a[1]

Ecco il primo “major data breach” del 2019

Ecco il primo “major data breach” del 2019

GIOVEDÌ 17 GENNAIO 2019 – 14:15

Il primo, enorme, data breach del 2019 non si è fatto attendere molto: complessivamente sono 2.7 miliardi gli indirizzi email e le password postate su un forum di hacking, visibili a tutti. I dati provengono da un gigantesco data breach ribattezzato Collection #1.

Il breach è stato individuato dal ricercatore di sicurezza Troy Hunt, che tra l’altro è l’autore del servizio “Have I been Pwned”, che consente agli utenti di verificare se il proprio indirizzo email sia stato violato e trafugato. I dati sottratti includono più di un miliardo di combinazioni email-password, che i cyber criminali possono sfruttare su una vastissima gamma di siti per compromettere i loro servizi. Questo tipo di attacco è definito Credential Stuffing Attack: i cyber criminali usano una rete di bot che esegue sistematicamente tentativi di accesso con le credenziali rubate, per tentare di accedere alle aree private con i dati degli utenti stessi, basandosi sul presupposto che molto spesso gli utenti usano le stesse credenziali per più servizi e account, vengono prese di mira le pagine di accesso a banche, store online ecc…

Per approfondire >> Riciclare le password: ecco perchè non si dovrebbe mai fare

I dati in questione sono inizialmente apparsi, ma per un brevissimo periodo di tempo, sul servizio cloud MEGA, quindi sono stati pubblicati in un popolare sito di hacking.

Complessivamente, la cartella Collection n.1 contiene più di 12.000 file per un peso di 87Gb. Sottolineiamo che le password sono facilmente utilizzabili perché è stato violato l’hashing protettivo: sono quindi disponibili in chiaro in formato testo e non in forma criptata, come spesso succede quando un sito web viene violato.

C’è da preoccuparsi?
Si. Per vari motivi, ma il principale è la portata di questa violazione: le violazioni di Yahoo hanno visto 1 miliardi e 3 miliardi di utenti colpiti, ma quei dati non sono ancora emersi ne trapelati nel web. E, a differenza delle violazioni contro Yahoo ed Equifax, legate ad un solo sito web, in questo caso le violazioni non possono essere legate ad un solo sito: al contrario, pare si leghi alla violazione di svariati servizi, tra i quali 2000 database.

Verifica se sei stato colpito
Troy Hunt ha caricato nel proprio sito web tutti gli indirizzi presenti in Collection #1: visita il sito Have I Been Pwned e digita il tuo indirizzo email. Il sito ti indicherà se il tuo indirizzo è stato compromesso con questo databreach (o con altri precedenti).

Nel sito Pwned Passwords potrai invece verificare se la tua password è stata compromessa. Qualora la password risultasse violata, il consiglio è di modificarla su tutti gli account in cui è in uso e di non usarla mai più.

a[1]

Google Drive può diventare il Server di comando e controllo dei malware?

Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose.

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente.

La campagna attuale
L’attacco in corso vede l’uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l’inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows).

L’abilitazione della macro comporta il download di un file di testo TXT dannoso nella cartella temporanea: questo viene eseguito sfruttando l’applicazione legittima regsvr32.exe, quindi viene installata la backdoor RogueRobin (scritta in linguaggio di programmazione C#) sul sistema infetto.

Stando a quanto affermato da diversi ricercatori di sicurezza, RogueRobin include numerose funzioni di “invisibilità”, per verificare una eventuale esecuzione in ambiente sandbox, inclusa la verifica di ambienti virtuali. Dispone inoltre di alcuni tool di analisi e di un codice anti-debug.

L’uso di Google DriveCome nella versione originale, la nuova variante di RogueRobin usa il DNS tunneling – una tecnica per inviare e ricevere dati e comandi tramite pacchetti di risposta DNS – per comunicare col proprio server di comando e controllo.

La particolarità di questi attacco è che, oltre al DNS Tunneling, il malware è pensato anche per usare l’API Google Drive come canale alternativo per l’invio di dati e la ricezione di comandi. RogueRobin infatti carica i file in un account Google Drive e verifica costantemente qualsiasi variazione di quei file per sapere se l’attore che lo comanda ha effettuato qualche modifica. L’attaccante dovrà per prima cosa modificare il file per includere un ID univoco che il trojan utilizzerà per tutte le comunicazioni future.

a[1]

Nuova campagna di spam a scopo estorsivo contro utenti italiani

Qualche giorno fa il ricercatore di sicurezza Troy Hunt ha denunciato il primo, gigantesco, data breach del 2019: Hunt ha rinvenuto online la cartella Collection n.1, contenente 12.000 file per un peso complessivo di 87 Gb. Stiamo parlando di 2.7 miliardi di indirizzi email e password, postate prima su un servizio in cloud (MEGA), quindi su un popolare sito di hacking. Complessivamente sono invece 1 miliardo le combinazioni complete di email+password: un vero e proprio arsenale di indirizzi email utilizzabili dai cyber criminali nelle più svariate maniere.

Per approfondire >> Ecco il primo “major data breach” del 2019

Italiani sotto attacco
Che la notizia fosse ghiotta, per i cyber attaccanti, era più che scontato: un arsenale tale di credenziali apre ad infinite possibilità di utilizzo. Non è chiaro chi vi sia dietro all’attacco, ma è stata già individuata una campagna specifica contro utenti italiani che sfrutta appunto i dati contenuti in Collection n.1: parliamo nel dettaglio di una truffa con ricatti a sfondo sessuale.

L’ondata di email che ha investito gli utenti italiani ha caratteristiche peculiari e ricorrenti: i truffatori affermano di aver preso possesso del computer della vittima, di aver rubato tutti i contatti, di essere entrati in possesso della cronologia degli accessi a siti pornografici e, infine, di avere a disposizione un video compromettente ripreso tramite la webcam della vittima, anch’essa hackerata. L’email, ulteriore particolarità, proviene dall’email stessa della vittima: una tecnica per convincere ulteriormente il malcapitato della realtà della violazione del computer. La richiesta dei ricattatori è piuttosto facile da immaginare: se la vittima vuole che “il segreto” rimanga tra lui e l’attaccante, dovrà pagare un riscatto in Bitcoin.

ATTENZIONE:
come già ribadito qualche giorno fa, in occasione di una precedente campagna del tutto simile, questa è una bufala. Nessun attaccante ha avuto accesso al computer delle persone che ricevono tale email: non esistono quindi filmati compromettenti di alcun tipo. Siamo di fronte ad una tecnica di ingegneria sociale, finalizzata a creare panico e ansia nella vittima, renderla meno lucida e quindi più disposta a pagare.

Ecco un esempio di email fake a scopo ricattatorio

Che cosa fare?
Ovviamente non c’è alcun riscatto da pagare. Probabilmente, l’unica violazione avvenuta davvero è quella del tuo account email. Troy Hunt, il ricercatore che ha individuato questo enorme database, gestisce due servizi web tramite i quali è possibile verificare la presenza sia del nostro indirizzo email sia della nostra password in precedenti data breach: Hunt stesso ha fatto sapere di aver già aggiunto, ai data breach passati, anche tutti i dati contenuti in Collection n°1.

Visita il sito Have I Been Pwned e digita il tuo indirizzo email. Il sito ti indicherà se il tuo indirizzo è stato compromesso con questo databreach (o con altri precedenti).

Nel sito Pwned Passwords potrai invece verificare se la tua password è stata compromessa. Qualora la password risultasse violata, il consiglio è di modificarla su tutti gli account in cui è in uso e di non usarla mai più.

1[1]

Significativo calo degli attacchi ransomware

I recenti report di analisi delle minacce dei Quick Heal Security Labs suggeriscono un significativo calo degli attacchi ransomware: la minaccia che quindi ha tenuto banco negli ultimi anni sta “perdendo smalto”, sostituita nella top10 da altri tipi di attacchi valutati più profittevoli dai cyber criminali. I ransomware però, è bene ribadirlo, sono ancora in attività e sempre nuovi esemplari vengono messi in diffusione: basti ricordare le innumerevoli campagne di distribuzione del ransomware GandCrab, che sono state ricorrenti per quasi tutto il 2018.
ù cosa si deve la riduzione delle infezioni ransomware?
Le ragioni di un declino tanto subitaneo quando significativo può attribuirsi alla crescita, oltre l’esponenziale, della diffusione dei malware per il mining di criptovalute (cyroptojacking) quali Bitcoin, Monero, Ethereum ecc… Inoltre, ci suono nuovi malware “di punta”, sempre più sofisticati ed efficaci (per i cyber attaccanti): uno di questi è Emotet, che unisce funzioni di trojan bancario a funzioni di mining di criptovaluta.
Per approfondire: Emotet

Fase 1 –> l’attacco ai siti web;

Fase 2 –> l’attacco ai computer delle vittime

Perchè i cyber attaccanti preferiscono i miner?
I motivi potrebbero essere molteplici, sicuramente due sono i principali. Il primo è legato al potenziale di guadagno di questo tipo di attacchi: non è affatto un segreto che il prezzo delle valute digitali sia cresciuto a ritmi impressionanti negli ultimi due anni, spostando drasticamente l’attenzione sul mondo delle criptovalute. Un miner di criptovaluta che infetti un numero sufficiente di computer può garantire un flusso costante di reddito all’attaccante, almeno finchél’infezione non viene scoperta. Cosa non facile: i miner agiscono in background e non necessitano di alcuna interazione da parte della vittima.
Il secondo motivo è legato al lato tecnico: i miner sono mezzi relativamente semplici per estrarre denaro illecito con la garanzia dell’anonimato. Così nell’ultimo anno e mezzo abbiamo assistito non solo all’emergere di una vastissima gamma di malware per il mining (tra i capostipiti ricordiamo CoinHive. Vedi qui la nostra infografica ), ma anche a svariate tecniche di diffusione degli stessi: malvertising, spear phishing, browser injection ecc…

Anche i ransomware sono evoluti…

Come detto, i ransomware però sono tutt’altro che scomparsi: al contrario sono emerse nuove varianti e anche nuove tipologie di attacco. Recentemente abbiamo osservato molteplici attacchi ransomware di Brute-Force contro l’RDP. In questo tipo di attacco, l’attaccante semplicemente esegue una scansione di una lista di indirizzi IP per trovare quelli che hanno la porta RDP aperta e tentano un attacco di brute force, che altro non è che un prova&ritenta per indovinare Username e Password. Ottenuto l’accesso, l’attaccante può facilmente bypassare i sistemi antivirus e infettare il sistema.

Per approfondire >> Il tuo sistema di Desktop Remoto è al sicuro da attacchi di tipo brute-force?

Per quanto riguarda il ransomware GandCrab, arrivato alla v.5.0.05, è stato uno dei ransomware più diffuso nel 2018, riuscendo a infettare più di 50.000 nodi: distribuito a partire da Gennaio 2018 ha, nel corso del tempo, subito svariate modifiche e riadattamenti per renderlo un’arma ancora più temibile. Vogliamo ricordarlo perchè è necessario non sottovalutare la minaccia dei ransomware.

1[1]

Facebook e Privacy: scoperte app per Android che forniscono dati a Facebook

E’ stata Privacy International (PI), una organizzazione no profit britannica il cui nome già suggerisce lo scopo, a denunciare 20 applicazioni regolarmente presenti sullo store di Google: PI ha analizzato tali app a partire dal 25 Maggio 2018, giorno in cui è entrato definitivamente in vigore il nuovo regolamento europeo per la privacy e la sicurezza dei dati, il cosiddetto GDPR.

Vedi il report completo qui >> How Apps on Android Share Data with Facebook

L’analisi è stata compiuta su 34 applicazioni tra le più diffuse sul Play Store di Google, per verificare il livello di privacy degli utenti e di sicurezza dei dati. I risultati sono preoccupanti: ben 20 app invierebbero dati a Facebook, anche di utenti che non risultano iscritti al famoso social network.

Tra le app incriminate troviamo “pezzi grossi” del calibro di Tripadvisor, Kajak, Skyscanner (app
dedicate ai viaggi), ma anche app per lo streaming della musica come Spotify e Shazam (quest’ultima permette di riconoscere un brano), app per il fitness come MyFitnessPal ecc… Per fare alcuni esempi, Kajak comunica a Facebook informazioni quali la destinazione di un viaggio, le date, l’eventuale partecipazione o meno dei figli al viaggio stesso. Qibla Connet (un app a tematica religiosa) informerebbe Facebook dell’appartenenza dell’utente alla fede islamica, Indeed condivide la ricerca di un lavoro. I dati vengono inviati a Facebook non appena l’app viene aperta: anche il numero di aperture dal momento dell’installazione e l’id utente Google sono dati che vengono “donati” a Facebook.

Lo scenario tratteggiato è inquietante, perché, stando ai dati di Privacy International, almeno il 61% delle app che girano su Android invia dati a Facebook indipendentemente dal consenso dell’utente (e perfino, come detto, anche quando l’utente non ha un profilo Facebook). Dati confermati anche da un rapporto della Oxford University precedente a quello di PI: per Oxford la quota di app su Google Play che scambia dati con Facebook è pari al 43%.

Tutto questo è legale?
Per quanto i dati inviati a Google non siano sufficienti a individuare precisamente una specifica persona, tutto ciò è illegale ai sensi del GDPR. Facebook ha già fatto sapere di aver reso disponibile agli sviluppatori di terze parti, poco dopo l’entrata in vigore del GDPR, una apposita utility dove modificare le proprie app al fine di rendere esplicita la richiesta di condivisioni dati con app di terze parti all’utente, affinché l’utente possa esprimere il consenso o meno a questo tipo di utilizzo dei propri dati. Quegli sviluppatori che non hanno proceduto a tale modifica stanno violando il GDPR.

Skyscanner è stata tra prime app ad essere modificata: il 31 Dicembre 2018 ha pubblicato questa nota, nella quale si annuncia l’aggiornamento dell’app Android in via prioritaria: l’aggiornamento ha bloccato la trasmissione dei dati verso l’SDK (Software Developement Kit) di Facebook. L’elenco di queste app “spione” è disponibile nel report indicato ad inizio articolo.

a[1]

Emotet Alert: nuova campagna spam diffonde una nuova e più pericolosa versione del trojan

Emotet ha segnato un periodo di attività ridotta la scorsa settimana, ma ieri alcuni ricercatori di sicurezza hanno individuato una nuova campagna di email di spam che distribuisce una nuova versione di questo trojan: nuove versione che presenta nuove funzionalità dannose.

Emotet in breve
Ricordiamo che Emotet, recante inizialmente solo funzionalità di trojan bancario, è attualmente annoverabile tra i malware modulari: è cioè pensato per subire l’aggiunta di altri payload che ne possono aumentare le funzionalità dannose (infostealer, ransomware ecc..). La costante evoluzione delle funzioni incluse in Emotet, lo renderanno per parecchio tempo uno dei protagonisti della Top10 dei malware di quest’anno.

La campagna di distribuzione
Il payload della nuova versione di Emotet viene diffuso tramite email di spam in diverse lingue, secondo quali sono gli utenti bersaglio: lo scopo del contenuto delle email, come sempre, è indurre l’utente a scaricare l’allegato. L’allegato contiene il codice necessario al download e all’installazione del malware.

Fonte: bleepingcomputer.com

In alcuni casi le email non recano il documento come allegato, ma, al contrario, contengono un collegamento diretto al malware.

L’evoluzione continua: la nuova versione di Emotet
Questo malware è in costante evoluzione: la campagna di spam attuale diffonde una nuova versione, che presenta alcune modifiche e aggiunte rispetto alle precedenti. Ad esempio, la versione attuale verifica se l’indirizzo IP del ricevente/vittima sia stato o meno inserito in blackilist/spamlist in famosi servizi come Spamhaus, SpamCop o SORBS.

Fonte: bleepingcomputer.com

Lo scopo è chiaro: questa verifica può consentire agli attaccanti di consegnare più email nelle caselle di posta delle vittime senza subire respingimenti dai filtri antispam. Sempre allo scopo di evadere i filtri antispam, Emotet vede anche l’aggiunta della capacità di modificare l’oggetto dell’email.

Strani reindirizzamenti
Un altro cambiamento è l’uso del reindirizzameno HTTP 301. Il 301 è un codice di stato del protocollo HTTP tramite il quale un server comunica al client che la pagina web richiesta non si trova più all’URL originale, ma che è stata spostata in via definitiva e permanente. Una modifica che i ricercatori di sicurezza non riescono a spiegare, dato che il reindirizzamento punta sullo stesso URL. L’unica differenza notabile tra la prima e la seconda richiesta è che la prima ha un messaggio keep-alive nell’header, mentre la seconda richiesta no. La connessione keep-alive è un metodo che consente le comunicazioni HTTP server-client sulla stessa connessione TCP invece che aprire una nuova per ogni richiesta: chiamata anche “Connessione persistente (persistant connection)” permette di ridurre i tempi di download.

I ricercatori fanno anche sapere che il malware è ospitato, nella stragrande maggioranza dei casi, su siti web compromessi.

Il metodo di distribuzione
Le vittime ricevono il malware tramite la classica macro nascosta in un documento Word contenente, apparentemente, una fattura, una conferma di pagamento, una conferma di spedizione ecc… La routine di infezione di Emotet si avvia sul sistema già quando la vittima lancia il documento fake: il codice integrato nella macro scarica e installa il malware. Ciò avviene prima di tutto con l’apertura di PowerShell, che conttatta il centro di distribuzione di Emotet per recuperare il payload. Il payload quindi viene scaricato e installato sul computer della vittima.

Approfondimento >> In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

1+28129[1]

Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette

Ryuk è sempre stato considerato un ransomware “mirato”: la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l’accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l’accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo “successo”, se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E’ recentissimo (qualche settimana fa) l’uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times.

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori
analisi su questo temibile ransomware e sono state riscontrate importanti novità. I ricercatori hanno spiegato come, in più casi, gli autori di Ryuk abbiano usato anche il trojan Trickbot per ottenere l’accesso ad una rete infetta. Una volta che questi bot hanno infettato un computer infatti, creano una reverse shell e la restituiscono ad altri cyber attaccanti, come quelli che gestiscono Ryuk, così da permettere loro di infiltrarsi manualmente nel resto della rete e installare i propri payload.

Per approfondire >> In diffusione una nuova versione del famigerato trojan bancario Trickbot

Secondo i ricercatori di FireEye, che hanno chiamato questo tipo di accessi TEMP.MixMaster, gli operatori di TrickBot stanno affittando il proprio servizio ad un numero (fortunatamente limitato) di cybercriminali che lo usano per ottenere l’accesso alla rete dove TrickBot è installato. Stiamo parlando quindi di uno dei primi casi di access-as-service, ovvero la possibilità per un cyber criminale di affittare da altri attaccanti uno strumento per ottenere l’accesso ad un sistema o una rete per poter quindi distribuire un proprio malware.

TrickBot per Ryuk
TrickBot viene comunemente distribuito tramite gigantesche campagne di email di spam contenenti allegati con macro che installano il malware sul pc. Da CrowdStrike fanno addirittura sapere che TrickBot può installare anche un malware diverso, una nostra vecchia conoscenza: Emotet. Queste campagne di spam sono mirate esclusivamente alle aziende e sono approntate in maniera tale da sembrare fatture, bonifici, documenti importanti provenienti da istituti bancari ecc… così da convincere il destinatario dell’importanza dell’email per indurlo ad aprire l’allegato.

Una email di spam di questa campagna

Una volta che è stato installato Trickbot, viene creata la reverse shell che consentirà ad altri attaccanti di ottenere l’accesso da remoto al computer infetto: il passo successivo è l’installazione di Ryuk nella rete. Nella maggior parte dei casi, per questa operazione viene scaricato il toolkit Empire: questo tool di exploit per PowerShell consente ad un attaccante di distribuire velocemente un payload in una rete, evadendo al contempo ogni individuazione da parte dei software antivirus. In questo caso Empire viene usato per sottrarre credenziali su altri computer nella rete e quindi installare il ransomware Ryuk per colpire laddove sono contenuti i dati di maggior valore. Una volta installato, Ryuk procede alla criptazione dei file, modificando l’estensione originaria dei file in .RYK: la nota di riscatto è un file di testo chiamato RyukReadMe.txt.

La nota di riscatto del ransomware Ryuk

Va specificato che l’uso di Trickbot per i cyber criminali “proprietari del ransomware Ryuk non è esclusivo: Ryuk viene diffuso anche tramite altri servizi aperti come quelli di Desktop Remoto. TrickBot è solo una possibilità aggiuntiva.

a[1]

Le mille facce delle truffe sulla rete – la BUSINESS EMAIL COMPROMISE

’ accaduto ad un funzionario di Confindustria e potrebbe accadere a noi. Una mail all’apparenza normalissima, dispone un normalissimo trasferimento di denaro su un conto corrente; il destinatario riceve ed esegue la disposizione, salvo poi scoprire che era una truffa ed essere licenziato. E’ accaduto anche ad una squadra di serie A, che ha pagato una rata per il trasferimento di un calciatore: peccato che quei soldi siano scomparsi, “intercettati” da un cyber truffatore.

Che cosa è la BEC?
La Business Email Compromise è uno dei sistemi di truffa più comunemente utilizzato non solo per ottenere velocemente pagamenti di somme, ma anche per veicolare malware di ogni tipo – tra cui i temibili ransomware – con cui colpire aziende piccole o grandi, organizzazioni di ogni dimensione e pubbliche amministrazioni.

E’ nota anche come “truffa del CEO” e consiste nell’invio di una falsa email proveniente dall’account email di una figura apicale dell’azienda stessa (l’AD e il CEO appunto). Nella mail si richiede al manager/impiegato ignaro di fare un bonifico urgente verso un determinato destinatario: nel mare di mail e comunicazioni che vengono ogni giorno ricevute e con i ritmi frenetici che il lavoro spesso impone, è umanamente normale l’errore del singolo che, per meccanicità dell’azione o distrazione, esegue istruzioni in maniera meccanica, proprio come lo farebbe il computer che sta utilizzando in quel momento.

La Business Email Compromise (BEC) è purtroppo anche uno strumento che porta i maggiori successi per i truffatori della rete: solo negli Stati Uniti nel periodo 2013 – 2016 sono stati registrate oltre 40.000 truffe portate a termine con danni di oltre cinque miliardi di dollari. Possiamo invece solo immaginare quanti siano stati i casi non portati alla luce del sole per la vergogna di dover denunciare una truffa oppure perché comportante la perdita di somme irrisorie. Le BEC sono regolarmente denunciate in oltre cento paesi e non certo nei più poveri del mondo.

E’ stato stimato che ogni giorno almeno 400 aziende sono vittime di attacchi tramite BEC e, nella maggior parte dei casi, sono ovviamente presi di mira addetti dello staff finanziario. A differenza dei classici sistemi di attacco nei quali alla mail viene allegato un malware, con le BEC viene clonato al meglio, se non alla perfezione, il mittente: ciò rende tali email perfettamente credibili non solo per ottenere pagamenti ma anche, ad esempio, per estorcere informazioni riservate o dati sensibili. Vittime preferite sono le aziende che si occupano di import/export, ma anche singoli utenti che acquistano in rete: il trasferimento di denaro viene sempre deviato in maniera tale da garantire l’impunità al truffatore, tenendo conto delle regole bancarie vigenti nel paese in cui arrivano i soldi e scoraggiando le vittime ad intraprendere cause decisamente onerose (magari verso giurisdizioni offshore).

Le modalità della BEC
Le modalità per perpetrare queste truffe sono le più classiche: si va dal phishing al furto delle credenziali, fino a veri e propri attacchi o all’acquisto dei dati presso hacker professionisti. Facile poi copiare carta intestata, firme dei responsabili, stile della corrispondenza e ruoli aziendali, che peraltro spesso sono pubblicati sui siti web aziendali.

Per ottenere questi dati, un attaccante può anche accedere a terminali poco protetti e fare riferimento a precedenti comunicazioni, numeri di ordini, dati trovati sui social; in quanti, oggi, usano il loro WhatsApp personale sul computer con cui lavorano?

Come proteggersi?
Usare cautela può sembrare il classico consiglio inutile, ma resta quello più efficace. Usare password sicure e controllare scrupolosamente i mittenti sono le misure basilari, di primo livello potremmo dire: fare attenzione ai dati inseriti sui social e alle foto profilo è lo step subito successivo (i dati e le foto sottratti dai social potrebbero essere sfruttati per rendere più credibili le email truffaldine). In estrema sintesi è bene ricordare che è sempre il fattore umano che fa la differenza. La macchina si limita ad eseguire pedissequamente ordini e non ha capacità di discernimento.

La tecnologia offre comunque valido aiuto: l’uso della Posta Elettronica certificata (per quanto sia, ad oggi, un sistema solo italiano) anche per le comunicazioni intern e/o l’uso di sistemi di criptazione (almeno per i messaggi che devono uscire dalla rete aziendale) potrebbero essere validi strumenti di protezione.

1[1]

La nuova campagna ransomware GandCrab cripta i dati, ma ruba anche le informazioni sensibili

I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l’intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 
I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l’exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

Fonte originale: malwarebytes.com

Usando un dominio pubblicitario truffaldino, i cyber criminali geolocalizzano i visitatori dei siti compromessi e li reindirizzano verso l’exploit kit. 
Fallout è si è distinto come il più attivo distributore di Vidar, che altro non è che un malware per l’esfiltrazione e il furto di dati sensibili (nel dettaglio per rubare password e moduli dai browser web) disponibile in vendita a circa 700 dollari. Vidar può essere configurato per sottrarre informazioni specifiche, come numeri della carta di credito o le credenziali salvate in altre app. La variante in analisi si concentra evidentemente sul furto di dettagli da una quantità impressionante di diversi portafogli di criptovalute.

I portafogli di criptovaluta target. Fonte: malwarebytes.com

Una volta avviato, Vidar ricerca il tipo di dati per il quale è stato configurato in quella particolare attivazione e li invia, in formato archivio .zip, al proprio server di comando e controllo. E’ perfino dotato di una interfaccia che rende molto semplice, per gli attaccanti, il monitoraggio delle vittime, la distribuzione delle istruzioni al malware e la verifica dei dati raccolti da ogni singolo host infetto. 
Quindi entra in gioco GandCrab Vidar funziona anche come dropper per altri malware e, in questo specifico caso, il secondo payload distribuito è il ransomware GandCrab. Dopo pochi minuti dopo l’infezione iniziale con Vidar, sul sistema infetto inizia la criptazione dei file contenuti, quindi lo sfondo del desktop viene sostituito per mostrare la nota di riscatto di GandCrab v.5.04.

La v.5.04 è l’ultima messa in distribuzione delle varie versioni di GandCrab e non è, attualmente, risolvibile se non pagando il riscatto o ottenendo in qualche maniera la chiave di decriptazione dei cyber attaccanti stessi. 
N.B: ricordiamo che sono risolvibili le versioni 1, 4 e 5 (fino alla 5.02) del ransomware GandCrab. 
Conclusioni Usare un infostealer prima dell’infezione di un ransomware è un grande vantaggio per gli attaccanti: garantisce loro un pò di soldi (rivendendo o sfruttando le informazioni rubate) anche nel caso in cui la vittima non paghi il riscatto. 
Consigliamo caldamente quindi a chi dovesse subire un’infezione con GandCrab V.5.04 di non limitarsi a eliminare il ransomware dal pc, ma di modificare anche le credenziali di accesso a tutti i servizi e app che hanno in uso. 

1[1]

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 
A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce
Il misterioso e (quasi) invisibile quadratino nero Negli ultimi anni i cyber criminali si sono approfittati molteplici volte della suite di Microsoft Office per distribuire ogni tipo di malware, sfruttando sia le vulnerabilità del software stesso che le macro incorporate nei file MS. In questa specifica campagna invece viene sfruttato un downloader incorporato in un file Office: una tecnica leggermente diversa dalla solita macro da abilitare, ma che può creare difficoltà agli utenti meno esperti nel riconoscimento della minaccia.
L'attacco inizia con l'arrivo nella inbox dell'account email della vittima di un messaggio di posta elettronica: in questo caso le email sono di vario tipo, senza alcuna caratteristica peculiare. Queste email si limitano semplicemente a tentare di far credere all'utente che il file MSOffice allegato sia importante (una fattura, un documento importante da leggere e firmare ecc...), così da indurlo ad aprire il documento. 

Una tipica email della campagna di distribuzione di Emotet

Fin qui, nulla di nuovo: se l'utente decide di scaricare l'allegato email e di aprirlo, riceverà subito la richiesta di abilitare le macro. In questo caso abilitare la macro sembra necessario perchè il documento è stato creato con Office 365: in realtà ingannare l'utente e fargli abilitare la macro è un passaggio irrinunciabile per il cyber criminale, perchè gli consente di far eseguire le funzioni incorporate nel file. 

Le novità iniziano qui: la macro in oggetto, se analizzata in dettaglio, è estremamente leggera e, almeno a primo sguardo, non sembra pensata, come succede quasi sempre, per connettersi ad un sito web dove è ospitato del contenuto dannoso. Il codice della macro è pensato per la sola funzione di leggere il testo da un oggetto. E di quale oggetto parliamo? 
L'oggetto c'è, ben nascosto, incorporato in maniera quasi impercettibile nella pagina. Riprendendo la foto precedente si può notare, in alto a sinistra nella pagina, un piccolissimo quadratino nero.

Espandendo il piccolo quadratino nero, ne visualizzeremo il contenuto. 

Questa casella di testo contiene un comando "cmd" che apre uno script PowerShell che tenterà la connessione a 5 diversi siti per scaricare il payload che, in questo caso, è una variante offuscata di Emotet. 
Inizia l'infezione Una volta che il payload è stato scaricato, viene immediatamente seguito: la prima operazione compiuta è l'ottenimento della persistenza sul sistema. Completato questo stadio, Emotet segnala la situazione al proprio server C&C. In alcuni casi i ricercatori hanno notato che, conclusa questa fase iniziale, possono verificarsi nel tempo ulteriori download: parliamo del download e installazione di un ulteriori moduli di attacco per Emotet, payload secondarie per ulteriori azione dannose sul sistema infetto, altri malware. 
I moduli aggiuntivi I vari moduli aggiuntivi forniscono ad Emotet ulteriori capacità di attacco che possono compromettere il dispositivo utente, rubare dati sensibili e credenziali, propagarsi nella rete, accogliere informazioni sensibili ecc..
Conclusione Questa tecnica di infezione non è affatto nuova: l'unica novità è nel modo con cui avviene l'esecuzione di Emotet, nascosto in maniera subdola nel file Word. La consapevolezza dell'esistenza di questo tipo di tecniche di infezione è sicuramente utile, per mettere in guardia gli utenti e mantenere il giusto livello di attenzione (inutile ribadirlo, forse, ma è sconsigliabile abilitare macro contenute in documenti provenienti da fonti sconosciute). La presenza di una solida soluzione antivirus con protezione multi-livello, costantemente aggiornata, è un'altra necessità per proteggersi da questi tipi di attacchi

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy