waap

WAAP: proteggere le web app e le API. Come fare, quali soluzioni?

Le applicazioni web e le API sono diventate un elemento essenziale per molte aziende e organizzazioni, consentendo loro di offrire servizi online e interagire con i propri utenti in modi innovativi. Tuttavia, con la crescente dipendenza dalle applicazioni web e dalle API, le minacce alla sicurezza si sono moltiplicate, rendendo la protezione di queste applicazioni una priorità assoluta. In questo articolo, esploreremo l’importanza della protezione delle applicazioni web e delle API e le misure che possono essere adottate per mitigare le minacce.

Web app e API sempre più importanti per le aziende
WAAP sta per Web application and API protection e indica un’insieme di soluzioni che sono diventate sempre più importanti mano a mano che la programmazione è andata evolvendosi. I programmatori creano applicazioni web e interfacce sempre più efficienti e sempre più necessarie per l’operatività delle aziende. Queste web app e le API necessarie per farle funzionare ed integrare con altri servizi, hanno accesso a quantità sempre crescenti di dati sensibili ed è ovvia conseguenza il fatto che web app e API finiscano sempre più spesso nel mirino dei cyber attaccanti.

Un’applicazione web “gira” infatti su web server che sono esposti in Internet, così da consentire agli utenti di interagire con l’interfaccia software tramite i propri browser web. Le API invece ricomprendono tutti quei servizi o protocolli di back-end che supportano il front-end (archiviazione dei dati, integrazione con servizi esterni ecc…). Di fatto le applicazioni web e i micro-servizi che tutte le aziende ormai utilizzano sono sempre più dipendenti dalle API per la quasi totalità delle interazioni. Il problema è che le soluzioni di sicurezza classiche non forniscono più una protezione sufficiente. Rendendo così necessaria l’adozione di nuove soluzioni di sicurezza al passo coi tempi.

Perchè le tradizionali soluzioni WAF (web application firewall) non bastano più?
E’ una legge inviolabile quella per cui quando uno sviluppatore crea una nuova funzionalità, servizio o caratteristica, la superficie di attacco va a crescere. Nel frattempo le tecniche di attacco ovviamente sono andate evolvendosi di pari passo con l’evolversi delle moderne web app. Le soluzioni WAAP nascono proprio dalla consapevolezza dell’evoluzione sia del cyber crimine. I team di sicurezza hanno avuto la necessità di mitigare attacchi DDoS e contro le API senza però dover ricorrere all’ottimizzazione manuale. Una pratica che richiede tempo e risorse eccessivi da parte di personale molto qualificato.

Ecco quindi che le tradizionali soluzioni WAF (web application firewall) non sono più state adatte allo scopo e non scalabili. Fosse anche solo perché messa a punto, ottimizzazione e mantenimento manuali non sono più sostenibili in un ambiente sottoposto a continui cambiamenti. In un mondo in cui ormai tutto corre (molto) veloce, le soluzioni e i protocolli WAF sono ad alto rischio di divenire obsoleti in pochissimo tempo. Può quindi capitare che i team di sicurezza che non riescono a fare fronte a questo lavoro manuale di messa a punto e aggiornamento delle regole di sicurezza, si trovino nella condizione di dover sospendere i sistemi di protezione per non interrompere le attività aziendali e non impattare negativamente sull’attività degli utenti.

Per uno sguardo più ampio > SOC – Security Operation Center: che cosa, perché, come

WAAP: arginare le minacce contro web app e API
Le soluzioni WAAP, va detto, integrano anche WAF. Il punto è che non si limitano più solo a quello. I servizi WAF ora sono affiancati a più soluzioni, come quelle di API Security, Bad Bot Mitigation, Dos Protection, CDN, Virtual Patching ecc…

Ecco il primo grande vantaggio delle soluzioni WAAP: attingono dati da più fonti, consentono una gestione unificata della sicurezza e forniscono report aggregati. Non solo: l’insieme combinato di soluzioni e funzionalità, protocolli e policy offerti dai servizi WAAP consentono la protezione da una vasta gamma di minacce come

Cross-Site Scripting (XSS): avviene quando gli attaccanti iniettano ed eseguono porzioni di codice dannoso in web app legittime / innocue;
Cross-site Request Forgery (XSRF): accade quando una fonte esterna esegue comandi e determinate attività tramite utenti autenticati senza il loro consenso;
SQL Injection, OS Command Injection: sono, questi, vettori di attacco piuttosto comuni, che utilizzano codice SQL dannoso per manipolare i atabase del backend, così da avere accesso a informazioni che non dovrebbero essere disponibili;
Bad Bots: qui si parla di software che eseguono in internet task automatiche a scopi dannosi, come frodi o furti;
Attacchi DoS: detti anche Denial of Servic, sono attacchi con i quali si tenta il blocco o il down di web app o API indondandoli di una enorme quantità di taffico fasullo
e non solo: altri rischi sono l’esecuzione di codice dannoso da remoto, l’esecuzione di comandi da remoto, l’Hijacking delle sessioni ecc… Per maggiori info, consigliamo la lettura dell’ Open Web Application Security Project (OWASP): elenca le top10 minacce che colpiscono web app e API.

Lo sapevi che esiste una suite di cyber security made in Italy, che integra 4 diversi moduli di sicurezza come WAAP, SOC, CTI e Log Managent?

Scopri Octofence WAAP

ransomware_play_coldiretti

Il Ransomware Play rivendica un attacco contro Coldiretti

Il gruppo ransomware Play ha rivendicato un attacco contro Coldiretti. I dati dovrebbero essere pubblicati tra 10 giorni, in caso di mancato pagamento del riscatto

Ransomware Play rivendica attacco alla Coldiretti

Nella giornata del 18 Aprile, il gruppo ransomware Play ha pubblicato sul proprio leak site la rivendicazione di un attacco che il gruppo avrebbe portato con successo contro Coldiretti. Nello stile di Play, non c’è molto testo a supporto della rivendicazione.

La rivendicazione dell'attacco contro Coldiretti sul leak site del ransomware Play
La rivendicazione dell’attacco contro Coldiretti sul leak site del ransomware Play
Come si vede, infatti, gli attaccanti hanno annunciato la vittima (Coldiretti, citando il sito web www.coldiretti.it) e avviato il countdown per la pubblicazione dei dati. In caso di mancato pagamento del riscatto o di accordo tra Coldiretti e il gruppo ransomware, gli attaccanti minacciano la pubblicazione dei dati esfiltrati dalla rete il giorno 28 Aprile.

Aprendo il post, gli attaccanti danno più informazioni. Ad esempio informano su chi sia Coldiretti (la principale organizzazione di produttori agricoli a livello nazionale ed europeo) e specificano che i dati in loro possesso sono dati personali e privati confidenziali, dati finanziari, contratti ma anche informazioni sui clienti e i dipendenti.

La rivendicazione dell'attacco contro Coldiretti sul leak site del ransomware Play
Fonte: site leak del ransomware Play
Non ci sono però sample (quindi nessun dato al momento è pubblicato) e non viene neppure specificato l’ammontare dei GB in mano agli attaccanti.

Ransomware Play: cosa sappiamo per adesso?
Play Ransomware è piuttosto recente. La prima individuazione risale al Giugno 2022 e lo ha classificato, fin da subito, nella tendenza ransomware della doppia estorsione. Play è infatti una delle molteplici operazioni ransomware che, una volta ottenuto l’accesso alla rete bersaglio, fa precedere la routine di criptazione dei dati da una fase di esfiltrazione degli stessi. La vittima così non solo è impossibilitata ad accedere ai propri dati, ma subisce anche la minaccia di vedere pubblicati dati riservati e personali.

Nel tempo sono stati osservati molteplici vettori di attacco in uso a questa operazione ransomware, ma i principali sono:

email di phishing
accesso illegittimo ad account compromessi
attacchi contro server RDP esposti.
Una volta stabilita una “testa di ponte”, gli attaccanti utilizzano LOLBINS per esplorare l’ambiente e preparare il terreno all’esecuzione del malware sulle macchine bersaglio. LOLBINS è un acronimo che sta per Living Off the Land Binaries ed è una espressione che indica, in gergo tecnico, l’uso di strumenti legittimi e preinstallati per diffondere malware sui sistemi. In questo caso gli attaccanti utilizzano binari Windows per nascondere l’attività dannosa.

Ransomware Play: l’esecuzione
L’eseguibile di Play è scritto in Visual C++ ed è “infarcito” di funzionalità anti debugging e anti forensi per rallentare il più possibile l’analisi delle attività del malware. Si passa dal classico uso di codice spazzatura (codice inutile oppure istruzioni scollegate tra loro) a funzionalità che portano l’esecuzione in un vicolo cieco. Non solo: tra le attività anti forensi si nota l’hashing dell’API. Non solo: le stringhe principali di questo ransomware sono criptate in memoria.

L’esenzione di criptazione che contraddistingue questo ransomware dà origine anche al nome del ransomware, PLAY appunto.

File criptati dal ransomware PLAY
File criptati dal ransomware PLAY
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

ransomware_lockbit_mac

Ransomware Lockbit: arriva l’encryptor per i dispositivi MAC

Il gruppo ransomware Lockbit, primo tra i top ransomware, ha creato un encryptor che mira per la prima volta ai dispositivi MAC.

Ransomware LockBit: il primo top ransomware che attacca i MAC?
Il gruppo ransomware Lockbit, primo tra i top ransomware, ha creato un encryptor che mira per la prima volta ai dispositivi MAC. Non era mai successo che una delle principali operazioni ransomware attive producesse un malware specificatamente pensato per colpire i dispositivi MAC.

“locker_Apple_M1_64”: 3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79
As much as I can tell, this is the first Apple’s Mac devices targeting build of LockBit ransomware sample seen…
Also is this a first for the “big name” gangs?
🤔@patrickwardle
cc @cyb3rops pic.twitter.com/SMuN3Rmodl

— MalwareHunterTeam (@malwrhunterteam) April 15, 2023
Il nuovo encryptor di LockBit è stato individuato dai ricercatori di MalwareHunterTeam, che lo hanno scoperto per caso. Qualcuno su VirusTotal ha infatti caricato un archivio ZIP contenente la maggior parte degli encryptor LockBit disponibili. Storicamente le operazioni LockBit hanno visto l’uso di encryptor approntati per attaccare sistemi WIndows, Linux e server VMware ESXi. Ecco però, come si può vedere sotto, che l’archivio caricato su Virus Total contiene molti encryptor LockBit fino ad ora sconosciuti.

La lista degli encyrptor del ranosmware Lockbit. Si vede quello per MAC
Fonte: Bleeping Computer
Tra questi encryptor se ne nota uno chiamato ‘locker_Apple_M1_64’ che prende di mira i MAC più recenti con Apple Silicon. L’archivio però contiene anche encryptor per le CPU PowerPC, in uso sulle versioni meno recenti di MAC.

Va detto comunque che il ricercatore di sicurezza Florian Roth aveva già individuato, anche in questo caso caricato su Virus Total, un encryptor per Apple M1 già nel Dicembre 2022.

Ransomware LockBit per Mac? Probabilmente sono build di test
Gli esperti di Bleeping Computer hanno analizzato l’encryptor Lockbit per Apple M1 e hanno trovato alcune stringhe “fuori posto” in un encryptor per sistemi operativi Mac. Non solo: ci sono anche numerosi riferimenti a VMware ESXi, anche in questo caso del tutto fuori luogo in un encryptor per Apple M1 (a maggior ragione perché VMware ha già annunciato che non avrebbe supportato l’architettura di questa CPU).

check_esxi esxi
_Esxi
_kill_esxi_1
_kill_esxi_2
_kill_esxi_3
_kill_processes
_kill_processes_Esxi
_killed_force_vm_id
_listvms
_esxcfg_scsidevs1
_esxcfg_scsidevs2
_esxcfg_scsidevs3
_esxi_disable
_esxi_enable
Non solo: l’encryptor contiene una lista di 65 diverse estensioni file e filename che saranno escluse dalla routine di criptazione. Tutte queste hanno a che fare e afferiscono a cartelle ed estensioni di file Windows. Eccone un piccolo estratto:

.exe
.bat
.dll
msstyles
gadget
winmd
ntldr
ntuser.dat.log
bootsect.bak
autorun.inf
thumbs.db
iconcache.db
La notizia ha fatto il giro della community IT e sono numerosi i ricercatori che hanno verificato questi encryptor. Ad esempio Cisco Thalos conferma la teoria di Bleeping Computer secondo la quale siamo di fronte (per adesso) ad un encryptor di test. E’ un dato di fatto, in effetti, se prendiamo per buono il codice dell’encryptor trovato su VirusTotal, che questo non ha le capacità né le funzionalità per criptare propriamente un MAC.

Il ricercatore Patrick Wardle, addirittura, ha spiegato di aver tentato di lanciare l’encryptor per il MAC. E’ andato subito in crash a causa di un bug di buffer overflow nel codice.

Per Wardle questo encrypto si baserebbe sulla versione per Linux di Lockbit d è stato compilato per Mac con alcune impostazioni di configurazione piuttosto basilari.

Worth stressing, as LockBit macOS sample though *compiled* for macOS really isn’t (yet) designed for macOS.

1. Unsigned (won’t easily run on macOS)
2. Doesn’t appear to take into account TCC/SIP, so won’t be able to encrypt much of anything

So (in current form) macOS impact: ~0 https://t.co/zYVNhfYLRo

— Patrick Wardle (@patrickwardle) April 16, 2023
Qui sono consultabili i dettagli tecnici dell’analisi condotta da Wardle

Un portavoce di Lockbit (LockBitSupp) ha comunque effettivamente confermato alla redazione di Bleeping Computer che un encryptor per MAC è effettivamente in via di sviluppo.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

01

ChatGPT: il Garante italiano non è più solo

ChatGPT e il Garante italiano: OpenAI blocca l'accesso dall'Italia
Il 31 Marzo il Garante per la protezione dei dati personali ha disposto la limitazione del trattamento dati di utenti italiani nei confronti di OpenAI, l'azienda proprietaria di ChatGPT.

“Stop a ChatGPT finchè non rispetterà la disciplina privacy”

è l’incipt del comunicato stampa col quale il Garante annuncia lo stop provvisorio. Concretamente significa che il Garante per la Protezione dei dati personali ha disposto “con effetto immediato” la limitazione del trattamento dati degli utenti italiani. OpenAI, che ricordiamo è società statunitense, non potrà trattare ulteriormente i dati degli utenti italiani. Non per sempre, va detto, ma almeno fino a quando non adempirà alle previsioni della normativa privacy.

Contestualmente il Garante ha anche annunciato l’avvio dell’istruttoria, mentre in data 5 Aprile c'è stao un primo incontro tra l'autorità italiana e rappresentanti di OpenAI per cercare una soluzione.

Per approfondire > Il Garante Privacy impone lo stop a ChatGPT

I Garanti europei (e non solo) iniziano ad intervenire sulle AI
Se, da una parte, alcuni parlamentari europei hanno espresso profonda contrarietà alla decisione del Garante italiano, dall'altra altre autorità iniziano ad interessarsi a ChatGPT. La Reuters, ad esempio, ha fatto sapere che le autorità di protezione dei dati personali di Francia e Irlanda hanno contattato l'autorità italiana per conoscere i dettagli del divieto. Ugualmente la Germania sembra intenzionata a muoversi nella stessa direzione, mentre il Garante spagnolo si è dimostrato possibilista rispetto ad una futura indagine pur non avendo ricevuto reclami formali.

"Stiamo in contatto con l'autorità italiana. Ci coordineremo con tutte le autorità di protezione dei dati UE in relazione a questa questione"

ha detto un portavoce dell'autorità garante irlandese.

Il Canada ammonisce Chat GPT (e non solo)
L'autorità garante canadese ha optato, invece, per una decisione molto simile a quella del nostro Garante avviando un istruttoria sull'azienda dietro ChatGPT, ovvero OpenAI.

"La tecnologia AI e i suoi effetti sulla privacy sono una priorità per il mio Ufficio. Dobbiamo stare al passo con i rapidi progressi tecnologici e anticiparli: questa è una delle principali aree di interesse in qualità di Commissario"

ha dichiarato il Commissario Privacy canadese Philippe Dufresne.

L'istruttoria è stata avviata in risposta ad una denuncia relativa alla raccolta, uso e divulgazione di informazioni personali senza consenso degli interessati. L'indagine è ad ora in corso e non si hanno ulteriori dettagli.

ChatGPT e Garante italiano: a che punto siamo?
Nel frattempo c'è un aggiornamento importante. Qualche giorno fa c'è stato un incontro tra il garante Privacy italiano e OpenAI. Nel comunicato stampa che il Garante ha pubblicato sul proprio sito web si legge che

"OpenAI, pur ribadendo di essere convinta di rispettare le norme in tema di protezione dei dati personali, ha tuttavia confermato la volontà di collaborare con l’Autorità italiana con l’obiettivo di arrivare ad una positiva soluzione delle criticità rilevate dal Garante riguardo a ChatGPT".

OpenAI ha preso l'impegno di:

rafforzare la trasparenza nell'uso dei dati personali degli interessati,
migliorare meccanismi e modalità di esercizio dei diritti degli interessati
introdurre garanzie per i minori.

balada_injector

Balada Injector infetta più di 1 milione di siti WordPress

Il malware Balada Injector ha infettato oltre un milione di siti WordPress. Balada Injector è in diffusione dal 2017

WordPress: la campagna di distribuzione di Balada Injector infetta più di 1 milione di sitiweb
I siti compromessi durante l’ultima, lunga, campagna di distribuzione di Balada Injection sono, si stima, più di 1 milione. La campagna ha fatto leva su più vulnerabilità conosciute di plugin e temi per iniettare una backdoor Linux ribattezzata appunto Balad Injector.

Balad Injector è in distribuzione dal 2017 e mira, prevalentemente, a reindirizzare gli utenti verso pagine di supporto fake, lotterie e premi falsi e truffe di vario tipo. La campagna di distribuzione attualmente in corso è stata individuata dai ricercatori di Sucuri, molto attenti ai cyber rischi che minacciano WordPress. In ogni caso questa campagna non mostra grandi differenze con quella che invece hanno individuato, nel Dicembre del 2022, i ricercatori dei nostri partner di Dr. Web.

Balada Injector: come si diffonde
Sucuri riporta che Balada Injector attacca ad ondate, una volta al mese circa, usando un dominio nuovo, registrato di volta in volta, per evitare il problema delle liste bloccate. I ricercatori hanno potuto anche verificare che questa campagna fa leva sulle più recenti vulnerabilità individuate e sviluppa una routine di attacco “cucita” appositamente intorno alla vulnerabilità che vuole prendere di mira.

Add-on colpiti da una specifica ondata di attacco
Add-on colpiti da una specifica ondata di attacco. Fonte: Sucuri
Ecco che le tecniche di infezione, quindi, variano a seconda della vulnerabilità sfruttata. Ci sono stati casi di HTML injecton o di JS injection in temi e plugin: tutto allo scopo di ottenere l’accesso all’account amministratore. Non solo: gli attaccanti in alcuni casi hanno iniettato codice nelle pagine del sito una volta rubate le credenziali del database, così come sono riusciti a cariare file e ulteriori backdoor. I vettori di attacco sono così tanti che, comportamento piuttosto raro, gli attaccanti hanno preso di mira più volte anche lo stesso sito. Il caso limite, spiegano da Sucuri, è quello di un sito web che è stato attaccato 311 volte on ben 11 diverse versioni di Balada.

Un esempio di Injection
Un esempio di Injection. Fonte: Sucuri
Tra le falle più sfruttate la recentissima vulnerabilità del plugin Elementor PRO.

L’attività post infezione
Gli script che compongono Balada si concentrano sull’esfiltrazione di informazioni sensibili come le credenziali dei database da file config.php. Così, anche nel caso in cui il gestore del sito web riuscisse a ripulire l’infezione e patchare le vulnerabilità usate, l’attaccante riesce comunque a mantenere l’accesso.

Balad Injector cerca anche i backup e i database, i log degli accessi, le info di debug e in generale tutti i file che potrebbero contenere dati sensibili. Balad Injector prende di mira anche strumenti di amministrazione dei database come Adminer e phpMyAdmin: se questi tool presentano vulnerabilità o sono mal configurati, gli attaccanti cercano di sfruttarli per creare nuovi utenti amministratori, estrarre informazioni dal sito o eseguire l’injection di malware persistenti nel database.

Se nessuna di queste tecniche ha successo, gli attaccanti optano per il più classico brute-force lla password amministratore.

La backdoor di Balad
Balad Injector installa più backdoor sui siti Worpress compromessi, in cerca della ridondanza degli accessi abusivi. Sucuri spiega che, ad un certo punto del 2020, Balada scaricava backdoor in ben 176 percorsi predefiniti, trasformando la rimozione della backdoor in una vera e propria sfida. Non solo: le backdoor “impiantate” cambiano nome di ondata in ondata, rendendo ancora più difficile individuazione e rimozione.

Un estratto della lista con i percorsi per la backdoor
Un estratto della lista con i percorsi per la backdoor. Fonte: Sucuri
I ricercatori spiegano, comunque, che Balad Injector non è presente su tutti i siti web compromessi. Il motivo è semplice, dato che sarebbe una grossa difficoltà gestire un numero così grande di client. Così sembra che gli attaccanti abbiano caricato il malware su siti web ospitati su server privati o VPS che mostrano di essere trascurati e di non essere correttamente gestiti. Da lì gli injector eseguono la scansione dei siti web che condividono lo stesso lo stesso account del server e le stesse autorizzazioni sui file, in cerca di directory scrivibili. Cominciando, ovviamente, da quelle con privilegi più elevati.

Un approccio che porta alcuni vantaggi agli attaccanti, perché permette di compromettere facilmente diversi siti web e diffondere molto velocemente le backdoor pur dovendo gestire un numero minimo di injector. Inoltre le infezioni cross-site consentono di reinfettare nuovamente siti web ripuliti, a patto che gli attaccanti abbiano ancora l’accesso al VPS.

Guida rapida di sicurezza per WordPress
Senza pretesa di completezza, per dare le prime indicazioni di massima, ecco alcuni passi per migliorare al sicurezza dei siti web gestiti con WordPress.

aggiornare CMS, plugin e temi:
gli attaccanti cercano regolarmente di sfruttare le falle dei CMS o delle componenti di terze parti dei siti web. Attacchi automatizzati colpiscono le vulnerabilità già conosciute dei siti web, ecco perché è importante mantenere aggiornate le componenti del sito web;
password solide:
password deboli, già trapelate online, utilizzate per più account sono un vero e proprio buco nella sicurezza. Una protezione firewall previene attacchi di brute-forcing, una password solida riduce il rischio di esposizione delle password. Anche la password del database deve essere solida;
occhio alle permissioni:
Ad ogni utente le permissioni minime secondo le mansioni che deve svolgere sul sito web: questa è una pratica di igiene informatica che può ridurre il rischio di perdere il controllo degli utenti con i privilegi di amministrazione.
modifica la pagina di login:
La pagina classica di login per WordPress è miodominio/wp-admin. Ed è esattamente l’indirizzo di login che gli attaccanti si aspettano di trovare per ogni sito web WordPress. Sono disponibili centinaia di plugin (ma questa modifica è possibile anche dal Cpanel del sito web) che consentono di modificare l’indirizzo di login in una stringa casuale.
installa plugin che consentano di mantenere il log degli accessi:
sarà più semplice avere contezza di ciò che sta accadendo sul nostro sito web, quali utenti stanno accedendo, da quale indirizzo IP ecc… così da poter procedere al blocco di IP, email o utenti sospetti;
installa plugin di sicurezza…
WordPress offre centinaia di plugin di sicurezza, gratuiti o meno, che consentono di:
introdurre meccanismi anti-bot;
limitazioni dei tentativi di login;
firewall;
blocco della possibilità di modificare i file config.php o htaccess.php ecc…

Ministero_Salute_hacked-1080x675

Ministero della Salute hacked? E’ una fake news

Ministero della Salute hacked? Questa la notizia , da qualche giorno rimbalza, su vari siti di settore (e non solo). Ma l’origine dei dati rubati è diversa

Iniziamo dai fatti: pubblicati 37 GB di dati di 3 milioni di cittadini italiani
I fatti: il 13 Aprile 2023 sul canale Telegram del noto gruppo specializzato in furto e rivendita dati Kelvin Security è comparso un annuncio di vendita di dati di cittadini italiani. Tra i primi a darne notizia gli esperti di H4ckmanac, in dettaglio Sofia Scozzari

#Italy🇮🇹: un database con dati appartenenti al Ministero della Salute https://t.co/h7j1IgToE8 in vendita su #Telegram

I sample vengono forniti a richiesta#darkwebmonitoring #databreach #dataleak #hackmanac #hotd pic.twitter.com/dtMqWRUv0F

— Sofia Scozzari (@SofiaSZM) April 13, 2023
Il database in questione, stando all’annuncio, ammonta a 37 GB e conterrebbe:

codice sorgente
i dati di 3 milioni di utenti
informazioni bancarie
documenti di varia natura
L’annuncio, pubblicato dall’utente Sk1pp3r, non specifica neppure il prezzo (fatto inconsueto), ma indica chiaramente che saranno accettati solo pagamenti in criptovalute. Qui si concludono le informazioni: Sk1pp3r ha dimostrato la volontà di fornire informazioni aggiuntive solo in trattative dirette. Così alcuni esperti hanno contattato Sk1pp3r e cercato di ottenere informazioni maggiori.

Quegli strani screen…
Mentre media di settore e non solo iniziavano con la sequela dei titoloni “Ministero della Salute hacked!” e simili, Sk1pp3r ha risposto ad alcuni esperti che si sono finti interessati alla vendita. L’occhio esperto ha subito notato qualcosa che non andava. A partire dai sample mostrati. Sono pochi e veramente “scarni”. Eppure ogni “buon venditore di dati” deve fornire sample validi ed efficaci, che dimostrino la veridicità dei dati e la fonte stessa. Invece Sk1pp3r non ha fatto altro che girare pochi sample, in messaggi a scomparsa: sample che, badate bene, non erano archivi, file excel o altro ma screenshot di video che mostrano archivi.

Dai sample si nota un dettaglio non secondario: nei sample ricorre spesso la parola “Alessandria”.

Uno degli screen dei video che mostrano i sample
Fonte: Sofia Scozzari – H4ckmanac
Infine Sk1pp3r “rivela” la fonte (secondo lui salute.gov.it) e il costo (500 dollari in Bitcoin).

Fonte (fake) e costo dell'archivio dei dati
Fonte: https://twitter.com/lmercatanti
Altro che Ministero della Salute: Sk1pp3r sta cercando di truffare i truffatori!
Si arriva dunque alla soluzione del mistero, mentre parte della stampa viene di nuovo impossessata dall’isteria, fatto che, nell’ultimo periodo, pare impedire ai più di provare a verificare fonti e notizie prima di diffondere allarmi falsi e fake news.

La testata insicurezzadigitale rintraccia e rileva l’origine dei dati. Che non sono, appunto, del Ministero della salute, non sono stati trafugati da Sk1pp3r e Sk1pp3r sta solo cercando di truffare altri cyber-furbetti rivendendo loro dati già gratuitamente disponibili nel web.

In dettaglio questi dati appartengono all’Azienda Ospedaliera di Alessandria, che ha subito una violazione dei dati alla fine del Dicembre dello scorso anno. L’attacco fu rivendicato dal gruppo ransomware ragnarLocker e fece un certo scalpore perchè gli attaccanti, tra le altre cose, hanno ripetutamente attaccato i sistemisti e l’azienda responsabile della sicurezza dei dati dell’ASL di Alessandria. Invitando addirittura a “sostituire l’intero personale IT”.

I 37 GB dell’archivio messo a disposizione da Sk1pp3r guarda caso coincidono con i 37 GB di dati trafugati e poi pubblicati dal gruppo ransomware RagnarLocker.

Fonte: RagnarLocker site leak
L’ansia di “bruciare i tempi” produce fake news

Forse nell’ansia di bruciare i tempi, essere citati, uscire per primi, molte sono state le redazioni (anche di un certo spessore, beninteso: fare i nomi non rientra nel nostro stile, ma una semplice ricerca su Google sarà più che esaustiva). Di fatto, parte della stampa ha pubblicato senza alcuna verifica la notizia di un attacco informatico contro il Ministero della Salute solo perché un utente anonimo su un canale Telegram ha “rivendicato” di averlo fatto.

Chissà se Sk1pp3r avrebbe mai immaginato di riuscire a truffare non solo alcuni “colleghi di rivendita dati”, ma anche la stampa e perfino alcune testate di settore.

Eppure il tema è molto serio, in termini di sicurezza nazionale, delle aziende e anche dei singoli cittadini. I dati di utenti italiani trafugati e in vendita sono sempre di più, crescono di giorno in giorno, così come di giorno in giorno aumentano gli attacchi ransomware e i data breach ( l’ultima notizia? Tre marche di Auto violate in un mese e dati degli italiani nelle underground. Sono solo coincidenze?)

f64f06c3ee15512e8905a67956a5b5c8

Garante Privacy e ChatGPT: arriva lo stop

“Stop a ChatGPT finchè non rispetterà la disciplina privacy”

l’incipt del comunicato stampa col quale il Garante annuncia lo stop provvisorio a ChatGPT è chiaro. Concretamente significa che il Garante per la Protezione dei dati personali ha disposto “con effetto immediato” la limitazione del trattamento dati degli utenti italiani. OpenAI, che ricordiamo è società statunitense, non potrà trattare ulteriormente i dati degli utenti italiani. Non per sempre, va detto, ma almeno fino a quando non adempirà alle previsioni della normativa privacy.

Contestualmente il Garante ha anche annunciato l’avvio dell’istruttoria.

Garante Privacy: perché lo stop al trattamento dati?
Mettiamo mando al provvedimento completo per comprendere i perché dello stop al trattamento dei dati degli utenti italiani. Il Provvedimento è insolitamente breve, sicuramente perché adottato di emergenza e senza aver condotto istruttoria.

I punti però sono molto chiari:

nessuna informativa viene fornita agli utenti su come i dati siano raccolti da OpenAI e trattati tramite ChatGPT;
assenza di idonea base giuridica sia per la raccolta dati personali sia per la finalità dichiarata, overo addestrare gli algoritmi alla base del funzionamento di ChatGPT;
il trattamento dei dati personali risulta difforme e non sempre corrispondente a quanto dichiarato da OpenAI;
nessun meccanismo di verifica dell’età degli utenti, nonostante OpenAI dichiari che il servizio sia riservato a chi ha compiuto almeno 13 anni.
Per saperne di più > DATAFICATION: la nostra esistenza in dati

Il Garante Privacy stoppa ChatGPT
Ecco quindi perché il Garante ha deciso di bloccare ChatGPT in Italia. Nel provvedimento si legge, in dettaglio:

“ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano”.

Limitazione che, come dicevamo, ha effetto immediato. OpenAI ha 20 giorni dalla ricezione del provvedimento per comunicare al Garante tutte le iniziative adottate per risolvere la posizione di non conformità ai regolamenti privacy.

La reazione di OpenAI non si è fatta attendere

SOC_Security_Operation_Center

SOC – Security Operation Center: che cosa, perché, come

SOC: iniziamo dalle basi
SOC sta per Security Operation Center. Un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. E’ il compimento della “real-time security situational awareness“, ovvero della necessità di tutte le organizzazione di avere piena consapevolezza, in tempo reale, di quanto accade sulla rete aziendale e sui dati.

Per andare ancora più in dettaglio, la Direttiva NIST, specifica che tra le prerogative di un SOC ci sono:

identificare;
proteggere;
rilevare;
rispondere;
ripristinare
Insomma, un SOC consente di identificare tempestivamente le minacce informatiche e di reagire prontamente per limitare i danni. Gli strumenti di monitoraggio avanzati consento anche la prevenzione degli attacchi. Il grande vantaggio del SOC è quello di raccogliere e analizzare informazioni “sul campo”, centralizzando eventi “sparpagliati”. Le informazioni vengono aggregate in maniera automatizzata fino a quando arrivano a costituire una informazione utile presentata in maniera che sia “gestibile per un essere umano”.

SOC: perché?
Prima di addentrarci nel come, vediamo i perché. Perché il SOC è diventato un elemento imprescindibile per la sicurezza informatica delle organizzazioni? Come tutti i contesti complessi, non è possibile essere Esaustivi, ma alcune motivazioni sono lampanti:

la crescente complessità delle minacce informatiche:
con il proliferare di nuovi tipi di attacchi informatici, sempre più sofisticati e complessi, le aziende sono esposte a un’ampia gamma di minacce informatiche che possono causare danni significativi. Basti pensare al mondo dei ransomware e del Ransomware As A service, un vero e proprio business illegale, organizzato a livello industriale.
il sempre maggior impatto dei cyber-attacchi:
il trend degli ultimi anni conferma che i cyber attacchi hanno un impatto sempre crescente sulle proprie vittime. Anzitutto in termini di aumento del numero delle vittime: stando al Cyber Threat Landscape di SonicWall, nel 2020 ci sono stai 304 milioni di attacchi informatici in tutto il mondo, il 60% in più del 2021. Non finisce qui: anche le perdite finanziarie subite dalle vittime sono in crescita costante, di anno in anno. Infine, ed è ovvio, i cyber attacchi hanno un impatto sempre più profondo tanto più che aumenta la nostra dipendenza dalla tecnologia: più ci digitalizziamo, più ci esponiamo a rischi;
la mancanza di personale specializzato:
molte aziende non dispongono di personale specializzato per monitorare costantemente la propria rete alla ricerca di anomalie o attività sospette.
conformità normativa:
negli ultimi anni, sono state introdotte molte normative sulla sicurezza informatica e sulla protezione dei dati. Qui in Europa il GDPR ha imposto alle aziende di proteggere i dati di clienti, fornitori, collaboratori ecc… e chi non si adegua rischia pesanti sanzioni.
Non stupisce quindi, che il SOC sia diventato così importante per le aziende. Consente di proteggere i dati e i sistemi informatici da una vasta gamma di minacce informatiche, di conformarsi alle normative sulla sicurezza informatica e sulla protezione dati, di compensare la mancanza di personale specializzato e di ridurre l’impatto dei cyber-attacchi.

Per saperne di più > L’offerta di s-mart si amplia: in arrivo le soluzioni di cybersecurity di SicuraNext per le PMI

L’evoluzione da mero servizio di allerta al centro operativo odierno
Certo, la storia del SOC va quasi di pari passo con l’evoluzione delle minacce informatiche. Negli anni 90 ad esempio le soluzioni di sicurezza raramente andavano oltre il firewall e un software antivirus. Non si sentiva molto l’esigenza di un monitoraggio in tempo reale della rete e degli endpoint. D’altronde gli attacchi informatici si limitavano quasi esclusivamente a programmi fastidiosi il cui impatto era piuttosto ridotto. Le aziende connesse in Internet erano pochissime, molte non erano connesse alla rete.

Verso la fine degli anni 90 nascono i CERT (Computer Emergency Response Team), in ambito militare e governativo. Sono i CERT a porre le fondamenta, il “brodo primordiale” di quello che oggi chiamiamo SOC. Iniziano ad apparire tecnologie aggiuntive all’antivirus, come i sistemi anti intrusione IDS.

Per approfondire > Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

I SOC di seconda generazione vedono la nascita dei Manage Security Service Provider (MSSP), ma anche risorse importantissime per la sicurezza delle informazioni come l’ormai stra-noto database Common Vulnerabilities and Exposure (CVE). La diffusione di virus e worm inizia a rendere necessarie piattaforme di tipo SIEM (Security Information and Event Management). Qui già si comincia ad aggregare e correlare dati da più sistemi e fonti di log.

Con l’aumento della complessità delle minacce informatiche, i SOC si sono specializzati sempre di più, concentrandosi su specifiche aree di sicurezza informatica. Ad esempio, ci sono SOC focalizzati sulla sicurezza cloud, sulla protezione dei dati, sulla prevenzione degli attacchi DDoS, e così via. Inoltre, i SOC hanno iniziato ad integrare tecnologie di Intelligenza Artificiale e Machine Learning per identificare e mitigare le minacce in modo più efficace.

Oggi, il SOC è diventato un centro operativo altamente specializzato, in cui esperti di sicurezza informatica, ingegneri di rete e analisti dei dati lavorano insieme per proteggere le reti e i sistemi informatici dalle minacce.

Rorschach_ransomware

Rorschach ransomware: ha l’encryptor più veloce mai visto

Rorschach è un nuovo ransomware. Per ora ha colpito solo negli Stati Uniti ma ha una caratteristica che lo rende molto pericoloso: la più alta velocità di criptazione mai vista.

Rorschach ransomware: cosa sappiamo per adesso
I ricercatori di sicurezza di CheckPoint hanno trovato un nuovo ransomware andando ad analizzare la rete di un’azienda statunitense, vittima di attacco ransomware. Il malware che gli attaccanti hanno distribuito su quella rete appartiene ad una nuova famiglia ransomware, ribattezzata Rorschach.

Intanto sappiamo che gli attaccanti hanno distribuito il rasomware usando la tecnica detta DLL side-loading. Questa è una tecnica di attacco che sfrutta vulnerabilità presenti in alcune applicazioni che caricano in modo non sicuro librerie dynamic-link (DLL) da percorsi di ricerca non affidabili. In pratica, un attaccante può creare una DLL malevola con lo stesso nome di una DLL richiesta da un’applicazione, e posizionarla in una directory in cui l’applicazione cerca per primo le DLL richieste. Quando l’applicazione cerca la DLL richiesta, caricherà la DLL malevola invece di quella legittima, consentendo all’attaccante di eseguire codice dannoso sul sistema dell’utente.

In dettaglio gli attaccanti hanno usato Cortex XDR Dump Service Tool (cy.exe) di Palo Alto Network,versione 7.3.0.16740, per il side-loading del loader di Rorschach ransomware e l’injector (winutils.dll): si arriva così all’esecuzione del payload del ransomware, (config.ini)in un processo notepad.

La catena di attacco di Rorschach ransomware
Fonte: Checkpoint
Di Rorschach ransomware sappiamo anche che se da una parte presenta configurazioni già integrate nel codice, dall’altra supporta anche argomenti della linea di comando. Così questo ransomware può espandere le proprie funzionalità.

Rorschach ransomware elude le soluzioni di sicurezza
Un’altra particolarità di Rorschach ransomware è che genera processi in maniera insolita, eseguendoli in modalità “suspended” fornendo argomenti falsi per rendere più complessi l’analisi e il ripristino. L’argomento falsificato, che consiste nella ripetizione della cifra 1 tante volte quanto la lunghezza della stringa reale, viene riescritto in memoria e sostituito all’originale.

L'argomento falsificato, che consiste nella ripetizione della cifra 1 tante volte quanto la lunghezza della stringa reale
Fonte: Checkpoint
Con questa tecnica Rorschach ransomware esegue le seguenti operazioni:

tenta di arrestare unalista predefinita di servizi, usando net.exe stop;
cancella le copie shadow e i backup usando i tool legittimi di Windows vssadmin.exe, bcdedit.exe, wmic.exe e wbadmin.exe;
esegue wevutil.exe per ripulire il Log degli Eventi;
disabilita il firewall di Windows usando netsh.exe.
Rorschach ransomware: l’encryptor più veloce mai visto
La peculiarità sulla quale insistono però maggiormente i tecnici è la velocità di criptazione di Rorschach ransomware.

Lo schema di criptazione “mescola” due diversi algoritmi, curve25519 e l’eSTREAM Cipher HC-128 ma, soprattutto, utilizza la criptazione intermittente. In breve consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che “il lavoro” che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile.

Questa tecnica è stata utilizzata, per la prima volta, dal famigerato ransomware LockFile: era la metà del 2021. Ormai però vi sono player di peso del panorama ransomware come Black Basta, BlackCat, Agenda che ne hanno fatto la tecnica di attacco privilegiata.

Per approfondire > I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Secondo i tecnici di CheckPoint il compilatore è stato appositamente ottimizzato per dare priorità alla velocità di criptazione.

Lo schema di criptazione di Rorschach ransomware
Fonte: Checkpoint
Tesi verificata nei fatti. I ricercatori hanno dato in pasto all’encryptor di Rorschach 220.000 file su una macchina con CPU a 6 core. il risultato? Eccolo sotto

La differenza di velocità di criptazione tra Lockbit 3.0 e Rorschach ransomware
Fonte: Checkpoint
Prima di Rorschach ransomware, LockBit era considerato il ransomware più veloce mai individuato.

Rorschach: chi c’è dietro?
In ultimo, i ricercatori ChekPoint hanno avanzato alcune ipotesi rispetto alla paternità di questo ransomware. Rorschach ransomware presenta similitudini con DarkSide che, ricordiamo, è una rebrandizzazione del ransomware BlackMatter del 2021 e che è poi scomparso dai radar lo stesso anno.

La nota di riscatto di Rorschach ransomware
Fonte: Checkpoint
Detto ciò Rorschach ha fatto man bassa delle migliori caratteristiche di famiglie ransomware come Babuk, LockBit e DarkSide che hanno tutti una caratteristica comune. Il loro codice è trapelato online. Insomma pare che Rorschach sia una famiglia ransomware del tutto nuova, che ha “pescato” qua e là il meglio del mondo ransomware ma non sembra avere affiliazioni specifiche né essere una rebrandizzazione di altre operazioni ransomware.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

banca-popolare-sondrio

Banca Popolare di Sondrio hacked?

Banca Popolare di Sondrio: Red Hot Cyber rivela di aver trovato in vendita, nel dark web, i dati dei dipendenti e l’accesso al mail server

Banca Popolare di Sondrio hacked?
La redazione di Red Hot Cyber ha reso noto di aver trovato nel dark web un post nel quale un anonimo attaccante rivendica di aver compromesso l’infrastruttura IT della Banca Popolare di Sondrio. Il post è stato pubblicato su XSS, un noto forum dell’underground hacking di lingua russa.

Il post su XSS relativo al breach della Banca Popolare di Sondrio
Fonte: Red Hot Cyber
Nel post l’attaccante rivendica di avere nella propria disponibilità l’accesso al server di posta dell’Istituto Bancario, le email e le password aziendali e i dati personali di 4270 dipendenti. Il post è corredato con tre sample: email e credenziali di accesso. Tra gli account email disponibili, 650 sono indirizzi @popso.it, gli altri indirizzi email afferiscono a clienti e aziende clienti della banca.

Non finisce qui: nel post l’attaccante dichiara di mettere a disposizione anche la vulnerabilità utilizzata per fare irruzione nell’infrastruttura IT della Banca Popolare di Sondrio.

Nessuna violazione: è una fake news. Parola della Banca Popolare di Sondrio
La redazione di Red Hot Cyber ha fatto sapere di avere ricevuto una comunicazione da parte della Banca Popolare di Sondrio. In questa, l’istituto bancario dichiara che:

“grazie alla tempestiva comunicazione della Agenzia Nazionale della Cybersecurity, ricevuta già in prima mattinata, abbiamo potuto avviare immediatamente le necessarie indagini al fine di chiarire l’origine di tutte le indicazioni presenti nel messaggio pubblicato”.

Le indagini, conclude la comunicazione, hanno portato a ritenere il post di rivendicazione come una fake news.

“Si sottolinea che il server di posta elettronica della Banca, citato nel post, è quello del cloud di Microsoft e, dunque, se ci fossero particolari criticità sarebbero emerse in modo più esteso di quanto riferito; si conferma, invece, che non risulta alcuna violazione del suddetto servizio cloud”.

Non solo:

“A fronte delle evidenze riferite ai n. 3 indirizzi di posta elettronica menzionati nel post segnalato, è stata immediatamente verificata, in prima battuta, l’inesattezza delle password indicate provandole direttamente sui sistemi centralizzati di autenticazione della Banca”.

Sul sito Red Hot Cyber è consultabile l’intera comunicazione ricevuta dalla redazione.

Gli attaccanti si spostano su nuovi forum, il cyber crimine si riorganizza
Una parte interessante del post di rivendicazione è quella in cui l’attaccante spiega di essere un nuovo utente di XSS, ma di essere un “veterano” dei breach. Di sè dice, infatti, di essere un

“un vecchio membro di RF e BF”.

RF e BF altro non sono che Raid Forums e Breach Forums. Raid Forum ufficialmente si presentava come forum di hacking, ma fin dalla sua fondazione nel 2015, presentava quasi esclusivamente contenuti illegali. Non a caso Raid Forum è stato tra i primi e più grandi mercati neri di dati rubati.

Raid Forum, che era arrivato a contare oltre 530.000 membri, è stato chiuso da una task force di forze dell’ordine europee e statunitensi, mentre l’FBI dispose il sequestro del dominio.

"This domain has been seized": la chiusura di Raid Forum
Contestualmente fu arrestato il suo fondatore, un ragazzo all’epoca 21enne.

Dalle ceneri di RF è nato poi Breach Forums. Uno degli utenti di Raid Forum, che si faceva chiamare Pompopurin, ha fondato Breach Forums appena tre settimane dopo la chiusura di RF e dell’arresto del suo fondatore. Arrivato a circ 340.000 membri, BF è stato chiuso pochi giorni fa, il 15 Marzo 2023 in dettaglio, quando Pompopurin è stato arrestato. L’FBI è riuscita a risalire all’identità del fondatore e a verificare che Pompopurin era, in effetti, l’amministratore del forum grazie ai dati ritrovati su un database violato. Al momento un nuovo utente, Baphomet, ha rilevato i poteri di Pompopurin, disabilitato il sito e sta operando la migrazione.

Tornando quindi a quanto dichiarato dall’utente che ha pubblicato il post sulla Banca Popolare di Sondrio, ne possiamo trarre la conseguenza che le chiusure di Breach Forums e Raid Forums hanno comportato la migrazione verso altri lidi (XSS tra i primi) di molti vecchi utenti.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy