300920222

Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati

HOMECHI SIAMOGDPR: regolamento europeo Privacy.[GDPRlab] Formazione incaricati privacy
martedì 27 settembre 2022
Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati

Pessima notizia che potrebbe segnare un cambio di passo nelle strategie ransomware: è stata individuata in diffusione una versione di BlackCat che, una volta rubati i dati, non cripta quelli rimasti nella macchina, ma li distrugge. Dopo il modello del Ransomware as a service, dei leak site e della tripla estorsione, siamo di fronte all'ennesima evoluzione del mondo ransomware?

BlackCat "sposa Exmatter", il modulo distruggi-dati
La nuova versione di BlackCat che distrugge i dati è stata individuata dalla società di sicurezza informatica Cyderes. La particolarità di questa versione è quella di portare con sé, oltre alle classiche funzionalità di esfiltrazione dei dati, anche un modulo chiamato Exmatter.

Exmatter è un tool di esfiltrazione dati in .NET ed è sviluppato per prendere alcuni tipi specifici di file da cartelle selezionate e caricarli in server controllati dagli attaccanti, prima che il ransomware entri in esecuzione e avvii la routine di criptazione. Va detto, è già usato da molte operazioni ransomware, non solo BlackCat. Il punto è che il gruppo BlackCat lo utilizza in una maniera del tutto nuova.

Questa versione di Exmatter infatti tenta di corrompere i file nel sistema bersaglio anzichè criptarli: in pratica li mette in fila per distruggerli. Infatti, la prima operazione compiuta da Exmatter è quella di generare la coda dei file rispondenti ad una lista di estensioni bersaglio: questa lista è "hard-coded" nel tool stesso. La coda viene composta proprio mettendo in fila tutti i file con le estensioni target. Questi file vengono quindi esfiltrati verso server controllati dagli attaccanti. Una volta esfiltrati, i dati sono aggiungi in una nuova coda per essere processati da una classe che si chiama Eraser. In dettaglio un segmento di dati di dimensioni arbitrarie che inizia all'inizio del secondo file viene letto in un buffer, quindi scritto all'inizio del primo file: in pratica viene sovrascritto e danneggiato.

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

Ulteriori analisi hanno individuati altri dettagli
I ricercatori di Stairwell Threat Researchers hanno effettuato ulteriori ricerche su Exmatter: per prima cosa hanno sottolineato come una tale tecnica, ovvero usare i dati da un file estratto per corrompere un altro file, potrebbe essere un tentativo innovativo di eludere rilevamento e analisi euristica. Altre info utili sono che:

Exmatter non prevede meccanismi di rimozione dei file dalla coda. Il rischio è che alcuni file vengano sovrascritti molte volte e altri invece potrebbero non essere mai selezionati per l'elaborazione;
la funzione correlata alla classe Erase non è ancora del tutto implementata e presenta, al momento, perfino un bug di implementazione.
Insomma ad ora la funzionalità di danneggiamento dei dati è ancora in via di test / implementazione. Questa funzionalità ha però tutte le "carte in regola" per affermarsi come nuova prassi per gli attacchi ransomware: non più file rubati, quindi criptati ma file rubati quindi eliminati / danneggiati. Una tale evoluzione infatti mette gli attaccanti al riparo dal rischio che le vittime riescano a individuare un sistema per decriptare i dati, rendendo più difficile ottenere da loro il pagamento del riscatto.

BlackCat come Maze si fa capofila dell'evoluzione delle famiglie ransomware
BlackCat non è affatto nuovo a presentare innovazioni. Ad esempio è uno dei primi ransomware multi-piattaforma scritto nel linguaggio Rust. Oltre ad Exmatter, usa un altro modulo infostealer pericolosissimo: si chiama Eamfo e ha un solo scopo, vvero rubare le password dei backup di Veeam e dei database SQL, decriptandole e ottenendole in chiaro.

300920221

Anatomia di Hydra, il nuovo banking trojan diffuso in Italia

giovedì 29 settembre 2022
Anatomia di Hydra, il nuovo banking trojan diffuso in Italia

Individuato in diffusione la scorsa settimana dal CERT, non si era mai visto in Italia. Arriva Hydra, il trojan bancario diffuso via SMS.

La campagna di diffusione della scorsa settimana
Il CERT-AgID ha individuato, assieme a D3Lab, un nuovo malware pensato per i dispositivi Android che non era mai stato intercettato in Italia: il malware si chiama Hydra ed è stato diffuso la scorsa settimana con una campagna di smishing mirata contro utenti italiani.

Il malware è stato diffuso via SMS contenenti un link che conduce ad una pagina di download. Questa pagina risulta visibile solo nel caso in cui il browser presenti uno user agent Android. Il file dannoso, in formato APK, è hostato su un server Discord e da lì viene scaricato. La pagina di download si presenta come una pagina dove scaricare o aggiornare l'APP per transazioni in criptovalute CoinBase.

Fonte: https://cert-agid.gov.it

Inutile dire che se l'utente procede con il download, il suo dispositivo viene compromesso con Hydra.

Hydra: cosa si sa del campione per ora analizzato
Il campione analizzato dal CERT prende di mira ben 338 app bancarie. E' dotato di molte funzionalità per prendere il controllo del dispositivo. Hydra può

gestire gli SMS;
accedere al dispositivo compromesso usando il tool di assistenza remota TeamViewer;
rubare il PIN;
interagire col il bot presente sul server di comando e controllo per ricevere ulteriori istruzioni e comandi.
Una curiosità: la campagna era rivolta contro utenti italiani, ma il malware esegue comunque una verifica dell'Indirizzo IP col quale il dispositivo risulta collegato ad Internet. La lista di esclusione è brevissima: Hydra analizza il country code ed esclude solo IP russi ed ucraini.

Nella foto ecco come avviene la verifica dell'IP e l'esclusione dei codici regionali:

Fonte: https://cert-agid.gov.it

Il malware, prima di iniziare la raccolta informazioni dal dispositivo, effettua una richiesta verso http://ip-api[.]com/json per ottenere informazioni appunto sull'IP e sul country code del dispositivo. E' poi la funzione "deviceInfo" a determinare se procedere o meno nelle operazioni, verificando che il country code sia differente da "RU" e "UA".

Le otto componenti di Hydra
Hydra ha 8 diverse componenti da attivare, elencate nella funzione "init".

Fonte: https://cert-agid.gov.it

Ecco l'elenco delle componenti:

text: per invio e furto di SMS;
ussd: consente al malware l'uso dei codici USSD (servizio supplementare Dati non strutturati: un protocollo del Sistema Globale per le comunicazioni mobile GSM);
locker: blocca il dispositivo;
injects: gestisce notifiche push;
socks5: consente l'uso di un Proxy SOCKS per dirigere il traffico;
screencast: effettua screencast (registra l'output dello schermo);
soundSwitcher: controlla la suoneria On / Off;
commands: abilita il malware alla ricezione dei comandi del server C&C.

Le funzionalità di Hydra
Dalle analisi del CERT e di 3DLab è risultato che questo sample del malware Hydra può:

raccogliere le info sul dispositivo;
fare injection di pagine di phishing;
tracciare le battiture sullo schermo (keylogger);
accedere da remoto usando TeamViewer;
rubare il PIN per lo sblocco mostrando all'utente false richieste di inserimento del PIN;
inviare SMS, singoli o in modalità massiva, inoltrandoli all'intera lista contatti;
gestire le impostazioni del WIFI.

Le banking app bersaglio
Come detto, Hydra prende di mira 338 diverse app bancarie: tra queste ve ne sono alcune di noti istituti bancari italiani. Per ogni app c'è un pacchetto che contiene un'icona in formato PNG e un file index.html che viene usato per sostituire la pagina originale con il form di login fake: tutti i dati inseriti in questi form sono inviati ai gestori del malware

Fonte: https://cert-agid.gov.it

30092022

Attacchi ransomware: Italia prima in Europa, settima nel mondo

lunedì 26 settembre 2022
Attacchi ransomware: Italia prima in Europa, settima nel mondo

Il "Report sulla cybersecurity del primo semestre 2022" di Trend Micro non lascia spazio a interpretazioni: i gruppi ransomware hanno scelto l'Italia come bersaglio preferito. Il numero di attacchi è addirittura aumentato rispetto al 2021

Ransomware: bad news per l'Italia
L'Italia è al primo posto per numero di attacchi ransomware per il periodo Gennaio - Marzo 2022. Se guardiamo alla classifica mondiale invece siamo la 7° nazione più colpita al mondo. Più in generale, siamo in testa in Europa anche per attacchi malware subiti, terzi nel mondo.

Ecco qualche numero.

Classifica attacchi ransomware nel mondo:

Stati Uniti (19,69%),
Giappone (10,18%),
Turchia (7,97%),
India (5,11%),
Taiwan (4,29%),
Messico (4%),
Italia (3,56%),
Olanda (3,26%),
Francia (3,08%),
Germania (2,96%).
In questa classifica, l'Italia è prima in Europa. LockBit e Conti i due ransomware più aggressivi, facendo registrare un +500% su base annua di attacchi. nei primi sei mesi del 2022 hanno raddoppiato il numero dei rilevamenti. Ora, come raccontato qui, Conti è un'operazione ransomware abbandonata che però si è "divisa" in mille rivoli di altre operazioni ransomware e malware ed è responsabile del ritorno in attività della botnet Emotet.

Classifica attacchi macro - malware

Giappone (134.703),
Stati Uniti (16.460),
Italia (8.475),
India (8.394),
Germania (6.856).
In questa classifica, l'Italia è prima in Europa.

Classifica attacchi malware

In questa classifica siamo secondi in Europa, preceduti solo dal Regno Unito e sesti al mondo. Nei primi sei mesi del 2022 sono stati intercettati 82.714.876 di attacchi malware. E qui è impressionante il dato di confronto con lo stesso periodo del 2021: lo scorso anno i malware intercettati sono stati circa 28 milioni.

Altri dati interessanti sono:

130 milioni di minacce arrivate via email;
7.9 milioni di siti dannosi e compromessi visitati;
34.600 le app dannose scaricate nella prima metà del 2022.

Le aziende di fronte ai ransomware
Il rapporto fornisce anche altri dati interessati: il primo è che l'80% dei responsabili IT italiani è convinto che siano i partner e i clienti ad esporre ai cyber criminali la propria azienda. Non a caso il 56% delle supply chain delle grandi aziende sono PMI: le PMI sono il nerbo del tessuto produttivo italiano, ma sono anche tendenzialmente meno sicure dal punto di vista della sicurezza informatica.

I dati mostrano anche un serio problema di collaborazione tra aziende quando si parla di attacchi informatici: solo il 51% delle aziende condivide i dati sugli attacchi ransomware coi propri fornitori mentre il 37% non avvisa i partner rispetto ai rischi informatici. Eppure ben il 60% delle aziende violate da ransomware ha saputo che gli attaccanti hanno contattato clienti e partner per forzare il pagamento del riscatto.

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

1609223

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre

lunedì 12 settembre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 3-9 Settembre
La scorsa settimana il CERT ha individuato e analizzato 28 campagne dannose: di queste 25 sono state mirate contro obiettivi italiani mentre 3 sono state generiche, ma hanno comunque colpito il cyber spazio italiano.

Sono state 4 le famiglie di malware individuate in diffusione. Soltanto 7 le campagne dannose che hanno diffuso malware:

Formbook è stato diffuso con tre diverse campagne, tutte mirate contro utenti italiani. Le email, a tema Ordine, veicolavano allegati archivi in formato ZIP e LZH.
Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
AsTesla è stato diffuso con due campagne a tema Ordine: le email contenevano allegati GZ. Una campagna ha veicolato AsTesla usando Guloader come downloader.
Per approfondire > ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia;
Sharkbot è stato diffuso tramite link collegati al download di un APK dannoso. La campagna è stata mirata contro utenti italiani e a tema Avvisi di sicurezza. Analisi successive hanno portato a individuare nell'app Miser Phone Cleaner il dropper di Sharkbot;
AgenTesla è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati GZ. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia

SharkBot in breve:
SharkBot è un trojan bancario: mira a credenziali bancarie, ma può anche cancellare e inviare SMS, rispondere a notifiche Messenger e Whatsap. Ha anche funzionalità di keylogging. Il suo dropper è solitamente nascosto in false app antivirus per smartphone Android diffuse sia via SMS sia tramite App Store ufficiali.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 3-9 Settembre
Le campagne phishing individuate e analizzate sono state 29 ed hanno coinvolto ben 18 brand importanti, la maggior parte afferenti, ovviamente, al settore bancario. Alcune campagne sono invece state mirate alle PA.

Nella top 3 dei brand più colpiti però non figurano brand bancari: i brand più sfruttati sono stati Office 365 e Aruba e solo al terzo posto si trova un "bank generic". Il tema Banking è ovviamente stato il più sfruttato per campagne di phishing mirate al settore bancario, il tema pagamenti è stato sfruttato per diffondere malware come Formbook e AgenTesla e al solito si registrano moltissime campagne finalizzate al furto delle credenziali di account webmail

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
I file più utilizzati per diffondere malware sono stati gli eseguibili EXE, quindi il formato archivio GZ e poi HTML. Rispetto alle scorse settimane si registra un netto calo nell'uso di file in formato archivio, quindi file compressi, per la diffusione dei malware.

Fonte: https://cert-agid.gov.it

1609222

I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

martedì 13 settembre 2022
I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Un numero crescente di gruppi ransomware sta adottando una nuova tecnica per criptare i dati presenti nei sistemi bersaglio: questa nuova tecnica li aiuta a velocizzare la criptazione, quindi riduce la possibilità che le soluzioni EDR o semplicemente antivirus possano individuare e bloccare la routine di criptazione.

Questa tecnica si chiama criptazione intermittente e consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che "il lavoro" che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile.

C'è un secondo vantaggio, per gli attaccanti: la criptazione è più leggera, più blanda quindi è più complesso, per gli strumenti di rilevamento automatico che si basano sull'individuazione degli attacchi rilevando e segnalando pesanti operazioni di modifica sui file.

Per saperne di più > Il fattore tempo: quale ransomware cripta più velocemente i dati?

La criptazione intermittente è sempre più diffusa
Questa tecnica è stata utilizzata, per la prima volta, dal famigerato ransomware LockFile: era la metà del 2021. Ormai però vi sono player di peso del panorama ransomware come Black Basta, BlackCat, Agenda che ne hanno fatto la tecnica di attacco privilegiata.

Non solo: la criptazione intermittente è uno dei vantaggi che i gruppi ransomware sottolineano nelle vere e proprie operazioni di marketing con le quali "spingono", nell'uderground hacking, le proprie operazioni Ransomware as a Service. E' un vantaggio competitivo, a tutti gli effetti, rispetto ad altre operazioni ransomware più lente e con maggiore rischi di essere individuate e bloccate dalle soluzioni di sicurezza.

Per fare un esempio, il RaaS Agenda offre la criptazione intermittente come opzionale ed è perfino configurabile. Ad esempio l'affiliato può, oltre a scegliere se attivarla o meno, stabilire se skippare ogni tot MB di un file, criptare solo i primi N MB di un file o scegliere addirittura in che percentuale criptare i MB del file.

Le impostazioni disponibili per il ransomware Agenda. Fonte: SentinelLabs

BlackCat, famigerata operazione ransomware che in Italia si è fatta ben conoscere, permette di impostare una serie di parametri per personalizzare la criptazione intermittente. Ad esempio l'affiliato può scegliere se criptare solo i primi byte di un file, ma può anche scegliere una combinazione di più criteri.

BlackBasta invece non consente troppe personalizzazioni delle modalità di criptazione, perchè è la variante stessa del ransomware che stabilisce cosa fare in base alle dimensioni del file. Se un file pesa peno di 704 byte, cripta tutto il contenuto. Per i file tra i 704 e 4 KB cripta 64 byte quindi salta i 192 successivi.

La criptazione intermittente sarà il modello del futuro per i RaaS
La criptazione intermittente sembra non avere svantaggi per gli attaccanti. Ecco perché gli esperti e gli analisti di cyber security si aspettano che questo modello diventi dominante nel mondo dei RaaS, esattamente come è stato per il meccanismo della doppia (e anche tripla) estorsione. Lanciato dal ransomware Maze, il modello di doppia estorsione è ormai il modello dominante per tutte le operazioni RaaS di successo. Ad esempio se tale tecnica viene adottata da LockBit, che già è il ransomware più veloce tra quelli attualmente esistenti, diverrà molto difficile arrestarne la routine di criptazione. Qyick, essendo scritto in GO è già estremamente veloce: figuriamoci dopo l'adozione della criptazione intermittente.

L'unico limite è che se la criptazione intermittente non viene attuata correttamente (per gli attaccanti) si rende più facile il recupero dei dati da parte delle vittime. Ma in termini di prevenzione degli attacchi ransomware, questa tecnica porterà grandi vantaggi al cyber crime.

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

1609221

Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

venerdì 16 settembre 2022
Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

Certo, è impossibile (né è nostro scopo) elencare dettagliatamente tutti gli attacchi informatici avvenuti in Italia negli ultimi giorni. Alcuni però sono importanti, sia perché indicano tendenze sia perché indicano, invece, gravi mancanze dalle quali si può sempre imparare.

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC

LockBit colpisce la Software Line e il Comune di Gorizia
LockBit 3.0 è ormai, indubbiamente, in vetta e saldamente al comando tra le operazioni Ransomware: il più efficace, il più efficiente, quello che miete più vittime. In Italia ormai ve n'è una distribuzione costante e, di settimana in settimana, aumentano le vittime: di conseguenza continueremo, come stanno facendo giustamente tutti i nostri colleghi di settore, a lanciare l'allarme sul pericolo ransomware e sull'urgenza, ormai irrimandabile, di correre ai ripari.

In ordine di tempo, l'attacco più recente segnalato dagli attentissimi esperti di red Hot Cyber è stato quello della Software Line, comparsa pochi giorni fa nel leak site di LockBit 3.0: il countdown per il pagamento del riscatto è fissato al 24 Settembre.

Fonte: Red Hot Cyber

Come si può vedere, al countdown sono allegati alcuni sample che, come da consuetudine, servono a provare che l'attacco è realmente avvenuto e riuscito.

Si è invece avuto notizia dell'attacco subito dal Comune di Gorizia Lunedì 29 Agosto: quello che inizialmente sembrava un banale disservizio o malfunzionamento, si è rivelato poi un attacco ransomware da parte di qualche affiliato di LockBit 3.0. L'attacco ha costretto a diversi giorni di sospensione di una serie di servizi, alcuni invece sono rimasti attivi perché ospitati su server esterni.

“Per riavere i dati contenuti nel sistema informatico del Comune dovrete pagare seguendo le istruzioni contenute in questo messaggio, in caso contrario i dati saranno pubblicati on line e quindi visibili a tutti”

è il messaggio comparso sui server del Comune.

Il sito web è rimasto sempre attivo, ma non funzionante, forse per mancanza dei backup necessari a ripristinarlo: è tornato consultabile pochi giorni fa.

Fonte: Red Hot Cyber

Due giorni fa la cybergang di LockBit ha pubblicato i dati esfiltrati dai sistemi. Red Hot Cyber li ha visionati e contengono:

dati personali;
Documenti di identità;
Bilanci interni;
Informazioni sui redditi e nascite;
Informazioni sulle case di riposo gestite;
Consuntivi di attività;
Gare di appalto;
Tagli di Budget;
Stipule con le ditte;
Nomine dei dirigenti;
Piani ferie interni;
Informazioni sugli uffici di Anagrafe, Cimitero, Protocollo, Elettorale, ecc…
Informazioni sul COVID;
Passaporti di minori ucraini ecc...
Si parla di 268.000 files per un peso totale di 53GB che possono essere consultati da chiunque e scaricabili liberamente dal leak site di Lockbit. Nella foto sotto, a titolo esemplificativo, riportiamo un file contenente nomi e cognomi, numeri di telefono e contatti email dei consiglieri comunali

Fonte: Red Hot Cyber
Per saperne di più > I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

solosuap (2)

Da settembre 2022 su Appuntamento

SI AVVISA LA GENTILE CLIENTELA
CHE DA SETTEMBRE 2022
L’UFFICIO È APERTO AL PUBBLICO
SOLO SU APPUNTAMENTO

Contattateci usando i seguenti recapiti

Telefono: 015.3700320 - 392.8164969

WhatsApp: 015.3700320 (solo messaggi)

Email: info@yottaweb.net

Fax:015.8970123

dos

Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia

lunedì 29 agosto 2022
Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia

Stiamo ricevendo molte segnalazioni e richieste di supporto da parte di utenti italiani di NAS Qnap colpiti da attacco ransomware. La nuova minaccia si chiama Checkmate.

Il nuovo ransomware Checkmate: è specializzato in NAS Qnap
Il vendor QNAP ha pubblicato un alert relativo ad una nuova operazione ransomware che sta bersagliando i NAS QNAP: il malware si chiama Checkmate e mira alla criptazione di tutti i dati contenuti nei NAS. Nell'alert l'azienda spiega che Checkmate mira i dispositivi QNAP esposti sul web con i servizi SMB attivi e account con password deboli facilmente cracckabili con attacchi di brute-force. Le prime analisi hanno infatti portato a scoprire che il ransomware utilizza un attacco a dizionario per accedere agli account protetti con password deboli. Una volta che gli attaccanti hanno violato l'account, eseguono login da remoto sul dispositivo esposto: procedono quindi a distribuire il ransomware

Checkmate è stato individuato in diffusione per la prima volta intorno al 28 di Maggio: è individuabile a colpo d'occhio perché aggiunge ai file criptati l'estensione .checkmate e la nota di riscatto si chiama !CHECKMATE_DECRYPTION_README. Nella foto sotto, la nota di riscatto: mediamente sono richiesti 15.000 dollari in Bitcoin.

Esempio di nota di riscatto di Checkmate

CheckMate non è al momento risolvibile senza ottenere la chiave di criptazione dagli attaccanti (opzione sconsigliabile). Questo ransomware infatti genera chiavi di criptazione uniche, cioè specifiche, per ogni singola vittima e lo fa in maniera sicura. In genere i ransomware che generano chiavi specifiche sfruttano algoritmi di criptazione come AES, Salsa20, RSA ecc... che non possono essere "forzati" tramite attacchi di brute-forcing.

Prevenire l'attacco è quindi, attualmente, l'unica strategia attuabile per evitare la perdita dei propri dati.

Come proteggersi e bloccare gli attacchi di Checkmate
L'azienda ha consigliato ai clienti di non esporre i propri dispositivi NAS all'accesso Internet e di usare una VPN per ridurre la superficie di attacco e bloccare i tentativi di login degli attaccanti negli account compromessi.

L'alert di QNAP > Checkmate Ransomware via SMB Services Exposed to the Internet

QNAP ha invitato inoltre ad eseguire una revisione di tutti gli account presenti nei NAS, assicurandosi che siano protetti con password solide, a backuppare i dati presenti e ad eseguire backup a cadenza regolare perché siano sempre disponibili per eseguire il ripristino.

E' consigliato anche di disabilitare l'SMB1. Per farlo in QTS, QuTS hero o QuTScloud occorre andare in Pannello di Controllo > Rete & File > Win/Mac/NFS/WebDAV > Microsoft Networking e selezionare SMB2 o superiore, dopo aver cliccato su Opzioni Avanzate.

In ultimo, QNAP ricorda l'importanza di aggiornare il firmware del dispositivo all'ultima versione disponibile. Per farlo in QTS, QuTS hero o QuTScloud occorre accedere come amministratore e selezionare "Verifica aggiornamento" sotto "Aggiornamento in tempo reale" da Pannello di Controllo > Sistema > Aggiornamento firmware.

CheckMate non è da solo...
Che per i NAS QNAP sia un periodo difficile, che dura ormai almeno da un paio di anni, è un dato di fatto. Il vendor è un bersaglio continuo di attacchi ransomware, spinti dalla popolarità e diffusione dei NAS dell'azienda taiwanese. A Giugno già erano state registrate ondate di attacchi dei ransomware eChoraix e DeadBolt.

Per approfondire > Nuova ondata di attacchi ransomware contro i NAS QNAP: di nuovo eChoraix

Vista la situazione, ricordiamo che abbiamo pubblicato un contributo che riassumo le contromisure per proteggere i dispositivi NAS QNAP tenendo di conto delle indicazioni del vendor e dei nostri esperti di criptazione.

Per saperne di più > NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare

Se hai bisogno di supporto e assistenza...
Ricordiamo che le criptazioni di DeadBolt, Checkmate e eChoraix, non sono attualmente risolvibili gratuitamente. Sono invece decriptabili le infezioni di eChoraix avvenute nel 2019. Se hai bisogno di supporto e assistenza contattaci all'indirizzo email alessandro@nwkcloud.com o visita il sito https://www.decryptolocker.it

uno

Italia: i ransomware non vanno in vacanza e ce lo hanno ricordato. Cronaca di un'Agosto difficile

mercoledì 31 agosto 2022
Italia: i ransomware non vanno in vacanza e ce lo hanno ricordato. Cronaca di un'Agosto difficile

Il mese di Agosto ha visto molteplici attacchi contro aziende ed enti pubblici italiani. Una breve panoramica, che ci ricorda che i ransomware non vanno in vacanza e sono una minaccia che può colpire chiunque.

Aziende italiane: Lockbit scatenato
Della nuova, famigerata, versione di Lockbit, la 3.0, abbiamo già parlato qui per una infarinatura di tipo tecnico e relativa alle tecniche estorsive. Non ci dilunghiamo oltre. Il punto semmai è che, dopo poche settimane di test, si può dire che Lockbit si conferma uno dei ransomware più efficaci e attivi presenti nel panorama delle cyber minacce. Italia inclusa. Si conferma la strategia utilizzata da questo gruppo ransomware di commisurare le richieste di riscatto alle effettive disponibilità economiche delle vittime.

Nel mese di Agosto ha colpito e messo sotto ricatto alcune aziende italiane, dandone notizia sul proprio leak site nel dark web. Tra queste figura lo studio di consulenza del lavoro Studio Barba: la rivendicazione dell'attacco è stata pubblicata il 24 Agosto, il 1° Settembre scade il countdown e i dati rubati potrebbero venire pubblicati.

Fonte: Red Hot Cyber
Gli attaccanti hanno richiesto 100.000 dollari per cancellare i dati rubati senza pubblicarli e 200 dollari al giorno per estendere il countdown. Un sample dei dati è già stato pubblicato: si parla di 3.50 GB di dati.

Il giorno dopo, 25 Agosto, i gestori di Lockbit pubblicano un'altra rivendicazione di attacco: questa volta è vittima il Centro Don Serafino Ronchi, poliambulatorio medico bresciano.

Fonte: Red Hot Cyber
Il countdown scadrà il 7 Settembre, 50.000 i dollari richiesti per cancellare i dati, 1000 dollari per prolungare il countdown di un giorno.

A inizio mese è stata la volta dell'azienda Tekinox specializzata nella produzione di acciaio inossidabile. La rivendicazione dell'attacco è stata pubblicata il 2 Agosto, il 9 invece è stata resa pubblica una parte dei dati rubati.

Fonte: Red Hot Cyber

RansomHouse pubblica i dati dell'Unione dei Comuni Toscani
Non solo aziende: un altro gruppo ransomware ormai tristemente attivo in Italia, RansomHouse, ha colpito l'Unione dei Comuni Valdisieve e Valdarno. L'attacco, va detto, è stato rivendicato il 27 Luglio, giorno in cui i sistemi di questa Unione di Comuni sono andati in down. Parliamo dei comuni di:

Pontassieve;
Godenzo;
Londa;
Rufina;
Pelago;
Reggello;
Valdisieve ;
Unione dei Comuni Valdarno.
Due settimane dopo gli attaccanti hanno pubblicato una parte dei dati trafugati, segno che o non sono state condotte trattative o sono fallite. Vi si trovano:

Documenti di identità;
Tessere sanitarie;
Documenti di gare;
Comunicazioni;
Normative interne;
Atti notori;
Informazioni sul coronavirus;
Comunicazioni con le Onlus;
Gare;
Delibere ecc..
Qualche giorno fa gli attaccanti hanno minacciato la pubblicazione integrale dei dati rubati. Parliamo di oltre 2 terabyte di dati.

BlackCat e LV si affacciano in Italia
Chiudiamo la triste carrellata con l'attacco ransomware che ha colpito, a ferragosto, la Elefondati. In questo caso, il gruppo di attaccanti corrisponde all'operazione ransomware LV. I dati rubati ammontano a circa 20 GB, con la particolarità che LV offre alla vittima un servizio di audit interno. In sunto, i criminali promettono che, in caso l'azienda si decida a collaborare e pagare il riscatto, forniranno i dettagli sulle vulnerabilità sfruttate e le criticità rilevate al fine di migliorare la sicurezza della rete che loro stessi hanno bucato. In pratica offrono un servizio di penetration testing.

Per chiudere, il 5 Agosto sul site leak di BlackCat / APLHV (si quella che ha "bucato" l'università di Pisa) è stata pubblicata la rivendicazione dell'attacco al gruppo di consulenza AD Consulting. Una parte dei dati rubati è già stata pubblicata.

Al momento risultano sotto attacco, ma ancora non si hanno informazioni sul gruppo ransomware responsabile, il Comune di Gorizia e la ASL Città di Torino.

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy