1[1]

Unicredit: Sistemi violati

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti

E'stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici. Parla di un "incidente" che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell'istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l'Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.

Cosa si sa per adesso
Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca.

Tra le informazioni sottratte si trovano:

nome e cognome
città di residenza
numero di telefono
indirizzo email

Unicredit Bank ha escluso categoricamente la compromissione non solo delle credenziali di accesso all'home banking, ma anche di altri tipi di dettagli finanziari e personali: nessuno dei dati rubati cioè può mettere l'attaccante in condizione di accedere ai conti dei clienti e/o effettuare transazioni non autorizzate.

Non sono state diffuse informazioni sul come sia avvenuto tale attacco, ma anche sul quando Unicredit è parca di dettagli: si può supporre, leggendo la nota sopra menzionata, che l'attacco sia avvenuto proprio nel 2015, quindi che la violazione risalga a 4 anni fa. Ed è verosimile pensarlo anche perchè, anche se non ci sono riscontri ufficiali, alcuni organi di stampa esteri (la notizia è rimbalzata un pò in tutta Europa e non solo) riportano che la scoperta della violazione sia avvenuta proprio in conseguenza del ritrovamento del database in questione nel Dark Web.

Unicredit ha annunciato di aver avviato immediatamente una indagine sull'accaduto, segnalando la violazione alle autorità italiane e al Garante per la Privacy, secondo gli obblighi previsti dal GDPR. Nel frattempo l'Istituto si sta occupando di contattare e avvisare individualmente i clienti riguardanti dal furto dei propri dati, anche tramite notifiche via banking online.

Ci pare corretto però ricordare, sopratutto se si è clienti Unicredit, che ad indagini in corso, è assai arduo, forse eccessivamente avventato, escludere categoricamente che non siano stati trafugati altri dati oltre a quelli indicati sopra e che, comunque, anche i dati il cui furto è stato accertato non sono comunque dati meno importanti o sensibili di altri. Consigliamo, da questo punto di vista, la lettura di questa breve riflessione di Alessandro Papini, presidente di Accademia Italiana Privacy.

I precedenti
Non è la prima volta che Unicredit è vittima di un incidente di questo tipo: i tecnici della banca avevano scoperto due data breach molto simili, avvenuti uno tra Settembre e Ottobre 2016 e l'altro da Giugno e Luglio 2017. I due data breach avevano compromesso la sicurezza dei dati di oltre 400.000 clienti.

Nell'Ottobre 2018 invece sempre Unicredit è stata vittima di un tentativo di intrusione ai servizi di banking online, notificato il giorno dopo al Garante per la Privacy: 731.000 circa i clienti che potevano essere riguardati dalla violazione. I sistemi di sicurezza IT e il team di cyber esperti di Unicredit sventarono il tentativo di intrusione che avrebbe potuto compromettere dati come nome, cognome, codice fiscale, il codice identificativo del cliente e il REB (ovvero un codice identificativo per l'accesso ai servizi bancari). I tecnici di Unicredit bloccarono in quell'occasione 6.856 account, compromessi dall'individuazione del PIN prima che l'intrusione fosse bloccata e gli attaccanti esclusi dalla rete.

Dati i precedenti quindi, Unicredit ha concluso la nota con la quale denuncia il data breach odierno dettagliando le risorse e gli sforzi spesi negli ultimi 3 anni per aumentare la sicurezza dei propri sistemi e dei dati: si parla di oltre 2.4 miliardi di euro investiti in aggiornamento e rafforzamento dei sistemi IT e dell'introduzione di sistemi di autenticazione più sicuri della mera password, come la password usa e getta o l'identificazione biometrica.

Pubblicato da s-mart Informa a 12:59
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: data, data breach, enterprise IT security, gdpr

1+28129[1]

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA

Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un'attività in corso da parte di qualche cyber attaccante sul codice.

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c'è un investimento attivo da parte
di un cyber criminale o di un gruppo, su FTCode e sul suo codice. La nuova versione è ancora veicolata attraverso l'invio di email inviate da account PEC precedentemente compromesse. Sotto pubblichiamo una email vettore:

Fonte: https://www.cert-pa.it

Il codice presenta numerose parti di codice in comune, o esattamente identiche, con la versione del ransomware FTCode diffuso nelle scorse settimane: in particolare sono estremamente affini la unzione usata per la persistenza sul sistema, quella per la comunicazione con il server di comando e controllo, quella per l'esecuzione di comandi sulla macchina e l'intero algoritmo di criptazione del contenuto dei file.

Le novità riscontrate sono:

1. crea un GUID (Globally Unique Identifier) univoco per la macchina infetta in un file di lavoro. Probabilmente tale meccanismo è affetto da bug, perchè l'identificativo viene generato ad ogni avvio;
2. i file sono rinominati con una estensione casuale, i primi 6 caratteri di un GUID;
3. le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono criptate;
4. in caso di errore durante la criptazione di un file, o durante l'enumerazione degli stessi, l'errore viene riportato all'attaccante tramite comunicazione con server C&C;
5. la pagina HTML contenente la nota di riscatto non è in chiaro, ma è codificata in base64;
6. il file di lock, necessario per garantire una sola istanza del malware, è considerato non valido dopo 30 minuti. Questo evita che due processi si blocchino a vicenda (situazione di deadlock), ma anche la possibilità di usare il killswitch come protezione.

Il file TMP interruttore: la nuova versione impedisce l'uso come scudo
La precedente versione verifica la presenza del file C:\Users\Public\OracleKit\w00log03.tmp sulla macchina infetta prima di avviare la routine di criptazione. Qualora il file venga individuato, FTCode si arresta: la presenza di questo file indica infatti che la macchina è già stata attaccata dal ransomware, magari da una versione precedente. Un possibile "vaccino" contro questa infezione è quindi quella di creare questo file per far credere a FTCode di aver già infettato la macchina. La modifica nella versione attualmente in diffusione del file di lock, la cui "scadenza" è fissata a 30 minuti, rende inefficace questo meccanismo di protezione.

Qualche informazione in più sul meccanismo di criptazione
FTcode verifica tutti i drive collegati alla macchina con almeno 50kb di spazio libero, quindi enumera i file criptabili, ovvero tutti i file con le seguenti estensioni (esclusi quelli presenti nelle cartelle menzionate in precedenza).

.sql,.mp4,.7z,.rar,.m4a,.wma,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.gdb,.tax,.pkpass,.bc6,.bc7,.bkp,.qic,.bkf,.sidn,.sidd,.mddata,.itl,.itdb,.icxs,.hvpl,.hplg,.hkdb,.mdbackup,.syncdb,.gho,.cas,.svg,.map,.wmo,.itm,.sb,.fos,.mov,.vdf,.ztmp,.sis,.sid,.ncf,.menu,.layout,.dmp,.blob,.esm,.vcf,.vtf,.dazip,.fpk,.mlx,.kf,.iwd,.vpk,.tor,.psk,.rim,.w3x,.fsh,.ntl,.arch00,.lvl,.snx,.cfr,.ff,.vpp_pc,.lrf,.m2,.mcmeta,.vfs0,.mpqge,.kdb,.db0,.dba,.rofl,.hkx,.bar,.upk,.das,.iwi,.lite,.mod,.asset,.forge,.ltx,.bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big,.wallet,.wotreplay,.xxx,.desc,.py,.m3u,.flv,.js,.css,.rb,.png,.jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der,.x3f,.srw,.pef,.ptx,.r3d,.rw2,.rwl,.raw,.raf,.orf,.nrw,.mrwref,.mef,.erf,.kdc,.dcr,.cr2,.crw,.bay,.sr2,.srf,.arw,.3fr,.dng,.jpe,.jpg,.cdr,.indd,.ai,.eps,.pdf,.pdd,.psd,.dbf,.mdf,.wb2,.rtf,.wpd,.dxg,.xf,.dwg,.pst,.accdb,.mdb,.pptm,.pptx,.ppt,.xlk,.xlsb,.xlsm,.xlsx,.xls,.wps,.docm,.docx,.doc,.odb,.odc,.odm,.odp,.ods,.odt

Enumerati i file, FTCode cripta i primi 40960 byte di ogni file usando l'algoritmo di criptazione simmetrico AES / Rijndael".

FtCode, insomma, è in sviluppo ed è molto probabile che ne vedremo circolare ancora nuove varianti: il giorno dopo l'avvio della distribuzione della versione 930.5, è stata individuata in diffusione la versione 1001.7. La versione approfondita in questo articolo è una ulteriore versione, messa anch'essa in diffusione in pochissimi giorni.

1+28129[1]

Ancora attacchi via PEC: massiva campagna di phishing mira ad aziende e liberi professionisti italiani

Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E' stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente compromessi. La campagna è ANCORA IN CORSO.

Le email fanno riferimento a false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l'identità di chi lo utilizza e assicura l'integrità del documento: è collegato all'uso della firma digitale. L'uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa.

L'oggetto delle email è del tipo "Invio File ", l'allegato dal nome tipo "ITYYYYYYYYYY_1bxpz.XML.p7m" è solo menzionato ma non è presente: una delle caratteristiche principali infatti di tale campagna è quella di non veicolare allegati dannosi. L'utente che riceve tale comunicazione potrà ritenere l'assenza di allegato come una banale dimenticanza del mittente: in realtà è solo un elemento che ribadisce e specifica che siamo di fronte ad un attacco di phishing mirato alla raccolta di informazioni.

L'altro elemento che rende chiaro e netto che ci si trova di fronte ad una campagna di phishing è il fatto che, nel testo, si fa riferimento ad un "nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio", indirizzo che, guarda caso coincide sempre col mittente della casella compromessa sotto il controllo dell'attaccante.

Ecco l'email di phishing:

Clicca sull'immagine per ingrandire. Fonte: https://www.cert-pa.it/

Il nome del mittente che viene mostrato corrisponde all'indirizzo PEC di un soggetto appartenente ad un ordine professionale e coincide con l'indirizzo del destinatario. Il mittente effettivo è la casella PEC di una società italiana. Sono 500 le caselle PEC compromesse usate per rinviare circa 265.000 email di phishing al giorno, almeno nell'ultima settimana.

Nell'aggiornamento di questa mattina, il CERT-PA ha fatto sapere di aver individuato anche, nel corpo email, un richiamo ad una risorsa remota: in dettaglio è un tracker che si abilita appena l'email viene aperta e che serve all'attaccante a monitorare l'andamento della campagna.

Che cosa fare?
Il metodo migliore per mettersi al riparo da questo attacco è NON RISPONDERE all'email, qualora si dovessero ricevere comunicazioni simili. In generale è consigliabile non rispondere ad indirizzi email non verificati o sconosciuti che invitano a modificare l'indirizzo email per future comunicazioni al Sistema di Interscambio.

In breve - che cosa è il phishing:
Il phishing è una attività fraudolenta pensata per convincere con l’inganno le vittime a rivelare informazioni personali e/o confidenziali. Queste informazioni comprendono, di solito, i dettagli degli account bancari, numeri di carte di credito, indirizzi, numeri di telefono e così via. Ci sono varie modalità tramite le quali un cyber-criminale può lanciare un attacco di phishing contro una vittima designata: i vettorI più utilizzatI sono appunto caselle email compromesse.

1[1]

Grave falla in WhatsApp: aggiornate prima possibile!

E' stata individuata una falla di sicurezza nella popolare applicazione WhatsApp che potrebbe mettere seriamente a rischio la sicurezza dei dispositivi di utenti che utilizzano e visualizzano immagini in formato .GIF.

A rivelare la falla un utente di GitHub (noto sito di scambio e discussione di esperti di sicurezza e IT), chiamato Awakened, che ha prontamente provveduto ad informare Facebook, proprietario appunto di WhatsApp: la denuncia della falla è avvenuta in Agosto e Facebook ha già provveduto alla patch per risolverla. Per mettersi in sicurezza basta quindi aggiornare WhatsApp all'ultima versione

La falla in questione è stata ribattezzata "double free" e può consentire ad un attaccante di accedere allo smartphone e rubare informazioni, dati personali, password e codici, spiare chiamate e conversazioni sms e sui social, rubare email e perfino svuotare eventuali wallet Bitcoin.

Lo schema di diffusione è piuttosto basilare: si diffonde un messaggio con allegata la GIF compromessa, il cui testo serve ad attirare l'attenzione e convincere gli utenti ad aprire la GIF .

La GIF colpevole
La falla viene sfruttata tramite un exploit kit contenuto in una immagine: per exploit kit si intende un codice capace di sfruttare una vulnerabilità per violare un sistema. In questo caso quindi WhatsApp è solo un vettore: è la GIF, o meglio il codice contenuto al suo interno che viola il sistema sfruttando la famosissima app come tramite. L'exploit sfrutta una vulnerabilità nella libreria immagini "libpl_droidsonroids_gif.so" per ottenere l'accesso al sistema da remoto.

E' una tipologia di attacco detta di "corruzione della memoria": il programma per gestire le immagini va in crash e tenta quindi di eseguire una porzione di codice che gli consenta di riavviare la propria attività. Solo che, al posto del codice legittimo che lo farebbe "ripartire", trova il codice dannoso ben nascosto nell'immagine. Qui avviene l'infezione.

Come risolvere il problema
Come detto, Facebook, proprietario di WhatsApp ha già risolto il problema rilasciando una apposita patch di sicurezza che va a "tappare la falla". Per mettersi al sicuro da questo bug quindi occorre che gli utenti Android che usano versioni del SO mobile 8.1 e 9.0 scarichino l'ultima versione disponibile di WhatsApp, o almeno una versione a partire dalla 2.19.244.

Per altre versioni del sistema operativo Android non corrono alcun rischio, perchè la GIF compromessa manda in crash l'applicazione e non ne permette l'apertura.

a[1]

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia

Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle "città criptate": in breve era in corso e, incredibilmente lo è tutt'ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l'FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L'ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie.

Un breve riepilogo
- La strage texana di Agosto >> leqqi qui
- Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?
L'ondata di attacchi ransomware ancora in corso indica una nuova strategia dei cyber criminali: colpire non l'utente privato, dal quale sicuramente si può ricavare una modesta somma di denaro, ma "mirare alto" verso istituzioni pubbliche, ospedali e scuole (principalmente) per potere chiedere riscatti esorbitanti. E che la scelta sia stata intelligente (per i cyber criminali purtroppo) è dimostrato dai dati:

L'ammontare medio dei riscatti richiesti dopo un attacco ransomware, infatti, è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi.

Per approfondire >> I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende e le istituzioni pubbliche necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali e, in caso delle PA, problemi amministrativi e perfino di ordine pubblico.

Gli ultimi, gravissimi, episodi
Facciamo una breve carrellata degli ultimi attacchi, che vedono ancora protagonista il famigerato ransomware Ryuk (tutt'ora non risolvibile, con casi rarissimi di possibilità di recupero dei dati. Solo una solida soluzione di backup ben collaudata permette il recupero dei file in caso di infezione).

1. Ospedale in Alabama paga il riscatto dopo attacco da ransomware.
Tre ospedali del gruppo DCH in Alabama hanno deciso di pagare il riscatto per il ransomware Ruyk al fine di ricevere dai cyber attaccanti il tool per la decriptazione e ottenere di nuovo il controllo dei propri sistemi e file. Il gruppo DCH infatti include il DCH Regional Medical Center, il Northport Medical Center e il Fayette Medical Center in West Alabama's Tuscaloosa, Northport e Fayette, tutti colpiti il primo Ottobre da un attacco coordinato del ransomware Ryuk: tutte e tre le strutture sono state costrette a sospendere le attività ambulatoriali e posticipare le operazioni chirurgiche a causa dell'impossibilità di accedere e recuperare i dati dei pazienti. E' andato in blocco anche l'intero sistema di pagamento.

Nella nota rilasciata lo scorso fine settimana, il gruppo ha fatto sapere di essere riuscito a recuperare una parte dei dati e a ripristinare i sistemi dai backup, ma di aver pagato il riscatto per ottenere il tool al fine di ripristinare l'accesso ad altri sistemi criptati, ma comunque necessari per l'attività quotidiana delle strutture. Nella nota non è stata rivelata l'entità del riscatto, ma DCH conferma di essere riuscita a decriptare molteplici server criptati.

2. Ospedale in California chiude i battenti dopo attacco ransomware.
La notizia precedente segue di pochi giorni l'annuncio ufficiale, addirittura, della chiusura del Wood Ranch Medical, un ospedale californiano colpito agli inizi di Agosto da Ruyk: la struttura ha annunciato che chiuderà i propri uffici il 17 Dicembre in conseguenza della massiva perdita dei dati dei pazienti. "Sfortunatamente i danni ai nostri sistemi computerizzati sono stati tali da renderci impossibile il recupero dei dati e, poiché anche i nostri backup sono stati criptati, non possiamo ricostruire i nostri record medici" fanno sapere nella nota ufficiale.

3. Sette ospedali e diverse strutture sanitarie australiane sotto attacco
Sette dei più importanti ospedali e molteplici strutture sanitarie nella regione Victoria in Australia sono stati obbligati ad arrestare completamente alcuni dei propri sistemi o a passare alle operazioni manuali a causa di una virulenta infezione ransomware che ha colpito i loro sistemi IT. Oltre alle normali operazioni medico / sanitarie è stata completamente bloccata anche la gestione finanziaria.

Lo shut down di alcuni sistemi e l'isolamento degli stessi si è reso necessario per bloccare l'infezione: tra questi sono stati arrestati alcuni sistemi contenenti i dati dei pazienti, le prenotazioni e i sistemi di gestione. Solo poche strutture sono riuscite a mantenere inalterate le operazioni, passando alla modalità manuale: carta e penna. Anche in questo caso, le infezioni sono dovute al ransomware Ryuk.

Gli U.S.A approvano legislazione ad hoc in risposta ai dilaganti attacchi ransomware
Meno di due settimane fa il Senato degli Stati Uniti ha approvato il 'DHS Cyber Hunt and Incident Response Teams Act', una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber "cacciatori" e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.

1[1]

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie

Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull'argomento, purtroppo con notizie pessime.

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l'algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L'analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c'è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l'aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell'avvio della criptazione e una per il termine della routine.

Essendo poi FTCode un ransomware completamente basato su PowerShell, gode di un vantaggio: non necessita del download di nessun componente aggiuntivo per avviare la criptazione dei file presenti sul sistema bersaglio.

Nuove forme di diffusione
Nelle prime segnalazioni, le email PEC vettore imitavano comunicazioni ufficiali del Tribunale di Milano, ma ormai ne sono in diffusione molte altre versioni, per quanto lo schema rimanga ricorrente (email di spam con testo in italiano e allegato .ZIP): circolano false fatture, falsi curriculum, documenti scansionati ecc... Sotto un nuovo esempio di email vettore:

La catena di infezione
Corpo e oggetto email hanno un solo scopo: convincere l'utente ad aprire l'allegato .ZIP. All'apertura, viene mostrato un documento Word, che, ovviamente, richiede di abilitare la macro per poter visualizzare il contenuto.

Una volta abilitata, la macro lancia ed esegue alcuni comandi PowerShell che scaricano e installano il malware downloader JasperLoader, quindi si avvia la routine di criptazione.

La backdoor di FTCode
Come detto, il primo componente malware installato è JasperLoader, che scarica quindi altri malware sulla macchina infetta. JasperLoader è una backdoor, in dettaglio un Remote Access Trojan: rimane attivo nella macchina anche dopo la criptazione ed è una vera e propria porta aperta che l'attaccante può usare anche molto tempo dopo l'infezione per accedere al sistema in qualsiasi momento e diffondere altri malware.

Una volta che lo script VBS è scaricato, viene configurato per eseguirsi automaticamente attraverso una task programmata, "WindowsApllicationService": viene addirittura creato un collegamento nella cartella Startup. Lo script PowerShell verificherà la presenza di un file specifico, ovvero C:\Users\Public\OracleKit\w00log03.tmp. Questo è un killswitch, un interruttore: se lo script lo individua sulla macchina, la routine di criptazione non verrà avviata.

Se il file non esiste sulla macchina, verrà generata la chiave di criptazione, che sarà inviata al server di comando e controllo degli attaccanti. Infine lo script eseguirà alcuni comandi per cancellare le Shadow Volume Copies, il Windows backup e l'ambiente Windows Recovery per impedire il ripristino del sistema e il recupero dei file dai backup.

Insomma, come già abbiamo scritto recentemente, ribadiamo che contro questo ransomware occorre fare molta attenzione, verificare attentamente la legittimità e veridicità di una email prima di aprirne gli allegati ed abilitarne la macro e dotarsi di un antivirus con solide funzioni anti malware e anti ransomware.

a[1]

Accesso remoto e truffatori: come funzionano le truffe a distanza

Ci sono molteplici metodi con i quali un attaccante può ottenere l'accesso al nostro computer, ma, incredibilmente, quello più semplice è di chiederlo con gentilezza. Ad un attaccante basterà convincerci a garantirgli l'accesso da remoto, ad esempio per risolvere un problema tecnico, e il gioco è fatto. Questa è una delle truffe più diffuse, cambiano solo i temi della truffa.

1. "Qui polizia, ci serve accesso al vostro sistema"
E' una delle tipologie classiche di "truffa da accesso remoto". Gli attaccanti si fingono agenti di Polizia, che hanno bisogno del vostro supporto per acciuffare dei cyber criminali. Di solito la vittima viene convinta spiegando che il suo computer è stato utilizzato per l'invio massivo di email truffaldine: si richiede così l'accesso al sistema (e, certe volte, perfino al conto online ) per trovare tracce e poter acciuffare i truffatori. In caso di rifiuto alla collaborazione, inizieranno minacce di eventuali sanzioni legali per intralcio alle indagini.

Se concederete l'accesso al sistema e al vostro conto, il danno è fatto: i cyber criminali avvieranno una sequenza di trasferimenti di denaro, continuando a giustificarsi affermando che ogni bonifico eseguito è parte integrante delle indagini per acciuffare i cyber criminali.

2. "Qui assistenza tecnica: il suo pc ha problemi da risolvere urgentemente"
Un giorno ricevete una telefonata: un esperto di assistenza tecnica che si presenta come dipendente di un grande vendor di software o di hardware, vi spiega che il vostro computer sta segnalando problemi importanti, la cui risoluzione è urgente. Per questo motivo il fantomatico tecnico richiede di installare un programma necessario per avviare la sessione di "assistenza tecnica" da remoto.

A questo punto gli attaccanti sono nel sistema: nel migliore dei casi fingeranno di svolgere alcune operazioni e poi vi presenteranno un conto salatissimo. Però ci sono scenari peggiori: i clienti dell'operatore telefonico inglese BT sono stati bersagliati da truffatori indiani che hanno sottratto loro addirittura dei dati dei conti bancari, provando a prelevare denaro dai loro conti. Un falso tecnico ha contattato diversi clienti BT per problemi alla connessione di banda larga e per la risoluzione di un infezione malware: truffa credibile, visto che davvero molti di questi clienti avevano recentemente sofferto tali problematiche. I falsi tecnici, tramite alcune domande, riuscivano ad ottenere i dati bancari dell'utente, oppure l'accesso alle password salvate sui browser. L'unica fortuna di questi sfortunati utenti è stata che, in alcuni casi, le banche hanno bloccato i trasferimenti di denaro dopo i primi bonifici sospetti, riducendo il danno.

3. " Salve, il suo abbonamento è in scadenza: rinnovi!"
Altra tipologia classica di truffa: si riceve una chiamata per rinnovare l'abbonamento a un software o ad un servizio. Oppure ancora per invitarvi a scaricare l'aggiornamento di un software molto popolare, quindi potenzialmente installato sui pc di moltissimi utenti.

Queste truffe non avvengo però solo tramite telefonata alla vittima: in alcuni casi vengono inviate email truffaldine che invitano l'utente a fornire dati o a contattare personalmente un centro di assistenza. Oppure ancora via pop up. Lo scorso Aprile la Polizia Postale italiana ha denunciato numerose campagne truffaldine in corso nel quale gli utenti, spesso durante l'effettuazione di un bonifico online, visualizzavano pop up che segnalavano la presenza di malware nel sistema operativo: la schermata simulava un annuncio ufficiale di Microsoft con il classico sfondo blu e il logo Microsoft bene in vista.

Qualche consiglio per non farsi truffare
In linea generale, l'accesso remoto non va mai concesso a nessuno: i centri di assistenza nella quasi totalità dei casi risolvono i problemi consigliando all'utente le azioni da compiere via email o per telefono. Inoltre non avverrà mai che la Polizia richieda l'accesso da remoto al vostro computer per compiere delle indagini: se siete sospettati di qualche reato informatico, la Polizia verrà direttamente a casa vostra con tutti gli incartamenti legali e le autorizzazioni del caso.

Se avete contattato un servizio di assistenza o supporto e proprio non riuscite a risolvere il vostro problema via email o telefono, allora potreste prendere in considerazione la possibilità di concedere l'accesso da remoto, ma solo e soltanto nel caso in cui vi potete fidare al 100% dell'azienda al quale lo concedete e sempre se non ci sono alternative.

Se ricevete una telefonata di questo tipo, alcune buone norme sono:
non lasciatevi intimorire ne ingannare dai truffatori: dite no, non date loro alcun dato personale;
se venite avvisati di attività sospette o infezioni malware sul vostro computer, eseguite una scansione con un buon antivirus e accertatevi personalmente della veridicità della segnalazione;
cercate su un motore di ricerca come Google i numeri delle chiamate in entrata: molto probabilmente i numeri saranno già stati segnalati come truffaldini o compromessi da parte di altri utenti.

1[1]

Aggiornamento di Google Chrome rende impossibile avviare i dispositivi Mac

Sono già migliaia in questi giorni, le segnalazioni di utenti possessori di dispositivi che eseguono macOS riguardanti l'impossibilità di un corretto avvio del sistema operativo. Il caso più eclatante, rimbalzato sui media a livello globale, riguarda il blocco dei Mac Pro utilizzati ad Hollywood per il montaggio delle serie TV. Forse è stato questo macro evento ad aver tratto tutti in inganno ed ad aver fatto pensare che il problema risiedesse nel popolare software di video editing Avid Media Composer, inizialmente l'indiziato numero 1: effettivamente il problema sembrava riguardante soltanto macchine che avevano installato questo programma. In realtà, analisi successive e le segnalazioni, hanno dimostrato come il problema invece sia conseguenza di un aggiornamento del browser Google Chrome.

Sono stati i tecnici di Google stessi a confermare, dopo segnalazione di Avid, la presenza del bug: questo risiede nella nuova versione della routine di aggiornamento automatico del browser, chiamata Keystone, ed è in grado appunto di corrompere il file system rendendo impossibile l'avvio della macchina.
Il mancato avvio del sistema operativo si verifica sulle macchine che hanno disabilitata la funzionalità Software Integrity Protection (SIP): parliamo di una tecnologia Apple che garantisce la protezione dei file di sistema contro software dannosi. Alcuni programmi però, richiedono che tale funzionalità sia disabilitata per funzionare, in modo da lavorare più efficacemente con hardware esterni (tipo schede grafiche, schede audio ec...). Questo è proprio il caso di Avid Media Composer.

I sistemi riguardati dal bug
Da Google e Apple fanno sapere che questa problematica riguarda i sistemi macOS dal 10.9 al 10.14 Mojave sui quali è disabiltato il SIP.

La soluzione del problema
Google, che ha ovviamente sospeso tempestivamente la distribuzione di questo aggiornamento, ha pubblicato anche una nota per ripristinare il corretto avvio del sistema operativo macOS, avviando la modalità Recovery di Apple ed eseguendo una serie di comandi necessari al ripristino del link simbolico sulla cartella /var, rimosso erroneamente dall'installer di Chrome.

Queste le indicazioni pubblicate da Google:

- Premere immediatamente (⌘) + R all’avvio per avviare la modalità di ripristino, quindi digitare i seguenti comandi nel Terminale:

chroot /Volumes/Macintosh\ HD # "Macintosh HD" is the default
rm -rf /Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle
mv var var_back # var may not exist, but this is fine
ln -sh private/var var
chflags -h restricted /var
chflags -h hidden /var
xattr -sw com.apple.rootless "" /var

Questa operazione dovrebbe rimuovere l'update corrotto di Google Software Update e ripristinare le parti danneggiate del file system.

1[1]

ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni

Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all'inizio di questo mese.

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l'allerta e invitando tutti a prestare la massima attenzione.

I canali di diffusione
FTCODE è un ransomware che bersaglia principalmente, ad ora, aziende e professionisti: viene diffuso infatti tramite canale di posta certificata PEC. Le segnalazioni che ci sono arrivate infatti legano le infezioni alla ricezione di una email PEC contenente un allegato in formato .ZIP. La tipologia più diffusa, ma potrebbero esserci altre versioni in circolazione delle quali ancora non abbiamo notizia, reca oggetti del tipo "Tribunale di Milano.Avviso XXXXXXX" dove XXXXXXX sta per una serie casuale di numeri. L'allegato presenta nomi del tipo "AvvisoXXXXXXX.zip" dove XXXXXXX sta per una serie casuale di numeri diversi da quelli contenuti nell'oggetto email.

Il contenuto dell'email, scritto in italiano, fa riferimento a presunte fatture in formato PDF che dovrebbero essere appunto contenute nell'archivio .ZIP allegato. Il corpo email è simile a:

"Buongiorno Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.

Il download dell'archivio e l'apertura dell'allegato infetto determinano l'avvio della routine di criptazione: i file compromessi da questo ransomware sono riconoscibili dall'estensione di criptazione aggiunta al termine della routine: .FTCODE appunto.

La nota di riscatto è in formato .HTML e si presenta così:

Vi si trovano alcune informazioni utili come:
il codice che identifica la vittima (Your personal ID)
la chiave pubblica di criptazione, associata al Personal ID (Your personal key)
il collegamento al portale collegato al ransomware (.onion, per accedervi occorre l'utilizzo del browser TOR). Nell'immagine sotto il portale, come si presenta attualmente.

Le richieste di riscatto ad ora pervenute ammontano a 0.2 - 0.3 Bitcoin, ovvero tra i 1.500 e i 2200 euro all'attuale tasso di cambio. Stiamo ricercando una soluzione per riportare in chiaro il file criptati da questo ransomware.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy