01[1]

NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare

lunedì 17 gennaio 2022
NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare

Ormai torniamo sul punto a cadenza quasi regolare: il ransomware Qlocker torna a colpire dispositivi NAS QNAP in tutto il mondo. La diffusione dei NAS QNAP va quasi di pari passo, ormai, con le campagne dannose che li vedono come target. Puntualmente, ad ogni ondata malware contro NAS QNAP riceviamo centinaia di richieste di assistenza per la decriptazione dei file e, altrettanto puntualmente, scopriamo che il punto di accesso degli attaccanti o è dovuto a credenziali deboli oppure è una vulnerabilità già corretta.

Sperando quindi di fare cosa utile, oltre ad una breve panoramica di Qlocker e dei principali malware in diffusione contro i NAS QNAP, ribadiamo nuovamente le misure di mitigazione e di patching.

QLocker: nuova ondata in tutto il mondo
Qlocker non si vedeva in diffusione dal 2021, almeno non in forma massiva: in quel caso il ransomware non eseguiva propriamente una routine di criptazione sui file. Si limitava invece a spostarli entro archivi 7Zip protetti da password, per ottenere la quale era ovviamente richiesto il pagamento di un riscatto in criptovalute. Per l'occasione QNAP pubblicò uno specifico alert, spiegando che gli attaccanti stavano sfruttando la vulnerabilità CVE-2021-28799 presente nell'app HBS 3 Hybrid Backup Sync.

L'alert arrivò però in ritardo: la campagna di Aprile fruttò agli attaccanti 350.000 dollari in meno di 20 giorni.

Per approfondire > Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Per approfondire > Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Dalla prima settimana di Gennaio abbiamo ricevuto molte richieste di assistenza: Qlocker è di nuovo in diffusione con una nuova campagna. Questa è iniziata il 6 Gennaio ed è contraddistinta da una nota di riscatto chiamata !!!READ_ME.txt e dall'uso dannoso e illegittimo di 7ZIP.

Il riscatto oscilla tra 0.02 e 0.03 Bitcoin (la campagna di Aprile ne chiedeva soltanto 0.01) ed il suo ammontare è visibile nella nuova landing page Tor allestita dagli attaccanti.

Qlocker in buona compagnia: a Dicembre è tornato anche eChoraix/QNAPcrypt
Le disgrazie non vengono mai da sole, dice saggiamente il detto popolare. Infatti questa nuova campagna Qlocker è stata anticipata di pochi giorni da una nuova campagna ransomware, anche questa conoscenza di vecchia data. Nei giorni tra il 19 e il 26 Dicembre si è svolta una campagna ransomware volta a distribuire il ransomware eChoraix, conosciuto anche come QNAPcrypt.

Per approfondire > NAS QNAP: il ransomware eChoraix (QNAPcrypt) di nuovo in diffusione. Già molti attacchi in Italia

La nuova campagna di eChoraix non ha portato grandi novità rispetto alle precedenti: l'attaccante che ha ottenuto privilegi di amministrazione, crea nel gruppo di amministrazione un nuovo utente con tutte le permissioni necessarie per procedere alla criptazione dei file presenti sul NAS. In questo caso, al contrario di Qlocker, i file non sono rinchiusi in un archivio 7ZIP, ma criptati nel senso classico.

Dopo un primo smarrimento iniziale, QNAP e i ricercatori di sicurezza individuano le falle sfruttate:

CVE-2021-28799, che risiede in Hybrid Backup Sync HBS3. Al link le indicazioni di risoluzione;
CVE-2020-36198 che risiede nella funzionalità Malware Remover.
Agelocker, il ransomware che ruba i dati
Sempre ad Aprile 2021 iniziano a piovere segnalazioni di attacchi del ransomware AgeLocker contro NAS QNAP. Anche in questo caso si parla di una vecchia conoscenza, già osservato in attività dal Luglio 2020. Non che sia una novità nel mondo dei ransomware, ma lo è nel sottoinsieme dei malware del riscatto pensati per i NAS QNAP: Agelocker, come va ormai "di moda" prima di procedere alla criptazione dei file e renderli inaccessibili, si occupa di rubarli. Il riscatto ammonta a circa 7 Bitcoin.

La criptazione dei file vede impiegato un algoritmo poco noto, AGE (Actually Good Encryption), dal quale deriva il nome del malware stesso. Le analisi svolte hanno mostrato come AgeLocker affligga principalmente NAS QNAP che:

eseguono versioni obsolete del firmware;
hanno abilitati il port forwarding, il DMZ e dispongono di IP pubblico. Queste impostazioni determinano una esposizione diretta del NAS in Internet.
Per approfondire > Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati

Versioni ransomware risolvibili
eChoraix: è risolvibile la versione circolante fino al 17 Luglio 2019, mentre ancora non è risolvibile la versione 1.0.5. La versione in circolazione a Dicembre 2021, la 1.0.6 NON E' RISOLVIBILE attualmente. Qui l'advisory ufficiale di QNAP.

Qlocker: consigliamo di seguire il tutorial "Installazione manuale di QRescue per recuperare file crittati da Qlocker" su NAS QNAP dal sito ufficiale del produttore.
Qui il Security Advisory di QNAP

AgeLocker: AgeLocker è un ransomware che difficilmente sarà risolvibile. L'uso dell'algoritmo AGE lo rende un avversario assai tosto: è, questo algoritmo, uno dei metodi più sicuri (per l'attaccante) di "chiudere" i file. Qui il Security Advisory di QNAP .

Misure generali di mitigazione
Data la situazione è consigliabile seguire le indicazioni di mitigazione che QNAP ha fornito in occasione dell'ondata di attacchi ad opera del ransomware QNAPCrypt, per assicurarsi di eseguire la versione più recente del firmware e di aver risolto alcune vulnerabilità note.

Fai il login come Amministratore;
vai nel Pannello di Controllo > Sistema > Update del Firmware.
sotto Live Update, fai clic su Cerca per Update.
Verrà così ricercato e installato l'update più recente disponibile. La stessa operazione può essere compiuta anche da Supporto > Download Center, eseguendo quindi un update manuale.

QNAP suggerisce anche di aggiornare tutte le app installate:

Fai il login come Amministratore;
vai su App Center > le Mie App;
spunta l'opzione "All" prima di cliccare su Installa Update;
clicca su OK nel messaggio di conferma che vedrai comparire per aggiornate tutte le app installate alla relativa ultima versione.
Il tasto Update non sarà disponibile se è già in uso la versione più recente. Se invece è disponibile, il clic sul bottone avvierà il download e installazione dell'update: a fine processo dovrebbe mostrarsi un messaggio di conferma.

Infine, QNAP consiglia anche le seguenti operazioni:

cambia le password di tutti gli account attivi sul dispositivo;
elimina ogni account utente sconosciuto dal dispositivo;
elimina tutte le applicazioni sconosciute o inutilizzate dal dispositivo;
imposta una lista di controllo per gli accessi al dispositivo (Pannello di Controllo > Sicurezza > Livello di Sicurezza).
Tutte le informazioni del produttore qui > Quali sono le migliori prassi per migliorare la sicurezza del NAS?

Se ti serve supporto...
coloro che hanno bisogno di supporto per applicare gli aggiornamenti e implementare le misure di mitigazione o, vittime di criptazione, hanno necessità di verificare la fattibilità della decriptazione della versione che li ha colpiti possono contattarci tramite il sito web decryptolocker.it o scrivendoci all'indirizzo alessandro@nwkcloud.com

01[1]

Il CERT individua una variante made in Italy del ransomware Chaos: attacca singoli utenti

venerdì 21 gennaio 2022
Il CERT individua una variante made in Italy del ransomware Chaos: attacca singoli utenti

Il CERT AGID, su segnalazione di alcuni ricercatori di sicurezza, ha analizzato una variante del ransomware Chaos in distribuzione in Italia in queste ultime due settimane. La nota di riscatto è interamente in lingua italiana e sfrutta come tema la Polizia di Stato e la presunta presenza di materiale pedopornografico nel dispositivo infetto.

La nota di riscatto viene generata al termine della criptazione dei file, mentre lo sfondo desktop viene sostituito con la foto di due agenti di Polizia.

La nota di riscatto
L'ammontare del riscatto è assolutamente irrisorio rispetto alla media dei ransomware, ma la cosa si deve all'evidenza che questo ransomware non è pensato per attacchi mirati contro aziende ed enti pubblici, ma contro singoli utenti dai quali non si possono "cavare" riscatti di entità importante. E', un ritorno alle origini: se negli ultimi anni si sono specializzati in attacchi mirati per richiedere alti riscatti, in origine i ransomware puntavano più sulla quantità che sulla qualità delle vittime. Campagne come queste, che richiedono riscatti scarni, sono pensati per la diffusione massiva contro singoli utenti che, si presume, non sono dotati di strumenti di cyber security avanzati come quelli aziendali.

Pagare il riscatto non fa rientrare in possesso dei file

Gli utenti che fino ad ora sono stati vittime di questo ransomware hanno segnalato come pagare il riscatto non comporti il ritorno in possesso dei file presenti sulla macchina. Il decryptor inviato dai cyber attaccanti infatti presenta un bug per il quale i file di dimensioni superiori a 2 MB non sono criptati, ma vengono sovrascritti con dati casuali: diventa quindi del tutto impossibile ripristinarli, a meno che la vittima non possegga un backup rimasto indenne dall'attacco.

Qualche info tecnica
Il ransomware è una applicazione basata su .NET di livello elementare: non presenta alcun offuscamento del codice cosa che lo rende facilmente individuabile da parte delle soluzioni antivirus e anti malware. Anche le funzionalità di cui è dotata questa versione made in Italy sono basilari.

La catena di infezione si compone di 5 diverse fasi, spiegano dal CERT:

fase iniziale (elevazione dei privilegi di amministrazione, gestione istanze multiple e ottenimento della persistenza sul dispositivo);
routine di criptazione;
propagazione;
generazione nota di riscatto;
sostituzione degli indirizzi Bitcoin nella clipboard.
L'elementarità del ransomware è confermata già nella prima fase. Tutti i gestori di ransomware si assicurano di non trovarsi ad avere istanze multiple del ransomware in esecuzione: invece dell'uso del solito mutex, Chaos italiano verifica soltanto che non esista un processo con percorso identico ma diverso PID (Process IDentifier).

I tecnici del CERT fanno notare come questo controllo sia poco efficace quando:

"associato con le varie copie che il malware fa di sé stesso in altre directory in quanto può portare alla terminazione di tutte le istanze anziché solo di quelle superflue (poiché manca l’esclusività garantita da un mutex). In ogni caso, è in linea con la bassa complessità generale del codice utilizzato."

L'elevazione dei privilegi invece avviene sferrando un "attacco diretto" all'utente: Chaos non ha una funzionalità che si occupa dell'escalation, ma punta sull'ingegneria sociale. Chaos infatti mostra all'utente una finestra UAC per il programma Premi_SI (che altro non è che una copia del ransomware che questo esegue in %AppData%\Premi_Si.exe): se l'utente clicca SI il ransomware è libero di agire. Cliccando NO, semplicemente, l'infezione termina. Anche questo ribadisce che Chaos Ransomware made in Italy si concentra su utenti singoli poco consapevoli.

La persistenza è ottenuta banalmente creando un link al proprio eseguibile nella cartella Startup.

La criptazione utilizza l'algoritmo di criptazione AES-256-CBC: durante la routine, per ogni file criptato è generata una password casuale di 20 byte, salvata all'inizio di ogni file. Queste password sono criptate con cifratura RSA-1024.

L'estensione di criptazione che questa versione "appiccica" ai file criptati è .polizia. Non che alla versione in diffusione manchi una funzionalità capace di generare estensioni casuali, ma non è in uso. La nota di riscatto si chiama POLIZIA_DI_STATO.txt.

01[1]

L'assalto ai dati sanitari in Italia: ransomware contro le ASL

martedì 18 gennaio 2022
L'assalto ai dati sanitari in Italia: ransomware contro le ASL

La corsa ai dati sanitari ormai non è una novità. Sia che lo facciano aziende legittimamente (più o meno) sia che lo facciano cyber attaccanti in maniera illegale poco conta, il dato è certo: i dati sanitari sono molto appetibili. Di ransomware che hanno colpito ospedali, istituti medici, ambulatori ne abbiamo scritto a bizzeffe, ma nella maggior parte dei casi questi eventi sono avvenuti all'estero con un'alta concentrazione negli Stati Uniti, fermo restando che in Europa, in Germania in dettaglio, si è registrato il primo caso di decesso dovuto ad attacco ransomware: una terribile tragedia che spinse alcuni dei principali gruppi Ransomware a dichiarare (alcuni lasciando le parole al vento, altri praticando davvero la risoluzione) di non voler attaccare più strutture ospedaliere e, nel caso fosse successo, di garantire la decriptazione gratuita dei dati.

Per approfondire > Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti - di Milena Gabanelli e Simona Ravizza

Tanta "nobiltà d'animo" non è però ad appannaggio di tutti i cyber criminali: gli attacchi contro strutture del settore sanitario sono in costante crescita e ormai sono sbarcati in Italia. Non torneremo di nuovo sulla vicenda che ha riguardato la Regione Lazio (ne abbiamo parlato qui e qui), ma raccontiamo altri due eventi che hanno portato al furto e alla divulgazione online di dati sanitari (che, ricordiamo, godono di tutela rafforzata conseguente alla sensibilità che il GDPR riconosce loro): il primo è l'attacco subito, pochissimi giorni fa, dall'ASL Napoli 3, mentre dell'altro, ovvero l'attacco all' USLL Euganea di Padova abbiamo già parlato qui ma ci sono aggiornamenti.

Per approfondire > Italia sotto un diluvio di attacchi informatici: nuove vittime ASL Roma 3, Artsana, ASL 2 Savona e Comune di Perugia

ASL Napoli 3 hacked
La scorsa settimana l'ASL 3 di Napoli ha subito un attacco informatico che ha portato al down del sistema IT. Il primo avviso pubblico dell'attacco subito risale all'8 Gennaio a dire il vero, quando l'annuncio è stato riportato sulla pagina Facebook dell'ASL. Pochi giorni dopo la comunicazione sul sito ufficiale, con la quale si dichiara la sospensione delle attività di ricovero programmato, sia mediche che chirurgiche presso tutte le strutture dell'ASL: paradossalmente non si fa alcun riferimento ad eventuali cyber attacchi (mentre nell'avviso dell'8 Gennaio si parla di "un sinistro al sistema informatico"), bensì viene menzionato un miglioramento delle strutture per minimizzazione del rischio Covid.

Fonte: https://www.facebook.com/AslNapoli3sud/

Finiscono in blocco anche tutte le attività Covid-correlate: prenotazione tamponi e vaccini, esiti dei test, si paralizza il sistema di tracciamento. Sull'incidente c'è il massimo riserbo (come successo per la SIAE): non è ancora chiaro cosa sia successo e come gli attaccanti siano penetrati nei sistemi.

Incredibile ma vero, sono i cyber attaccanti stessi a raccontare come sono andate le cose.

I ricercatori di sicurezza scoprono che gli attaccanti appartengono al Raas 54bb47h - Sabbath: la home page del loro siti di leak nel dark web è chiarissima e non lascia dubbi:

Fonte: Sabbath Leak Site

"Il 7 Gennaio abbiamo violato con successo la rete informatica dell'Azienda sanitaria regionale ASL Napoli 3 Sud. Durante l'attacco abbiamo sottratto dati personali, i database, documenti finanziari e altri dati sensibili... Dopo abbiamo proceduto alla criptazione completa delle macchine virtuali ospitate su 42 server HYPER-V usando un protocollo di criptazione militare: il totale è di circa 240 macchine virtuali basate su Windows, Linux e altri sistemi operativi".

Non finisce qui e si arriva alla parte paradossale: nel comunicato gli attaccanti elencano le problematiche e e gli errori trovati nelle infrastrutture della Campania. Gli attaccanti hanno rivelato che alcuni sistemi erano protetti col sistema IDS (Intrusion Detection System) Cortex XDR e che, secondo loro, né la Regione nè l'IDS Cortex sono stati in grado di proteggere il perimetro della rete e le risorse. Spiccano molti server violati eseguenti Windows 2003 e Windows 2008: sistemi più che obsolescenti, quasi trapassati. Inoltre hanno fatto sapere che

"ora l'unica cosa che stanno facendo è nascondere i risultati dell'operazione."

Infatti gli attaccanti fanno piovere minacce, pubblicando un altro post dove spiegano che la mancata risposta da parte dell'ASL o chi per lei e il mancato inizio di una trattativa avrebbero portato alla chiusura della pagina aperta appositamente per le trattative e alla pubblicazione dei dati rubati. E così accade: un sample di 1.5 GB finisce disponibile al download

Fonte: redhotcyber.com

Vi si trovano dati di fatturazione elettronica, libretti pediatrici, schede cliniche, concorsi, dati dei dipendenti, dati dei fornitori, documenti di identità, dati dei pazienti con tanto di codice fiscale, numero di telefono, visite svolte ecc...

ULSS Euganea di Padova Hacked!
L'ULSS6 di Padova, il 3 Dicembre, pubblica un comunicato stampa nel quale avverte di aver subito un attacco informatico:

"L'Ulss 6 Euganea informa che nella notte si è verificato un attacco hacker, che ha comportato il blocco della maggior parte dei server, compromettendone la fruibilità."

3 giorni dopo gli attaccanti hanno "un volto": si tratta si tratta della cyber gang dietro al ransomware Hive. La rivendicazione dell'attacco infatti viene pubblicata sul loro sito, HiveLeaks.

Fonte: sito di leak di Hive

Iniziano forte pressioni da parte degli attaccanti sulla Regione, che opta per la linea dura: non pagheranno nessun riscatto. L'ULSS 6 smentisce ogni trattativa, ma l'ultimatum degli attaccanti (scaduto all'inizio della scorsa settimana) viene prorogato di altri 3 giorni: c'è chi pensa che una trattativa sia effettivamente in corso.

Poco importa, perché il 16 Gennaio l'Azienda sanitaria pubblica una nota ufficiale:

“in merito all'attacco informatico subito il 3 dicembre scorso, l'Ulss 6 informa che i criminali, differentemente da quanto annunciato sul web con il rinvio di tre giorni dell'ultimatum, alle 23.30 di sabato 15 gennaio hanno attuato ciò che avevano promesso”, si legge.

Viene anche confermato che, tra i dati rubati, vi sono quelli relativi alle vaccinazioni: tutte informazioni che valgono a peso d'oro nel mercato nero dei Green Pass fake. Parliamo di 9000 file totali, divisi in 51 cartelle e resi disponibili a chiunque sul dark web.

La Polizia Postale ritiene che questa mossa sia stata fatta per smuovere la Regione alla trattativa: i dati pubblicati infatti, al contrario di quanto accaduto per l'ASL 3 Napoli, non sono dati personali ma hanno carattere amministrativo e gestionale. Vi si trovano infatti procedure, verbali, regolamenti, disposizioni interne ecc.. mentre i file con dati personali sono una minoranza.

Massimo riserbo: eccesso di responsabilità o si nasconde la testa sotto la sabbia?

Questi due casi, come gli altri attacchi contro aziende e strutture italiane, sono ammantati di un gran riserbo. I comunicati ufficiali arrivano sempre tardi, in alcuni casi non si parla neppure di attacco informatico, in quasi tutti si smentisce il rischio di violazione di dati personali...

Quel che spicca, oltre all'evidenza del fatto che pare non essere mai responsabilità di nessuno, è che non si diffondono mai informazioni tecniche sugli attacchi subiti. Le uniche informazioni utili sono quasi sempre pubblicate dagli attaccanti, che rispondendo alle domande di alcuni giornalisti tecnici o tramite i loro comunicati, accennano a falle e vulnerabilità, caratteristiche delle infrastrutture attaccate, exploit ecc...

Il caso SIAE è quasi scuola da questo punto di vista: ancora nessuno sa come gli attaccanti di Everest siano riusciti ad accedere alle infrastrutture aziendali, quel che si sa invece (e di certo non comunicato ufficialmente da SIAE) è che i dati sono in vendita a chi li vuole nel dark web.

Quindi ci chiediamo: come si può garantire la sicurezza dei dati, stare al passo coi tempi, provvedere alle dovute misure di mitigazione se intorno a questi attacchi cala il più totale silenzio? Poco da dire, di questo, il cyber crime ha molto da ringraziare un'Italia che preferisce salvare apparenze (e teste) che pensare seriamente ad organizzare la cyber security.

01[1]

Il CERT-AGID pubblica il report dei malware diffusi in Italia nel 2021

mercoledì 12 gennaio 2022
Il CERT-AGID pubblica il report dei malware diffusi in Italia nel 2021

Tempo di bilanci questo: il CERT-AGID ha pubblicato un report riassuntivo sui malware e le campagne di attacco che ha individuato, analizzato e segnalato. Il report completo è disponibile qui. Nell'articolo rendiamo solo i punti salienti, ritenendo necessaria la consapev0lezza riguardo le principali minacce diffuse in Italia in modo da prevenire e minimizzare almeno gli attacchi più comuni.

Il bilancio complessivo, spiega il CERT, è di 47 diverse famiglie malware individuate in diffusione nell'ambito di 496 diverse campagne: questo certosino lavoro di analisi ha consentito al nostro Computer Emergency Response Team di rendere disponibili oltre 16.000 indicatori di compromissione (IoC).

Il grafico sottostante mostra le 47 famiglie malware

Fonte: https://cert-agid.gov.it/

La top10 dei malware è saldamente occupata dai malware infostealer

Nello stilare la top10 dei malware più diffusi in Italia, il CERT sottolinea come questi siano tutti appartenenti ad una sola categoria: quella dei malware infostealer, ovvero finalizzati al furto di dati personali, credenziali e informazioni esfiltrati dalle macchine compromesse e inviate agli attaccanti. La quasi totalità di questi malware sono nati come banking malware, poi si sono evoluti andando a caccia di una sempre più ampia gamma di dati.

Non si trovano ransomware nella top10, non di certo perchè siano mancati. Spiega il CERT:

"nel 2021 sono stati numerosi gli attacchi rivendicati (e non) da gruppi criminali che hanno preso di mira importanti realtà italiane pubbliche e private. Come ormai è noto, l’inoculazione del ransomware è successiva alla compromissione dell’infrastruttura (e spesso anche all’esfiltrazione dei dati) da parte dei criminali, per cui questa tipologia di malware non compare nella Top 10 dei malware più diffusi"

In breve, spiegano, i ransomware, nel loro modello RaaS (Ransomware as a service), sono diffusi solo grazie ad altri attori (detti broker) che posseggono strumenti o credenziali utili per consentire le infezioni.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Ecco la top 10

Formbook > per saperne di più;
AgentTesla;
Urnsif > per saperne di più;
Lokibot > per saperne di più;
Qakbot > per saperne di più;
Dridex > per saperne di più;
Hancitor > per saperne di più;
Emotet > (per saperne di più)e Remcos;
Flubot > per saperne di più;
sLoad > per saperne di più.

Più attacchi contro i dispositivi mobile
Il CERT sottolinea come nel corso del 2021 si sia registrato un forte aumento del numero di campagne volte a diffondere malware sui dispositivi mobile, principalmente Android. I malware che più di tutti hanno incrementato questo trend sono stati Flubot con 14 diverse campagne e Brata, con 7.

Per approfondire > Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il circuito PEC è più sicuro!
Il dato positivo dello scorso anno è la maggior sicurezza del canale di Posta Elettronica Certificata. Le campagne malware veicolate via PEC sono molto diminuite e l'unico malware che ha continuato ad utilizzare le PEC come canale di diffusione è stato sLoad. Il CERT però non è mai rimasto con le mani in mano e, in collaborazione coi principali provider PEC, ha individuato e contrastato efficacemente 10 campagne malware massive.

1[1]

Alert di Microsoft: ancora in corso l'ondata di attacchi che sfruttano le vulnerabilità di Apache Log4j

formance di sistema...martedì 11 gennaio 2022
Alert di Microsoft: ancora in corso l'ondata di attacchi che sfruttano le vulnerabilità di Apache Log4j

La questione del patching si rivela sempre, e anche in questo caso, il problema maggiore: forse più grave della vulnerabilità stessa. Al punto che Microsoft ha dovuto pubblicare un nuovo alert, pochi giorni fa, riguardo la vulnerabilità Log4Shell della libreria Java Log4J: questa è stata risolta e patchata con tre successive versioni aggiornate rese disponibili da Apache nell'arco di pochi giorni dall'individuazione della vulnerabilità 0day, ma i sistemi patchati sono ancora una netta minoranza.

"I tentativi di sfruttamento e i test di ricerca della vulnerabilità sono rimasti estremamente elevati nelle ultime settimane di Dicembre" ha dichiarato il Microsoft Threat Intelligence center. "Abbiamo osservati molti attaccanti aggiungere questo exploit ai loro kit di attacco: si va dai miner di criptovaluta fino ad arrivare, addirittura, ad attacchi condotti manualmente (Microsoft parla di attacchi hands-on-keyboard n.d.r)".

Log4Shell in breve
Individuata da Apache Software Fiundation il 10 Dicembre 2021, questa vulnerabilità riside in Apache Log4J e, se sfruttata correttamente, consente l'esecuzione di codice arbitrario non autenticato da parte di un utente remoto. La facilità di sfruttamento l'ha resa velocemente popolare, al punto che in pochissimi giorni Log4Shell è divenuto un vettore di attacco estremamente diffuso e molto apprezzato da una vasta gamma di attori di minacce.

Nelle settimane successive sono state individuate altre 4 vulnerabilità che hanno ampliato le possibilità degli attaccanti: sono le CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 e CVE-2021-44832. Queste consentono ad un attaccante remoto il controllo completo di una macchina compromessa e la possibilità di lanciare una gamma crescente di attacchi, dai miner fino ai ransomware passando per i più comuni trojan: è il caso di Dridex in Italia. Non solo: Log4Shell è già in uso per distribuire ulteriori tool di accesso remoto come Meterpreter, Bladabindi e altri RAT.

Per approfondire > Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j

L'alert di Microsoft: Log4Shell è ancora un grave problema
Ora, purtroppo, Microsoft registra che i tentativi di scansione di massa verso macchine vulnerabili a Log4Shell e le altre vulnerabilità di Log4J non accennano a ridursi. Non solo: Microsoft sottolinea come la vulnerabilità sia stata velocemente assorbita da molte delle principali botnet, Mirai per prima e di come sia sfruttata anche in numerose campagne di attacco ad alto profilo sponsorizzate da governi e intelligence.

"Siamo al punto" ha sentenziato Microsoft "che i clienti dovrebbero ritenere questa ampia disponibilità di codici di exploit e questa alta capacità di scansione come un pericolo reale per i propri ambienti. A causa dei numerosi software e servizi interessati e dal ritmo degli aggiornamenti resi necessari, questo problema rischia di avere lunghi strascichi e richiede una vigilanza continua".

Centinaia di software e servizi sono riguardati dalle vulnerabilità di Log4J
I tecnici Microsoft hanno ragione da vendere quando elencano il ritmo degli aggiornamenti necessari come un problema che rende difficile una efficace gestione delle patch. Aziende del calibro di Intel. NVIDIA e Microsoft stessa hanno dovuto pubblicare alert e patch per una serie di prodotti riguardati dalla vulnerabilità.

Intel ad esempio ha elencato fino a 9 applicazioni basate su Java che contengono la vulnerabilità: Intel Audio Development Kit, Intel Datacenter Manager, plug-in del browser Intel oneAPI per Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Studio, e altri...

NVIDIA non ha riscontrato la vulnerabilità nelle ultime versioni ma, nell'evidenza dell'ampio numero di server ancora vulnerabili, ha elencato ben 4 prodotti per i quali l'uso di versioni obsolete espone a rischi: parliamo di CUDA Toolkit Visual Profile, DGX Systems, NetQ e vGPU Software License Server

Microsoft ha già reso disponibili, invece, aggiornamenti per Azure Spring Cloud e Azure DevOps.

Conclusioni: update, update update!
Apache Foundation ha risolto la vulnerabilità, quindi invitiamo a scaricare ed eseguire la versione più recente, la Log4j 2.17.1, scaricabile qui.

Qui segnaliamo gli IoC messi a disposizione dal CERT > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

Qui la guida di Microsoft per Log4Shell > Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability

00[1]

Tutti pazzi per le criptovalute: Avira e Norton minano Ethereum dalle macchine dei clienti quando il processore non è occupato

giovedì 13 gennaio 2022
Tutti pazzi per le criptovalute: Avira e Norton minano Ethereum dalle macchine dei clienti quando il processore non è occupato

Inutile dire che la decisione lascia profondamente perplessi: Avira e Norton hanno deciso in integrare nei rispettivi prodotti un miner di criptovalute. Il modulo di Avira si chiama Avira Crypto ed è stato inserito nella versione free dell'anti malware, mentre Norton Cyrpto è stato inserito in Norton 360: in entrambi i casi, i due noti vendor antivirus e antimalware hanno deciso di minare la criptovaluta Ethereum. Ovviamente Avira e Norton non sono enti di beneficenza ed hanno previsto di trattenere una fetta di quanto viene prodotto dal PC dell'utente: la percentuale che verrà trattenuta da Avira non è ancora stata dichiarata pubblicamente, mentre Norton terrà per sé ben il 15%.

Una bella giravolta, non c'è che dire: ricorrono alla memoria i tempi (neppure troppo remoti) in cui tutti i vendor informatici avevano deciso di dichiarare guerra alle criptovalute. Da NVIDIA e il blocco delle criptovalute per le proprie GPU, passando proprio per Norton, Avira e altri popolari vendor i cui prodotti segnalavano come pericolosi o ingannevoli quei siti web che avevano al proprio interno le funzionalità per l'estrazione delle criptovalute.

Ora, nell'evidenza del fallimento di ogni tentativo di arginare la corsa alla criptovalute, alcuni hanno deciso evidentemente di abbracciarle e a fornire gli strumenti per il mining sono proprio coloro che, un tempo, stavano cercando in ogni maniera di arginare il fiume in piena.

Per approfondire > Invasione dei miner di cripto-valuta. Ora anche per Android
Per approfondire > Criptovalute: crollo dei miner in-browser, impennata dei malware

Come funzionano Avira Crypto e Norton Crypto

I moduli funzionano così: sia Avira Crypto che Norton Crypto non sono attivi di default (e ci mancherebbe!), ma devono essere attivati su richiesta dell'utente. Da quel momento il potere di calcolo del PC viene sfruttato per generare criptovaluta ogni volta che il sistema è acceso, ma non in uso. All'utente viene assegnato un portafoglio virtuale dove confluiscono gli Ethereum generati: una volta maturata una certa quantità, l'utente può deciderne il trasferimento verso il proprio Wallet creato su Coinbase (al netto delle trattenute dei vendor, ovviamente).

Utenti perplessi e polemiche
Senza addentrarsi in una disamina generale sulle criptovalute, viene spontaneo domandarsi cosa c'entrino gli antivirus con le criptovalute. Norton e Avira giustificano le proprie decisioni fondamentalmente con lo stesso concetto: l'integrazione del mining sarebbe dovuto alla volontà di garantire agli utenti di poter generare criptovaluta in sicurezza. In parte è vero, inutile negarlo: il mining di criptovaluta, da strumento legittimo e utile come sostituto degli ADS per monetizzare il traffico web, è divenuto una nuova arma in mano al cybercryme. L'installazione illegittima e non autorizzata di miner di criptovaluta su server, PC, dispositivi mobile e perfino IoT è oggi all'ordine del giorno ed è una branca ormai assodata del cybercrime. Non solo: è vero che centinaia di migliaia di utenti con l'intenzione di minare criptovalute si sono imbattuti in tool "rivisti e corretti", compromessi con altri malware o recanti backdoor.

Gli utenti però non hanno affatto colto questo spirito iper protettivo dei vendor: nessuno ha infatti gradito che questi moduli siano installati automaticamente, anche se disattivati di default. Il fatto che siano disattivati di default poi non è una garanzia: "in fin dei conti, tutto dipende dal modo in cui questi programmi vengono presentati e dal fatto che gli utenti capiscano davvero che cosa stanno facendo quando vi aderiscono" spiega il famoso giornalista esperto di crimini informatici Brian Krebs.

Per approfondire > Norton 360 Now Comes With a Cryptominer - KrebsonSecurity

Non solo: Norton 360 è una soluzione ad abbonamento, quindi l'utente si troverebbe a dover pagare sia l'abbonamento che il 15% delle valute generate, una percentuale che è già ben più alta della media del settore. Se poi l'utente decide di spostare gli Ethereum su Coinbase e convertirli in moneta corrente deve pagare una commissione aggiuntiva. Per l'utente italiano va ancora peggio: tutte le plusvalenze derivanti dall'investimento in criptovalute sono tassate.

Commissioni, costi, percentuali, bollette (si perché produrre criptovalute richiede ingenti quantità di energia elettrica) sono tutti a carico dell'utente: a chi convengono quindi questi moduli? Qualcuno fa notare che, forse, convengono solo ai vendor che si ritrovano ad incassare criptovalute prodotte dai PC dei propri clienti.

Ci sono poi problemi di natura molto più pratica: anzitutto questi moduli, come ricorda Avira stessa, sono altamente sconsigliati a chi non possiede almeno un computer di fascia media. Lo sfruttamento delle risorse di una macchina per minare criptovalute è infatti altissimo ed è ormai noto che tale attività determini grave usura dei componenti.

E pensare che un tempo gli antivirus, ancora prima che in gratuiti e a pagamento, si dividevano in quelli molto apprezzati perchè efficaci e leggeri sulla macchina e in quelli al contrario assai "pesanti" e invalidanti sulle performance di sistema...

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy