01

AI e Carenza Dati Personali: dalla raccolta alla profilazione un problema non solo etico

L'evoluzione dei modelli e delle soluzioni che vedono alla loro base l’intelligenza artificiale (AI) è stata guidata in gran parte dalla disponibilità di dati di alta qualità. Aziende come OpenAI e Google hanno svolto un ruolo fondamentale nello sviluppo di tecnologie AI sempre più sofisticate, come i modelli di linguaggio e le reti neurali profonde.

L'apprendimento delle macchine, in particolare il deep learning, richiede grandi quantità di dati per addestrare efficacemente i modelli. Questi dati devono essere di alta qualità e rappresentativi del problema che l'AI deve risolvere. L'aumento della domanda di dati di alta qualità ha spinto molte aziende a raccogliere, annotare e condividere dati in modo più sistematico e ampio.

Viene così posto un primo importante problema sull’origine di detti dati e, a cascata, sui successivi processi di stoccaggio, conservazione e, principalmente, la loro sottoposizione a processi decisionali automatizzati sempre più capillari anche sulla base delle tipologie di dati raccolti.
Le aziende raccolgono una quantità enorme di dati generati dagli utenti durante l'utilizzo di servizi online, come motori di ricerca, social media, e-commerce e piattaforme di streaming. Questi dati possono includere anche i contenuti pubblicati dai singoli utenti, quali testo, immagini, video, preferenze di navigazione e interazioni sociali.

Per approfondire > La portata dell'AI Act

Accanto a questi, i dispositivi IoT (Internet of Things) e sensori presenti in vari ambienti raccolgono dati provenienti da una varietà di fonti, come temperatura, umidità, posizione geografica, movimento e altro ancora. Questi dati possono essere utilizzati per monitorare e ottimizzare processi industriali, migliorare l'efficienza energetica e fornire servizi basati sulla localizzazione, ma anche per profilazioni comportamentali, ad esempio reazioni.

Un rilievo particolare emerge per i cosiddetti Dati annotati: Per addestrare modelli di machine learning, è spesso necessario annotare manualmente i dati con etichette o tag che indicano la classe di appartenenza o altre informazioni rilevanti. Ad esempio, nell'ambito del riconoscimento delle immagini, è necessario annotare le immagini con le categorie corrispondenti (gatti, cani, automobili) per addestrare efficacemente un modello di classificazione. Questo processo può valere anche per le persone.

Per approfondire > Ma sei vero o falso?

Le aziende raccolgono e utilizzano anche dati strutturati provenienti da database, fogli di calcolo, registri e altri sistemi di gestione. Questi dati possono includere informazioni su clienti, transazioni finanziarie, inventari e altro ancora, e sono utilizzati per analisi aziendali, previsioni e ottimizzazione dei processi.
Ovvio e intuitivo come l'uso di grandi insiemi di dati viene a sollevare anche importanti questioni etiche e di privacy che toccano la protezione delle persone.

È fondamentale garantire che i dati utilizzati per l'addestramento dei modelli siano raccolti e utilizzati in modo responsabile, rispettando la privacy degli individui ed evitando discriminazioni o bias indesiderati nei risultati dell'AI ma, prima ancora, dare agli individui la assoluta sicurezza che i loro dati verranno processati sulla base del consenso prestato.

Per saperne di più > Intelligenza artificiale generativa. Nuove sfide per la protezione dei dati

Cosa estremamente difficile se pensiamo alla velocità con cui i sistemi si sviluppano e che domani (non si intende la parola domani in senso figurato, ma letterale) potremmo avere a disposizione un sistema di profilazione che oggi non esiste e sul quale era stato prestato il consenso al trattamento.

L'accesso a vasti insiemi di dati di alta qualità è essenziale per l’implementazione dell'intelligenza artificiale e delle grandi opportunità che offre, ma è importante riflettere preventivamente le questioni etiche e di privacy che derivano da questa crescente domanda di dati e dall’aumento delle modalità per il loro trattamento. Alcune piattaforme stanno ponendo limiti all’utilizzo di dati.

Una possibile soluzione per affrontare la problematica della scarsità di dati di alta qualità per la formazione dei modelli di AI potrebbe essere quella offerta dai dati sintetici, generati mediante l'uso di modelli di intelligenza artificiale.

Tuttavia, ciò non è privo di rischi. I modelli di AI utilizzati per generare dati sintetici potrebbero introdurre errori o bias nei dati prodotti, che potrebbero essere amplificati se tali dati sintetici fossero a loro volta utilizzati per addestrare ulteriori modelli di AI. Prima di andare in questa direzione è indispensabile valutare qualità e l'affidabilità dei dati sintetici e le misure necessarie per un loro corretto uso.

attacchi_macro_office-jpg

Attacchi basati sulle macro di Office: come funzionano?

Si sta assistendo a un aumento significativo degli attacchi che sfruttano le macro di Office, una tattica che si basa sul punto debole della catena di sicurezza: il fattore umano. Questi attacchi richiedono l’interazione diretta dell’utente, che deve volontariamente abilitare le macro contenute in un documento Office affinché il codice dannoso possa essere eseguito sul sistema. 

 

Le macro e il fattore umano

Microsoft ha preso e sta prendendo svariati tipi di decisioni e misure per rendere i propri sistemi operativi sempre più sicuri. Questo sta portando il cyber crimine a ricorrere ad altre tipologie di attacco, anche recuperandone di vecchie, soprattutto quelle che si basano sullo sfruttamento dell’anello debole della catena della sicurezza informatica, ovvero il fattore umano. Il dato è confermato dai continui attacchi che sfruttano le macro di Office: il metodo più comune usati dagli attaccanti per ottenere l’accesso e distribuire ransomware e malware.

Questi sono attacchi che necessitano dell’interazione dell’utente, che deve appunto abilitare la macro contenuta in un documento Office perché il codice dannoso possa eseguirsi sul sistema. A questo scopo può essere sufficiente una email di spam ben confezionata, che induca l’utente ad eseguire l’operazione di abilitazione della macro. L’errore umano diventa quindi il punto critico in questa catena di sicurezza. Anche gli utenti più attenti possono cadere vittima di queste tattiche ingannevoli, poiché i cybercriminali sono esperti nel manipolare le emozioni: suscitano nelle vittime curiosità o paura per ottenere ciò che vogliono. Questi attacchi hanno anche un vantaggio: possono essere eseguiti su qualsiasi versione di Office.

Questo problema ha spinto Microsoft a modificare il comportamento delle applicazioni Office, in modo tale da bloccare le macro nei file che provengono da internet. Attualmente, quando gli utenti aprono un file contenente macro, visualizzeranno il messaggio seguente:

Messaggio di blocco delle macro che compare quando si apre un file Office
Fonte: Microsoft

Se si è certi che il file sia sicuro si possono sbloccare le macro. Per difendersi da questo tipo di attacchi, Microsoft ha poi deciso di introdurre un ulteriore strumento: MotW, che ha lo scopo di verificare il contenuto dei file. Per questo motivo, i cybercriminali hanno ampliato il loro repertorio di attacchi, sfruttando anche documenti OneNote, una componente della suite Office di Microsoft. OneNote, utilizzato per scrivere note, prendere appunti e creare liste, offre agli attaccanti un nuovo mezzo per diffondere malware. A differenza dei tradizionali documenti Excel o Word, i documenti OneNote consentono l’incorporazione di ulteriori file e forniscono un’unica “scatola” che può essere inviata via email per distribuire il malware.

Per approfondire > OneNote per veicolare malware: l’alert del CERT

 

Che cosa sono le macro di Office?

Ma andiamo con ordine: le macro di Office sono un insieme di comandi e azioni. Il loro uso è molto comune per automatizzare e velocizzare operazioni ricorrenti, come ad esempio la formattazione di un testo. Queste macro funzioni possono, purtroppo, anche essere sfruttate per eseguire azioni dannose sul sistema bersaglio.

In questo caso sono identificati come macro malware o macro virus e indicano una tipologia di software malevolo che sfrutta la programmazione VBA Virtual Basic for Application (un linguaggio di programmazione facile, ma che può altrettanto facilmente essere compromesso da un attaccante) per distribuire virus, worm e altre forme di infezioni all’interno del sistema. I macro malware dannosi si nascondono nelle macro dei documenti Word o nei fogli di calcolo Excel ed eseguono script in grado di iniettare codice dannoso nei sistemi target o eseguire specifiche operazioni.

E’ dagli anni 90 che lo sfruttamento delle macro di Office rappresenta un metodo molto diffuso tra gli attaccanti per infiltrarsi nei sistemi informatici e tutt’oggi continua ad essere una tattica utilizzata per distribuire malware agli utenti. Sicuramente però, al giorno d’oggi i macro malware non sono più quelli di un tempo: sono diventati molto più sofisticati.

Secondo l’indagine di Trend Micro, l’Italia nel 2023 è stata la settima a livello globale per infezioni da macro malware, essendo stata colpita da ben 8.343 le infezioni. Un esempio? La campagna che ha distribuito il malware Ursnif attraverso email con allegato Office.

 

Catena di infezione con virus macro di Ursnif.
Fonte: CERT-AGID

 

Il caso che fece storia risale però al 2015 e vede protagonista il trojan bancario Dridex, veicolato tramite email contenenti allegati Word compromessi con macro dannose e diffuso anche in Italia. Con quell’attacco gli attori riuscirono a guadagnare più di 40 milioni nel Regno Unito e Stati Uniti.

 

Come avvengono gli attacchi basati sulle macro di Office

Gli attacchi basati sulle macro di Office operano con un ingegnoso funzionamento che ricorda il phishing classico. In questa tattica, il file infetto giunge al dispositivo della vittima sotto mentite spoglie, nascosto all’interno di allegati di Microsoft Office. Per renderli più credibili, spesso gli attaccanti si fingono aziende note e spacciano gli allegati come fattura o altri tipi di documenti importanti e spesso inducono un senso di urgenza, così da convincere la vittima ad aprirle, scaricare l’allegato e attivare le macro. Quando l’utente apre il documento, senza sospettare alcun pericolo, in realtà sta aprendo la porta al virus affinché si insinui nel suo computer o in qualsiasi altro dispositivo in uso.

L’attacco basato sulle macro avviene secondo i seguenti passaggi: la vittima riceve una email con allegati dannosi da parte di account precedentemente infettati o appena compromessi che solitamente trattano tematiche finanziarie, commerciali o istituzionali per riuscire ad adescare la vittima. Alcuni anni fa le macro venivano eseguite automaticamente ogni volta che veniva aperto un documento. Ora, essendo le macro disabilitate per impostazione predefinita, gli attaccanti devono convincere gli utenti ad attivarle in modo tale da poter eseguire il loro malware.

Se si sbloccano le macro, il malware si inserisce nel sistema e può portare a termine diverse operazioni dannose. Per prima cosa il malware esaminerà il computer alla ricerca di file Office in cui utilizzare le macro per riprodursi in altri documenti. Una particolarità di questo virus è la capacità di regolare il livello di sicurezza: ciò impedisce all’utente di disabilitare le macro. Portata a termine questa fase, il macro malware sarà in grado di inviare email di eseguire diverse funzioni malevole.

 

Esempio di file Office armato con macro dannosa
Esempio di file Office armato con macro dannosa

Quali sono le funzioni malevole che sono contenute nelle macro?

Le macro nei documenti Office permettono di portare a termine diverse azioni malevole. Alcune tra queste sono:

  1. scaricare vari tipi di malware (ransomware, trojan, etc.);
  2. raccogliere dati personali (credenziali di accesso, dati finanziari);
  3. consentire agli aggressori di controllare il dispositivo;
  4. invio di spam;
  5. alterazione di file importanti;
  6. disattivazione di antivirus o altre difese;
  7. aprire accessi nascosti nel sistema (backdoor).

 

Proteggiti dagli attacchi basati sulle macro di Office!

Esistono vari servizi di sicurezza che permettono di bloccare o limitare l’esecuzione delle macro nel file di Office. Tra le soluzioni più comuni ci sono:

  • essere cauti nello sbloccare le macro nei documenti Office ricevuti per posta elettronica o scaricati da internet;
  • le aziende devono formare i loro dipendenti: essendo che l’errore umano è il punto debole di questo tipo di attacchi, fargli conoscere questa minaccia rappresenta la principale difesa;
  • mantenere aggiornati tutti i software (sia Microsoft Office che Antivirus): Microsoft fornisce regolari update e patch per Office, che possono risolvere vulnerabilità e backdoor. Allo stesso tempo le soluzioni antimalware adattano le loro funzioni alle nuove tipologie di exploit o malware. Aggiornare i software può garantire la protezione dalle minacce.
  • dotarsi di solidi strumenti di protezione informatica come antivirus, antimalware, SOC ecc…

Gli aggressori continueranno a sviluppare nuove tecniche per aggirare le difese e indurre le vittime a sbloccare le macro. Ad ogni modo, i progressi dell’AI possono fornire nuovi strumenti per individuare e prevenire questo tipo di attacchi.

Quick Heal Antivirus può aiutarti a tenerti lontano da questa minaccia grazie alle sue funzioni innovative che sfruttano GoDeep.AI, la tecnologia basata sull’Intelligenza Artificiale. Tra le sue funzioni chiave troviamo:

  • Sistema di individuazione comportamentale: permette di individuare e bloccare gli attacchi ransomware in tempo reale.
  • Individuazione Predittiva: blocca e previene attacchi provenienti da allegati, download, navigazione web e altre risorse.
  • Deep Learning: rileva le minacce avanzate e analizza le attività sospette, inoltre permette di affrontare le minacce nuove.
  • Protezione anti phishing, anti spam e protezione di navigazione, che minimizzano i rischi provenienti da email e browser.
toolupgrade

Quick Heal: disponibili i tool per l'upgrade dalle VV. 19 e 22 alla V. 24

il produttore Quick Heal ha reso disponibili i tool di upgrade che permettono l'aggiornamento delle soluzioni antivirus Quick Heal per Windows alla versione 24.

In particolare, i tool di upgrade consentono l'aggiornamento degli antivirus Quick Heal dalle versioni 19 e 22 alla versione 24 senza necessità di procedere a disinstallazione della vecchia versione per poi installare, successivamente, la versione più recente.

I tool sono già disponibili nella pagina download di s-mart.biz

https://s-mart.biz/download/

Quick Heal

02

Intelligenza Artificiale Autonoma

Rispetterà la protezione dei dati?

In termini semplici, la definizione di AI autonoma è un sistema di intelligenza artificiale che può svolgere compiti senza alcun'intervento umano. Questo include, ad esempio, auto a guida autonoma, robot, chatbot e agenti autonomi quali, ad esempio, sistemi di gestione automatizzata, vale a dire entità artificiali in grado di agire in modo indipendente e senza supervisione umana. Si tratta di soluzioni che hanno la capacità di percepire il proprio ambiente in tempo reale attraverso l'uso di telecamere, microfoni, scanner laser, radar, GPS e altri strumenti.

L'AI autonoma ha anche la capacità di imparare continuamente dai dati di input e dalle esperienze passate. In questo senso, il significato di AI autonoma può anche riferirsi a soluzioni che sono auto-apprendenti e hanno la capacità di diventare più efficienti nel tempo.

Non si tratta di una novità assoluta.

Uno dei primi esempi di un programma AI viene dal lontano 1951, quando il ricercatore Christopher Strachey, poi direttore del Programming Research Group dell'Università di Oxford, sviluppò un programma per dama che poteva giocare autonomamente. L’anno successivo l’informatico Arthur Samuel rilasciò il proprio programma di dama autonomo, che avrebbe poi acquisito capacità di auto-apprendimento.

Nel campo della robotica, possiamo passare al 1966 quando lo Stanford Research Institute produsse un sistema robotico mobile per la risoluzione di problemi, noto come Shakey, capace di operare indipendentemente dall'input umano e il primo robot mobile in grado di percepire e ragionare sulle sue circostanze.
Per venire ai veicoli, nel 1986 lo scienziato Ernst Dickmanns e un gruppo di ingegneri rilasciarono il primo veicolo autonomo, una Mercedes, che poteva navigare sulla strada senza un conducente.

Il funzionamento dell'AI autonoma dipende dalla soluzione specifica in questione e dal livello di automazione utilizzato.

La maggior parte delle soluzioni di AI autonoma utilizza una serie di tecnologie, tra cui algoritmi di machine learning (ML), deep learning e sensori fisici, come telecamere, microfoni e scanner, per generare insights e svolgere azioni in modo indipendente.

Per rimanere in ambito delle auto a guida autonoma, il veicolo utilizza dati in tempo reale dai suoi sensori, dalle telecamere e i radar per determinare la sua posizione sulla strada. Questi dati gli consentono di riconoscere la posizione degli altri conducenti e dei pedoni e di percepire altri fattori rilevanti come frecce e semafori. Il computer di bordo utilizza il machine learning per analizzare i dati raccolti - valutandoli insieme a quelli derivanti dalle esperienze di guida del mondo reale per calcolare un percorso sicuro sulla strada e anticipare il comportamento degli altri conducenti e dei pedoni.

È immediatamente intuitivo come questi sistemi, per funzionare al meglio, abbiano bisogno di una quantità enorme di dati anche comportamentali, e ciò solleva interrogativi cruciali in merito alla loro protezione e al rispetto di normative, come il GDPR. È possibile che questi sistemi possano operare nel rispetto di tali normative?

Per approfondire > La portata dell'AI Act

A fronte della necessità di una mole enorme di dati necessari per prima creare e poi addestrare questi sistemi, è fondamentale un bilanciamento con la necessità di proteggere la privacy e garantirne la sicurezza. Aziende e sviluppatori devono adottare misure adeguate per garantire la conformità normativa e proteggere i dati, decisamente sensibili raccolti dai sistemi autonomi.

Inoltre, l'implementazione di tecniche come la pseudonimizzazione e l'anonimizzazione dei dati, insieme a rigorose politiche di gestione dei dati e a un'adeguata sicurezza informatica, può contribuire a mitigare i rischi associati all'uso di sistemi autonomi in ambito normativo.

Vuoi saperne di più > Sicurezza dei dati: pseudonimizzazione o anonimizzazione?

In ogni caso, la complessità delle normative sulla protezione dei dati e la rapida evoluzione della tecnologia richiedono un costante monitoraggio e aggiornamento delle pratiche di conformità per garantire che i sistemi di intelligenza artificiale autonomi rispettino i più alti standard etici e legali.
E tutto ciò si avvertirà di più andando nella direzione del metaverso.

Riconoscimento-facciale

Garante Privacy: no al riconoscimento facciale sul lavoro

Il Garante per la Protezione dei Dati Personali ha sanzionato cinque società che trattavano in modo illecito i dati biometrici per rilevare la presenza dei dipendenti. 

 

Il riconoscimento facciale sul lavoro viola la privacy dei dipendenti

Il Garante per la Protezione dei dati personali ha stabilito che l’utilizzo del riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Questo perché usare il dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevamento delle presenze), non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Al momento attuale, infatti, non è presente nessuna norma che permetta l’uso di dati biometrici per effettuare questa attività.

Poiché i dati biometrici rientrano tra le categorie particolari di dati, il loro trattamento è soggetto a particolari cautele e tutele. Questi dati sono considerati particolarmente sensibili perché rilevano caratteristiche di tipo fisico, fisiologico e comportamentale di una persona. Di conseguenza i rischi come perdita, furto e utilizzo improprio diventano motivo di seria preoccupazione. Inoltre, i dati biometrici, al contrario delle password ad esempio o del numero di contatto di una persona, non sono sostituibili.

Per saperne di più > Dati biometrici: l’aumento delle tecnologie che li utilizzano preoccupa il Garante Europeo

 

Le violazioni da parte delle 5 società coinvolte

A seguito delle segnalazioni da parte di diversi dipendenti di 5 società che lavoravano presso uno smaltimento di rifiuti, il Garante, in collaborazione con il Nucleo speciale Privacy e frodi tecnologiche della Guardia di Finanza, ha voluto condurre un’ispezione per chiarire la questione. Durante l’attività di ispezione sono emerse diverse violazioni da parte delle società coinvolte.

Il Garante ha accertato che tre aziende avevano utilizzato lo stesso sistema di rilevazione biometrica per rilevare la presenza dei dipendenti per oltre un anno (a partire da Dicembre 2021 fino al mese di Gennaio 2023), senza adottare adeguate misure tecniche e di sicurezza. Questo sistema, considerato illecito dall’Autorità, era stato esteso anche a altre nove sedi operanti sotto una delle società in questione.

Inoltre, il Garante ha più volte ribadito che il datore di lavoro, in virtù del principio di trasparenza, deve specificare ai dipendenti come vengono trattati i dati e con quali strumenti. Le società, però, non avevano fornito ai lavoratori uninformativa completa e trasparente in cui venivano chiarite le caratteristiche del trattamento mediante il riconoscimento facciale.

Non avevano nemmeno condotto la valutazione d’impatto prevista dalla normativa sulla privacy, violando in questo modo l’articolo 35 del Regolamento. La valutazione d’impatto ha lo scopo di valutare le necessità, proporzionalità di un trattamento e gestire eventuali rischi ai diritti e alla libertà ai può esporre gli interessati. Secondo il Garante, un sistema che tratti dati biometrici per finalità raggiungibili anche tramite strumenti meno invadenti è da considerarsi illegittimo. In questo caso, sarebbe stato più opportuno per le aziende utilizzare sistemi di controllo della presenza meno invasivi, come ad esempio controlli automatici mediante il badge o la verifica diretta.

Per saperne di più > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo 

 

Le sanzioni emanate dal Garante Privacy

Lo scorso 22 febbraio 2024, a seguito della scoperta di un trattamento illecito dei dati biometrici di numerosi lavoratori da parte di cinque società che lavoravano nello stesso sito di smaltimento dei rifiuti, l’Autorità le ha sanzionate con 70.000 euro, 20.000 euro, 6.000 euro, 5.000 euro e 2.000 euro rispettivamente. Oltre al pagamento delle sanzioni, il Garante ha ordinato la cancellazione dei dati raccolti in modo illecito.

L’Autorità per la protezione dei dati personali ha inoltre evidenziato i rischi specifici per i diritti dei lavoratori associati all’impiego dei sistemi di riconoscimento facciale. Questo intervento ha tenuto conto delle disposizioni normative e delle garanzie previste sia a livello nazionale che europeo per tutelare i diritti fondamentali dei lavoratori.

Ecco i provvedimenti del Garante: [PROVVEDIMENTI doc. web n. 99956809995701999574199957629995785]

agentesla_italia_pdf-jpg

AgentTesla sempre più attivo in Italia: il problema dei PDF dannosi

AgentTesla rafforza le campagne di attacco in Italia: sempre più diffuso l’uso dei PDF a scopi dannosi. Come restare al sicuro

 

AgentTesla in breve

AgentTesla è una vecchia conoscenza in Italia. Ne abbiamo parlato spesso, anche perché non solo continua ad essere tra i malware più diffusi in Italia, ma anche perché dimostra continuo adattamento e innovazione nelle tecniche e metodologie di attacco. Nel 2023, ricordiamo, è stato il malware più diffuso in Italia.

Attivo fino dal 2014, AgentTesla ha sempre avuto funzionalità di furto credenziali, poi, nel tempo ha aggiunto ulteriori moduli, compresi quelli che lo hanno reso anche un keylogger ovvero un malware capace di registrare tutte le battiture sulla tastiera del dispositivo infetto. Ad ora ha anche la capacità di rubare i dati dagli appunti, di raccogliere le informazioni sul sistema e di arrestare le soluzioni anti malware e i software di analisi dei processi.

Per saperne di più > Anatomia di Agent Tesla, lo spyware più diffuso in Italia nel 2023

L’alert del CERT: AgenTesla rafforza la presenza in Italia

Sul punto, il CERT ha pubblicato uno specifico alert, sottolineando come non solo AgentTesla abbia intensificato la sua presenza in Italia, ma anche che ha “stabilizzato” (almeno per adesso) la metodologia di attacco.

AgenTesla rafforza la presenza in Italia
L’andamento delle campagne di AgentTesla in Italia. Fonte: CERT

 

I suoi gestori cioè hanno aumentato il volume delle campagne di spam per la diffusione di AgentTesla in Italia e, per farlo, ricorrono sempre più spesso agli allegati PDF.

email di spam per la diffusione di AgentTesla in Italia
Email di spam per la diffusione di AgentTesla in Italia. Fonte: CERT

 

Questi PDF contengono, solitamente, dei link che conducono a fonti dannose dai quali viene eseguito il download di file Javascript dannosi. Gli esperti descrivono, in dettaglio, il funzionamento di questi PDF dopo aver analizzato campagne reali di diffusione di AgentTesla in Italia. Ad esempio, la mail sopraindicata, cerca di convincere l’utente che il PDF allegato alla mail contenga, in realtà, una fattura. Quando l’utente cerca di visualizzare l’allegato, visualizza un messaggio di errore fake che lo induce a fare clic sul pulsante Ricarica.

L'errore fake mostrato dal PDF dannoso di AgentTesla
L’errore fake mostrato dal PDF dannoso di AgentTesla. Fonte: CERT

 

Proprio il clic su quel pulsante avvia il download del JavaScript dannoso sul sistema.

 

AgentTesla in Italia e i PDF: dettagli tecnici

Gli attaccanti qui ricorrono alla tecnica della doppia estensione. Il nome file infatti induce a pensare che il file sia in formato PDF, quando il formato reale è .js. L’aggiunta di molti spazi nel nome file serve ad occultare ulteriormente la vera estensione del file.

Il nome file di un PDF dannoso che diffonde AgentTesla in Italia
Il nome file di un PDF dannoso che diffonde AgentTesla in Italia. Fonte: CERT

 

Il JS scaricato presenta un alto livello di offuscamento ed ha un solo scopo, ovvero scaricare e ed eseguire uno script PowerShell. Scopo dello script in questione è quello di “comporre”, tramite sostituzioni, l’eseguibile di AgentTesla con i valori binari contenuti nello script stesso.

Lo script PowerShell di AgentTesla. Fonte: CERT
Lo script PowerShell di AgentTesla. Fonte: CERT

 

Gli esperti del CERT sottolineano come la decriptrazione degli script e l’analisi dell’eseguibile non abbiano portato poi a rivelare novità di funzionamento del malware. La peculiarità quindi delle nuove campagne AgenTesla in Italia è quella di utilizzare appunto, l PDF senza l’uso, fino a poco fa consuetudinario, di file compressi con l’eseguibile. Una tecnica di attacco, questa, facilmente scongiurabile anche da soluzioni antivirus basilari.

Il CERT ha così ricostruito la catena di infezione tramite file PDF:

La catena di infezione di AgentTesla
La catena di infezione di AgentTesla. Fonte: CERT

 

AgentTesla: dettagli tecnici e comunicazione C&C via Telegram

Il file binario generato dallo script PowerShell non viene salvato sul disco. E’ caricato ed eseguito direttamente in memoria. Il comportamento, come detto, resta invariato rispetto alle precedenti campagne, come confermato dalle verifiche effettuate su 60 diversi client. AgentTesla prende sempre di mira browser, posta elettronica, FTP e messaggistica. Queste le app bersaglio:

 

Chromium Viewer
Coowon
Chrome
Edge
Chromium
Firefox
SeaMonkey 
Thunderbird
BlackHawk
Cyberfox
K-Meleon
icecat
Pale Moon
IceDragon
Waterfox
Postbox
Flock
Safari
Falkon Browser
Outlook
IncrediMail
Eudora
FoxMail
Opera Mail
Mailbird
CoreFTP
FTP Navigator
SmartFTP
SWS_FTP
FTPGetter
Discord 
Trillian Psi+ 
MysqlWorkbench
Internet Downloader Manager
JDownloader
Opera Software
Yandex Browser
Iridium
Chromium
ChromePlus
Kometa
Amigo
Brave-Browser
CentBrowser
Chedot
Orbitum
Sputnik
Dragon Vivaldi
Citrio 
360 Chrome
CozMedia
liebao
Elements Browser
Epic Privacy Browser
CocCoc
Sleipnir
Surf
Coowon

Una volta che il malware si attiva sulla macchina infetta, inizia a raccogliere informazioni come il nome dell’host, le specifiche hardware, le credenziali dei client ecc… tutte informazioni che poi sono inviate ad un bot Telegram.

Lo scopo resta lo stesso: rivendere le credenziali di accesso rubate e concedere quindi ad attaccanti terzi un punto di accesso alle reti bersaglio. La maggior parte di questi dati infatti finiscono nelle mani dei cosiddetti Initial Access Broker (IAB) specializzati nella rivendita a gruppi malware e ransomware di accessi “chiavi in mano” a sistemi aziendali.

Insomma, combattere AgentTesla serve a impedire nuovi, futuri e ulteriori attacchi di gravità ben più elevata.

Per approfondire > Initial Access Broker: il mercato degli accessi abusivi nel dark web

xworm_malware-jpg

Anatomia di XWorm, il malware RAT distribuito in Italia

A partire dalla prima settimana di Aprile il malware XWorm ha ricominciato a circolare in Italia. Scopriamo insieme questo malware e come difendersi .

 

XWorm: cronistoria breve

XWorm è un malware poco noto in Italia, al momento. Anche perché è giovane: i ricercatori di sicurezza lo hanno individuato in diffusione soltanto a partire dal Luglio 2022. Ha due aspetti preoccupanti però: il primo è che presenta un ritmo di costante evoluzione, il secondo è che è già in diffusione in Italia.

XWorm è, tecnicamente, un MaaS, ovvero un malware as a service. In pratica è organizzato su un modello di business simile a quello di aziende che rivendono servizi. I gestori affittano il malware ad una serie di affiliati che si occupano della sua distribuzione. Gestori e affiliati finiscono poi per dividersi i proventi degli attacchi e della rivendita dei dati rubati. I suoi gestori lo rivendono tramite forum nel dark web o in chat Telegram, ma alcuni annunci pubblicitari si trovano perfino su GitHub, dove il file readme consente di raggiungere le chat Telegram.

Oltre a ciò, XWorm è un RAT, remote access trojan: consente cioè il controllo illegittimo da remoto della macchina infetta.

 

Analisi tecnica e comportamento del malware

 

La più estesa analisi di XWorm proviene dai ricercatori di Defence Tech che hanno potuto analizzare una versione scritta in .NET priva sia di strumenti anti debugging sia di tecniche di evasione delle Virtual Machine. Insomma, l’ingegneria inversa a finalità di analisi è stata, in quel caso, piuttosto semplice da svolgere.

Come detto, il malware è scritto in .NET ma i suoi sviluppatori hanno usato un packer sconosciuto. La prima operazione svolta dal malware è quella di decriptare il file contenente la sua configurazione. La configurazione è infatti criptata con una combinazione dell’algoritmo di criptazione AES_ECB e Base64.

Dalla configurazione è possibile ricavare la versione del malware, la porta C2 di comunicazione, il dominio C2, il percorso in cui viene copiato il malware (/AppData/Roaming), il token Telegram ecc…

 

Conclusa la decriptazione del file di configurazione, XWorm verifica l’utente in esecuzione e i privilegi di amministrazione a questo assegnato. Se l’utente ha privilegi di amministrazione, XWorm utilizza il comando PowerShell “Add-MpPreference” per aggiungersi come file consentito in Windows Defender e non subire interruzioni da parte delle soluzioni antivirus e antimalware.

Quindi copia in “AppData\Roaming” il proprio eseguibile in formato EXE.

 

 

L’uso del Task Scheduler gli concede la persistenza sul sistema. A questo punto il XWorm può iniziare il proprio “sporco mestiere”. Per cominciare raccoglie più informazioni possibili sul sistema bersaglio, quindi le invia al canale Telegram relativo.

 

Le funzionalità di XWorm nel dettaglio

XWorm, come detto è principalmente un RAT. Garantisce quindi agli attaccanti il controllo da remoto della macchina infetta. Tra l’altro, riuscendo a ottenere la persistenza sul sistema, sopravvive ai riavvi del sistema stesso e si riattiva ad ogni accesso al sistema operativo.

Ha funzionalità di keylogging, registrando le battiture sulla tastiera, ma è anche pensato per il furto dati. Come tutti i RAT, apre una porta di accesso sul sistema bersaglio ed è quindi molto probabile che tali accessi vengano rivenduti ad altri gruppi di attaccanti per effettuare ulteriori attacchi.

Il problema è la velocità e assiduità con la quale questo malware viene aggiornato. Ad esempio rispetto alle prime versioni XWorm ha ricevuto alcuni aggiornamenti che gli consentono di individuare una eventuale esecuzione in sandbox. Questa è una tecnica di elusione delle verifiche dei ricercatori di sicurezza.

 

La campagna di Aprile 2024 contro utenti italiani

In Italia, XWorm è apparso per la prima volta durante la settimana 24-30 giugno 2023, come riporta il CERT-AGID nel suo report settimanale, ed è stato presente diverse volte nei report durante il 2023. Nel 2024 invece, è comparso per la prima volta durante la settimana 30 Marzo – 5 Aprile attraverso una campagna generica a tema Informazioni che in Italia è stata veicolata tramite allegati ZIP.

ransomware_garante_sanzioni-jpg

Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante ha emesso tre sanzioni nei confronti di regione Lazio, LAZIOcrea e ASL 3 Roma per l’attacco ransomware subito nell’Agosto 2021

 

Attacco ransomware contro la Regione Lazio: ricordate?

Agosto 2021: i servizi informatici della regione Lazio vanno in blocco. Da oltre 40 ore la regione è sotto attacco. Irraggiungibili il sito web della Regione ma, soprattutto, la piattaforma online per la prenotazione dei vaccini e dei tamponi Covid (il portale Salute Lazio). In generale finiscono in down tutti i servizi online connessi alla sanità regionale.

In poche ore arriva una richiesta di riscatto in Bitcoin che “certifica” l’attacco ransomware contro i sistemi di LazioCrea, l’azienda che gestisce i sistemici informatici regionali. Ransowmare che è stato distribuito nei sistemi regionali attraverso un portatile in uso ad un dipendente della Regione Lazio.

La richiesta di riscatto ricevuta dalla Regione Lazio
La richiesta di riscatto ricevuta dalla Regione Lazio

 

L’attacco ransomware in sé e la decisione di LazioCrea di spegnere tutti i sistemi per evitare l’ulteriore diffusione del ransomware portano offline oltre 180 server.

Ovviamente un attacco ransomware è anche un databreach: gli attaccanti hanno infatti violato i dati di milioni di cittadini (si parla della presenza di dati personali, sui sistemi attaccati, di circa 7.4 milioni di persone).

Il down si protrae dalle 48 ore ad alcuni mesi, anche per colpa del fatto che il ransomware ha colpito anche alcuni backup.

Per saperne di più > Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda
Per saperne di più > Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

 

Il Garante Privacy apre l’Istruttoria: subire un attacco ransomware non mette al riparo da sanzioni

Il Garante, ovviamente, si attivò subito sul caso sia per quanto appreso dalla stampa, sia per la segnalazione di data breach ricevuta (correttamente) dalla Regione Lazio. Nella segnalazione ricevuta, la Regione Lazio dichiarava di:

“aver subìto un attacco informatico che ha compromesso la funzionalità dei servizi offerti dal CED regionale; è in corso in queste ore una verifica tecnica di quanto accaduto, al momento non si è in grado di determinare se ci sia stata perdita dati, le categorie e il numero approssimativo di registrazioni dei dati personali in questione e le eventuali conseguenze della violazione dei dati personali”.

Per saperne di più > Attacchi ransomware: quando vanno informati gli interessati: come non subire sanzioni

 

L’ufficio del Garante ha quindi ritenuto necessario attivarsi, anche alla luce dell’elevatissimo numero di interessati coinvolti, ma anche della natura delle informazioni esposte. D’altronde il Garante Privacy ha già avuto modo di ribadire in passato che subire un attacco ransomware non esime dal subire sanzioni.

Per approfondire > Un attacco Ransomware è da considerarsi anche un data breach: l’esempio dell’attacco a Luxottica

 

Regione Lazio colpita da Ransomware: le sanzioni del Garante Privacy

Dalle verifiche è emerso, come si legge nel sito del Garante sulla vicenda, che:

“LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).”

Anche la Regione Lazio ha delle responsabilità nella vicenda, ha concluso il Garante per la Protezione dei dati personali. Infatti la Regione, in qualità di titolare del trattamento dati, avrebbe dovuto vigilare in maniera più attenta su LAZIOcrea e il suo operato verificando il livello di sicurezza posto a protezione dei dati personali. Ricordiamo che i dati sanitari sono classificati dal GDPR come dati estremamente sensibili: non a caso il GDPR prevede un divieto generale di trattamento di tali dati (tranne poche eccezioni) e obbliga ad un maggior livello di tutela a loro difesa.

Il Garante ha quindi ritenuto di comminare tre diverse sanzioni amministrative in conseguenza dell’attacco. Rispettivamente ha sanzionato la Regione Lazio per 120.000 euro, LAZIOcrea per 271.000 euro e ASL 3 Roma per 10.000 euro.

 

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
    Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
    Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello)
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.
    Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center:
    un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy