01[1]

E’ finita, si chiude un’era: Adobe Flash Player va in pensione

venerdì 15 gennaio 2021
E’ finita, si chiude un’era: Adobe Flash Player va in pensione

E’ finita, davvero: dopo molti annunci e una lunga attesa, Adobe Flash Player è ufficialmente non più funzionante. E’ arrivato quindi il momento, per chi ancora non l’avesse fatto, di disinstallare il programma una volta per tutte. E’ la fine di un’era.

La data di pensionamento era stata annunciata nel Luglio 2017, con un annuncio congiunto di Adobe, Apple, Microsoft, Google e Mozilla: la data ufficiale di end-of-life è stata il 31 Dicembre 2020. Quando Adobe ha pubblicato l’ultima versione di FlashPlayer a Dicembre, ha contestualmente annunciato che questa versione include un vero e proprio kill switch, un interruttore che dal 12 Gennaio 2021 impedisce a Flash Player di caricare o contenuti Flash.

Dal 13 Gennaio infatti, quando si prova ad aprire contenuti Flash, che tra l’altro sono ormai bloccati automaticamente di default dalla quasi totalità dei browser, Flash Player stesso mostra una icona che riconduce l’utente alla pagina di end of life di Adobe Flash Player.

Il kill switch rende del tutto inutile la presenza di Adobe Flash Player sui sistemi e, come tutti i software non utili, è bene procedere alla disinstallazione. Disinstallarlo non è soltanto questione di tenere più pulito possibile il sistema operativo per garantire le migliori performance della macchina, ma è anche una questione di sicurezza: già sappiamo che Flash Player è stato, nel corso degli anni, uno dei bersagli preferiti dei cyber attaccanti, ma bisogna anche tenere di conto che, come tutti i software che hanno raggiunto il fine vita, non riceverà patch e upgrade di sicurezza divenendo quindi presto, non solo obsoleto ma anche vulnerabile. Rimuoverlo dal sistema è una necessità in funzione della massima riduzione possibile della superficie attaccabile.

Ugualmente è consigliabile che gestori e web designer non utilizzino più e provvedano a rimuovere eventuali contenuti Flash ancora presenti sui propri siti web, non solo per motivi di sicurezza ma anche di praticità, visto che i contenuti e i plug in Flash non saranno più visibili.

Nato negli anni 90, creato da Micromedia e in seguito distribuito da Adobe, è stato uno dei protagonisti della storia del web, fornendo componenti e funzionalità che sono stati fondamentali per anni nella produzione e funzionamento di siti web e non solo. E’, però, sempre stati affetto da due problemi: una instabilità costante e un eccessivo consumo di autonomia. Negli ultimi 10 anni soprattutto è stato considerato un vero e proprio pericolo per gli utenti a causa appunto delle vulnerabilità presenti, finché, semplicemente divenuto esageratamente obsoleto e pericoloso, è stato lentamente rimpiazzato da tecnologie più all’avanguardia, efficaci, stabili e sicure come HTML5, WebAssembly ecc…

La decisione di Adobe quindi non poteva che essere quella di accompagnare alla pensione un software che ha dato moltissimo, ma che adesso non è più semplicemente al passo coi tempi. Certo, è ancora possibile utilizzare versioni precedenti di Flash Player per chi lo desiderasse, ma questo sarebbe estremamente controproducente dal punto di vista della sicurezza e questo i cyber attaccanti ben lo sanno: già stanno fioccando siti che consentono il download di vecchie versioni di Flash che in realtà contengono adware, malware per il furto credenziali e dati, criptominer ecc…

Insomma, come per Windows 7, al di là del valore che potremmo definire affettivo, il tempo di Flash Player è finito ed è bene lasciarlo andare.

01[1]

Nuovo malware per Android debutta in Italia spacciandosi per l’app Immuni

mercoledì 20 gennaio 2021
Nuovo malware per Android debutta in Italia spacciandosi per l’app Immuni

Il Cert-AGiD ha reso pubblica l’individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell’app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc.

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware.

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E’ cioè pensato per funzionare mostrando all’utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti.

Consente l’accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

installare TeamViewer per mantenere l’accesso remoto al dispositivo;
sottrarre la lista contatti;
registrare le battiture da tastiera;
esfiltrare le informazioni sul dispositivo e l’elenco delle app installate;
raccogliere i dati di geolocalizzazione;
rubare, inviare, inoltrare SMS;
intercettare i codici generati per l’autenticazione multi fattore;
bloccare lo schermo;
installare ed eseguire app;
fare chiamate;
aprire il browser e impostarlo in navigazione su pagine specifiche.
Ha capacità di propagazione su PC e sui dispositivi mobile: spesso si diffonde via SMS dannosi o app mobile fake.

Discende dal malware Cerberus, ma ha subito diverse implementazioni e miglioramenti rispetto al predecessore: gioco facile, poiché il codice sorgente di Cerberus era stato rilasciato gratuitamente su vari forum nel dark web e non solo. Chiunque può, tutt’ora, trovare quel codice, modificarlo e riutilizzarlo.

Questo è ciò che hanno fatto gli sviluppatori di Alien, divenuto poi anch’esso un malware as a service che prevede il noleggio del malware, la personalizzazione del payload e una serie di tool per comandare e controllare tutti i dispositivi infettati da esso.

La versione fake di Immuni
Le foto sotto mostrano la falsa app Immuni e, soprattutto, le permissioni richieste al momento dell’installazione:

Pochi giorni dopo la segnalazione da parte di MHT, sono stati individuati anche i domini che ospitavano l’app fake

Fonte: D3Lab

01[1]

Attacco ransomware costringe alla chiusura una farmacia di Varese: nessuna pietà, nemmeno per i più piccoli

martedì 12 gennaio 2021
Attacco ransomware costringe alla chiusura una farmacia di Varese: nessuna pietà, nemmeno per i più piccoli

Quando ci troviamo a sensibilizzare i nostri clienti sulla necessità di dotarsi di strumenti di cyber sicurezza adatti ai tempi e ai rischi, non incontriamo alcuna reticenza su antivirus e antimalware: è un dato assodato e riconosciuto che strumenti come questi sono essenziali. Molto più complesso diventa invece far cogliere la necessità di una protezione sulla rete e sui dati e non solo sul singolo endpoint. Anche far capire l’importanza di dotarsi di almeno due copie di backup (che è già un requisito minimale), possibilmente una offline in locale e una in cloud, non è affatto semplice. Argomentare che il più grosso rischio che ad ora possono correre le aziende è quello di subire un attacco ransomware (sicuramente non l’unico rischio, ma quello con le più alte potenzialità di fare danni) non sembra un tema convincente: l’informazione pare oltremodo viziata dai casi eclatanti, dai grandi nomi e brand che finiscono vittime di ricatti milionari. Insomma, per la maggior parte delle aziende e delle piccole attività, i ransomware sono un problema lontano, che deve preoccupare soltanto le grandi aziende o enti.

La vicenda accaduta nel varesotto ci è “utile” per concretizzare invece il problema ransomware e renderlo per quel che è, ovvero un rischio che può riguardare tutti e per il quale i costi di messa in sicurezza / mitigazione possono essere davvero risibili rispetto a quelli necessari ad affrontare le conseguenze di un attacco di questo tipo.

I fatti in breve sono questi: sabato 9 Gennaio, una farmacia in provincia di Varese si trova costretta a chiudere temporaneamente i battenti. Il motivo, spiegano ai giornali locali, è che la farmacia ha subito un attacco informatico: «con richiesta di riscatto. Il virus è entrato dal sistema attraverso una mail nonostante avessimo attivato tutte le protezioni del caso».

Insomma un classico: una email compromessa che viene aperta, per sbadataggine o scarsa consapevolezza, un virus che si insinua nel pc e da quello si diffonde in tutta la rete. Magari (andiamo a supporre, non vi sono indicazioni tecniche in questo senso), sul pc è in uso un antivirus gratuito o comunque non dato di sistemi di individuazione comportamentale in tempo reale e il gioco è fatto. Mettiamoci poi che il ransomware non si attiva subito, ma ore dopo, alle 2 di notte come è effettivamente successo in questo caso, così nessuno si accorge del fatto che in poche ore tutto il sistema informatico (compreso il database con i farmaci, quello delle ricette, lo scadenzario, l’intero sistema amministrativo) finisce irraggiungibile. La mattina dopo una richiesta di riscatto troneggia sul desktop e in ogni cartella, con un esplicito ricatto alle vittime: “se vuoi tornare in possesso dei tuoi file, pagaci il riscatto in Bitcoin”. I dipendenti della farmacia si sono infatti resi effettivamente conto dell’attacco il sabato mattina, quando, all’accensione dei computer, hanno visualizzato la richiesta di riscatto.

“Abbiamo spento immediatamente tutto e avvisato i tecnici: chiaramente non abbiamo mai avuto intenzione di pagare. Quindi abbiamo presentato denuncia ai carabinieri e poi alla polizia postale. Oggi tramite Pec, che sabato non potevamo utilizzare, abbiamo avvisato anche Ats” testimonia il titolare ai giornali.

La farmacia è riaperta ieri, tanto è durato il lavoro dei tecnici per rendere di nuovo accessibili i database e i file e per sincerarsi del fatto che gli attaccanti non fossero più presenti nella rete. Non è ancora riaperto, invece, un dispensario servito dalla stessa farmacia, sul quale sono ancora in corso accertamenti tecnici.

Il titolare ha anche fatto sapere di aver sporto denuncia alla Polizia Postale, ma si è scontrato con tutte le difficoltà che di solito rendono impossibile risalire agli attaccanti: l’attacco non è infatti stato mirato, ma faceva parte di una massiva campagna di phishing che avrà visto l’invio di centinaia di migliaia, sennò milioni di email, inoltre tutto il traffico è rimbalzato verso server esteri. Insomma la denuncia, ha dichiarato il titolare fuori dai denti, non serve ad avviare indagini utili ad acciuffare i cybercriminali: è più una forma di tutela e da eventuali rimostranze. A riprova che i ransomware non generano solo danni economici, ma determinano anche strascichi legali e sulla fiducia dei clienti.

Un’ultima riflessione: certe volte sono meglio i pesci piccoli
E’ difficile non contestualizzare la vicenda nel più ampio panorama dei cyber attacchi: non è un segreto, anzi lo abbiamo ripetuto molte volte, che il settore sanitario è ormai uno dei bersagli preferiti del cybercrime. Per un duplice motivo: nei sistemi delle organizzazioni agenti in questo settore si trovano non solo dati personali, non solo dati finanziari, ma anche i (potenzialmente) più preziosi dati sanitari. In un settore come questo, un cyber attaccante può fare lauti guadagni (rivendendo i dati, truffando assicurazioni sanitarie, impersonificando qualcun altro a fini di truffa, rubando proprietà intellettuale e brevetti), ma sa bene che scontrarsi direttamente con le Big Pharma può essere estremamente complesso.

In questo caso quindi è forse più facile concentrarsi su piccole aziende, studi medici, ospedali privati di piccole-medie dimensioni. E i dati confermano il punto: se in alcune parti del mondo il sistema sanitario e le grandi catene farmaceutiche si stanno dotando di sistemi di protezione simili o uguali a quelli enterprise, in Italia la maggior parte delle farmacie (anche di grandi catene) continua ad adottare protezioni adatte a piccoli uffici o addirittura alle reti domestiche, con una protezione perimetrale veramente minimale. Insomma, le farmacie sono facili e appetibili bersagli in una filiera molto complessa e non da oggi, ma maggiormente con l’arrivo della pandemia Covid19, sempre più sotto i riflettori del cybercrime.

01+28129[1]

ACosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

giovedì 14 gennaio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 08/01
Nel corso della scorsa settimana in CERT-AgID ha individuato e sottoposto ad analisi 17 diverse campagne dannose, di cui una generica diffusa anche in Italia e 16 rivolte specificatamente contro gli utenti italiani. 129 gli indicatori di compromissione (IoC) resi disponibili.

3 le famiglie di malware individuate in diffusione. Una è solo una conferma, ma due sono novità:

Emotet, vecchia conoscenza, è stato diffuso nel corso della settimana con 3 diverse campagne email contenenti allegati archivio in formato .ZIP. Le campagne sono state a tema “Pagamenti”, “Informazioni”, “Conferma”.
BitRAT è stato veicolato per la prima volta in Italia. La sua individuazione si deve al ricercatore ReecDeep , che lo ha individuato in diffusione tramite allegato in formato .docx contenuto in email a tema “Informazioni”.
sysC32cmd è un altro nuovo malware, diffuso con una campagna a tema “Cashback” recante file archivio in formato .ZIP.
BitRAT in breve

BitRAT è un cosiddetto RAT, remote access trojan. Svolge varie attività dannose, ma la principale resta quella di garantire all’attaccante la possibilità di accesso remoto alla macchina bersaglio. E’ un MaaS (malware as a service) disponibile in vendita nel dark web, cosa che diversifica moltissimo le modalità di distribuzione a seconda di chi lo acquista. Programmato in C++, è dotato di una serie di funzionalità come:
accesso a tastiera e mouse del dispositivo, azionabili dall’attaccante in tempo reale;
spyware con capacità di accesso a webcam e microfono;
esfiltrazione dei dati (talvolta usati a fine di ottenere un riscatto in criptovaluta);
downloader: ha la capacità di scaricare ulteriori file sulla macchina alla quale si connette in accesso remoto, determinando spesso infezioni a catena;
furto dati e credenziali dai browser (in particolare Google Chrome);
keylogging, per la registrazione di tutte le battiture sulla tastiera;
in alcune versioni ha capacità di criptominer per l’estrazione di criptovaluta Monero (XMR).
sysC32cmd in breve
sysC32cmd è anch’esso un RAT infostaler, che usa un server FTP su Altervista per la raccolta di informazioni. E’ scritto in VB6. All’avvio, come prima azione si rende persistente modificando il registro di sistema, quindi avvia immediatamente la raccolta di informazioni sulla macchina infetta, inviando tutto al server FTP. Scarica anche un modulo aggiuntivo con funzioni di keylogging.

Una descrizione esaustiva e completa è stata pubblicata dal CERT-AgiD ed è consultabile qui

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 08/01
Sono 9 i brand coinvolti nelle campagne di phishing analizzate. Il settore più colpito è, come sempre, quello bancario: Intesa San Paolo e Poste Italiane di nuovo sono i brand più sfruttati dai cybercriminali per truffare gli utenti.

Poste Italiane ha visto il proprio nome in ben 3 diverse campagne, 2 delle quali a tema SPID. Le 3 campagne sono comunque da vedersi correlate le une alle altre e mirate ad unico scopo: il furto delle credenziali di accesso al servizio SPID.
Intesa San Paolo, BPM, MPS, Unicredit e DeutscheBank sono stati i brand più usato per le campagne di phishing a tema “Banking”.
Outlook è stato usato dagli attaccanti in due campagne di phishing, entrambe mirate alla sottrazione delle credenziali di accesso al popolare servizio di Posta.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie di file allegati per veicolare i malware, sono stati soltanto 3: il più utilizzato è stato il formato archivio .ZIP. Seguono i formati Office .exe e .docx

Fonte: https://cert-agid.gov.it/

00[1]

Anno nuovo, vecchi problemi: l’FBI lancia l’allarme mondiale per il ransomware Egregor

venerdì 8 gennaio 2021
Anno nuovo, vecchi problemi: l’FBI lancia l’allarme mondiale per il ransomware Egregor

L’FBI ha rivolto un alert critico di sicurezza alle aziende del settore privato riguardo le operazioni del ransomware Egregor, che stanno attivamente colpendo e portando al ricatto di aziende in tutto il mondo. L’alert è contenuto in un PIN – Private Industry Notification pubblicato Mercoledì, nel quale si notifica che sono già state più di 150 le vittime di questo ransomware dal Settembre 2020 (periodo di prima osservazione ) a oggi.

“A causa dell’alto numero di attori coinvolti nella distribuzione di Egregor, le tattiche, le tecniche e le procedure usate per la sua diffusione possono variare notevolmente, determinando sfide molto significative per la difesa e la mitigazione” si legge nell’alert.

“Il ransomware Egregor usa molteplici meccanismi per compromettere le reti aziendali: attacca direttamente la rete aziendale, ma anche gli account personali di quei dipendenti che condividono l’accesso con le reti o i dispositivi aziendali”.

Tra i vettori di attacco ad ora conosciuti ci sono email di phishing contenenti allegati dannosi, ma anche RDP (Remote Desktop Protocol) insicuri o VPN (Virtual Private Network) vulnerabili: con questi strumenti gli attaccanti ottengono l’accesso alle reti, ma possono anche muoversi lateralmente al loro interno, ottenendo l’accesso a tutti gli host collegati.

Per i movimenti laterali e per l’escalation dei privilegi, Egregor utilizza molti tool già ben noti e conosciuti: Cobalt Strike, il trojan Qakbot / Qbot, Advanced IP Scanner e ADFind. Inoltre è uso comune degli affiliati ad Egregor l’utilizzo di 7zip e Rclone per l’esfiltrazione dei dati prima della distribuzione del payload del ransomware nella rete bersaglio: tali tool vengono “travestiti” da processi svchost (Service Host Process).

Egregor si conferma, insomma, degno erede di Maze avendo confermato in tutti e 150 i casi per ora conosciuti (ma al solito, le vittime potrebbero essere molte di più) il meccanismo della doppia estorsione: un riscatto per ottenere la chiave privata necessari a riportare in chiaro i file criptati e un riscatto per scongiurare la pubblicazione dei file rubati e ottenere la cancellazione delle copie in mano agli attaccanti.
Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Il Raas Egregor debutta contando già sugli ex affiliati di Maze
Egregor è un RaaS, un cosiddetto Ransomware as a Service ovvero i suoi sviluppatori hanno messo il payload del ransomware in affitto nel dark web. Anzi meglio, lo hanno organizzato come un vero e proprio servizio a pagamento. La varietà di tecniche di attacco e dei vettori usati, ma anche degli strumenti, della quale si rendeva nota qualche riga fa, dipende proprio da questo: Egregor non viene distribuito “da una sola mano”, ma da una rete di affiliati e partner. A differenza di altri ransomware che si sono dovuti fare un nome (e una rete) con le proprie forze, Egregor è già una minaccia di livello mondiale perché ha iniziato le proprie campagne potendo già contare sulla rete di ex affiliati e partner di Maze (per saperne di più dei legami tra Maze ed Egregor, vedi qui).

E, per quanto riguarda Egregor, non è solo il numero delle vittime a dare il quadro del livello di rischio di questa minaccia: nomi come Ubisoft, Randstad, Barnes and Noble, il servizio Metro di Vancouver, Crytek concretizzano il potenziale di questo ransomware, che non esita a colpire piccole aziende così come le grandi corporation.

La lista delle mitigazioni suggerite dall’FBI
L’alert dell’FBI contiene anche una serie di mitigazioni utili a ridurre (mai ad azzerare, purtroppo) il rischio di infezioni ad opera di questo RaaS. Ecco le principali:

eseguire il backup dei dati critici e mantenerlo OFFLINE;
eseguire ulteriori copie dei dati critici in cloud, su drive esterno o su un dispositivo di storage;
anche i backup vanno messi i sicurezza: è utile assicurarsi che questi non siano accessibili né per la modifica né per la cancellazione dal sistema in cui risiedono;
installare e mantenere regolarmente aggiornati software antivirus e antimalware su tutti gli host;
usare solo reti sicure, evitare di utilizzare rei wi-fi pubbliche;
abilitare l’autenticazione multi fattore e non fare mai click su allegati o link contenuti in email inaspettate e sospette;
dare priorità all’applicazione delle patch a tutti gli applicativi di accesso remoto rivolti al pubblico. Applicare patch e mitigazioni per le recenti vulnerabilità RDP come CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108;
verificare la presenza di file .bat e .dll sospetti, file contenenti dati di diagnosi (come i file .log) e tool di esfiltrazione;
configurare in maniera sicura l’RDP restringendone l’accesso, proteggendolo con autenticazione multi fattore o con password solide.
Non pagare il riscatto, non divenire complice!
L’alert dell’FBI si chiude con la solita richiesta a non pagare il riscatto. Richiesta che origina da due, diverse motivazioni: la prima è ovviamente quella di non divenire complice degli attaccanti i quali più riscatti riscuoteranno, più saranno motivati ad approntare e lanciare campagne d’attacco. Non solo: un alto tasso di successo nel riscuotere i riscatti non farà altro che determinare una continua crescita delle somme richieste. Non è un caso che, lo scorso anno, il Dipartimento del Tesoro statunitense abbia messo in guardia quelle aziende che assistono le vittime di ransomware nella contrattazione coi cyber criminali, specificando che tali azioni potrebbero violare i regolamenti dell’OFAC (Office of Foreign Assets Control del Dipartimento del Tesoro) e comportare ingenti sanzioni.

In secondo luogo, non pagare è una forma di tutela per la vittima stessa, dato che non c’è mai la certezza che, pagando, si possa ottenere la chiave di criptazione privata o un tool di decriptazione funzionante. Ma non solo: pagare il riscatto per non vedere pubblicati i dati rubati non esclude affatto che questi vengano comunque messi in vendita, anche molto tempo dopo. Ancora, pagare il riscatto non assicura affatto che gli attaccanti “leveranno le tende” dalla rete aziendale: l’uso di mantenere varie forme di accesso, backdoor comprese, alle reti già violate è piuttosto comune.

Insomma, pagare non assicura affatto la risoluzione del problema.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy