toolupgrade

Quick Heal: disponibili i tool per l'upgrade dalle VV. 19 e 22 alla V. 24

il produttore Quick Heal ha reso disponibili i tool di upgrade che permettono l'aggiornamento delle soluzioni antivirus Quick Heal per Windows alla versione 24.

In particolare, i tool di upgrade consentono l'aggiornamento degli antivirus Quick Heal dalle versioni 19 e 22 alla versione 24 senza necessità di procedere a disinstallazione della vecchia versione per poi installare, successivamente, la versione più recente.

I tool sono già disponibili nella pagina download di s-mart.biz

https://s-mart.biz/download/

nomina_amministratore_sistema

Nomina dell’Amministratore di Sistema: breve guida pratica

Quel che serve sapere sulla figura dell’amministratore di sistema nella sicurezza dei dati aziendale: guida pratica alle funzioni e alla nomina

Il ruolo chiave dell’amministratore di sistema nella sicurezza dei dati
L’amministratore di sistema è il pilastro tecnologico su cui si basa la sicurezza e la gestione dei dati all’interno di un’azienda. Questa figura, altamente specializzata, è responsabile della configurazione, del mantenimento e della sicurezza dei sistemi informatici. Le funzioni specifiche di un amministratore di sistema includono:

Configurazione dei Sistemi:
l’amministratore è incaricato di configurare e ottimizzare l’infrastruttura tecnologica dell’azienda. Questo comprende la gestione dei server, la configurazione delle reti e la definizione di politiche di sicurezza.
Gestione delle Autorizzazioni:
una delle funzioni fondamentali è la gestione delle autorizzazioni e dei privilegi di accesso. L’amministratore di sistema assegna diritti specifici agli utenti in base alle loro responsabilità, garantendo che ognuno abbia accesso solo alle risorse necessarie per svolgere il proprio lavoro.
Implementazione di Misure di Sicurezza:
l’amministratore è il custode della sicurezza dei dati. Implementa misure di sicurezza avanzate come firewall, antivirus e sistemi di rilevamento delle intrusioni per proteggere i dati aziendali da minacce esterne e interne.
Backup e Recupero:
garantisce la regolare esecuzione di backup e la definizione di procedure di recupero dati in caso di incidenti o perdite accidentali.
Monitoraggio Costante:
l’amministratore di sistema deve monitorare costantemente le attività dei sistemi per individuare comportamenti anomali o potenziali minacce. L’utilizzo di strumenti avanzati di monitoraggio contribuisce a garantire la sicurezza continua.
Gestione delle Patch:
si occupa dell’applicazione regolare di patch e aggiornamenti software per garantire che i sistemi siano protetti da vulnerabilità di sicurezza note.
Assistenza Tecnica:
fornisce supporto tecnico agli utenti interni, risolvendo problemi hardware e software, e garantendo che tutti gli elementi del sistema funzionino in modo efficiente.
Formazione Continua:
l’amministratore di sistema deve rimanere costantemente aggiornato sulle ultime tendenze in materia di sicurezza informatica e tecnologie emergenti. La formazione continua è essenziale per affrontare le sfide in evoluzione del panorama della sicurezza informatica.
Per saperne di più > Log Management: cosa è e perchè è un obbligo normativo

Chi è responsabile della nomina dell’amministratore di sistema?
Il provvedimento al quale fare riferimento, in tema, risale al 2008 (aggiornato poi nel 2009): “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. Una legislazione, questa, molto avanzata, che quasi 20 anni fa introduceva formalmente la figura dell’amministratore di sistema. Qui l’amministratore di sistema è così definito:

“Con la definizione di amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”

Ovviamente il contenuto di tale provvedimento va affiancato a quanto previsto dal GDPR.

Venendo al sodo, la nomina dell’amministratore di sistema spetta al Titolare del trattamento, ovvero

“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

In particolare, il Titolare del trattamento deve nominare, singolarmente, i singoli amministratori di sistema indicando dettagliatamente le mansioni in base al profilo autorizzativo assegnato a ciascuno. Nomine e dati dei professionisti nominati amministratori di sistema devono risultare in un unico documento, che è necessario presentare in caso di ispezione o richiesta del Garante.

Se l’attività dell’amministratore di sistema riguarda anche “indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori” il Titolare del trattamento dei dati deve fornire l’informativa relativa ai dipendenti, ai sensi dell’art. 13 del GDPR.

Nel caso poi che l’amministratore di sistema sia un dipendente del Titolare, il suo inquadramento dovrà prevedere l’autorizzazione al trattamento dei dati, sotto la diretta autorità del titolare del trattamento.

Va detto anche l’amministratore di sistema può anche essere esterno e non deve necessariamente essere dipendente dell’azienda. In questo caso, presso l’azienda del titolare del trattamento dati o del soggetto esterno va conservato il contratto di servizio stipulato col soggetto esterno.

Infine, ricordiamo che il titolare deve dotare l’azienda di sistemi di controllo degli accessi da parte degli amministratori di sistema, con l’obbligo di conservazione dell’accesso per almeno 6 mesi.

È obbligatorio nominare l’amministratore di sistema?
Partiamo da un dato chiaro e semplice: no. Non c’è alcuna normativa che imponga esplicitamente la nomina dell’amministratore di sistema. La scelta se procedere o meno a tale nomina spetta al titolare del trattamento.

Detto questo, nominare un amministratore di sistema è, in maniera chiara ed evidente, una dimostrazione di accountability da parte del titolare del trattamento, come indicato dall’art. 24 del GDPR. Concretamente infatti, tale nomina rappresenta la concreta attuazione dell’obbligo di protezione dei dati personali.

agent_tesla-jpg

Anatomia di Agent Tesla, lo spyware più diffuso in Italia nel 2023

Agent Tesla é una presenza fissa in tutti i report che il CERT-AGID produce rispetto alle campagne di attacco e ai malware diffusi nel cyber spazio italiano. Nel 2023, ad esempio, è stato il malware più diffuso in Italia. Parliamo di uno spyware attivo ormai fin dal 2014. In Italia ha una diffusione continua e costante, settimana per settimana, diffuso in campagne email mirate contro utenti italiani. Vediamolo in dettaglio.

Agent Tesla: cronistoria
Agent Tesla è attivo fino dal 2014, anno in cui, per la prima volta, è stato individuato in uso in attacchi reali. E’ un trojan acquistabile online scritto in .NET. Ha sempre avuto funzionalità di furto credenziali, poi, nel tempo ha aggiunto ulteriori moduli, compresi quelli che lo hanno reso anche un keylogger ovvero un malware capace di registrare tutte le battiture sulla tastiera del dispositivo infetto. Ad ora ha anche la capacità di rubare i dati dagli appunti, di raccogliere le informazioni sul sistema e di arrestare le soluzioni anti malware e i software di analisi dei processi.

Nel 2019 ha occupato il 2° posto nella top10 delle principali minacce pubblicata annualmente da Any.Run, con oltre 10.000 sample caricati in quell’anno.

Nel tempo ha subito aggiornamenti e miglioramenti: nell’Agosto 2020 infatti i ricercatori di sicurezza hanno individuato in diffusione una nuova variante. Questa versione ha dei moduli dedicati al furto delle credenziali dai web browser, dai software WPN, dai client email e dagli FTP. E’ molto usato nelle campagne di phishing e nelle campagne BEC. Pochi mesi prima i ricercatori di sicurezza di Spamhaus Malware Lab’s avevano registrato una crescita di oltre il 770% delle botnet C2C associate a questa famiglia malware.

Furto credenziali: qualche dettaglio
I vari moduli per il furto delle credenziali rendono Agent Tesla capace di raccogliere sia le informazioni di configurazione che le credenziali dell’utente da una gran quantità di software e applicativi molto popolari. Può cioè estrarre credenziali sia dal registro che dalle configurazioni, così come dai file di supporto. Qualche esempio di applicazioni colpite da Agent Tesla: Google Chrome, Chromium, Safari, Brave, FileZilla, Firefox, Thunderbird, OpenVPN e Outlook, ma potremmo continuare a lungo…

Una volta raccolte le credenziali e i dati di configurazione delle app, Agent Tesla le invia al proprio server di comando e controllo C” via FTP o via STMPG. Per farlo utilizza credenziali presenti nelle proprie configurazioni interne.

Il modulo per il furto delle password del wi-fi
Una delle aggiunte più recenti è un apposito modulo per il furto delle credenziali delle connessioni WiFi dal dispositivo rubato. Il fine è quello di utilizzare il wifi per diffondersi a tutti gli altri dispositivi connessi alla stessa rete wireless. E’ un modulo altamente offuscato difficile da analizzare: quanto scoperto dai ricercatori di sicurezza conferma che è pensato per raccogliere le credenziali wireless usando il comando netsh con argomento wlan show profile per elencare tutti i profili Wifi disponibili.

Per ottenere la password dagli SSID individuati, esegue un nuovo comando netsh aggiungendo l’SSDI e l’argomento key=clear: in questa maniera ottiene le password in chiaro di tutti i profili wifi.

Il furto delle password wifi in chiaro da parte di Agent Tesla
il furto delle password wifi in chiaro
Come viene diffuso Agent Tesla?
Agent Tesla è diffuso quasi esclusivamente tramite via email, tramite massive campagne di phishing. Nella maggior parte dei casi è ben nascosto entro documenti Office contenenti macro dannose. Talvolta però sono usati anche altri formati per la sua diffusione. Ad esempio molto utilizzato è il formato archivio .ZIP, molto utile per eludere i controlli di sicurezza, ma anche i formati .CAB, .MSI, .IMG.

Recentemente è stata individuata una campagna di diffusione di Agent Tesla che sfrutta una vecchia vulnerabilità di Microsoft Office, la CVE-2017-11882. Questo è un bug di corruzione della memoria presente in vecchie versioni (purtroppo ancora diffuse) di Office: se sfruttato correttamente, il bug consente l’esecuzione di codice arbitrario con privilegi di amministrazione. In questo caso, la versione di Agent Tesla in distribuzione mirava al furto di credenziali da Discord, Opera Mail, OpenVPN, FileZilla, Mailbird ecc…

1703846017085-jpg

Sicurezza Informatica e Intelligenza Artificiale: il 2024 che ci aspetta

2024: sicurezza informatica e intelligenza artificiale
Il mondo digitale è in costante evoluzione, e nel 2024 ci troviamo di fronte a una congiunzione critica tra sicurezza informatica e intelligenza artificiale. In un paesaggio sempre più complesso, dove la tecnologia avanza a passi da gigante, la protezione dei dati e la gestione delle minacce diventano elementi cruciali per il successo di aziende e individui.

L’anno 2024 è destinato a essere testimone di cambiamenti epocali nel modo in cui affrontiamo le sfide della sicurezza informatica. Dalla sicurezza quantistica all’integrazione sempre più profonda di intelligenza artificiale nella difesa cibernetica, esploreremo come le imprese si stanno adattando a un ambiente in rapida trasformazione. La blockchain, al di là del suo ruolo nelle criptovalute, rivoluzionerà la sicurezza, mentre la crescente attenzione verso la privacy e l’etica nell’IA guiderà le decisioni aziendali. Tuttavia, il futuro digitale non è privo di sfide, con il cyber crimine che sfrutta sempre più l’intelligenza artificiale per orchestrare attacchi sofisticati e minacciosi

Sicurezza Quantistica: Una Rivoluzione Necessaria
Nel 2024, la sicurezza quantistica non sarà più solo un concetto teorico. Aziende come IBM e Google stanno già lavorando su computer quantistici sperimentali, portando la sicurezza informatica in una nuova era. Un esempio concreto è l’implementazione dell’algoritmo di Shor da parte di un computer quantistico, che potrebbe compromettere la crittografia RSA, spingendo le aziende a prepararsi per la transizione verso algoritmi quantistici-resistenti.

Integrazione di Intelligenza Artificiale nella Sicurezza Informatica
L’integrazione di IA nella difesa cibernetica raggiungerà livelli senza precedenti. Soluzioni come Darktrace e Cylance stanno già utilizzando algoritmi avanzati di machine learning per identificare comportamenti anomali e minacce nello spazio digitale. Ad esempio, un sistema basato sull’IA potrebbe analizzare il comportamento degli utenti all’interno di una rete e rilevare automaticamente attività sospette, migliorando la tempestività nella risposta agli attacchi.

Adattamento Continuo: Cybersecurity in Evoluzione Costante
La sicurezza informatica dovrà diventare sempre più reattiva e adattabile. Un esempio tangibile di adattamento continuo è rappresentato dai sistemi di “self-healing”, capaci di apprendere da ogni attacco e di apportare miglioramenti automatici alle difese. Ciò significa che, man mano che nuove minacce emergono, i sistemi di sicurezza imparano dagli attacchi precedenti, evolvendo costantemente per contrastare le tattiche in continua evoluzione degli hacker.

Noi ci siamo preparati per affrontare il 2024 > L’offerta di s-mart si amplia: in arrivo le soluzioni di cybersecurity di SicuraNext per le PMI

Blockchain per la Sicurezza: Oltre le Criptovalute
L’utilizzo della blockchain per la sicurezza si estenderà ben oltre le criptovalute. Contratti intelligenti e registri distribuiti basati su blockchain diventeranno pilastri della sicurezza digitale. Ad esempio, un’organizzazione potrebbe utilizzare una blockchain per garantire l’integrità dei dati di un registro di accesso, rendendo impossibile la manipolazione delle informazioni da parte di un attaccante.

Privacy e Etica nell’IA: Un Focus Crescente
La crescente consapevolezza delle questioni legate alla privacy e all’etica nell’IA porterà all’adozione di politiche più rigorose. Ad esempio, le imprese inizieranno a implementare sistemi di IA che rispettano il principio di “privacy by design“, garantendo che la protezione dei dati sia incorporata fin dalla fase di sviluppo. Allo stesso tempo, emergeranno organismi normativi che stabiliranno linee guida per l’uso responsabile dell’IA.

L’AI nelle Mani del Cyber Crimine: Minacce e Contromisure
Mentre l’intelligenza artificiale rappresenta un alleato prezioso nella difesa cibernetica, il suo utilizzo da parte del cyber crimine sta raggiungendo livelli sempre più sofisticati. Nel 2024, assistiamo a una crescita esponenziale di attacchi alimentati dall’intelligenza artificiale, sfidando le tradizionali strategie di difesa.

Attacchi Basati sull’IA – un Nuovo Paradigma:
il cyber crimine sta abbracciando l’IA per creare attacchi più mirati e difficili da rilevare. Gli hacker utilizzano algoritmi di machine learning per analizzare i modelli di comportamento degli utenti e adattare le loro tattiche di conseguenza. Ad esempio, potremmo vedere attacchi di phishing che imitano con maggiore precisione il linguaggio e lo stile di comunicazione di persone specifiche.
GAN e Deepfakes: Minacce alla Sicurezza Informatica:
le reti neurali generative (GAN) stanno aprendo la strada a una nuova era di minacce digitali. I cyber criminali possono utilizzare GAN per creare deepfakes convincenti, manipolando video e audio per scopi malevoli. Ad esempio, un CEO potrebbe essere vittima di un attacco di deepfake, con il suo volto utilizzato per diffondere informazioni false o compiere azioni dannose.
Attacchi Autonomi – un Pericolo Crescente:
l’IA sta permettendo la creazione di malware e virus capaci di adattarsi autonomamente all’ambiente in cui si trovano. Questi “attacchi autonomi” possono imparare dagli errori, evitare i sistemi di difesa e compromettere reti senza l’intervento umano. La crescente automazione degli attacchi rappresenta una sfida significativa per la cybersecurity.
Contromisure per difendersi dall’AI dannosa:
affrontare il cyber crimine basato sull’IA richiede un approccio altrettanto avanzato. Le aziende dovranno implementare soluzioni di sicurezza che utilizzino l’IA per contrastare le minacce AI. Ad esempio, sistemi di rilevamento basati sull’IA possono identificare modelli comportamentali anomali associati agli attacchi autonomi, consentendo risposte tempestive.
Collaborazione e Condivisione delle Informazioni:
data la crescente complessità delle minacce basate sull’IA, la collaborazione tra aziende, governi e enti di ricerca diventa essenziale. La condivisione delle informazioni sulle nuove minacce e sulle contromisure efficaci può contribuire a costruire una difesa collettiva contro il cyber crimine alimentato dall’IA.

remcos_rat-jpg

Remcos: il software legittimo diffuso in Italia come RAT

Remcos è un software legittimo per il controllo remoto dei dispositivi. In Italia è spesso diffuso come RAT con l’inganno tramite campagne malware mirate.

Prima di tutto le presentazioni: che cosa è Remcos?
Remcos è software legittimo per il controllo e la gestione di un dispositivo da remoto. Appartiene ad un’azienda tedesca e consente la gestione remota di dispositivi che eseguono sistemi operativi Windows. Purtroppo è ampiamente usato dai cyber attaccanti in molteplici forme e campagne dannose.

Non è una novità che vi siano tool legittimi utilizzati a fini illegittimi. Un esempio? Bitlocker è una funzionalità di sicurezza di Windows che consente la criptazione di interi volumi proprio in funzione di “anti furto” dei dati. Eppure Bitlocker è stato utilizzato per le motivazioni opposte: rubare e prendere in ostaggio i dati richiedendo riscatti alle vittime per riportare in chiaro i file.

Viene distribuito come Remote Access Trojan tramite campagne email truffaldine, spesso tramite l’uso di downloader come Batloader.

Una (delle tante) catene di infezione di Remcos
Una (delle tante) catene di infezione di Remcos. Fonte: SentinelOne
La campagne di distribuzione in Italia
Come detto, Remcos è spesso in distribuzione in Italia, anche se a cadenza del tutto irregolare. Ultimamente però gli esperti del CERT hanno notato come le campagne di distribuzione di Remcos stiano aumentando di numero e intensità.

Il 20 Novembre, con una segnalazione sul canale Telegram, il CERT ha notificato l’ennesima campagna a tema Agenzia delle Entrate.

Fonte: Canale Telegram CERT- AGID
L’email, in questo caso, contiene un link che in realtà punta al download di un file ZIP. Questo file ZIP contiene un file URL che punta ad un SMB (in questo caso con IP russo). Da qui viene scaricato ed eseguito il malware.

Il file contenuti nello ZIP
Fonte: Canale Telegram CERT- AGID
Anche il ricercatore di sicurezza JAMESWT ha individuato campagne di distribuzione di Remcos a tema Agenzia delle Entrate.

Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Pur cambiando corpo ed oggetto email, la catena di infezione è invariata. Il corpo email contiene un link che conduce al download di un file ZIP. Questo archivio contiene un file URL che punta ad un SMB dal quale viene scaricato ed eseguito il malware.

L'eseguibile di Remcos
Fonte: JAMESWT

malware_StrRat-jpg

Malware StrRat: analisi del CERT di una campagna di diffusione in Italia

Malware StrRat: il CERT ha pubblicato l’analisi di una campagna di diffusione veicolata in Italia

Malware StrRat: iniziamo dalle presentazioni
L’ultima campagna di diffusione in Italia risale a al Giugno 2023. Infatti è a cadenza del tutto irregolare che StrRat viene diffuso nel nostro paese.

StrRat è un remote access trojan (RAT) scritto in Java. Presenta una vasta gamma di funzionalità dannose per quanto i suoi obiettivi principali siano il furto di informazioni e le capacità di backdoor. Ruba dati dai browser e dai client email ed ha capacità di keylogger online e offline.

StrRat mira alle seguenti informazioni:

username;
sistema operativo;
architettura del sisema;
presenza sul sistema di software antivirus;
localizzazione della vittima;
verifica se il malware sia già presente o meno sul sistema bersaglio;
tempi di inattività del dispositivo;
password salvate sui browser (Chrome, Firefox, Internet Explorer ecc..) e client email (Outlook, Thunderbird, Foxmail ecc…).
L’unica “nota positiva” è che StrRat colpisce soltanto i sistemi Windows.

La campagna di distribuzione analizzata dal CERT
Il CERT ha, come dicevamo, reso pubblica l’analisi di una campagna di distribuzione di StrRat nel nostro paese. L’email vettore del malware è scritta in inglese, in questo caso, ma emula comunicazioni di una nota azienda produttrice di macchinari industriali.

Fonte: CERT
Il mittente è stato “spoofato” ovviamente. Lo spoofing è una tecnica molto utilizzata negli attacchi spam e phishing e mira a convincere gli utenti che un messaggio provenga da una certa entità o azienda che conoscono e della quale possono fidarsi.

Gli stage di infezione
L’email presenta un allegato, una presunta “fattura”. Facendo attenzione si nota già qualcosa di strano: l’allegato ha una doppia estensione “.doc.jar”. Il file ovviamente è un JAR dal quale però viene estratto ed eseguito un altro file con doppia estensione, questa volta “.doc.js”.

Al suo interno, spiegano gli esperti del CERT, c’è del codice offuscato che, deoffuscato, porta ad un nuovo file Javascript, quindi ad un file JAR.

Tra le risorse del JAR è presente un file denominato “config.txt”. Al suo interno c’è una stringa in Base64 che contiene il file di configurazione del malware StrRat. Il contenuto è criptato, comunque, con algoritmo AES ma la sua decriptazione è piuttosto semplice.

A questo punto è possibile analizzare il codice: in questo caso, la versione analizzata presenta una serie di comandi per attivare queste funzioni remote:

keylogging;
escalation dei privilegi;
furto delle password;
funzionalità che imitano un attacco ransomware. In realtà il malware modifica soltanto le estensioni dei file, ma non ne cripta il contenuto.
Qui il report completo del CERT con tutti i dettagli tecnici.

01 (1)

Fraud GPT – il Cybercrime sempre un passo avanti?

Il cybercrime punta sull'AI
Se da un lato ChatGPT e i sistemi di intelligenza artificiale hanno catturato l'attenzione delle persone e vengono sempre più utilizzati, cambiando il loro sistema di approccio al computer, al lavoro, all'accesso ai dati e influenzando addirittura il comportamento, anche i criminali informatici hanno esplorato come poter capitalizzare questo fenomeno. Un recente esempio di questo è FraudGPT.

FraudGPT è un prodotto venduto abbastanza liberamente nel dark web e su Telegram che funziona in modo simile a ChatGPT, ma crea contenuti per facilitare cyberattacchi. I membri del team di ricerca sulle minacce di Netenrich l'hanno identificato per la prima volta e visto pubblicizzato nel luglio 2023. Uno dei punti “forti” di questo “prodotto” è che che non ha i controlli incorporati e le forme di limitazione che impediscono a ChatGPT di eseguire o rispondere a richieste inappropriate. In sintesi, è il fratello cattivo o l’anima nera di un sistema creato per dare contributi positivi.

Ulteriori informazioni reperibili in rete, ci dicono che questo software, viene aggiornato ogni una o due settimane e presenta diversi modelli di IA. FraudGPT ha addirittura un tariffario basato su abbonamento. Sempre cercando online si scopre che possiamo ottenerlo al modico prezzo di $200 al mese o $1.700 all'anno. Ovviamente in comodi e anonimi Bitcoin.

La versione "cattiva" di ChatGPT
Il team di Netenrich ha acquistato e testato FraudGPT. L'interfaccia sembra simile a quella di ChatGPT, con un registro delle precedenti richieste dell'utente nella barra laterale sinistra e la finestra di chat che occupa la maggior parte dello schermo. Le persone devono cliccare sul bottone "Fai una domanda" e premere Invio per generare la risposta. Proprio come nella normale ChatGPT a cui chiediamo la ricerca su Cavour o Garibaldi o altre informazioni ordinarie, qui possiamo chiedere ben altro.

Uno dei prompt di test ha chiesto al software, per testare il sistema, di creare e-mail di phishing relative alle banche. Gli utenti dovevano solo formattare le loro domande includendo il nome della banca e FraudGPT faceva il resto. Ha persino suggerito dove inserire un collegamento maligno nel contenuto. FraudGPT poteva andare oltre, creando delle landing page che invitavano i visitatori a fornire informazioni. Forse abbiamo scoperto l’origine di una buona parte dei messaggi che riceviamo sui nostri smartphone. Specialmente quelli della nostra banca che ci “informano” di accessi strani.

Altri prompt hanno chiesto a FraudGPT di elencare i siti o i servizi più presi di mira dagli hacker, i più vulnerabili e i più utilizzati. Queste informazioni potrebbero aiutare a pianificare futuri attacchi. Una pubblicità sul dark web per il prodotto menzionava che poteva creare senza difficoltà codice maligno, sviluppare malware "invisibili", individuare vulnerabilità, identificare bersagli semplici da colpire e altro.

Un vero e proprio manuale di istruzioni per cybercriminali.

Il team di Netenrich ha anche identificato il probabile venditore di FraudGPT come un soggetto che, in passato, offriva servizi di hacking a pagamento. Inoltre, hanno collegato la stessa persona a uno strumento simile chiamato WormGPT, un sistema con elevate potenzialità per la creazione di messaggi di phishing realistici e nella compromissione delle email aziendali.

Per approfondire > FraudGPT: The Villain Avatar of ChatGPT

Intelligenza artificiale e sicurezza informatica: nuovi rischi
È un dato di fatto che ChatGPT sia sempre più utilizzata e non solo nel mondo del lavoro. Ciò pone non pochi problemi per la sicurezza informatica. I dipendenti potrebbero esporre a seri rischi, anche involontariamente, informazioni aziendali riservate, incollandole in ChatGPT, per i più diversi usi. Immediato il pericolo di un possibile travaso delle stesse in sistemi illegali. Alcune aziende, tra cui Apple e Samsung, hanno non a caso già limitato il modo in cui i lavoratori possono utilizzare questo strumento.

I dati dicono che molte aziende saranno costrette a chiudere la loro attività entro due anni a causa di un data breach. Ma la perdita di dati non avviene sempre a causa di cyberattacchi, come molti possono pensare. Il pericolo è adesso anche quello che deriva dall’uso di ChatGPT, inserendovi dati magari sensibili.
Si tratta di un timore non infondato. Ad esempio un bug di ChatGPT ha esposto, nel Marzo 2023, i dettagli di pagamento di chi aveva utilizzato questo sistema in una finestra di nove ore iscrivendosi alla versione a pagamento. E non dimentichiamo che le versioni future di ChatGPT conterranno e processeranno le informazioni inserite dagli utenti precedenti. Strumenti e informazioni che, più o meno volontariamente, consegniamo ai pirati della rete.

patch_management-jpg

Patch Management: che cosa è e perché è così importante per la sicurezza informatica aziendale

Patch Management: che cosa è e perché la protezione dalle vulnerabilità rende possibile un approccio proattivo, e non solo reattivo, contro le minacce informatiche.

Patch Management: che cosa è
Il Patch Management, o la gestione delle patch, è una pratica fondamentale per garantire la sicurezza informatica delle aziende. Le patch sono aggiornamenti software progettati per correggere vulnerabilità e problemi di sicurezza nei sistemi operativi, applicazioni e dispositivi. L’importanza del Patch Management non può essere sottovalutata, poiché le minacce informatiche evolvono costantemente, e le aziende devono essere pronte a mitigare tali rischi.

Aziende con software o sistemi operativi non aggiornati e vulnerabili sono esposte a una serie di rischi significativi. Queste vulnerabilità possono essere sfruttate da attaccanti per compromettere la sicurezza dei dati, causare perdite finanziarie e danneggiare la reputazione aziendale. Ad esempio, un sistema operativo non aggiornato può presentare falle che consentono a malware e hacker di accedere ai dati sensibili dell’azienda, mettendo a rischio la riservatezza e l’integrità delle informazioni. Inoltre, un attacco informatico su larga scala può causare interruzioni operative costose e perdite di produttività.

Migliorare la Risposta alle Minacce: Patch Management e sicurezza informatica
La gestione delle patch non riguarda solo la correzione delle vulnerabilità, ma anche la preparazione dell’azienda per affrontare le minacce in modo proattivo. Affrontare le minacce in modo proattivo significa che le aziende non aspettano che si verifichi un attacco informatico prima di agire. Invece, implementano misure di sicurezza avanzate, come il monitoraggio costante delle attività di rete, l’analisi delle minacce in tempo reale e la formazione del personale per riconoscere segnali di possibili attacchi.

Questo approccio permette alle aziende di identificare e rispondere alle minacce prima che possano causare danni significativi, riducendo così l’impatto negativo sulle operazioni aziendali. Ad esempio, se un’azienda rileva attività sospette sulla rete o tentativi di accesso non autorizzati, può reagire rapidamente per mitigare il rischio di un potenziale attacco. Inoltre, la formazione del personale sull’importanza del rispetto delle pratiche di sicurezza informatica contribuisce a creare una cultura aziendale che valorizza la sicurezza, riducendo il rischio di errori umani che potrebbero favorire gli attacchi.

Esempio di Attacco Informatico: WannaCry e la Vulnerabilità di EternalBlue
Un esempio noto di attacco informatico che ha sfruttato una vulnerabilità già conosciuta è il caso di WannaCry. Questo ransomware ha colpito migliaia di sistemi in tutto il mondo nel 2017 sfruttando la vulnerabilità di EternalBlue in Windows, una vulnerabilità che era stata corretta mediante una patch rilasciata da Microsoft alcuni mesi prima dell’attacco. Tuttavia, molte aziende non avevano applicato la patch o aggiornato i loro sistemi, consentendo a WannaCry di diffondersi rapidamente e crittografare i dati, richiedendo un riscatto per il ripristino. Questo episodio evidenzia chiaramente l’importanza di un solido Patch Management, poiché l’attacco poteva essere evitato mediante la semplice applicazione di una patch di sicurezza disponibile da tempo.

Per saperne di più > Il ransomware WannaCry e l’exploit EternalBlue ancora in attività: sono davvero eterni?

Una proposta: il Patch Management di Seqrite
Seqrite Endpoint Security è una piattaforma semplice e completa che integra tecnologie innovative come Anti Ransomware, DNA Scan Avanzato e un Sistema di Analisi Comportamentale per proteggere le reti aziendali dalle minacce avanzate di oggi. Offre una vasta gamma di funzionalità avanzate tra le quali la Scansione delle Vulnerabilità e il Patch Management.

Scansione Vulnerabilità:
scansionando le vulnerabilità note di applicazioni e sistemi operativi, questa funzionalità consente agli utenti di applicare le necessarie patch di sicurezza per il sistema operativo, i software e i browser.
Patch Management:
consente la gestione centralizzata delle patch. Consente di verificare e installare le patch mancanti per le applicazioni e i sistemi operativi installati nella rete aziendale. Sarà possibile quindi automatizzare controllo e installazione delle patch mancanti semplificando notevolmente lo sforzo necessario a mantenere sicuri ed integri gli endpoint.

spynote-jpg

SpyNote: lo spyware per Android che ama l’Italia

SpyNote è uno spyware per Android finalizzato al furto dati e al controllo remoto del dispositivo. Da qualche mese è sempre più attivo in Italia

SpyNote: che cosa sappiamo
SpyNote ha iniziato la propria attività nel 2016, subendo un costante aggiornamento di funzionalità e tecnologie. Oggi è alla terza versione.

E’ venduto come malware as a service (MaaS) principalmente su Telegram, ma non solo. Nato come trojan bancario ha subito l’aggiunta di svariate funzionalità comprese quelle da remote access trojan dopo che il suo codice è finito esposto su GitHub.

Ad ora quindi, oltre alle tradizionali funzionalità da trojan bancario e spyware può garantire all’attaccante il controllo remoto del dispositivo.

Le funzionalità dannose
Per prima cosa, SpyNote è noto per le capacità di nascondere la propria presenza dalla schermata principale di Android, così come dalla schermata che elenca le app usate più recentemente. Quindi richiede permissioni molto invasive per accedere ai log delle chiamate, alla fotocamera, ai messaggi SMS e agli storage esterni ecc…

Ecco un elenco delle funzionalità dannose:

tramite i servizi di accessibilità ottiene permissioni ulteriori e la capacità di simulare tap e gesti sullo schermo come se fosse un utente umano ad eseguirli.
Sempre grazie i servizi di accessibilità può intercettare i codici di autenticazione 2FA.
Esegue verifiche di specifiche keyword per verificare la presenza di sandbox o ambienti di test. Se individua ambienti atti allo studio del suo funzionamento, si mette in standby.
Le keyword ricercate da SpyNote
Le keyword ricercate da SpyNote
Esegue attacchi di tipo overlay. Quando gli utenti aprono le app bancarie legittime. SpyNote sovrappone delle schermate fake tramite le quali sottrae i dati e le credenziali inserite.
Può effettuare registrazioni tramite la fotocamera, acquisire schermate, registrare telefonate, intercettare SMS.
Ha funzionalità che gli consentono di rilevare la posizione GPS del dispositivo e lo fa aggiiornandola costantemente.
La localizzazione del dispositivo
La localizzazione del dispositivo
SpyNote è, ovviamente, anche un keylogger. Raccoglie le battiture e le codifica in base64, quindi le conserva entro un file txt chiamato “/Config/sys/apps/log/log-yyyy–MM–dd.txt“. Questo file è poi inviato al server C&C del malware
La funzionalità di keylogging di SpyNote
La funzionalità di keylogging di SpyNote
Come si diffonde
SpyNote, come detto, è sempre più attivo in Italia. Il CERT, nel solo 2023, ha individuato più campagne di diffusione di SpyNote. Ad Ottobre ad esempio, i ricercatori di sicurezza hanno segnalato una campagna di diffusione, ovviamente via SMS, che ha sfruttato il tema IT-Alert, il sistema di allarme pubblico implementato in Italia.

NOTA BENE: non esiste alcuna app IT-Alert. Ogni app che sfrutti tale denominazione è fake.

L’SMS truffaldino conteneva il link che conduceva ad un dominio di recente registrazione nel quale erano visibili intestazioni relative alla Presidenza del Consiglio dei Ministri.

Fonte: CERT
Nel primo caso l’app compromessa installata sui dispositivi degli utenti emulata IT-Alert, il sistema di allerta pubblico.

Fonte: CERT
In un secondo caso invece il dominio falso riproduceva le fattezze del sito web legittimo di un importante istituto bancario italiano.

Immagina di poter verificare un pc, un tablet o uno smartphone e certificare se è intercettato o compromesso con un software spia oppure no. Tutto da remoto!

lockbit-italia-jpg

Lockbit si abbatte sull’Italia: tre vittime da inizio Novembre

Il ransomware Lockbit torna di nuovo a colpire in Italia: tre aziende colpite da inizio Novembre. Sul leak site i countdown

Lockbit “abbatte” la Boeing
Che Lockbit sia una delle operazioni ransomware più attive e pericolose di quelle attualmente “sul mercato” non c’è dubbio. I primi giorni di Novembre, di Lockbit si è parlato nei media di mezzo mondo, a causa di un attacco di quelli “di punta”, come potremmo definirlo. LockBit ha “bucato” la Boeing, il gigante aerospaziale famoso in tutto il mondo.

L’azienda ha confermato che l’attacco non ha avuto impatto sulla sicurezza dei voli, ma il sito web e tutti i servizi Boeing sono stati offline svariati giorni

La schermata mostrata dal sito boeing[.]com quando era offline
La schermata mostrata dal sito boeing[.]com quando era offline
Gli attaccanti però hanno rivendicato non solo l’accesso alla rete aziendale ma soprattutto il furto di una gran quantità di dati sensibili.

La rivendicazione dell'attacco a Boeing sul leak site di Lockbit
La rivendicazione dell’attacco a Boeing sul leak site di Lockbit
Gli attaccanti avevano minacciato la pubblicazione dei dati entro il 2 Novembre, ma nel leak site di Lockbit non se ne trova traccia. Probabilmente l’azienda ha trovato un accordo con gli attaccanti.

Per approfondire > Ransomware: Lockbit la catena di attacco e le attività anti-forensi

Un diluvio di attacchi in Italia
Ma veniamo a noi e al Bel Paese. In questa prima settimana di Novembre si contano ben 3 vittime italiane. Il 2 Novembre la gang ransomware rivendica l’attacco alla De Gregoris, azienda di arredi in provincia di Latina.

La rivendicazione dell'attacco a De Gregoris sul leak site di Lockbit
La rivendicazione dell’attacco a De Gregoris sul leak site di Lockbit
La rivendicazione è correlata, come da tradizione, da una serie di samples dei dati rubati.

i samples dei dati rubati dalla De Gregori
I samples dei dati rubati dalla De Gregori
Lo stesso giorno ecco pubblicata la seconda rivendicazione: bucato il Centro Ortopedico di Quadrante SpA. Nella rivendicazione gli attaccanti specificano che è stato attaccato il sito web ospedalecoq[.]it, che al momento è ancora down, e non il sito ospedalecoq[.]com che invece è raggiungibile. Su questo è intervenuta l’azienda stessa, specificando come il dominio .it sia in abbandono da molto tempo.

La rivendicazione dell'attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
La rivendicazione dell’attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
Qualche giorno dopo l’attacco, l’azienda ha contattato la redazione di red Hot Cyber (tra le prime testate a rendere pubblica la notizia), dichiarando che

“il sistema è integro e il sito aziendale è operativo e consultabile”.

La rivendicazione, a tutt’oggi, non presenta sample di dati rubati.

Il 5 Novembre ecco l’ennesima rivendicazione: il Consorzio di Bonifica dell’Emilia. Gli attaccanti dichiarano di aver violato la rete aziendale e fissano al 13 Novembre 2023 la deadline oltre alla quale renderanno pubblici i dati rubati.

La rivendicazione dell’attacco al Consorzio di Bonifica sul leak site di Lockbit
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy