01[1]

Coronavirus – la crisi preme l’acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working

Coronavirus – la crisi preme l’acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working

martedì 25 febbraio 2020

In seguito ai casi di contagio da Coronavirus registrati in Lombardia e Veneto il Consiglio dei Ministri ha varato un decreto legge emergenziale volto a contenere il rischio contagio ed evitare la comparsa di focolai a macchia di leopardo. Tra le numerose previsioni emergenziali, uno permette lo smart working anche senza l’accordo lavoratore azienda, come invece previsto dalla normativa vigente in tempi non emergenziali, la legge 81 del 2017. Il tutto nella volontà di arginare l’impatto che questa crisi potrebbe avere sulla nostra economia.

Il decreto fissa dei limiti temporali per lo smart working senza accordo, ovvero il 7 Marzo, e dei limiti geografici, ovvero nelle aree con attività lavorative sospese o limitate. Il Decreto Legge in oggetto è il n.6 del 23 Febbraio 2020, consultabile qui.

Una misura simile era già stata varata, in due diverse occasioni, sempre con limiti temporali: fu in occasione del tragico crollo del Ponte Morandi a Genova e dell’alluvione nel torinese.

In concreto
Il decreto legge stabilisce che, dove possibile, i lavoratori possono ricorrere allo smart working nelle regioni di Lombardia e Veneto senza accordo preventivo, contrariamente alla normativa vigente in termini di lavoro agile. La legge non prevede necessariamente un accordo sindacale, ma almeno un accordo tra il singolo lavoratore e l’azienda, più una comunicazione da inviare da parte del datore di lavoro al portale istituzionale del Ministero del Lavoro.

E gli studenti?
Gli studenti lombardi e veneti invece staranno a casa, ma alcuni avranno la possibilità di continuare a seguire i corsi online. Alcuni istituti infatti stanno organizzando lezioni in e-leraning: un esempio è l’isitituto Tosi di Busto Arsizio che da stamattina ha ripreso le lezioni via internet, tramite software di videoconferenza, con classico appello per le presenze e le assenze tutto via web. E’ stato infatti implementato nella scuola un innovativo sistema Mooc, acronimo che sta per Massive open online course. A Saronno il paritario Prealpi farà regolarmente lezione usando piattaforme come Skype e altre. Molte altre scuole invece, che già avevano previsto l’uso dei tablet nell’attività scolastica, hanno già ripreso le lezioni.

La Cina fa scuola: oltre 200 milioni di studenti accedono all’e-learning
In Cina il nuovo semestre scolastico sarebbe dovuto cominciare il 17 Febbraio, poco dopo la fine dei festeggiamenti del capodanno cinese. Il governo ha ovviamente rinviato l’inizio senza una data specifica, ma, in contemporanea ha inaugurato una piattaforma di e-learning su cloud nazionale così che gli insegnanti e gli studenti delle scuole primarie siano in condizione di riprendere a fare lezione. Insomma, anche a scuole chiuse 200 milioni di studenti stanno regolarmente procedendo nel loro percorso formativo.

Gli studenti delle elementari invece seguiranno le lezioni sui canali della TV di stato, mentre gli studenti delle scuole medie e superiori hanno a disposizione una piattaforma online con oltre 170 lezioni di 12 materie differenti: gli insegnanti faranno la loro aggiornando la piattaforma con nuovi materiali. L’utilizzo delle chat, a complemento di questa “rivoluzione digitale obbligata” del sistema scolastico cinese è aumentata dismisura: gli insegnanti danno indicazioni e inviano credenziali di accesso alle piattaforme via Wechat, la più popolare app di messaggistica cinese. L’università di Pechino invece offre 260 su 560 corsi di laurea via live streaming. Per questo il Governo cinese ha mobilitato i tre maggiori operatori di telecomunicazioni cinesi – ChinaMobile, China Unicom e China telecom, insieme a società tecnologiche come Huawei, Baidu e Alibaba, garantendo 90terabyte di larghezza di banda e settemila server.

Insomma in Italia e nel mondo il coronavirus ha posto alle economie e ai sistemi di istruzione grandi sfide che è possibile vincere grazie al ricorso alla tecnologia. Nella crisi di questi giorni la ferrea volontà di garantire lo svolgimento più normale possibile delle vite lavorative e scolastiche delle persone sta premendo l’acceleratore verso la digitalizzazione del nostro paese.

00[1]

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

mercoledì 26 febbraio 2020

Alcuni cyber attaccanti sembrano aver individuato un bug nell’integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E’ da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay.

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro.

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso.

Un ricercatore avanza una ipotesi
Se da PayPal e Google per adesso si brancola nel buio, il ricercatore di sicurezza Markus Fenske ha avanzato una ipotesi precisa: Fenske suggerisce che il problema potrebbe collegarsi ad una vulnerabilità che lo stesso ricercatore aveva già segnalato a PayPal un anno fa e che risiede nel meccanismo utilizzato per integrare PayPal in Google Pay. PayPal non ha mai ritenuto prioritario il fix di questo bug, che quindi potrebbe ancora essere presente.

Fenske spiega che il collegamento tra i due sistemi avviene tramite una carta di credito virtuale, dotata di numero, scadenza e CVV, che viene aggiunta a quelle collegate a Google Pay. Se gli attaccanti hanno messo le mani sui dati relativi a queste carte di credito virtuali, così generate, diviene per loro possibile eseguire transazioni. Se le carte virtuali fossero limitate alle transazioni POS, questa metodologia di furto non sarebbe possibile, ma PayPal consente che queste carte virtuali siano usate anche per transazioni online.
Per Fenske sono tre le vie tramite le quali gli attaccanti potrebbero avere avuto accesso ai dati delle carte virtuali: intercettando i dettagli della carta dal telefono / schermo di un utente, utilizzando un malware apposito che estrae questi dati dai dispositivi infetti oppure indovinandoli con un attacco di brute-forcing. E se la terza ipotesi è assai poco credibile, le altre due sono invece quantomeno verosimili.

Dal conto suo PayPal ha già iniziato i rimborsi delle transazioni fraudolente e, qualche ora fa, ha fatto sapere di aver risolto il problema, senza però dare alcuna spiegazione tecnica su come gli attaccanti siano riusciti ad eseguire queste transazioni.

01[1]

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

lunedì 24 febbraio 2020

Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt’ora in corso.

Secondo l’avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili.

Il Governo se la prende con le imprese
Le indagini del MELANI e del CERT svizzero riguardo i casi accertati di attacco hanno dato un responso chiaro: le aziende colpite non hanno implementato le pratiche di sicurezza raccomandate dal governo e ignorato i precedenti, a onor del vero numerosi, avvisi riguardo a questa tipologia di attacchi. Sono molti i governi infatti che, sulla scia della vera e propria cyberguerra che i ransomware hanno dichiarato, negli Stati Uniti, alle aziende e a svariati enti pubblici, stanno diramando alert riguardo la problematica e diffondendo chiare linee guida per la sicurezza dei sistemi aziendali, ponendolo come un problema di sicurezza nazionale.

L’organismo di sicurezza informatica del governo svizzero inoltre ha espresso una linea molto chiara su un punto, quello del pagamento del riscatto: è apertamente sconsigliato il pagamento del riscatto sia perchè non c’è alcuna garanzia di avere indietro i dati usando gli strumenti di decriptazione forniti dagli attaccanti, ma anche per evitare di fare “pubblicità” alle campagne di hacking. Inoltre cosa vieterebbe loro di lasciare aperta una backdoor su sistemi già colpiti, riattivabile magari a distanza di tempo? La nota del MELANI cita anche due malware che girano “in coppia” coi ransomware (anche in Italia) ovvero Emotet e TrickBot, minacce che restano attive sul sistema anche una volta riportati in chiaro i file criptati.

“E’ importantissimo che le aziende interessate da questi attacchi contattino immediatamente la polizia cantonale – spiega la nota del MELANI – sporgendo denuncia e concordando la procedura per affrontare l’incidente. Finchè vi sono aziende che pagano il riscatto, gli attaccanti non smetteranno mai di ricattare le aziende”. E cita il caso di alcune aziende ripetutamente colpite da attacchi ransomware in pochi mesi: è difficile immaginarsi il perchè di tanto accanimento su aziende che si dimostrano così facilmente disponibili al pagamento del riscatto?

Alcune note tecniche
La nota in oggetto è interessante anche perchè il Governo Svizzero vi ha inserito una serie di raccomandazioni tecniche legate direttamente ai risultati delle indagini svolte nelle aziende colpite. Eccone alcune:
protezione virus e sistemi di allerta: le aziende colpite in questa ondata di attacchi non hanno notato, o non hanno preso sul serio, i messaggi di alert delle soluzioni antivirus installate su server e reti;
protezione accessi remoti: i sistemi RDP di accesso da remoto hanno spesso password molto deboli, ingressi impostati su valori predefiniti (ad esempio la porta standard 3389) e senza alcuna restrizione di accesso (ad esempio reti VPN o filtri IP);
disinteresse verso le segnalazioni delle autorità: sono stati ignorati gli alert e i suggerimenti delle autorità e degli internet service provider, o quantomeno sono stati presi poco seriamente;
sistemi di backup: la quasi totalità delle aziende colpite disponeva di un sistema di backup online non disponibile offline. Sono quindi finiti criptati anche i backup, oppure rimossi completamente da funzionalità specifiche anti ripristino dei ransomware stessi;
patch e gestione vulnerabilità: alcune delle aziende colpite non prevedevano un meccanismo continuativo di patching e upgrading dei software in uso sui sistemi aziendali. E’ stata perfino riscontrata la presenza di software obsoleti o non più supportati;
nessuna segmentazione delle reti: le reti colpite non erano segmentate, ovvero non divise in più parti separate tra loro. L’infezione quindi non poteva essere contenuta e si è diffusa lungo tutta la rete;
eccesso di permissioni per gli utenti: si è riscontrata la pratica, assai diffusa, di concedere eccessive permissioni agli utenti, con assegnazione di permissioni che andrebbero riservati solo agli amministratori di rete.

Un flusso continuo di alert anti ransomware
Come detto poco fa, c’è ormai un flusso quasi continuo di alert, diramati dagli enti responsabili della cybersicurezza governativi e da soggetti privati, che cerca di sensibilizzare le aziende di tutte le dimensioni ad organizzarsi per minimizzare i rischi.

Solo l’FBI ne ha diramati due in pochi mesi: entrambi rivolti alle aziende, questi denunciano i rischi conseguenti alle campagne di diffusione dei ransomware LockerGoga, MegaCortex e Ryuk. Mentre un alert specifico è stato diramato sempre dall’FBI riguardo il tembilissimo ransomware Maze e la pratica dei suoi autori di rubare i dati prima della criptazione per poi pubblicarne piccole quantità al fine di aumentare la pressione ricattatoria sulle aziende vittime.

Di meno di 5 giorni fa è un alert specifico del Cybersecurity and Infrastructure Security Agency (CISA) che, in seguito ad un attacco ransomware che ha colpito un gasdotto mettendolo “fuori gioco” per due giorni, lancia il massimo allarme ransomware verso i sistemi di gestione di infrastrutture critiche.

01[1]

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni

Nel corso di un convegno organizzato dall’Università LUISS di Roma la Polizia Postale ha lanciato l’allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come “una emergenza assoluta”.

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell’utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come “tappa intermedia” per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale.

Nunzia Ciardi ha indicato un altro settore, oltre quello finanziario, particolarmente sottoposto ad attacchi: parliamo del settore sanitario. Tra il 2017 e il 2019 i furti di dati sanitari sono aumentati del 99%: i dati sanitari sono infatti tra i dati più remunerativi che un cyber attaccante può mettere in vendita nel dark web. E qui, ribadisce Ciardi, i cyber attaccanti hanno terreno libero: il passaggio dal cartaceo al digitale, con sostituzione praticamente integrale delle tecnologie utilizzate, è quasi ultimato ma di pari passo non si è sviluppata una precisa cultura della protezione del dato da parte degli operatori sanitari. Su questa gravissima problematica rimandiamo a due contributi dettagliati:
400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa
Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata

Il dato positivo sollevato dall’intervento della Ciardi riguarda il CNAIPIC: l’Italia, già nel lontano 2005 aveva deciso di dotarsi di un apparato adibito al contrasto di questo tipo di pericoli. In anticipo rispetto a molti stati veniva quindi fondato il Centro Nazionale delle Infrastrutture Critiche: già operante nel 2005 come unità specializzata in seno alla Polizia Postale, il CNAIPIC è stato formalmente istituito nel 2008.

Nonostante questo i problemi restano molteplici e richiederebbero un cambio completo di cultura e una assunzione di responsabilità da parte di enti e aziende rispetto alla gestione dei dati di terzi: proteggere la privacy e tutelarla vuol dire proteggere un luogo di lavoro, la casa, lo spazio virtuale. E quello lo possiamo fare mettendo delle tende o smettendo di usare social, applicazioni o altri sistemi in rete che non prescindono dalle tracciature e da una costante motorizzazione dell’utente. Questo è compito di ciascuno di noi.

Viceversa il GDPR è una norma rivolta verso gli altri, e impone a loro un ben preciso dovere: coloro che ricevono legalmente dati personali altrui, o ne sono nella disponibilità per l’adempimento di obblighi, devono proteggerli, non farseli rubare, non divulgarli, non metterli a disposizione di chi ne fa commercio o un uso per il quale non è stato dato il legittimo consenso.

01[1]

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!

Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l’impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la “storica” famiglia di ransomware Xorist, individuata per la prima volta nel 2016.

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell’infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione: l’estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato “HOW TO DECRYPT FILES.txt”, l’email di contatto pronis@cock.li.

Qualche informazione tecnica
Come detto, non è ancora chiaro come venga distribuito questo ransomware: le prime analisi mostrano forti similitudini con alcuni ransomware della famiglia Xorist. Quella di Xorist è una famiglia che conta centinaia di diverse estensioni di criptazione e versioni, poiché il malware può essere personalizzato tramite una builder dai potenziali distributori: questione non da poco, dato che rende estremamente difficile per le vittime capire con quale campione di ransomware si abbia a che fare.

La build infatti permette di scegliere l’estensione di criptazione, l’algoritmo di criptazione e perfino selezionare note di riscatto di default o personalizzabili. Gli algoritmi di criptazione più usati da questa famiglia sono TEA (Tiny Encryption Algorithm) e XOR.

I malware di questa famiglia non criptano tutti i tipi di file, ma una serie specifica di tipologie di file, tra i quali troviamo:
.3gp, .7z, .aes, .ahk, .au3, .avi, .bas, .bat, .blob, .bmp, .btc, .c, .c ++, .cc, .cmd, .cpp, .cs .csproj, .cxx, .db, .doc, .docx, .eml, .flac, .flv, .gif, .gzip, .hta, .htm, .html, .jpeg, .jpg, .js,. jscript, .key, .lnk, .manifest, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .nfo, .part, .pdf, .pfx, .php, .php7, .png, .ppt, .pptx, .rar, .rsa, .swf, .tar, .torrent, .txt, .vb, .vba, .vbe, .vbproj, .vbs, .vcxproj, .wallet .wav, .wma, .wmv, .xls, .xlsx, .zip ecc..

Sono tutte estensioni di documento MS Office, di OpenOffice, PDF, file di testo, database, estensioni per immagini, video e audio ecc…

La nota di riscatto
E’ denominata nella quasi totalità dei casi che abbiamo ricevuto come “HOW TO DECRYPT.txt” e vengono richiesti quantità variabili di Bitcoin. Nell’esempio sono richiesti 0.8 Bitcoin, ovvero 7160 euro. La nota di riscatto è un utile indicatore per riconoscere la famiglia di infezione: quasi tutte e segnalazioni inviate infatti utilizzano evidentemente la nota di default, modificando solo l’email di contatto, l’ammontare del riscatto e l’indirizzo Bitcoin.

01[1]

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam

E’ stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un’altra, pericolosa, famiglia di ransomware chiamata Crysis. E’ inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l’installazione tramite RDP hackerati.

La campagna è stata individuata da più fonti e, dall’analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif.

Le email di spam

Le email di spam sono camuffate da importanti comunicazioni recanti una falsa fattura. L’oggetto email è del tipo “Fattura n. 637 del 14.01.20”. Colpisce immediatamente la correttezza dell’italiano, anche se sono assenti alcuni segni di punteggiatura. Il testo è “credibile” come comunicazione ufficiale, rendendo molto complesso alle vittime comprendere che si è di fronte ad un falso.

Nell’email si trova un link che dovrebbe puntare sulla presunta fattura: il click sul collegamento porta invece l’utente su una pagina di OneDrive che contiene un file chiamato “Nuovo documento2.zip”. L’utente non deve neppure cliccare sul file: questo viene automaticamente scaricato sulla macchina della vittima non appena visita la pagina.

Il file .zip contiene due file: un file VBS chiamato “Nuovo documento 2.vbs” e un file immagine chiamato “yuy7z.jpg” che mostra i record DNS per il dominio tuconcordancia.com.

Se l’utente esegue il file VBS, verranno installati due differenti payload malware. I ricercatori di TGSoft hanno verificato, da questo punto di vista, un comportamento interessante: all’inizio della giornata lo script VB installava Ursniff, trojan specializzato nel furto dei dati, mentre stamattina il file VBS installava il ransomware Dharma.

La versione di Dharma che viene installata utilizza .ROGER come estensione post criptazione. La nota di riscatto reca come contatto l’indirizzo email sjen6293@gmail.com.

Sotto un esempio di file criptati:

Attualmente non c’è possibilità di riportare in chiaro i file criptati da questo ransomware, che, tra le altre cose, si preoccupa di impedire eventuali meccanismi di ripristino del sistema. L’unica soluzione,ad ora, per riavere indietro i propri file è quella di avere a disposizione un backup degli stessi in sede separata dalla macchina infetta. Dharma infatti cripta anche i dati contenuti nei dispositivi collegati alla macchina.

01[1]

Vendita dati a terze parti: Avast annuncia la chiusura della controllata Jumpshot

Qualche giorno abbiamo dato notizia di un’inchiesta congiunta tra le redazioni di Motherboard e PCMag che ha rivelato come Avast rivendesse a terze parti i dati (dettagliatissimi e abbondanti) raccolti durante la navigazione dagli utenti che utilizzano i suoi servizi. Un episodio che ha acceso, di nuovo, le polemiche contro il famoso vendor di software antivirus, che già qualche mese fa aveva subito la rimozione di alcune sue estensioni dai portali degli add on sia di Mozilla che di Chrome proprio per l’eccesso di dati raccolti, ben oltre quando necessario per il funzionamento delle estensioni stesse e in aperta violazione delle policy privacy dei due popolari browser. Le estensioni sono state reinserite nei portali di Chrome e Mozilla quando Avast ha inserito un chiaro avviso per gli utenti, nel quale è richiesto l’esplicito consenso da parte dell’utente riguardo al tracciamento delle attività via browser.

Per approfondire >>
Le estensioni browser di AVAST e AVG spiano gli utenti su Firefox e Chrome
Report rivela che Avast vende i dati degli utenti a terze parti

Travolta di nuovo dalle polemiche e dopo una riduzione del 9% del valore delle azioni, Avast ha annunciato quindi la chiusura della controllata Jumpshot, tramite la quale erano rivenduti tutti i dati raccolti da suoi software di sicurezza: parliamo di dati molto molto dettagliati (per quanto anonimizzati) di oltre 400 milioni di utenti, che finivano “reimpacchettati” per divenire parte integrante dei servizi offerti sul mercato da Jumpshot. La notizia della chiusura di Jumshot viene direttamente da una lettera aperta del CEO di Avast Ondrej Vlcek, che si scusa anche con gli utenti

“Proteggere le persone è la massima priorità per Avast e deve essere, questa, la costante in tutto quel che riguarda il nostro business e i nostri prodotti. Niente di diverso è accettabile. Per queste ragioni ho deciso, insieme al board aziendale, di terminare la raccolta di dati e di liquidare le operazioni di Jumpshot con effetto immediato”, si legge nella lettera pubblicata sul Blog di Avast.
Ora non resta che vedere se la decisione del board di Avast verrà o meno apprezzata dai suoi utenti o se si registreranno flessioni nel numero di installazioni dei prodotti del noto vendor.

01+28129[1]

PMI: nel 2020 diventano fondamentali la sicurezza dei dispositivi e la formazione dei dipendenti

Il 2020 si preannuncia come un anno difficile sotto il profilo della sicurezza informatica: già si prevede un aumento dei ransomware e dei malware in generale per mirare ai dispositivi mobile. Da questo punto di vista non bisogna farsi ingannare dalle notizie che girano sulla stampa, dove si parla quasi esclusivamente di attacchi eclatanti contro grandi aziende. In realtà sono proprio le piccole e medie imprese quelle più esposte a questa tipologia di attacchi e la situazione si farà più urgente dato il dilagare dell’uso dei dispositivi mobile nelle aziende.

Una recente ricerca del Ponemon Insitute rende chiaro il problema, rivelando come il 66% delle PMI a livello globale ha subito un qualche tipo di attacco informatico nell’ultimo anno.

Formazione e messa in sicurezza dei dispositivi mobile dei dipendenti diventano quindi punti centrali nella programmazione della gestione delle risorse aziendali (i dati confermano infatti che, molto spesso, è il fattore umano – un dipendente che fa il clic sbagliato sulla email compromessa, a facilitare gli attacchi informatici). E’ la diffusione dello “smart working” che porta nuovi rischi alle PMI.

Sono sempre di più infatti, le PMI che scelgono di consentire ai propri dipendenti di lavorare da casa o in spazi di co-working, con dispositivi propri. Una ricerca IDC conferma la tendenza: il 60% delle PMI nel mondo adotterà nel corso di questo anno sistemi di supporto per professionisti in smart working. Di pari passo si cercherà di garantire l’uso di dispositivi BYOD (Bring Your Own Device – intendendo l’uso, da parte dei dipendenti, di dispositivi personali anche in ambito lavorativo), aprendo la strada alla necessità di garantire l’accesso remoto e sicuro ai sistemi aziendali. I vantaggi sono innegabili, ma parliamo di strumenti che sono anche “armi a doppio taglio”, che espongono a maggiori rischi sia i dati che le infrastrutture aziendali.

Ecco quali sono i fattori che rendono importante formazione del dipendente e protezione del dispositivo mobile: saper riconoscere un tentativo di phishing o un allegato compromesso trasmesso via email rende il dipendente la prima linea di difesa aziendale. Se a questa consapevolezza aggiungiamo dispositivi mobile solidamente protetti, la sicurezza informatica aziendale può registrare un miglioramento significativo. Qualche esempio: notebook dotati di funzionalità riconoscimento biometrico o di memorizzazione di credenziali su hardware rendono più difficili il furto di credenziali e, di conseguenza, l’accesso ai sistemi. Software di gestione da remoto dei dispositivi mobile consentono all’admin di gestire da remoto la sicurezza dei dispositivi e dei dati aziendali in esso presenti.

Ecco perchè qui a s-mart abbiamo deciso di creare la Divisione Mobile, garantendo strumenti di protezione dei dispositivi mobile aziendali e BYOD.

01+28129[1]

Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10

Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l’utente visualizzi alcun alert UAC.

L’UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l’utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l’esecuzione. E’ evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell’attacco in corso.

Esistono però dei bypass UAC: questi sono presenti nei programmi legittimi di Microsoft e sono usati dal sistema operativo stesso per avviare altri programmi. Windows 10 cioè esegue senza mostrare alcun prompt UAC, quei programmi che sono ritenuti legittimi perchè firmati con certificato digitale Microsoft e salvati in location ritenute sicure (come C:\Windows\System32).

Gli attaccanti cercano quindi di far si che il sistema esegua i malware tramite programmi legittimi così da poter sfruttare il bypass UAC. Questa è l’altra faccia della medaglia: i bypass UAC sono utili, ma anche rischiosi allo stesso tempo. Non sono considerati, però, una priorità da Microsoft, quindi potrebbe volerci del tempo prima che vengano individuati e risolti.

TrickBot implementa due bypass UAC
Qualche tempo fa il ricercatore Vitali Kremez ha individuato una nuova versione del trojan che usa il bypass Fodhelper. Una volta eseguita sul target, questa versione verifica immediatamente se il sistema operativo sia Windows 7 o Windows 10. Se il sistema risulta Windows 7 TrickBot utilizza il bypass CMSTPLUA, se invece il risultato indica Windows 10 verrà adesso usato il bypass UAC Fodhelper.

Fodhelper.exe è la finestra che compare quando si digita “Gestione funzioni opzionali” su “App e Funzionalità” nella schermata di Impostazioni di Windows. Tale tecnica consente al malware “l’auto elevazione” dei privilegi, dato che Microsoft concede automaticamente i privilegi di amministrazione a quei file ritenuti affidabili. Foldhelper è ovviamente uno di questi “binari sicuri”. La versione di TrickBot individuata da Kremez utilizza proprio Fodhelper.exe per eseguirsi bypassando l’UAC tramite modifica del registro.

Questa settimana invece è stata individuata una versione di TrickBot che usa un bypass UAC differente: utilizza il programma Wsreset.exe. Questo è un programma legittimo di Windows usato per il reset della cache di Windows Store. Una volta eseguito Wsreset.exe leggerà un comando dal valore di default di
HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command key
e lo eseguirà.

Quando il comando è in esecuzione non viene mostrato alcun prompt UAC e l’utente non avrà idea del fatto che quel programma è stato eseguito. E’ così che TrickBot sfrutta questo bypass UAC per lanciarsi coi privilegi di amministrazione. Sotto i comandi di registro aggiunti da TrickBot.

A questo punto TrickBot viene eseguito in background e avvia la raccolta di credenziali, cronologia dei browser, cookie ecc…

TrickBot in breve: che cosa è e cenni sull’evoluzione
TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.

Luglio 2017:
nell’Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l’exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.

Gennaio 2018:
TrickBot viene usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l’esfiltrazione delle informazioni bancarie dalla macchina target.

Gennaio 2019:
TrickBot inizia a fare coppia fissa coi ransomware. Vengono individuate diverse campagne di diffusione del ransomware Ryuk, nelle quali l’accesso ai sistemi è garantito dalle funzionalità di backdoor di TrickBot.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy