche, cioè nessun individuo può avere le impronte digitali identiche a quelle di un altro soggetto. I dati biometrici riguardanti le impronte digitali sono memorizzate mediante un apposito scanner e convertiti poi in forma digitale mediante algoritmi specifici. Il sistema di rilevazione biometrico quindi confronterà le caratteristiche rilevante con quelle memorizzate, individuando così l'impronta e l'identità del soggetto. 
 
Il riconoscimento biometrico soppianterà le password?
Sono molti gli esperti che indicano questa nuova tendenza: indubbiamente il riconoscimento biometrico presenta una maggiore sicurezza rispetto ad una password (che è intercettabile, indovinabile, sicuramente non unica...), ma comporta anche il grande vantaggio di non dover memorizzare né salvare una lunga serie di caratteri, simboli e numeri e magari più password in contemporanea (dato che ormai la gran parte di noi dispone di più account contemporaneamente). Non è un caso, ad esempio, che sempre più utenti preferiscano il sistema di sblocco con impronta digitale per i propri smartphone e iPhone all'uso di pin o tracciati. E forse questo trend è da legarsi anche all'emergenza violazione dati, con violazioni di informazioni personali, passsword, numeri di previdenza sociale ecc...
 
GDPR e riconoscimento biometrico...
in questo articolo non tratteremo i criteri e gli obblighi che il GDPR prevede per la raccolta, il trattamento e la gestione dei dati biometrici dei soggetti, rimandando il punto ad un testo specifico. Brevemente però accenniamo ai perché tali tecnologie implementano la sicurezza informatica dei dati e vengono così incontro ai nuovi obblighi legali conseguenti al Regolamento Europeo di protezione dei dati. 
 
Il GDPR pone severi criteri e norme a tutela della privacy, quindi anche alla sicurezza dei dati sensibili. Prevede rigidi protocolli da seguire in caso di data breach, ma anche severe multe per le aziende che non tutelano la privacy dei clienti/utenti. Immaginate quindi di smarrire una chiavetta con dati sensibili non criptati e con accesso libero: una perdita di dati che esporrebbe i soggetti riguardati ad una gravissima violazione della privacy e il Responsabile del Trattamento a severissime sanzioni. 
 
Pensate, al contrario, di smarrire, ad esempio, una chiavetta USB con Fingerprint, accessibile solo ad un numero limitato di impronte digitali: anche nel caso in cui finisse in mani pericolose, un eventuale malintenzionato non avrebbe possibilità di sbloccare la chiavetta e quindi di accedere ai dati. In questo caso l'uso di tecnologie di rilevamento biometrico garantisce un miglioramento della sicurezza informatica, venendo quindi incontro a ben due diversi articoli del Regolamento in questione:
 
  • l'art 22, che chiarisce che che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
  • l'art.32, del quale citiamo un passaggio:
    "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    a) la pseudonimizzazione e la cifratura dei dati personali;
    b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."
1[1]

MacOS? E’sicuro, ma non infallibile. E può essere colpito dai malware

MacOS? E'sicuro, ma non infallibile. E può essere colpito dai malware


 

 
Una delle leggende metropolitane più diffuse riguarda i sistemi operativi MAC. Anzi, nel dettaglio, il fatto che i MacOS siano inattaccabili. I Mac non prendono virus, di nessun tipo. Vi dobbiamo deludere: non è così. La recente ondata di attacchi diretti contro Apple, così come l'aumento costante, negli ultimi anni, di malware contro i sistemi Mac dimostra ci dice infatti l'esatto opposto. 
 

Secondo Av-test nel 2018 sono stati messi in diffusione quasi 82.000 codici malevoli per macOs, di vario tipo e genere. Nel 2017 ne furono registrati poco più di 27.000, nel 2016 addirittura meno di 7.000. Insomma, il boom di codici dannosi per mac è confermato dai dati: ignorare tali fatti non fa altro che portarci a sottovalutare il problema e prestare quindi poca attenzione alla sicurezza informatica dei nostri Mac. Probabilmente molti di coloro che posseggono un Mac e stanno leggendo questo articolo non dispongono neppure di una soluzione antivirus. 

 
L'evoluzione dei malware per macOS
Fino a pochi anni fa, effettivamente, i sistemi mac erano meno esposti a infezione: finché Apple era una tecnologia "di nicchia" attirava poco l'attenzione dei cyber criminali ed effettivamente i codici dannosi pensati per Mac si contavano davvero sulle dita di una mano. Poi la popolarità di Apple è cresciuta, iPhone e MacBook si sono diffusi e i cyber criminali hanno capito non solo che stava aumentando a vista d'occhio il numero di vittime potenziali, ma anche che la maggior parte degli utenti Mac non eseguiva (e tutt'ora non esegue) un antivirus o altri strumenti di sicurezza. Pochi però sanno che i MacBook si basano su Unix, un sistema attaccato e violato in mille modi non solo dai cyber criminali, ma anche dai membri della stessa community. 
 
Qualche malware per Mac...
per concretizzare queste affermazioni, elenchiamo alcuni di malware più recenti diffusi contro i sistemi Mac. Ad esempio, nel Settembre del 2018 sono aumentati del 400% gli attacchi di criptomining contro Mac e perfino iPhone. Parliamo di quei malware che sfruttano il potere di calcolo delle CPU per "estrarre", ovvero produrre, cripto valute come Bitcoin, Monero Ethereum ecc... Tra questi il più celeberrimo forse è stato Coinhive. Il problema dei miner riguarda tutti i sistemi operativi, Windows in primis, ma l'impennata che ha riguardato i pc e i dispositivi che utilizzano il browser Safari ha dimostrato essere una particolarità specifica. Un altro malware di questa famiglia che ha fatto dannare non poco gli utenti Apple è stato Criptoloot: questo malware è diventato, sempre nel mese di Settembre 2018, il terzo malware più diffuso su tutte le piattaforme. 
 
Il mese di Aprile 2018 ha invece visto una nuova minaccia diffondersi ad una rapidità piuttosto sorprendente: parliamo di OSX_OCEANLOTUS.D, una backdoor per mac. Spedito agli utenti via email di phishing, era nascosto entro documenti Word: attivando la macro contenuta nel documento si apriva la backdoor (che altro non è che una "porta di accesso" tramite la quale gli attaccanti possono entrare nei nostri sistemi). 
 
In breve, altri esempi...

  1. Coldroot: inizia a essere diffuso nel Febbraio 2017, ma viene rilevato dagli antivirus soltanto un anno dopo. E' un keylogger per Mac pensato per inviare ad un server C&C comandato dagli attaccani ogni comando che viene digitato dall'utente sul pc. 
  2. OSX/MaMi: individuato all'inizio del 2018, può dirottare i clic del mouse, modificare le impostazionio DNS dell'utente, fare screenshot, eseguire AppleScript, scaricare e caricare file (spesso altri malware), eseguire comandi arbitrari sulla macchina infetta. 
  3. Proton: è un trojan individuato sul finire del 2017. E' pensato appositamente per il Mac e nel dettaglio ruba una grandissima quantità di informazioni sul sistema: il numero di serie, l'utente, le info sul gateway, tutte le applicazioni installate, eventuali informazioni su wallet di criptovaluta dell'utente ecc...
  4. FruitFly: fu scoperto all'inizio del 2017, ma era in circolazione, non individuato, da oltre 2 anni. E' sia una backdoor che uno spyware: fa screenshot dello schermo, intercetta e modifica le azioni di mouse e tastiera, può eseguire intercettazioni ambientali prendendo possesso di microfono e webcam ecc...
Che fare?
Niente di diverso da quello che devono (o dovrebbero fare) gli utenti Linux o Windows: dotarsi di una serie di strumenti di sicurezza, oltre che seguire alcuni buoni comportamenti.
 
1. Usa Safari per navigare sul web
Safari ha subito, negli ultimi anni, numerose modifiche che lo hanno reso anche un avanzato strumento di sicurezza. Su Safari è possibile bloccare il tracciamento dai siti, limitare l'accesso a quei servizi che richiedono la geolocalizzazione dell'utente, bloccare tutti i cookie. Contiene anche un generatore di password incorporato, in grado di suggerire password solide per i primi accessi agli account online e capace di memorizzare quelle ricorrenti sfruttando un key generale. Offre anche protezione sandbox nei plugin di Flash Player, Silverlight, QuickTime e Java. Infine esegue il controllo automatico di ogni file scaricati dal browser per individuare eventuale contenuto dannoso. 
 
2. Usa il portachiavi di iCloud
iCloud ha una funzione portachiavi di default, che memorizza le password dietro quella generale di accesso al Mac: tutto viene criptato tramite algoritmo di criptazione AES a 256 bit. Per impostare il Portachiavi di iCloud basta andare su Preferenze di Sistema -> iCloud -> Portachiavi. 
 
3. Installa un software antivirus per Mac
Ecco, questo accorgimento non è più rimandabile. Non ribadiamo tutte le utili funzioni di sicurezza che compongono ormai la gran parte degli antivirus, ricordiamo però che il panorama dei malware per Mac esiste da poco, si sta allargando e sta mutando molto velocemente, con sempre più malware nuovi e differenti messi in diffusione. Per contrastare questa tendenza è fondamentale un software antivirus, poichè i vendor distribuiscono a cadenza fitta aggiornamenti per contrastare le nuove minacce. 
 
Quick Heal Total Security per Mac garantisce una protezione multi-livello e un sistema di sicurezza Internet basato su cloud che impedisce automaticamente l'accesso a siti web compromessi o di phishing. 

 

1+28129[1]

Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

 
 
Succede molto spesso: si viene colpiti da un ransomware, si cerca nel web per capire se esista o meno una soluzione per la particolare versione di malware che ha infettato il nostro sistema. Oppure si chiede consiglio ad un esperto. In entrambi i casi si corrono comunque dei rischi: ad esempio, la maggior parte dei siti web risultanti nelle prime posizioni delle ricerche sui motori di ricerca più diffusi sono fake pensati solo per indurre le vittime di ransomware a scaricare una serie di software aventi funzioni ben diverse da quelle promesse. 
 
Non si è del tutto al sicuro neppure contattando esperti: non tutti infatti sono "veri esperti", ma potremmo anche imbatterci in complici degli attaccanti stessi. E' il caso della società russa Dr.Shifro: questa azienda promette assistenza in caso di attacchi ransomware, fornendo tool di risoluzione della criptazione che rimettano in chiaro i file senza dover pagare il riscatto agli attaccanti. Questa di per sé non è un'attività sospetta: sono moltissime le società (noi compresi) che offrono assistenza per i ransomware, un problema piuttosto diffuso e che può avere effetti devastanti, sopratutto per le aziende. Bisogna però insospettirsi (e così è stato nel caso di Dr.Shifro) se vengono offerte soluzioni a ransomware dei quali nessuna società di assistenza è in grado di offrire soluzione. 
 
Come si è scoperta la truffa?
 
I ricercatori di sicurezza di Check Point si sono insospettiti quando hanno ricevuto la segnalazione che Dr. Shifro prometteva assistenza per la risoluzione di Dharma/Crysis, un ransomware molto diffuso in questo periodo e per il quale, almeno per adesso, non vi sono soluzioni se non per alcune versioni. Ulteriori analisi hanno portato a scoprire che Dr.Shifro non conta nel proprio organico qualche genio che è stato in grado di risolvere un ransomware ostico per la gran parte della comunità di cyber sicurezza, ma che, al contrario, ha un accordo con i cyber criminali.

 

Il meccanismo è piuttosto semplice: Dr.Shifro gira parte dei compensi ricevuti dalle vittime di criptazione ai cyber criminali stessi, che in cambio gli forniscono la chiave per decriptare i dati di quel preciso cliente. Il costo del servizio di decriptazione è di circa 2.300 dollari statunitensi, di cui 1.300 versati agli autori del ransomware e 1.000 ai titolari di Dr.Shifro.
 
Ve ne sono altri?
Molto probabilmente non si tratta di un caso isolato, anzi. Sarebbero moltissime le società di sicurezza che promettono un intervento tecnico, spesso su ransomware per i quali la maggior parte degli esperti non ha soluzione, ma che agiscono in realtà come mediatori tra vittime e estorsori. In questo caso, semplicemente, queste aziende pagano il riscatto con i soldi delle vittime senza dirlo alle vittime stesse e guadagnando, per se, il costo di "manodopera". 
 
Prima di affidarvi a qualsiasi servizio di decriptazione, verificatene la legittimità, cercate online recensioni al servizio. 
1(1)[1]

Ripercorrendo la storia del trojan bancario Emotet…

Ripercorrendo la storia del trojan bancario Emotet...



 
Per qualsiasi azienda che abbia a che fare con il settore finanziario, la minaccia informatica più importante da conoscere è il malware Emotet. Questo malware fa parte della famiglia dei trojan bancari e viene distribuito con varie tecniche e canali attraverso campagne di email di spam. 
 
Segnalato per la prima volta nel 2014, Emotet ha continuato a comparire in diversi formati e versioni, a cadenza piuttosto regolare. Recentemente, parliamo del Luglio 2018, è stato oggetto di una informativa specifica del Computer Emergency Readiness Team degli Stati Uniti (US-CERT). 
 
"Malware costoso e molto dannoso"
Secondo l'avviso di sicurezza dell'US-CERT, Emotet è un trojan bancario modulare avanzato, che funziona principalmente come dropper o downloader di altri trojan bancari. Emotet continua ad essere tra i malware più costosi e devastanti tra quelli che colpiscono enti governativi e dei settori privato e pubblico. E' un trojan polimorfico dotato di una serie di accorgimenti per eludere il rilevamento più comune effettuato dai software antivirus, quello basato sulla firma. 
 
E' progettato inoltre per disporre di alcuni metodi per garantirsi la persistenza sul sistemainfetto, compreso l'inserimento di servizi e chiavi nel registro di start. Usa DLL (Dynamic Link Libraries) per evolversi continuamente ed aggiornare le proprie capacità. Può inoltre individuare le virtual machine (un accorgimento per evitare di cadere nelle mani dei ricercatori di sicurezza, che talvolta simulano ambienti reali per "attrarre" i cyber attaccanti e poter studiare quindi il codice dei malware che riescono a "catturare") e generare perfino falsi indicatori. 
 
Quando un'agenzia di sicurezza statunitense decide di rilasciare un avviso così dettagliato su un particolare tipo di malware, c'è sempre da preoccuparsi: nel momento in cui questo avviso è stato pubblicato, Seqrite ha prodotto una dettagliata analisi del malware Emotet e della sua evoluzione, che puoi consultare qui.
 
Modus operandi
Questo malware si diffonde attraverso file PDF o JS allegati alle email di spam. Ha usato come mezzo di diffusione anche documenti Word di Office con macro dannose integrate. Tutte le email dannose che lo distribuiscono contengono o l'allegato dannoso o un link tramite il quale l'utente finisce a scaricare il malware sul sistema. Questi file contengono spesso più di una macro infetta e creano diverse copie nelle cartelle di sistema. La prima operazione compiuta dal malware è comunque quella di verificare i dettagli dei processi in esecuzione: terminata questa fase, Emotet inizia a criptare i dati e li invia ai server C&C controllati dagli attaccanti. 
 
Il Novembre 2018 ha visto un grosso picco dell'attività di Emotet, che ha seguito il modus operandi classico: diverse sono state le campagne di diffusione in questo mese, tutte contenenti file Word o PDF spacciai per documenti finanziari legittimi, fatture, estratti conti, avvisi ecc...
 
Consigli di sicurezza
Data la pericolosità connessa a Emotet, consigliamo alle aziende e ai nostri clienti in particolare alcuni accorgimenti necessari e urgenti per ridurre il potenziale di danno di questo malware.
  1. Usa una soluzione di sicurezza dotata di una protezione email e antispam solida. Seqrite Endpoint Security (EPS) offre una protezione antispam che scansiona le inbox di ogni endpoint in cerca di email di spam, email inaspettate o sospette, attacchi di phishing.
  2. Implementa la protezione email anche a livello di rete. La soluzione Unified Threat Management (UTM) garantisce protezione a livello di gateway: scansiona le email e gli allegati in entrata e in uscita a livello di gateway, bloccando email di spam e phishing prima che possano entrare nella rete. 
  3. Esegui gli update e mantieni sempre aggiornati i software e i sistemi operativi in uso nella rete. 
  4. Crea policy specifiche riguardo le email sospette/pericolose, così che i tuoi dipendenti siano consapevoli del rischio e sappiano quali azioni mettere in campo in caso di infezione via email. 
  5. Fai in modo che in azienda vi sia sufficiente conoscenza riguardo ai pericoli del phishing e dell'ingegneria sociale, così che i dipendenti possano anche riconoscere le email rischiose. 
1a[1]

TrickBot diviene la minaccia più pericolosa per le aziende

TrickBot diviene la minaccia più pericolosa per le aziende


 
Nell'ultimo trimestre le rilevazioni indicano un picco assai preoccupante di infezioni con trojan bancari. Fino a qualche giorno fa il più diffuso risultava essere Emotet, in diffusione con ben due diverse capillari campagne dirette contro l'Europa e il continente americano. Negli ultimi due mesi però Emotet ha registrato la forte concorrenza di un altro trojan bancario: stiamo parlando di TrickBot. 
 
Questo trojan è stato silente per qualche giorno nel mese di Ottobre: è quindi "uscito dai box" con un nuovo modulo aggiuntivo il cui scopo è quello di estrapolare la posta elettronica dai sistemi infetti. Negli ultimi 60 giorni ha mostrato una crescita dell'attività piuttosto elevata, continuando a colpire aziende in Nord America e Europa. Un aumento dell'attività e un'efficacia di infezione tale da aver spinto il National Cyber Security Center del Regno Unito a diramare un avviso con consigli utili per le imprese su come implementare protocolli di mitigazione del rischio. Insomma, Trickbot ha definitivamente scalzato Emotet dalla vetta dei trojan bancari più pericolosi per le aziende. 
 
Le caratteristiche di Trickbot
TrickBot ha una particolarità: viene costantemente aggiornato da anni, ricevendo sempre nuove funzioni o migliorando quelle già esistenti. Questo è uno dei motivi che lo rende così pericoloso e che lo ha messo in diretta concorrenza con Emotet sia per la quota di mercato che per i metodi di attacco e propagazione sempre più sofisticati.
 
TrickBot è stato sviluppato nel 2016, prendendo spunto dalle caratteristiche di un altro storico trojan bancario, Dyreza. Fino ad oggi si è distinto per due particolarità: le tecniche di webinjection con le quali ha duramente colpito moltissime banche internazionali e l'uso diMimikats, tool di hackeraggio per il furto di email e credenziali. Ultimamente si è dimostrato perfino in grado, qualora la vittima abbia un portafoglio Bitcoin, di poter rubare anche criptovalute. Trickbot inoltre ha una struttura modulare: comunicando col proprio server C&C ottiene moduli aggiuntivi (accompagnati da file di configurazione) che aggiungono al trojan ulteriori funzioni o attività specifiche, secondo il sistema nel quale il malware si sta intrufolando...parliamo di moduli per ottenere la persistenza sul sistema. per il furto delle credenziali, per la criptazione ecc... I server C&C sono configurati su router wirless compromessi.
 
La parte forse più grave però si riscontra nelle tecniche di propagazione: TrickBot infatti dispone degli exploit per la vulnerabilità SMB MS17-010già usata dal ransomware WannaCry e altri malware. Stiamo parlando di strumento quali EternalBlue, EternalRomance, EternalChampion, tutti exploit efficaci dell'SMB e che rendono TrickBot altamente infetto per la capacità di diffondersi lateralmente nelle reti. 
 
Vettori d'infezione
TrickBot viene solitamente diffuso tramite email di spam dannose, con campagne massive e capillari. Talvolta vengono usate anche tecniche di spear phishing. Gli allegati dannosi spesso sono camuffati da fatture non pagate o da aggiornamenti/informazioni su vari tipi di account. 

 
 
 
Più raramente vengono usati URL integrati e allegati infetti, come nei casi in cui viene inviato un documento Word contenente macro dannose da abilitare. 
1[1]

La Botnet mirai ora attaca i server linux

Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l'inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l'estate e l'autunno 2016, quando riuscì a diffondersi a migliaia di router e videoregistratori (distribuito tramite smart camera e sistemi di telecamere a circuito chiuso). La botnet Mirai è stata usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity, cosa che ha comunque attirato le attenzioni delle forze di Polizia, obbligando l'autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine  di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.
 
Mirai per Windows...
Nel Febbraio del 2017 i ricercatori si sono imbattuti in un trojan per Windows ideato con il solo scopo di aiutare Mirai a diffondersi su un numero maggiore di dispositivi. Le versioni standard di Mirai lavorano infettando un dispositivo, selezionano un indirizzo IP a caso e tentano il login tramite la porta Telnet, utilizzando un elenco di credenziali  di default di amministrazione. Le versioni successive hanno poi aggiunto la possibilità di lanciare questi attacchi "indovinando" le password tramite le porte SSH.
 
Mirai per i server Linux
L'ultima evoluzione di Mirai è di pochissimi giorni fa: è stata individuata una nuova versione, già usata in attacchi reali, pensata solo ed esclusivamente per i server che eseguono Linux. In questo caso i cyber criminali hanno preso il codice di un worm specializzato nell'attacco a dispositivi IoT (Internet of Things) e lo hanno modificato in un malware per server linux: nel dettaglio cioè hanno preso del codice malware già rodato, efficace e funzionante e lo hanno modificato per sfruttare una vulnerabilità (comunque già conosciuta) di Apache Hadopp YARN. La vulnerabilità di Hadoop YARN è un bug di "command injection" che consente ad un attaccante di eseguire comandi arbitrari da remoto. Una strada che forse è più semplice, per i cyber criminali, di infettare i dispositivi IoT, che eseguono non piattaforme standard e comuni come la x86, ma sistemi operativi modificati per funzionare sui dispositivi IoT stessi. 
 
Ad oggi il numero delle infezioni è assai ridotto, parliamo infatti di attacchi (non sempre riusciti) contro una decina di migliaia di macchine al giorno: il problema però è che questo malware ha un comportamento simile a quello dei worm. Ogni server infetto, infatti, diventa ulteriore veicolo di infezione verso altri server. 
2[1]

Zorro Ransomware: in distribuzione da 2 mesi e oggi, finalmente, sconfitto!

Zorro Ransomware: in distribuzione da 2 mesi e oggi, finalmente, sconfitto!

 

E' stata individuata qualche tempo fa una nuova variante di un ransomware tutt'altro che nuovo: parliamo di Zorro Ransomware, la nuova versione di quello che, in passato, è stato chiamato Aurora Ransomware. Aurora ha avuto, nei fatti, scarsi risultati ed è da considerarsi il prototipo del ben più pericoloso Zorro Ransomware: quest'ultima versione è in diffusione già dall'Estate del 2018, ma il vero picco di diffusione è stato toccato qualche giorno fa, il 25 Novembre. 
 
Al momento non è del tutto chiaro il metodo di diffusione di questo ransomware, ma molti utenti colpiti (e le analisi dei ricercatori stanno confermando questa versione) spiegano di aver subito l'attacco su computer che eseguono servizi di Desktop Remoto esposti in Internet. L'attacco pare quindi iniziare con un classico brute force delle credenziali degli account RDP, ottenute le quali gli attaccanti ottengono l'accesso alla macchina e quindi la possibilità di installare il ransomware. 
 
La buona notizia è che i ricercatori Michael Gillespie e Francesco Muroni hanno individuato una via
per decriptare il ransomware. La sezione forum del sito Bleepincomputer.com ospita una discussione (Aurora Help & Support topic) dove è possibile richiedere assistenza gratuita per la risoluzione dell'infezione.
 
Il riscatto in Bitcoin
Zorro Ransomware utilizza lo stesso indirizzo Bitcoin per tutte le vittime, elemento che rende piuttosto facile tracciare come vengono eseguiti i pagamenti. Dalla fine di Settembre ad oggi su questo conto risultano ben 105 transazioni, per un totale di 12.000 dollari (2,7 bitcoin) guadagnati dal cyber attaccanti. 
 
Fonte: bleepingcomputer.com
Come cripta i file
Una volta installato, questo ransomware si connette al server di Comando e Controllo per ricevere dati e la chiave di criptazione usata per la crittografia dei file delle vittime.
 
Fatto ciò, si connetterà all'indirizzo http://www.geoplugin.net/php.gp per individuare il paese di provenienza della vittima tramite il suo indirizzo IP. Nell'eseguibile è stata trovata la stringa "Russia", che fa pensare che le vittime provenienti da quel paese non subiscano la criptazione dei file. L'ultimo passaggio prima della criptazione è la scansione del computer in cerca di tutti i file con estensioni bersaglio: se il file scansionato combacia con uno dei tipi di file bersaglio che il ransomware ha codificati al suo interno, quel file viene criptato. 

Tra le estensioni bersaglio troviamo le comunissime .doc, .docx, .xsl, .xlsx, .ppt, .pptx, .msg, .txt, .csv, .rtf, .pdf, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .zip, .rar ecc.. ma anche estensioni tipiche dei sistemi operativi Linux, come .bz2, .bak, .tar, .targz ecc...
 
I file che subiscono la routine di criptazione non vedono modificato il nome file, che rimane uguale all'originale: viene semplicemente aggiunto, dopo l'estensione finale originale, l'estensione .aurora (dalla quale deriva il nome storico di questo ransomware). 
 
Fonte: bleepingcomputer.com

Varianti precedenti di questo ransomware hanno usato anche le estensioni .animus, .Aurora, .desu, .ONI ecc.. Oltre a ciò, il ransomware crea la nota di riscatto in ogni cartella contenente file criptati. La nota di riscatto presenta nomi diversi nella casistica fin ora analizzata: tra i nomi ricorrenti troviamo !-GET_MY_FILES-!.txt, #RECOVERY-PC#.txt e @_RESTORE-FILES_@.txt. 
 
Oltre alle istruzioni per il pagamento, la nota di riscatto contiene anche un indirizzo email (nella versione in distribuzione attualmente è oktropys@protonmail.com) che le vittime possono usare per contattare l'attaccante dopo il pagamento. 
 
La nota di riscatto in formato .txt

Infine Zorro Ransomware crea il file  %UserProfile%wall.i, un file jpg che viene impostato come sfondo del desktop, contenente indicazioni su dove trovare e come aprire le note di riscatto.
 
Il wallpaper del ransomware Zorro

Come proteggersi da questo ransomware...
Dato che, molto probabilmente, questo ransomware viene distribuito tramite attacco ai servizi di Desktop Remoto, è molto importante rendere sicure le porte RDP. Suggeriamo:
 
  • assicurati che non vi siano computer che eseguono i servizi di desktop remoto esposti direttamente ad Internet. Proteggi i computer "nascondendo" i servizi di desktop remoto dietro una connessione VPN, così i computer saranno accessibili solo da coloro che hanno un account VPN nella tua rete. 
  • verifica attentamente le policy di blocco degli account, così da rendere più difficile che gli account possano essere (brute) forzati tramite servizi RDP violati. 

Oltre a questi provvedimenti, ecco qualche consiglio flash...

  1. l'unica vera certezza di non perdere dati in seguito ad un attacco ransomware è recuperarne una copia integra da una location sicura. Quindi.. backup!backup!backup!;
  2. non aprire allegati contenuti in email strane, inaspettate e/o provenienti da mittenti sconosciuti;
  3. assicurati che tutti i software che usi (o almeno quelli più comuni, sopratutto Java, Flash, Adobe reader ecc..) e il sistema operativo stesso siano aggiornati all'ultima versione disponibile;
  4. installa sulla macchina (e sulla rete) un software antivirus, possibilmente dotato di una protezione multi-livello e di un modulo anti ransomware/di individuazione comportamentale.
1[1]

3 mesi: oltre 70.000 attacchi. Ecco il nuovo trojan mobile Rotexy

3 mesi: oltre 70.000 attacchi. Ecco il nuovo trojan mobile Rotexy

 
 
Inizialmente era solo uno spyware, poi è stato trasformato in un trojan bancario con funzionalità da ransomware. Quindi è stato usato in più di 70.000 attacchi in tre mesi circa. 
 
Un pò di storia...
Il nome di questa nuova minaccia informatica è Rotexy, conosciuto un tempo come SMSthief perchè, agli inizi, si limitava a spiare il contenuto dei messaggi ricevuti e inviati sul dispositivo infetto. Dal 2016 però ha cambiato comportamento, scegliendo come obiettivo il furto dei dati delle carte di credito tramite pagine di phishing. In seguito, gli sviluppatori hanno aggiunto una pagina HTML che riproduce un form di login di una banca legittima, bloccando lo schermo dell'utente finchè questo non inserisce le credenziali necessarie. Per rendere ancora più credibile la truffa, il malware stesso offre una tastiera virtuale spacciata come "sistema anti keylogging". Infine è in uso anche un pò di ingegneria sociale: la pagina HTML infatti invita a inserire le credenziali per poter accettare un trasferimento di denaro (ovviamente inesistente) in favore della vittima. 
 
Canali di comunicazione multipli
 
Una delle prime caratteristiche che contraddistinguono Rotexy è il fato di disporre di ben tre canali di comunicazione, rigorosamente separati, per la ricezione dei comandi. I ricercatori hanno infatti scoperto che questo trojan può ricevere istruzioni tramite il servizio Google Cloud Messaging, che recapita messaggi in formato .JSON ai dispositivi mobile. Possiamo solo affermare che, per fortuna, questo canale cesserà di esistere l'11 Aprile 2019 per scelta di sicurezza da parte di Google stessa.
 
L'altro canale di ricezione dei comandi è un server di comando e controllo gestito direttamente dai cyber attaccanti, come è tipico della quasi totalità dei malware. 
 
Il terzo canale di comunicazione si basa sugli SMS e consente agli operatori del malware di controllarne l'operato tramite un messaggio di testo dal dispositivo infetto. In questo caso il malware mette il dispositivo in modalità silenziosa e spegne lo schermo quando il messaggio è arrivato.
 
Le (aggressive) richieste per i privilegi di amministrazione
L'ultima versione del malware include un meccanismo di protezione che verifica in quale paese il malware viene avviato e se venga o meno eseguito in un ambiente virtuale. Ad esempio, se è stato attivato in Russia e su un sistema reale, Rotexy si registra con Google Cloud Messaging e verifica se ha o meno i privilegi di amministrazione. Se non viene avviato con i privilegi di amministrazione, Rotexy inizia un ciclo continuo ed insistente di vvisi e notifiche all'utente per richiederli: il ciclo si interrompe solo quando i privilegi vengono effettivamente concessi. 
 
 
 
Infine, se l'utente ha la malaugurata idea di revocare i privilegi di amministrazione, il display del dispositivo viene periodicamente spento, nell'evidente tentativo di scoraggiare questa azione. Se l'utente riesce comunque nell'intento di revocare lo status di admin, Rotexy avvia di nuovo l'infinito e insistente ciclo di richieste fin quando non vengono di nuovo concessi i privilegi. 
 
Rotexy il ransomware...
Tra le funzionalità osservate dai ricercatori c'è anche quella ransomware: Rotexy infatti, tra le altre cose, visualizza una pagina HTML di tipo estorsivo con immagini sessualmente esplicite e che porta al blocco del telefono. Ovviamente, per sbloccare il telefono bisogna pagare un riscatto. In ogni caso sbloccare il dispositivo è piuttosto facile: i ricercatori sono infatti riusciti a individuare i comando che attiva questa azione. Quindi basta inviare un SMS con scritto "3458" per revocare i privilegi di amministrazione e "stop_blocker" per sbloccare lo schermo. (N.B: questi comandi funzionano per la versione attuale del malware. Non è possibile garantire la certezza che possano funzionare anche su precedenti o future versioni). 
 
Il malware comunque continuerà a reiterare la richiesta di privilegi e a bloccare lo schermo fin quando è presente nel sistema: l'unica soluzione definitiva è avviare la modalità provvisoria e rimuoverlo. 
 
La campagna di diffusione
Le analisi dei ricercatori hanno verificato l'esistenza di una campagna specifica di diffusione di questo trojan bancario, verificatasi tra Agosto e Ottobre di quest'anno. Diffondeva l'ultima versione di Rotexy principalmente verso utenti russi, ucraini, turchi, tedeschi e altre nazioni europee.
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy