01[1]

Il malware TrickBot ora infetta anche i sistemi Linux

venerdì 31 luglio 2020
Il malware TrickBot ora infetta anche i sistemi Linux

Abbiamo parlato spesso di TrickBot che, ad oggi, è tra i malware più diffusi al mondo: in breve è definibile come una piattaforma malware polivalente per Windows che utilizza differenti moduli per poter eseguire diverse attività dannose tra le quali il furto di informazioni e password, l’infiltrazione di domini Windows e la distribuzione di altri malware. TrickBot viene affittata da cyber attaccanti che la utilizzano per infiltrare reti e raccogliere da queste tutti quei dati che hanno un qualche valore. Tra le altre cose, questa piattaforma è usata per distribuire i ransomware Conti e Ryuk.

Alla fine del 2019, sia SentinelOne che NTT pubblicarono report che svelavano l’esistenza di un nuovo framework di TrickBot chiamato Anchor, che utilizza DNS per comunicare coi propri server di comando e controllo.

Fonte: https://labs.sentinelone.com

Chiamato Anchor_DNS, il malware è pensato per colpire solo target di un certo livello, sopratutto quelli che possono fornire informazioni finanziarie di valore. I suoi gestori lo utilizzano come backdoor. Questo è TrickBot Anchor in breve.

La backdoor di TrickBot Anchor sbarca su Linux
Storicamente Anchor è stato un malware per Windows. Alcuni ricercatori però hanno individuato molto recentemente una nuova variante che dimostra come Anchor_DNS sia stato dotato di una nuova versione della backdoor chiamata “Anchor_Linux”. Nella foto sotto è visibile la stringa individuata in un eseguibile Linux x64.

Fonte: https://labs.sentinelone.com

Il ricercatore Vitali Kremez ha quindi analizzato questo campione scoprendo che, quando installato, Anchor_Linuz si configurerà per eseguirsi ogni minuto usando il comando crontab, ottenendo così la persistenza sul sistema

Fonte: Vitali Kremez

Altro dettaglio: oltre ad avere funzionalità di backdoor per infettare dispositivi Linux, il malware contiene anche l’eseguibile TrickBot per Windows. Per infettare i dispositivi Windows Anchor_Linux copia il malware sull’host Windows usando l’SMB, poi si configura come un servizio di Windows, quindi si esegue sull’host e stabilisce la connessione col server C&C per ricevere comandi da eseguire.

Insomma, questa versione per Linux consente agli attaccanti di colpire ambienti non Windows con una backdoor che però garantisce loro la possibilità di estendersi anche ai dispositivi Windows sulla stessa rete, qualora ve ne fossero.

“Il malware agisce come una backdoor persistente sugli ambienti UNIX ed è usato come perno per sfruttare Windows: un vettore di attacco iniziale non ortodosso diverso e fuori dal classico attacco di phishing. Consente agli attaccanti di infettare dispositivi (come i router) e server UNIX ed espandersi poi a tutta la rete, colpendo anche gli host Windows” ha detto Kremez.

Il problema è realissimo, stante il crescente numero di dispositivi IoT che utilizzano il sistema operativo Linux: dispositivi come router, VPN, NAS e molti altri sono tutti potenziali target di Anchor_Linux.

TrickBot Enterprise
Nell’infografica tutte le attività di TrickBot.

Fonte: https://labs.sentinelone.com

01[1]

Ransomware: Canon si aggiunge alle vittime eccellenti

giovedì 6 agosto 2020
Ransomware: Canon si aggiunge alle vittime eccellenti

Canon ha subito un attacco ransomware che ha avuto un ampio impatto su numerosi servizi, compreso il servizio email di Canon, il Microsoft Team, il sito statunitense dell’azienda e alcune applicazioni interne. Fonti interne riferiscono che il dipartimento IT dell’azienda ha inviato una comunicazione a tutti i dipendenti avente come oggetto “Message from IT Service Center”: comunicazione nella quale si spiega come Canon stia sperimentando “problemi di sistema molto estesi che stanno interessando più applicazioni, Teams, Email e altri sistemi che potrebbero non essere disponibili al momento”.

In down, come detto, è finito anche il sito web statunitense usa.canon.com che, al momento della scrittura di questo testo, si presenta così

Tra i domini in down non c’è solo il sito web, eccone un breve elenco:
www.canonusa.com
www.canonbroadcast.com
b2cweb.usa.canon.com
imageland.net
consumer.usa.canon.com
bjc-8200.com
bjc3000.com
downloadlibrary.usa.canon.com
www.cusa.canon.com
www.canondv.com
Ancora Maze: rubati 10 TB di dati da Canon
La redazione di Bleeping Computer è riuscita ad entrare in possesso e rendere pubblica la nota di riscatto, che rende immediatamente riconoscibile il vettore di attacco, ovvero il ransomware Maze.

Gli attori che controllano Maze hanno spiegato che l’attacco è stato condotto ieri mattina, Mercoledì 5 Agosto, alle ore 6.00 quando hanno rubato “10 terabyte di dati e database privati”. Hanno invece specificato di non avere alcuna responsabilità per il down di di image.canon: il sito è finito offline il 30 Luglio e sono trascorsi 6 giorni prima che tornasse online. Molti ricercatori di sicurezza hanno quindi collegato questo down all’attacco di Maze, ma pare invece essere una problematica del tutto diversa che non origina dalla presenza degli attaccanti della rete e neppure dalla criptazione.

I commenti finiscono qui, il gruppo di cyber attaccanti ha deciso di non rilasciare ulteriori dichiarazioni. Resta sconosciuto il numero dei dispositivi criptati, ma ad ora non sono state neppure pubblicate prove del furto di una tale mole di dati: conoscendo il modus operandi di Maze, ad ora potrebbero essere in corso eventuali trattative oppure i cyber attaccanti si stanno preparando a iniziare una serie di data leak, tramite il loro apposito sito per la pubblicazione di dati rubati, per aumentare le pressioni sull’azienda.

Canon si aggiunge così all’elenco delle vittime eccellenti di Maze, che già ha colpito Xerox, LG, la Città di Pensacola, VT San Antonio Aereospace.

01[1]

I costi di un data breach: ogni dato personale rubato in Italia costa 125 euro

mercoledì 5 agosto 2020
I costi di un data breach: ogni dato personale rubato in Italia costa 125 euro

I numeri del report di IBM e Ponemon Institute, basati sull’analisi di più di 500 data breach accaduti nell’ultimo anno, fanno paura, davvero. 21 dei 500 data breach analizzati sono accaduti in Italia e questi numeri sono il frutto della media dei dati risultanti dalle analisi.

In italia:
ci vogliono 229 giorni per identificare un data breach;
80 i giorni necessari, invece, per contenerlo;
ogni singolo dato perso viene a costare in media 125 euro;
3 milioni di euro circa è la spesa media per mettere di nuovo in sicurezza i sistemi, pagare spese legali, ripristinare la produttività e affrontare i danni d’immagine.
I settori più colpiti in Italia sono quello finanziario, seguito a ruota dal farmaceutico, quindi terziario e servizi. Le cause principali sono cyber attacchi nel 52% dei casi, errore umano nel 29% dei casi e falle e vulnerabilità dei sistemi per un altro 19%.

Nel mondo invece, il tempo medio necessario per individuare una violazione dei dati (non l’attacco che l’ha originata) è di 207 giorni. Il costo medio complessivo di un data breach è stato pari a 2,90 milioni di euro, in diminuzione quasi del 5% rispetto allo scorso anno: uno tra i pochi dati positivi del report.

Altro dato sconcertante, che però rende chiaro il clima da cyber war nel quale viviamo, è che ben il 13% delle violazioni di dati occorse nel mondo in un anno sono state eseguite da cyber attaccanti state-sponsored, cioè da gruppi e entità collegate e in accordo con Stati nazione: il costo medio di queste violazioni è di 4,43 milioni di dollari ad incidente, un danno medio ben più alto di quello prodotto da attacchi perpetrati per mere finalità economiche da criminali informatici.

Infine due dati che danno indicazioni piuttosto utili per i responsabili dei team IT e, in generale, per i decision maker aziendali: il 40% circa dei cyber attacchi è stato possibile a causa della compromissione di credenziali deboli e di errate configurazioni dei server cloud.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy