1[1]

Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

mercoledì 29 luglio 2020
Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

La Cybersecurity and Infrastructure Security Agency(CISA) statunitense e il National Cyber Security Centre (NCSC) del Regno Unito hanno diramato appena due giorni fa un alert specifico riguardante QSnatch, un malware specializzato in attacchi contro i dispositivi NAS QNAP. QSnatch è un malware individuato nel 2014 e che ha visto due ampie campagne di diffusione dal 2014 al 2017 e dal 2018 al 2019. Nonostante l’inattività momentanea del malware, le due agenzie di sicurezza hanno deciso di lanciare gli alert e invitare urgentemente tutti i clienti QNAP ad aggiornare i propri dispositivi NAS e ridurre il più possibile il rischio di futuri attacchi.

Il malware in breve
Prima di passare ai numeri, che effettivamente rendono esplicito il pericolo, è utile una breve ricapitolazione delle funzionalità e caratteristiche di questo malware. QNAP ha informato per la prima volta i propri clienti riguardo ad una serie di attacchi in corso contro i dispositivi NAS nel Novembre 2019, quando un ricercatore del National Cyber Security Centre finlandese aveva individuato centinaia di NAS QNAP infetti: per ben 4 anni il malware è rimasto fondamentalmente sconosciuto e sotto traccia.

Le funzionalità principali di QSnatch sono il furto di credenziali e l’iniezione di codice dannoso recuperato dal server di comando e controllo degli attaccanti. E’ comunque un malware modulare, quindi può ampliare le proprie funzioni secondo le esigenze degli attaccanti. Tra le altre cose, lascia una backdoor in ogni dispositivo infetto. Alcune funzionalità sono:

installazione di una pagina di login admin fake per il phishing delle credenziali;
furto di credenziali;
installazione di una backdoor SSH che garantisce agli attaccanti di eseguire codice dannoso sul dispositivo compromesso;
utilizzo di una web shell per garantire l’accesso remoto agli attaccanti;
utilizzo di moduli di esfiltrazione di una lista predefinita di file (tra i quali log e configurazioni di sistema).

Una volta infettato un NAS QNAP, il malware blocca anche gli update del software, si garantisce la persistenza modificando gli script init e cronjob e impedisce l’esecuzione del Malware Remover: le fonti di update vengono semplicemente sovrascritte, mentre i domini e gli URL di update sono reindirizzati alle versioni in locale.

Resta ancora sconosciuto il vettore di attacco, a parte una specifica campagna di distribuzione che ha visto QSnatch iniettato direttamente nel firmware del dispositivo. Le due agenzie fanno sapere di aver analizzato alcuni campioni di QSnatch che patchano intenzionalmente una vulnerabilità di esecuzione di codice da remoto Samba CVE-2017-7494: questo potrebbe essere un tentativo di impedire ad altri di prendere il controllo del dispositivo infettato con QSnatch, ma potrebbe anche avere a che fare col vettore di infezione usato in precedenti campagne di diffusione.

Diamo i numeri
Partiamo da un assunto categorico: “tutti i dispositivi NAS QNAP sono potenzialmente vulnerabili al malware QSnatc se non correttamente aggiornati all’ultimo fix di sicurezza”, spiegano entrambe le agenzie. “Aziende e privati che usano versioni vulnerabili devono eseguire un ripristino completo alle impostazioni di fabbrica prima di completare l’upgrade del firmware, così da assicurarsi che il dispositivo non sia lasciato vulnerabile”. Il consiglio è anche quello di isolare il dispositivo da connessioni esterne se l’uso del NAS è solo per storage interno.

Le due agenzie hanno individuato circa 62.000 dispositivi infetti fino a metà Giugno 2020: di questi oltre il 54% si trovano in Europa, 15% in Nord America e il 31% nel resto del mondo.

Fonte: CISA & NCSC

I NAS QNAP sotto assedio
QSnatch non è affatto il primo malware pensato appositamente per colpire i NAS QNAP: nell’Ottobre del 2019 l’azienda rilasciò un alert di sicurezza riguardo al ransomware Muhstik che colpiva quei dispositivi che eseguivano phpMyAdmin con password deboli per server SQL.

Nell’Agosto 2019 da QNAP viene pubblicato un altro alert: debutta sulle scene il ransomware eCh0raix (QNAPCrypt), decriptato e risolto nella prima versione e di nuovo in diffusione lo scorso mese con una nuova versione attualmente ancora non risolvibile.

01[1]

Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un’udienza infuocata

giovedì 30 luglio 2020
Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un’udienza infuocata

Jeff Bezos, Sundar Pichai, Mark Zuckerberg, Tim Cook: c’erano tutti ieri a Capital Hill, sede del Congresso americano. Si conta solo un grande assente, tra i CEO delle big dell’Hi Tech, ovvero Jack Dorsey di Twitter. Le testimonianze dei 4 big sono durate oltre 5 ore e mezza, chiamati a difendere le proprie aziende (Amazon, Google Alphabet, Facebook e Apple) che, insieme, valgono circa 5mila miliardi di dollari l’anno.

In dettaglio i quattro sono stati chiamati a testimoniare da una sotto commissione della magistratura del Congresso che si occupa di Antitrust, riguardo la posizione dominante e eventuali comportamenti non conformi alle regole dell’antitrust nei rispettivi settori. L’inchiesta in realtà è iniziata nel Giugno 2019, ma è la prima volta che tutti e 4 i big sono stati chiamati a testimoniare e rispondere a domande dirette su quanto emerso dagli oltre 1,3 milioni di documenti raccolti dai commissari stessi.

L’accusa è diretta e pesante: “Queste aziende sono ormai troppo potenti e la pandemia ha peggiorato le cose: bisogna fare qualcosa” contro questi “titani, imperatori dell’economia online”, si legge nell’atto di accusa della Commissione Antitrust. Un processo alle Big Tech che, ormai, si è fatto mediatico e molto atteso, anche sulla spinta delle dichiarazioni di molti politici, pur di schieramenti diametralmente opposti: dalla democratica Ocasio Cortez, che da mesi cerca di torchiare sopratutto Zuckerber, a Trump che invece colpisce tutti indistintamente, dichiarando poco prima dell’inizio dell’audizione che “se il Congresso non riesce a portare correttezza e onestà nelle Big Tech, cosa che avrebbe dovuto fare anni fa, lo farò io con dei decreti”.
Le domande poste, che hanno spesso assunto anche la forma di vere e proprie accuse, sono state tutte volte a cercare di ricostruire i modelli di business delle quattro corporation, andando a toccare temi molto spinosi che hanno raccolto solo risposte vaghe o comunque non di merito da parte dei quattro CEO.

Ad esempio le domande rivolte a Bezos si sono concentrate principalmente su un punto: il comportamento predatorio che Amazon terrebbe nei confronti di venditori terzi, quelli cioè che vendono i propri prodotti tramite Amazon. La Commissione ha chiesto a Bezos di rendere conto del trattamento imposto ai partner, poichè le testimonianze raccolte parlano di come Amazon imponga e costringa i terzi a sottostare a qualsiasi regola, dato che nei fatti “è l’unico giocatore in campo”. C’è chi ha apertamente parlato di “bullismo, paranoia e panico” per descrivere il rapporto tra Amazon e terzi. Altra accusa, proveniente dai dipendenti stessi di Amazon, è che Bezos sfrutti i dati dei venditori potenzialmente rivali per favorire la vendita dei propri prodotti.

“Non posso rispondere sì o no. Ciò che posso dirle è che abbiamo una policy che vieta l’uso di dati dei venditori per agevolare gli affari dei nostri marchi privati, ma non posso garantire che questa regola non sia mai stata violata. Il fatto che Amazon produca e venda prodotti in competizione diretta coi venditori non è intrinsecamente un conflitto di interessi” la risposta di Bezos. Oltre a ciò Bezos ha anche spiegato che “Amazon non è grande come sembra: ha solo il 36% del mercato delle vendite online, quindi esistono alternative”.

Contro Apple invece le accuse si sono concentrate sul monopolio costituito dall’App Store, in quando unico store dove sono disponibili app per i dispositivi Apple. L’accusa ha anche chiesto spiegazioni rispetto alla rimozione di alcune app di Parental Control, fatto avvenuto in contemporanea col il lancio della stessa funzionalità ma prodotta direttamente da Apple. In generale, Tim Cook è stato il meno bersagliato dei quattro.

Pichai invece ha subito domande molto aggressive, su tematiche estremamente di rilievo come la chiusura della collaborazione col Pentagono di un progetto osteggiato dai dipendenti di Google, ma sopratutto sul funzionamento del motore di ricerca (dal quale passa il 90% delle ricerche online nel mondo). Lo sfruttamento di posizione dominante di Google nell’ambito delle ricerche online porta la società a fornire servizi guidando gli utenti entro “un giardino murato”, ha dichiarato il presidente della Commissione Antitrust: Pichai si è difeso spiegando che Google ha concorrenti settoriali (ad esempio Amazon per quanto riguarda le ricerche su acquisti online) e che comunque la maggior parte dei risultati non contiene annunci o ads ed è incentrato sulle parole che l’utente inserisce. Pichai ha anche negato che i risultati delle ricerche siano manipolati “manualmente” per favorire alcuni risultati piuttosto che altri.

Il grande nemico del Congresso sembra comunque Zuckerberg, bersagliato di domande e messo duramente sotto torchio. Il Congresso ha accusato Facebook di essere particolarmente aggressiva verso i possibili rivali, spiegando come Zuckerberg sia arrivato a minacciare personalmente Kevin Systrom, uno dei fondatori di Instagram, per “convincerlo” a cedere il social: acquisizione che poi è avvenuta nel 2012. Quando non direttamente acquistabili, ha spiegato un membro della Commissione, Facebook pare ricorrere direttamente alla copia e implementazione delle funzionalità dei social avversari entro la propria piattaforma. Da questo punto di vista alcuni membri del congresso hanno, forse retoricamente, chiesto all’aula come sia possibile che nuovi social possano prosperare se Facebook anticipa costantemente le mosse avversarie o acquisisce direttamente i possibili futuri nemici. “Facebook deve affrontare una forte competizione internazionale, che include piattaforme come TikTok, Twitter e Snapchat, ma anche Apple, Amazon e Alphabet sono allo stesso modo nostri competitor” si è difeso Zuckerberg, spiegando come questo smonti immediatamente l’ipotesi di posizione dominante.

L’udienza non aveva finalità decisionali, ma solo istruttorie ma, come ha esplicitamente dichiarato davide Cicilline, presidente della sottocommissione Antitrust: “Questa udienza mi ha chiarito un fatto: queste società così come sono oggi hanno il potere di monopolio. Alcuni devono essere spezzettate, tutti devono essere adeguatamente regolati e ritenuti responsabili “.

Il dibattito negli USA sulle Big Tech non si esaurisce comunque sulla questione della predominanza di mercato: sopratutto sulle aziende che gestiscono social si fa sempre più pressante la necessità di un quadro normativo che impedisca alle corporation di farsi censori e di decidere in maniera arbitraria i limiti del diritto di espressione.

01+28129[1]

Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

lunedì 27 luglio 2020
Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

E’ uno di quegli attacchi ransomware di peso, che fa notizia sulla stampa perchè la vittima è eccellente: parliamo della Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable.

L’attacco è avvenuto Giovedì scorso ed ha obbligato l’azienda a chiudere i servizi connessi e quelli di call center in tutte le sue sedi nel mondo: ora è confermato che il down dei sistemi è stato conseguenza di un attacco del ransomware WastedLocker. Interessati Garmin.com e Garmin Connect. Nonostante Garmin non li abbia citati nell’avviso di down, sono divenuti inutilizzabili anche servizi flyGarmin, utilizzati dai piloti di aereovelivoli: tra questi il sito web flyGarmin e l’app mobile, i servizi Connext (meteo e report di posizione) e l’App Garmin Pilot. Anche i servizi Garmin Explorer e la tecnologia satellitare inReach sono finite in down ed è stata sospesa la produzione di tutti i dispositivi.

E’ stata la sede indiana di Garmin ha pubblicare il primo tweet dopo l’attacco, spiegando però che alcuni server sarebbero stati messi offline per una manutenzione avvenuta nove ore prima che avrebbe limitato le prestazioni di Garmin Express, Garmin Connect mobile e il sito web. Quattro ore dopo, gli account ufficiali di Garmin su Twitter e Facebook condividevano lo stesso messaggio, aggiungendo però che anche i call center erano in down a causa della problematica intercorsa.

La conferma: è il ransomware WastedLocker
La conferma della tipologia di ransomwareimpiegata nell’attacco è avvenuta tramite un impiegato di Garmin, che, alla redazione di Bleeping Computer, ha spiegato che sui sistemi è stato ritrovato un campione di WastedLocker. Il dipartimento IT di Garmin ha tentato di arrestare da remoto tutti i computer collegati alla rete aziendale durante la critpazione, compresi i computer connessi in VPN e usati dai dipendenti in smart working. L’operazione non ha avuto successo, quindi è partito l’ordine ai dipendenti di spegnimento di qualsiasi computer sulla rete alla quale avevano accesso. Nel frattempo il team IT ha forzato l’arresto di tutti i dispositivi ospitati in uno dei data center principali dell’azienda, per impedire che almeno quelli finissero criptati. E’ stato proprio questo arresto che ha causato il down globale di Garmin Connect e degli altri servizi connessi. Sabato i sistemi erano completamente bloccati.

Nella foto sotto è possibile vedere alcuni file criptati: l’estensione aggiunta al nome file è .garminwasted. E’ anche stata creata una nota di riscatto per ogni file criptato.

La versione di WastedLocker usata è in corso di studio, ma quello che emerge chiaramente è che è una versione “rivista e corretta” di Wasted pensata appositamente per attaccare la rete aziendale Garmin. L’estensione (.garminwasted) e il nome della nota di riscatto (garminwasted_info) rendono chiara la cosa. Sotto la nota di riscatto:

WastedLocker in breve
WastedLocker è stato sviluppato da un gruppo di cyber attaccanti chiamato Evil Corp, attivo fin dal 2007: debuttarono col malware bancario Dridex, poi sperimentarono attacchi ransomware con Locky fino a sviluppare un ransomware tutto loro, conosciuto come BitPaymer. Il Dipartimento del Tesoro degli Stati Uniti ha sanzionato duramente nel 2019 il gruppo Evil Corp a causa dei danni arrecati all’economia statunitense (si parla di oltre 100 milioni di danni):per questo la Garmin si trova in un bell’impiccio, non potendo pagare il riscatto agli attaccanti a meno di violare la legge statunitense. E’stato proprio dall’anno della sanzione, il 2019, che il gruppo ha cambiato strategia preferendo specializzarsi in attacchi ransomware mirati contro le aziende: ecco che viene messo in diffusione WastedLocker.

Quello a Garmin è solo l’ultimo di una serie di attacchi con la quale il gruppo sta bersagliando aziende statunitensi: nell’ultimo mese WastedLocker ha colpito circa 12 altre aziende americane, incluse alcune contenute nella lista delle 500 aziende di Fortune. Non è chiaro come riescano a penetrare nelle reti, tuttavia si sa che il gruppo è riuscito a compromettere i dispositivi dei dipendenti di oltre 30 importanti aziende sfruttando dei falsi alert di update software visualizzati tramite il framework dannoso JavaScript SocGholish.

Il lento e parziale ripristino della situazione
Dopo 3 giorni consecutivi di disservizi, la situazione è iniziata lentamente a migliorare. Garmin ha aperto una bacheca online tramite la quale sta informando gli utenti sull’andamento dei lavori di ripristino: ieri pomeriggio erano stati ripristinati però soltanto servizi secondari e alcuni dei servizi principali, ma in modalità limitata.

Quel che resta da sistemare è la trasparenza dell’azienda: Garmin infatti non ha assolutamente fornito una spiegazione ufficiale all’accaduto e quanto si sa è per adesso trapelato da fonti interne, ma non ufficiali. Probabilmente una comunicazione più completa da parte dell’azienda arriverà quando anche l’ultimo servizio sarà ripristinato.

01+28129[1]

Scuola: tutti i rischi connessi all’accesso ad Internet e come affrontarli

Scuola: tutti i rischi connessi all’accesso ad Internet e come affrontarli

martedì 21 luglio 2020

Una scuola iper connessa gode di grandissimi vantaggi in termini di funzionalità e servizi, ma, ovviamente, si espone a rischi informatici. Proviamo ad entrare, passaggio per passaggio, nella giusta ottica, percorrendo quello che dovrebbe essere il percorso che porta a scegliere come organizzare la sicurezza informatica.

I rischi informatici sono migliaia, ma sono riassumibili in due tipologie: esterni e interni, a seconda della provenienza della minaccia. Da questo punto di vista è utile ricordare che molto spesso i peggiori e più dannosi attacchi provengono dall’interno e non dall’esterno, compiuti ad opera di soggetti che conoscono la struttura della rete e dei servizi scolastici perchè hanno o hanno avuto accesso ai sistemi di elaborazione per le funzioni che hanno ricoperto.

Rischi esterni:
– Accessi non autorizzati: se la rete interna non è correttamente protetta, un cyber attaccante esterno potrebbe accedervi in maniera non autorizzata, esponendo sia gli endpoint collegati che i dati in essi contenuti. I dati potrebbero essere manomessi o sottratti.

– Malware: la navigazione e le email sono i due principali vettori di diffusione di malware. I malware sono di molteplici tipologie e producono effetti diversi: si va dalla perdita dei dati al blocco degli endpoint, al sovraccarico della rete e alla compromissione dei dispositivi ad essa connessi.

– Email: moltissime minacce informatiche sono veicolate via email, sopratutto email di spam. I due principali attacchi veicolati via email sono quelli di phishing e quelli per la distribuzione di malware. Le email di phishing hanno lo scopo di rubare i dati, inducendo il destinatario a “consegnarli” spontaneamente tramite messaggi truffaldini costruiti secondo i principi dell’ingegneria sociale. Questo tipo di attacco, che, paradossalmente, necessita della collaborazione inconsapevole della vittima, non mira solo a dati sensibili: spesso vengono anche richieste credenziali di accesso a vari account. Se un dipendente scolastico cede le proprie credenziali di accesso all’infrastruttura o ai sistemi scolastici, un attaccante vi avrà libero accesso. La distribuzione di malware via email invece avviene in due diverse modalità:
tramite allegato dannoso, scaricando e aprendo il quale il malware si diffonde sul sistema. Lo schema classico è l’email contenente un archivio (formati .zip o .rar), contenete a sua volta un documento Office che richiede l’abilitazione di una macro: se la macro viene abilitata, il danno è fatto;
tramite link compromesso: in questo caso l’email contiene un link che, se cliccato, può avviare il download del malware oppure eseguire script dannosi sul browser che terminano con l’infezione del sistema e, molto spesso, anche della rete.

– Attacchi DDoS: più soggetti coordinati tra loro (o un solo soggetto dotato di una infrastruttura di attacco sufficiente) si collegano simultaneamente al server che ospita un determinato servizio. Ne consegue un sovraccarico con conseguente interruzione del servizio, che diviene non più disponibile agli utenti autorizzati.

Rischi interni:
– Data breach: dati riservati o sensibili ai quali un soggetto ha accesso per mansioni lavorative sono trasmessi via Internet a soggetti non autorizzati ad accedere a quei dati.
– Navigazione su siti con contenuti non adatti o comunque non pertinenti l’attività scolastica o lavorativa: in questo caso è necessario introdurre un sistema di filtraggio della navigazione, evitando che dalla rete interna si possano raggiungere tali siti.
– Traffico non consentito: lasciare la navigazione libera comporta rischi anche in termini di qualità delle attività istituzionali. La libera navigazione, lo scaricare e scambiare immagini o video e altre attività finiscono per sovraccaricare la rete. In questo caso sono utili policy che restringano la navigazione e strumenti che sappiamo riequilibrare il carico di rete secondo le priorità.
– Manomissione, danneggiamento, backdoor: qualora personale deputato all’amministrazione o comunque con accesso ai dati lasci la scuola, è importante revocarne tutte le autorizzazioni e provvedere a chiudere i vecchi account generandone di nuovi, con permissioni ad hoc, per i sostituti. Altrimenti eventuali ex dipendenti malintenzionati potrebbero operare danneggiando le attività lavorative, i pc e i dati.

Organizzare la sicurezza:
Prima di addentrarsi nell’analisi dettagliata degli strumenti tecnici necessari, è necessario “farsi il quadro complessivo” e poi muoversi di conseguenza. Anche tenendo di conto che l’errore umano è una delle principali cause di attacco informatico e che quindi, oltre alla tecnologia e ad una buona organizzazione, la formazione del personale amministrativo, docente ma anche degli studenti affinchè sappiano evitare i rischi informatici, è una componente essenziale della cyber sicurezza scolastica. I passi da compiere potrebbero essere, a grandi linee, questi:
definire strategie generali (policy)
formalizzare procedure e regole
verificare il rispetto delle policy e regole (auditing)
gestire i problemi di sicurezza, approntando un piano di segnalazione-allarme-risposta (incident management e disaster recovery)

Contromisure: andiamo sul tecnico…
Policy, Incident Management, Disaster Recovery e formazione del personale non bastano: il piano di cyber sicurezza va completato con adeguate misure tecniche. Vediamo i fondamentali:

– Firewall: è un sistema di protezione che sta al confine tra rete locale interna e Internet: tutto il traffico in entrata e in uscita passa da questo strumento. E’ possibile quindi esaminare il traffico applicandovi le policy di sicurezza approntate dalla scuola secondo necessità. Si può ad esempio vietare tutto il traffico eccetto quello esplicitamente previsto. Impedisce anche accessi non autorizzati al sistema interno. I firewall producono anche log sul traffico di rete che possono essere consultati per successive indagini.

– Antivirus gateway: esamina il traffico generato dalla navigazione su Internet e dalla posta elettronica in cerca di malware. Si posiziona entro la LAN e opera confrontando il traffico con un archivio contenente le firme dei virus può diffusi. Se individua un malware invia un alert all’admin di rete e, se necessario, anche all’utente, poi rimuove l’elemento pericoloso.

– Antivirus endpoint: l’antivirus, da installare su ogni dispositivo connesso al web, blocca attacchi informatici, malware, trojan ecc.. Esistono soluzioni centralizzate: su ogni pc viene installato il client, la parte software server viene installata su un hardware dedicato. Questa soluzione garantisce la gestione della sicurezza di ogni singolo endpoint o di tutti assieme da una “posizione” centrale.

– Url filtering: solitamente previsto dalle soluzioni antivirus e di protezione della rete, l’url filtering permette di filtrare le pagine web richieste dall’utente bloccando i contenuti dei siti ritenuti non idonei. La scuola può impostare una black list di navigazione, per indirizzi dei siti o per categorie (chat, adulti, social ecc…).

Il Piano Scuola: finalmente l’Italia investe sul digitale
Il Piano Scuola è il programma avviato dal Comitato per la diffusione della Banda Ultralarga composto da Presidenza del Consiglio dei Ministri, Ministero dello Sviluppo Economico, Infratel e AgID – Agenzia per l’Italia Digitale. L’obiettivo è quello di collegare 32.213 plessi scolastici con banda ultra larga (fino a 1 Gbps con 100 Mbps garantiti). Per il programma sono stati stanziati finanziamenti per 400.430.897 euro per coprire i costi strutturali per la banda ultralarga e per coprire i costi di connettività per 5 anni.

0dff92c47d157bdb61e1a1cddd4be2ec_a2528225291-1-640-c-90[1]

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot

mercoledì 22 luglio 2020

I ricercatori attivamente impegnati nel tracciamento della botnet Emotet hanno lanciato, a distanza di pochi giorni, due alert riguardanti due nuove campagne di distribuzione malware che segnano il ritorno all’attività di questa botnet dopo un periodo di inattività durato diversi mesi. Il primo alert riguarda la distribuzione del malware TrickBot, il secondo del malware Qakbot.

1. TrickBot diffuso via spam contro macchine Windows
La prima campagna è stata individuata il 17 Luglio, dopo oltre 5 mesi di inattività della botnet Emotet. La campagna si basa sulle solite email di spam spacciate per fatture, informazioni di di consegna, opportunità di lavoro o fatture: ovviamente è tutto falso, la classica tecnica di ingegneria sociale per convincere le vittime ad aprire l’allegato dannoso.

Se l’utente vittima abilita la macro contenuta nei documenti, che sono documenti Word nella maggior parte dei casi, si avvia il download e l’installazione del trojan Emotet. A questo punto la backdoor della quale è dotato Emotet viene sfruttata da TrickBot per infettare la stessa macchina.

TrickBot in breve
TrickBot è un malware avanzato per Windows che mira principalmenre alle reti aziendali. E’ un malware modulare: i suoi gestori decidono in base al tipo di macchina infetta quali moduli scaricare. Ogni modulo è responsabile di una diversa attività dannosa: tra queste ci sono
tentativi di diffusione laterale lungo le reti (worm);
furto dei database Active Directory Services;
furto delle credenziali di login e dei cookie salvati nei browser;
furto delle chiavi OpenSSH;
furto delle credenziali Remote Desktop Protocol (RDP) e Virtual Network Computing (VNC);
furto delle credenziali bancarie

Infine, e forse tra tutte questa è l’attività più dannosa, terminate tutte le operazioni di compromissione dei dati di valore nella rete, TrickBot apre una reverse shell per gli attori del ransomware Ryuk e del ransomware Conti: tramite questa shell gli operatori dei ransomware hanno accesso alla rete, rubano i dati non criptati, quindi scaricano il ransomware e procedono alla criptazione di tutti i dati presenti nella rete aziendale.

2. Emotet diffonde massivamente QakBot
Le notifiche riguardanti la diffusione del trojan bancario QakBot sono di due giorni fa: i ricercatori di sicurezza hanno diramato un alert conseguente sopratutto all’elevatissimo volume di diffusione, ma anche al fatto che questa campagna mostra una novità. La novità è che la botnet Emotet ha (temporaneamente?) “divorziato” dal proprio partner di lunga data, Trickbot appunto, sostituito dal payload di QakBot.

I ricercatori spiegano che il payload di QakBot ha sostituito quello di Trickbot in tutti i vari epoch di cui si compone Emotet (per epoch si intendono i sottogruppi di Emotet, ovvero botnet collegate tra loro ma che sono eseguiti su infrastrutture diverse). Attualmente questi epoch sono 3, ciascuno col proprio server di comando e controllo, diverso metodo di distribuzione ma tutti armati dello stesso paylod, QakBot appunto.

QakBot in breve
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l’attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

01[1]

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni

lunedì 6 luglio 2020

E’ stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware.

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista.

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc…

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l’indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l’attaccante può mantenere il controllo completo sull’host infetto.

La distribuzione avviene sui siti torrent
Questo ransomware per adesso pare avere un solo canale di diffusione, ovvero i siti torrent. Viene diffuso “travestito” da popolari applicazioni per Mac come Little Snitch, Mixed in Key (dj virtuale), il programma di produzione musicale Ableton e altri tool.

Una versione infetta di Little Snitch. Fonte: bleepingcomputer.com

All’apparenza i file sembrano legittimi: una volta scaricati sembrano in formato .PKG e il codice pare firmato come qualsiasi legittimo installer. Una volta eseguito, però, viene svelato l’inganno: il vero formato dei falsi installer è DMG e le icone non sono quelle delle applicazioni legittime. Ma il danno ormai è fatto.

Come infetta i sistemi
Per prima cosa ottiene la persistenza sul sistema infetto cosi che si possa eseguire ogni qual volta l’utente fa login nel sistema. A questo punto lancia una copia configurata di se stesso e inizia la criptazione di tutto quanto trova nel sistema: ai file criptati viene aggiunto il marker BEBABEDD alla fine.

Fonte: bleepingcomputer.com

Una differenza coi ransomware per Windows è che ThiefQuest cripta file “a casaccio”: la maggior parte dei ransomware per Windows esclude alcuni file e cartelle dalla routine di criptazione per garantirsi che il sistema continui comunque a funzionare. In questo caso invece la criptazione random crea gravi problemi sul sistema compromesso.

La nota di riscatto si chiama ” READ_ME_NOW.txt”. Alla vittima viene richiesto di pagare 50 dollari in Bitcoin entro 72 ore per recuperare i file criptati. La cosa strana è che l’indirizzo del conto Bitcoin usato è statico e non cambia da vittima a vittima: inoltre non ci sono email di contatto.

La nota di riscatto. Fonte: bleepingcomputer.com

Ma è proprio un ransomware?
ThiefQuest presenta alcune stranezze: non sembra essere un ransomware molto credibile, sia per il meccanismo un pò caotico di criptazione ma anche e sopratutto per l’uso di un indirizzo Bitcoin statico, per la bassissima richiesta di riscatto e per l’assenza di una qualunque possibilità di contattare gli attaccanti. Alcuni ricercatori, tra i quali Lawarance Abrams, sono convinti che il ransomware sia semplicemente una copertura per celare il vero scopo di questo malware.

Una volta eseguito su un sistema Mac questo malware esegue una shell che scarica dipendenze Python: vi sono due sono script Python mascherati da file GIF. Del primo file, estremamente offuscato, i ricercatori non sono riusciti a individuare la funzione. L’altro file non è offuscato ed ha una funzione chiarissima: è uno script per l’esfiltrazione e il furto di tutti i dati nella cartella Users. Contiene un URL remoto al quale vengono inviati tutti i dati. Con una particolarità: questo malware non invia al server di comando e controllo alcun file le cui dimensioni superino gli 800kb. Una contraddizione in termini: tra i vari tipi di file ricercati per il furto (.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat), moltissimi sono generalmente di dimensioni maggiori di 800kb.

Nei fatti quindi ThiefQuest è un grande pericolo, perchè non è solo ransomware, è anche malware per il furto dati ma ha anche moduli la cui funzione non è ancora neppure chiara. I dati rubati, magari sensibili, potrebbero essere usati a scopi illegali come il furto di identità, la costruzione di dizionari e raccolte di password, per rubare criptovalute o certificati o chiavi di sicurezza private.

Chi dovesse subire un’infezione da parte di questo ransomware deve ritenere compromesso il sistema e tutti i file contenuti, ma anche gli account di banking online, i wallet di criptovaluta, i social e tutto ciò che richiede credenziali per l’accesso.

Aggiornamento del 9 Giugno 2020
L’algoritmo di criptazione del ransomware è stato scardinato. Il ransomware è risolvibile gratuitamente. Tutte le informazioni disponibili qui (in inglese). Questo aggiornamento è finalizzato all’utilità che può avere per chi ha subito questa infezione: non abbiamo verificato l’effettiva funzionalità del tool, ma riteniamo affidabile la fonte. Non ci assumiamo alcuna responsabilità in caso di malfunzionamento o recupero parziale dei file.

01[1]

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid

mercoledì 8 luglio 2020

Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing finalizzati al furto dei dati sfruttando la paura della pandemia.

L’elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell’azienda (spesso tramite furto d’identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti.

La tipologia di attacco più diffusa tramite questi domini prevedeva l’uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l’accesso ad app dannose controllate dagli attaccanti.

“Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo” ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate.

Tra i domini messi offline, usati per l’host di web app dannose, troviamo officeinvetorys[.]com, officehnoc[.]com, officesuited[.]com, officemtr[.]com, officesuitesoft[.]com e mailitdaemon[.]com

Fonte: Microsoft

Nella foto sopra un esempio di queste app dannose che sfruttavano l’OAuth, abbreviazione di Open Authorization, un protocollo di rete standard e aperto per l’autorizzazione API sicura.

I primi giorni di Aprile Microsoft aveva dichiarato che il volume effettivo di attacchi non era aumentato dall’inizio della pandemia: ciò che era cambiato è che le stesse infrastrutture usate per lanciare precedenti campagne di attacco erano in uso per campagne di attacco rimodellate per sfruttare le paure che ruotano attorno al Covid19. A ribadire che non è che, improvvisamente, gli attaccanti hanno avuto a disposizione più risorse che nel passato: hanno semplicemente modificato gli attacchi per sfruttare un’onda facilmente cavalcabile con qualche trucchetto di ingegneria sociale.

Solo ad Aprile furono circa 60.000 gli attacchi individuati da Microsoft, che comportarono milioni di email mirate con messaggi afferenti al Covid. Migliaia e migliaia di campagne di phihing settimanali: “in un solo giorno furono individuati 18.000 URL e indirizzi IP correlati ad attacchi a tema Covid19” racconta Rob Lefferts, al tempo Vice Presidente per la sicurezza di Microsoft 365.

I domini messi offline per proteggere i clienti
Microsoft ha fatto sapere che alcuni dei domini usati per queste campagne a tema Covid erano in uso ad attori sponsorizzati da stati nazione, nell’ambito di quella cyberwar che, talvolta a bassa intensità talvolta ad alta, sta sconvolgendo i rapporti tra Stati da qualche anno.

Microsoft ha quindi deciso di muoversi tempestivamente, dato che improvvisa e repentina è stata la “conversione” dei cyber attaccanti all’uso del Covid come copertura e mezzo per i propri attacchi. E’ stato uno di quei rari casi in cui una azienda “civile”, quindi non forze dell’ordine appositamente preposte, ha effettuato attacchi mirati contro infrastrutture gestite da cyber criminali al fine di proteggere utenti e clienti.

Nella stessa campagna di protezione dei clienti è rientrato anche il takedown dell’infrastruttura usata dalla botnet Necurs, che rimane a tutt’oggi la più grande infrastruttura di distribuzione di campagne di attacco, con 3.8 milioni di email di spam inviate ogni giorno.

01[1]

Italia nel mirino: ondata di attacchi di Phishing dell’Agenzia delle Entrate distribuisce il trojan bancario Ursnif

Italia nel mirino: ondata di attacchi di Phishing dell’Agenzia delle Entrate distribuisce il trojan bancario Ursnif

10 Luglio 2020

Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell’Agenzia delle Entrate.

La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio.

L’email utilizzata, visibile sotto, simula una comunicazione ufficiale dell’Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell’oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell’Ente.

Fonte: https://csirt.gov.it/

Lo schema di infezione è classico e scontato: l’email contiene un archivio .zip. Questo archivio contiene a sua volta un documento Microsoft Excel in formato XLS. Entro il documento .XLS c’è una macro VBA la cui attivazione avvia l’infezione. Abilitare la macro infatti comporta l’esecuzione di codice PowreShell finalizzato al download da domini remoti dei payload di Ursnif.

Qui sono disponibili gli indicatori di compromissione 7 Giugno
Qui sono disponibili gli indicatori di compromissione 30 Giugno

La campagna dell’8 Luglio
Ieri lo CSIRT ha diramato un nuovo alert riguardante un’altra campagna di phishing a tema Agenzia delle Entrate che veicola ancora il malware Ursnif. E’ molto simile ad una delle versioni della campagna precedentemente descritta: una falsa comunicazione del Direttore dell’Agenzia delle Entrate chiede riscontri sulla conformità di alcuni pagamenti. L’oggetto è “IL DIRETTORE DELL’AGENZIA DELLE ENTRATE XXXXXXXX”, con un numero identificativo finale.

Fonte: https://csirt.gov.it/

Anche in questo caso l’email contiene un file Excel che richiede l’abilitazione della macro VBA per la corretta visualizzazione. La macro, se abilitata, avvia l’esecuzione di codice PowerShell che porta al download del payload di Urnsif.
Qui sono disponibili gli indicatori di compromissione

Urnsif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).

FOTOxSITO

Intervento anelli tracheali

Il 10 giugno 2020 sono stato ricoverato d’urgenza all’Humanitas di Rozzano, le mia situazione respiratoria era compromessa per un tracheotomia prolungata dovuta al corona virus, tutti i tentativi precedenti in broncoscopia e cure di cortisone eseguite in altri ospedali con tutto l’impegno dei medici, non sono andati a buon fine, l’unica soluzione era un intervento alla trachea, rimuovendo i due anelli tracheali compromessi dalla stenosi.
L’intervento eseguito il giorno 11 è durato qualche ora, seguito da altri 5 gironi sempre nel reparto di terapia intensiva con il collo e testa fermi, dopo di che, qualche giorno in reparto normale, con esercizi per riprendere le funzionalità del collo. Il 19 giugno sono stato dimesso.
Ringrazio in modo particolare il dottor Umberto Cariboni (https://www.humanitas.it/medici/umberto-cariboni), capo sezione delle chirurgia toracica avanzata di Humanitas, che ha condotto l’intervento che mi ha permesso di tornare a respirare e mi ha seguito per tutta la mia degenza ospedaliera, mostrando professionalità e disponibilità ammirevoli.

01[1]

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa

giovedì 2 luglio 2020

Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l’infezione, nel caso di Geox invece l’azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore.

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall’altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze.

1. Maze vs Xerox Corporation
Gli operatori di Maze hanno aggiornato la lista delle proprie vittime, annunciando pubblicamente di aver completato la routine di criptazione dei sistemi della Zerox Corporation il 25 Giugno. L’azienda non ha ancora commentato il cyber attacco contro la propria rete, ma gli attaccanti hanno pubblicato screenshot che dimostrano incontrovertibilmente come l’attacco sia riuscito su almeno uno dei domini Xerox. Parliamo di un’azienda presente in 160 paesi, con un fatturato di 1.8 miliardi nel 1° Trimestre del 2020 e 27.000 dipendenti in giro per il mondo.

Senza commenti da parte dell’azienda, ci sono solo le informazioni pubblicate sul proprio sito di leak dagli attaccanti: oltre a pubblicare le prove della violazione e della criptazione dei sistemi, gli attori di Maze fanno sapere di aver rubato oltre 100 GB di file e di essere pronti a renderli pubblici se l’azienda non si impegna celermente ad aprire delle trattative per il pagamento del riscatto. “Dopo il pagamento i dati saranno rimossi dai nostri archivi e l’azienda riceverà il nostro decryptor, così potrà tornare in possesso dei propri file” spiegano gli attaccanti.

Tra gli screenshot pubblicati, uno mostra come siano stati compromessi i sistemi su eu.xerox.net, provando la compromissione della filiale europea di Xerox: non è dato sapere se siano stati colpiti anche altri domini.

Fonte: https://www.bleepingcomputer.com/

Un secondo screenshot, pubblicato pochi giorni dopo, mostra un desktop con il noto marchio bene in mostra e la nota di riscatto.

Fonte: https://www.bleepingcomputer.com/

2. Maze vs LG Electronics
Anche in questo caso non si hanno notizie da parte dell’azienda: nel sito di leak di Maze, gli attaccanti spiegano di aver sottratto informazioni molto importanti di proprietà dell’azienda, riguardanti grossi progetti che riguardano compagnie statunitensi. Tra i dati sottratti ci sarebbe del codice sorgente: gli attaccanti parlano di 40GB di codice sorgente in Python sottratto dalla LG Developments e destinato a importanti compagnie statunitensi. Non è dato sapere quanti dispositivi siano stati criptati: gli operatori di Maze hanno dichiarato che sono informazioni riservate che verranno fornite solo ai negoziatori scelti dall’azienda.

Il 24 Giugno escono ulteriori dati sul sito di leak, in dettaglio una lista di file da una repository di codice Python: probabilmente un segno che l’azienda non sia disposta a contrattare con gli attaccanti.

Fonte: https://www.bleepingcomputer.com/

Un altro screenshot mostra un archivio in formato .KDZ, che il formato per il codice ufficiale dei firmware di LG.

Fonte: https://www.bleepingcomputer.com/

Sicuramente quindi ci sono le prove dell’avvenuto accesso nel dominio lgepartner.com, registrato e gestito da LG Electronics. Bleeping Computer fa sapere che potrebbe essere stato compromesso anche il sistema di comunicazione email aziendale, dato che, inviate email per richiedere commenti sull’accaduto ai contatti indicati per la stampa e le comunicazioni aziendali, la redazione ha ricevuto messaggi di errore indicanti che l’utente destinatario non esiste.

In entrambi i casi non è conosciuta la modalità di accesso alle reti: considerando il modus operandi di Maze, è probabile che l’irruzione nella rete sia avvenuta tramite connessioni di desktop remote esposte o accedendo ad host di valore tramite account Domain Administrator compromessi.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy