blog+s-mart[1]

Ultimi aggiornamenti sul ransomware FTCODE

Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all’interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all’interno del quale si trova un file .VBS, che contiene l’eseguibile del ransomware. Il testo dell’email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato.

Per sembrare affidabile il malware mostra l’immagine che segue:

Fonte: https://www.cert-pa.it/

Al momento sono in corso analisi dettagliate. In diffusione una nuova versione del ransomware, la 1117.1: anche questa versione, come la precedente, cripta la chiave inviata al C&C, genera tutti i parametri usati per il meccanismo di criptazione in maniera causale ed esfiltra i dati personali dell’utente, ad esempio le password. Un’altra somiglianza con la versione precedente è che anche la nuova versione viene distribuita insieme alla backdoor JasperLoader.

Qualche accenno su JasperLoader
Questo malware, che colpisce solo gli utenti italiani, viene continuamente implementato dagli attaccanti per sfuggire alle attività di controllo intraprese dalle aziende antivirus. Gli esperti di Cisco ci dicono che “Le campagne attualmente in corso per la distribuzione di JasperLoader continuano a colpire vittime italiane e dimostrano ulteriormente che, sebbene JasperLoader sia una minaccia relativamente nuova nello spazio di distribuzione del malware, gli sviluppatori che lo gestiscono continuano a perfezionare e migliorare attivamente questo malware ad un ritmo sempre più veloce e con una sofisticazione senza precedenti nell’ambito dei malware a sfondo finanziario”.
Le versioni più recenti di JasperLoader infatti, mostrano l’implementazione di strumenti volti all’elusione dei controlli dei software antivirus (ad esempio l’offuscamento del codice) e meccanismi antisandbox / antihoneypot per impedire ai ricercatori la possibilità di analizzare il codice dannoso.

JasperLoader è una backdoor che garantisce agli attaccanti l’accesso remoto ad una macchina: questo significa che, anche in caso di risoluzione di un’infezione malware, gli attaccanti conservano comunque un accesso remoto al sistema infetto. Per questo viene utilizzano nella diffusione di più malware, dal trojan Gootkit al ransomware Maze (per limitarci agli ultimi mesi).

Ad ora non esiste una soluzione per recuperare i file una volta cifrati senza pagare il riscatto, quindi dobbiamo, SEMPRE, prestare molta attenzione prima di cliccare su un link o aprire l’allegato a una mail.

1+28129[1]

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione

Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella “top 10” di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese.

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l’intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.

I ricercatori di Sophos puntualizzarono anche che MegaCortex era stato individuato in reti aziendali già compromesse con i trojan Emotet e Qakbot, elemento che suggeriva che gli attaccanti avessero pagato alcuni operatori di trojan per avere accesso a sistemi già infetti: questa tecnica, quella cioè di pagare altri cyber attaccanti per avere accesso a reti e sistemi già infettati con altri trojan, è ormai una consuetudine nel mondo dei ransomware. Perchè hackerare un sistema per ottenere un accesso se c’è già, magari, una backdoor aperta sullo stesso?

In ogni caso MegaCortex ha anche un proprio meccanismo di accesso alla rete: molti utenti hanno denunciato come l’infezione sia iniziata con la compromissione di domain controller Windows. Su questi controller gli attaccanti copiano e installano Cobolt Strike, creando così una reverse shell verso l’host dell’attaccante. E’ così che gli attori dietro Mega Cortex ottengono l’accesso remoto al domain controller e lo sfruttando per distribuire l’eseguibile principale del ransomware. A quel punto, dopo aver terminato 44 differenti processi e quasi 200 servizi di Windows (tutti potenzialmente avversi all’infezione: parliamo di antivirus, backup, database ecc…), inizia la criptazione dei file presenti sulle macchine connesse in rete.

Tra le altre cose, MegaCortex si assicura che non sia possibile recuperare i file in forme diverse rispetto al pagamento del riscatto: col comando vssadmin delete shadows /all /for=c:\ cancella tutte le Shadow Volume Copies impedendo il ripristino del sistema. Col comando Cipher /w invece sovrascrive i file cancellati, in maniera tale da renderli non recuperabili neppure con software di recupero dati.

Come cripta i file
Anzitutto, quel che colpisce, è che MegaCortex ha il proprio codice certificato. I certificati utilizzati variano, spesso sono rubati o ottenuti in altre forme illecite. In questo modo non è necessario fornire codice criptato per il payload del ransomware: la DLL può essere direttamente decompressa e iniettata in memoria: è un tipico meccanismo di elusione dei controlli delle soluzioni antivirus e antimalware. L’eseguibile viene quindi avviato e inizia la criptazione.

Fonte: bleepingcomputer.com

La nuova versione
La nuova versione, individuata qualche giorno fa, non si limita più a criptare solo i file e richiedere un riscatto, ma ha funzioni aggiuntive: oltre a minacciare le vittime di pubblicare i file online, è in grado di modificare la password di accesso al dispositivo. In dettaglio, se l’utente prova a riavviare il sistema operativo dopo l’infezione di MegaCortex, non riuscirà più ad accedervi, perchè la password sarà stata modificata.

E’ cambiata anche l’estensione di criptazione, che per la nuova versione è .m3g4c0rtx. Il Cert-PA fa comunque sapere che, almeno ad ora, non risultano infezioni della nuova versione in Italia.

1[1]

Attacchi BlueKeep in corso! E’urgente installare la patch!

La CVE-2019-0708 (qui qualche dettaglio), conosciuta come vulnerabilità BlueKeep, è una vulnerabilità pre-autenticazione del Remote Desktop Protocol: se sfruttata, può consentire ad un attaccante di compromettere il sistema senza il bisogno di alcuna interazione da parte dell’utente. Questo exploit è anche “wormable”, ovvero può diffondersi in altri sistemi vulnerabili come fosse un worm: questo problema non è affatto nuovo, la propagazione globale del ransomware WannaCry nel 2017 fu conseguenza proprio di un sistema molto simile di diffusione. E’ interessante notare che BlueKeep, che affligge i sistemi operativi Windows, riguarda anche sistemi “inaspettati”: ad esempio questa vulnerabilità influisce anche su servizi sanitari come radiografie, raggi-x ecc.. perchè i software di imaging usati per le immagini diagnostiche in molteplici paesi del mondo vengono eseguiti su sistemi Windows.

Nonostante questa vulnerabilità sia stata patchata da Microsoft parecchi mesi fa, sono numerosi i cosiddetti Proof of Concept (bozza di codice) che girano online per sfruttarla. A Settembre, ad esempio, un codice di exploit di questa vulnerabilità fu aggiungo al popolare framework per exploit Metasploit: il tentativo, probabilmente, è quello di poter eseguire attacchi su larga scala contro host vulnerabili che hanno la porta RDP aperta su Internet. Vi sono anche report recenti che riportano come BlueKeep venga sfruttata su macchine vulnerabili per eseguire miner di criptovaluta, sopratutto Monero.

Abbiamo riscontrato un aumento degli attacchi collegati a BlueeKeep anche nella nostra telemetria: ecco la distribuzione degli attacchi di questo tipo che abbiamo bloccato negli ultimi 6 mesi, suddivisa per sistemi operativi.

Patch!Patch!Patch!
Dato il livello di gravità di questa vulnerabilità (il livello assegnato è critico, il più grave nella scala con la quale sono classificate le vulnerabilità) è assolutamente consigliabile installare la patch relativa a BlueKeep prima possibile.
Qui le linee guida ufficiali di Microsoft per risolvere la problematica:
Linee guida per il cliente per CVE-2019-0708 | Servizi Desktop remoto vulnerabilità
Oltre all’installazione della patch, è consigliabile:
disabilitare l’accesso RDP dall’esterno della rete aziendale;
per le macchine ospitate in cloud, è importante consentire l’accesso RDP soltanto a IP espressamente indicati in whitelist.
Quick Heal blocca tentativi di attacco con questo exploit con le seguenti firme IPS:
Remote Desktop Services RCE Vulnerability CVE-2019-0708
RDP/CVE-2019-0708.UN!SP.34961

a[1]

FTCODE Ransomware: una nuova versione in diffusione in Italia

In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l’Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un’allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c’è garanzia di ricevere il tool.

Lista delle estensioni per versione:
V.1 –> .Ftcode
V.2 –> 6 caratteri casuali (es. 3e6134)

Sono il download e l’apertura dell’allegato infetto che danno l’avvio alla criptazione dei file.

La nuova versione
Dopo la nuova e massiccia, campagna di email infette a fine ottobre, sembrava che potesse esserci la speranza per la risoluzione delle infezioni da questo ransomware, grazie ad un tool, all’epoca in fase di sviluppo, che sfruttava quello che sembrava un bug di FTCODE. Il bug riguardava la comunicazione della chiave privata di criptazione di ogni utente tra la macchina infetta e il server di comando e controllo del ransomware, che avveniva sia in forma criptata che in chiaro. Con il tool si sarebbero potute intercettare le comunicazioni tra il ransomware sulla macchina infetta e il server C&C e individuare la password necessaria a riportare in chiaro i file.

Questa speranza è però svanita. Una nuova variante di FTCODE ha risolto questo bug e reso impossibile l’individuazione in chiaro della chiave: questa infatti ora viene trasmessa in forma criptata al server C&C.

Nel dettaglio, questa variante evolutiva di FTCODE compie queste operazioni attraverso codice PowerShell:
Cifra la chiave prima di comunicarla al C&C
Genera un Vettore di inizializzazione casuale per AES256
Genera un salt per l’algoritmo PBKDF1

Cifratura della chiave.

Invio delle informazioni al server C&C.

01[1]

Report delle minacce – 3° trimestre 2019: i malware per Android

Report delle minacce – 3° trimestre 2019: i malware per Android
– MERCOLEDÌ 6 NOVEMBRE 2019

Nel terzo trimestre del 2019 sono state oltre 130.000 le individuazioni di malware o app dannose per Android. Nel mese di Agosto i Quick Heal Security Labs hanno individuato e segnalato a Google oltre 27 app compromesse e dannose, pubblicate ufficialmente sul Play Store. Pochi giorni dopo abbiamo segnalato altre 29 app dannose, con oltre 10 milioni di download raggiunti. A metà Settembre invece è stato individuato, sempre sul Google Play Store, un intero filone di app antivirus false, con oltre 100.000 download raggiunti in pochi giorni. Si registra anche il ritorno dei ransomware diffusi via SMS.

In questo articolo rendiamo una breve panoramica dei malware per Android più pericolosi, individuati nel periodo Luglio, Agosto e Settembre 2019. Il report completo è disponibile qui >> http://bit.ly/2WrSj8C

Highlights

Statistiche di individuazione: suddivisione per categorie

La top 3 dei malware

1. Android.Necro.A
Livello di rischio: alto
Categoria: malware
Metodo di propagazione: Google Play
Comportamento:
il dropper di questo malware è stato trovato in CamScanner, app legittima per la creazione di PDF con oltre 100 milioni di download;
ha un modulo dannoso criptato nella directory delle risorse. Lo decodifica in fase di esecuzione in background;
l’attività dannosa si avvia quando il malware si connette al server di C&C;
mostra ads insistenti e sottoscrive servizi a pagamento.
2. Android.Bruad.A
Livello di rischio: medio
Categoria: Applicazione Potenzialmente Indesiderata (PUA)
Metodo di propagazione: app store di terze parti
Comportamento:
nasconde la propria icona dopo l’installazione;
si connette a URL contenenti pubblicità;
invia ad un server remoto informazioni sul dispositivo quali IMEI, IMSI, location e numero del modello.
3. Android.Agent.GEN14722
Livello di rischio: alto
Categoria: malware
Metodo di propagazione: app store di terze parti
Comportamento:
dopo l’esecuzione, nasconde la propria icona e lavora in background;
in background, scarica ulteriori app dannose dal proprio server C&C;
esegue più attività dannose in contemporanea, ruba le informazioni dell’utente.
Trend e novità:
Torna il ransomware per Android via SMS
Si registrano meno individuazioni di ransomware per Android rispetto allo scorso trimestre, ma ne abbiamo tracciati molti che vengono diffusi via link contenuto come testo in SMS. Se l’utente che riceve l’SMS fa clic sul link, visualizzerà un prompt di installazione: se l’utente concede le permissioni, si avvierà l’infezione. Oltre a criptare i file, Andorid Ransomware invia lo stesso SMS dannoso a tutti i contatti della rubrica della vittima.
Agent Smith
Un malware che ha avuto notevole diffusione è Agent-Smith, diffuso via app store di terze parti. E’ contenuto in app legittime infettate prima dell’installazione: è stato rinvenuto in WhatsApp, Opera, MXplayer ecc… Il payload contiene ben 6 moduli, decriptati i quali Agent Smith inizia la propria attività dannosa, mostrando insistenti ads pubblicitari.

Per approfondire >> ALERT: il malware Agent Smith fa strage di smartphone Android

1[1]

Report delle minacce – 3° trimestre 2019: i malware per Windows

Nel terzo trimestre del 2019 sono state oltre 257 milioni le individuazioni di Malware per Windows. Solo nel mese di Luglio le individuazioni sono state 92 milioni, ma il primato spetta al mese di Agosto, con oltre 97 milioni di malware, a ricordare che il cyber crime non va mai in vacanza! In termini giornalieri, Quick Heal ha individuato, in media, 2 milioni di malware (compresi oltre 10.000 ransomware), 0.2 milioni di exploit, 0.1 milioni di PUA e Adware e oltre 27.000 miner di criptovaluta al giorno.

La categoria dei trojan si conferma al primo posto, avente come principale attore il Trojan.Starter.YY4 (individuato oltre 8 milioni di volte). Segue a ruota il malware FraudTool.MS-Security, l’Adware più individuato con circa 0.4 milioni.

In Agosto i Lab di sicurezza Quick Heal hanno inoltre monitorato attacchi provenienti da due gigantesche botnet per il mining di criptovaluta, che hanno colpito i dispositivi Android tramite la porta 555, la porta ADB e le porte 23 telnet e 22 SSH. Approfondiremo questo punto nel breve report riguardante le minacce per i SO Android.

In questo articolo rendiamo una breve panoramica del malware per Windows più pericolosi, individuati nel periodo Luglio, Agosto e Settembre 2019. Il report completo è disponibile qui >> http://bit.ly/2WrSj8C

Highlights

Statistiche di Individuazione – suddivisione mensile
Il grafico sotto mostra le statistiche di individuazione per i mesi Luglio, Agosto e Settembre 2019.

Statistiche di Individuazione: suddivisione per funzioni di protezione

Scansione in Tempo Reale:
la scansione in tempo reale verifica i file in cerca di virus e malware ogni volta che questo viene ricevuto, aperto, scaricato, copiato o modificato.
Scansione On Deman
scansiona i dati a riposo, o i file non usati attivamente.
Sistema di Individuazione Comportamentale:
individua e elimina le minacce sconosciute in base al comportamento che mostrano sulla macchina.
Scansione di Memoria:
scansiona la memoria in cerca di programmi dannosi in esecuzione e li elimina.
Scansione Email:
blocca le email che distribuiscono allegati infetti o link compromessi, siti fake o di phishing.
Scansione Sicurezza Web:
individua automaticamente siti web potenzialmente dannosi e vi impedisce la navigazione.
Scansione di Rete:
la scansione di Rete (IDS / IPS) analizza il traffico di rete per individuare cyber attacchi e bloccare pacchetti distribuiti verso il sistema.
Statistiche di individuazione – categorie di malware

La top 3 dei malware
Sotto i primi 3 malware col più alto numero di individuazioni nel 3° trimestre 2019

1. Trojan.Starter.YY4
Livello di Rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
modifica le impostazioni del registro, conducendo talvolta al crash di sistema;
scarica altri malware, sopratutto keylogger;
ruba informazioni sensibili, sopratutto quelle finanziare e personali, presenti nel sistema infetto;
rallenta il boot del sistema operativo e arresta arbitrariamente processi sul sistema infetto.
2. LNK.Cmd.Exploit.F
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
usa cmd.exe col parametro “/c” per eseguire altri file dannosi;
esegue simultaneamente un file .exe dannoso e un vile chiamato “help.vbs”: questo è un miner per criptovaluta Monero.
3. W32.Pioneer.CZ1
Livello di rischio: medio
Categoria: file infector
Metodo di propagazione:
il malware inietta il proprio codice nei file presenti sul disco e sulle condivisioni di rete;
decripta una libreria DLL dannosa e la copia sul sistema;
la dll esegue ulteriori attività dannose, tra i quali la raccolta di informazioni dal sistema: le info sono inviate al server di C&C.

1[1]

Deepfake: manipolazione video e intelligenza artificiale al servizio del crimine

Deepfake: manipolazione video e intelligenza artificiale al servizio del crimine
– GIOVEDÌ 31 OTTOBRE 2019

Qualche tempo fa rimbalzò sui media mondiali la notizia di un video che ritraeva Mark Zuckerberg, il fondatore di Facebook intento a parlare, in toni molto controversi, dell’immenso potere accumulato da Facebook: “Immaginate per un secondo: un uomo con il controllo completo dei dati rubati di miliardi di persone, tutti i loro segreti, le loro vite, il loro futuro,” sembrava dire Zuckerberg nel video.

Il punto è che, nonostante le immagini non inducessero alcun dubbio tanto erano realistiche, il video era falso. E’ stato creato da due artisti e un’agenzia pubblicitaria, rielaborando al computer un video di Zuckerberg del 2017 ed è un esempio di quello che possiamo definire DeepFake.

Un fotogramma tratto dal video fake

In questo caso la tecnica di manipolazione dei video è stata usata a fini artistico/ pubblicitari, ma gli usi criminosi sono all’ordine del giorno, tanto da indurre ad esempio la California ad approvare ben due leggi contro il deepfake e l’Italia ad avviare una discussione sul tema.

Il deepfake in breve
Il deepfake può considerarsi l’evoluzione delle fakenews: in sintesi è una tecnica per sintetizzare l’immagine umana tramite intelligenza artificiale. Consiste nel sovrapporre delle immagini e video (solitamente volti) con altri video o immagini originali. Ciò è reso possibile dall’impiego dell’apprendimento automatico, in dettaglio di una tecnica conosciuta come “rete antagonista generativa”, che consente di far apprendere ad una rete come generare nuovi dati aventi la stessa distribuzione dei dati usati in fase di addestramento. Proprio questa capacità di apprendimento consente la creazione di volti umani iper realistici.

Il video di Zuckerberg, per tornare all’esempio iniziale, è stato prodotto usando algoritmi sviluppati dai ricercatori dell’Università di Washington, che hanno trasformato delle clip audio di persone che parlano in realistici video di persone modellate per far si che sembrino proprio dire quelle parole.

Un esempio di deepfake che vede protagonista Donald Trump

” La minaccia del deepfake”: la Polizia Postale italiana lancia l’allarme
Il 29 ottobre si è tenuta a Roma, organizzata da Videocittà, la conferenza “La minaccia del deepfake”. “Il deepfake è una nuova tecnica informatica per sovrapporre il volto di una persona ad un’altra ripresa in un video che”, ha detto Nunzia Ciardi, direttrice del Servizio Polizia Postale e delle comunicazioni, intervenuta per fare il punto sui rischi che nascono dalla manipolazione delle immagini, “può essere usato per tanti scopi criminali gravissimi, nel mondo politico ma anche finanziario”.

Si sono visti alcuni di questi rischi con i falsi video di Renzi e di Zuckerberg, trasmessi il primo in televisione e l’altro in rete, nei quali era impossibile distinguere il falso dal vero. Come ha spiegato la Ciardi “Le aziende negli ultimi anni sono preda di truffe informatiche sempre più sofisticate e in alcuni casi milionarie, portate avanti usando espedienti di ingegneria sociale, ad esempio con email che sembrano inviate dall’amministratore delegato dell’impresa: con il deepfake si può arrivare ad un passo oltre, ad esempio simulando una videoconferenza dall’ad”.

Fino ad oggi la stragrande maggioranza del deepfake, circa il 96%, interessa il mondo della pornografia ma, prosegue il capo della PolPost, “i rischi di questa tecnica di manomissione video non vanno sottovalutati”.

“Siamo abituati a chattare con persone a cui attribuiamo l’immagine che vediamo in una foto, rischiando di incappare, ad esempio, in una truffa sentimentale. Attribuiamo credibilità alle immagini che vediamo, ma la tecnologia riesce ingannare i nostri sensi, e il deepfake è un’evoluzione che rende ancora più deflagrante questo impatto”. In questo contesto, “va reso sufficientemente sicuro l’ecosistema digitale, e ciò spetta alle istituzioni, alle grandi aziende e alle forze come la PolPost, ma è necessario che anche il singolo cittadino sia culturalmente attrezzato e preparato”.

Le due leggi “anti deepfake” della California
Il governatore californiano Gavin Newsom ha firmato recentemente due leggi per arginare il fenomeno deepfake: la prima legge criminalizza chi pubblica video e/o immagini manipolate di politici, a fine di screditamento, nei 60 giorni precedenti le elezioni. La seconda invece prevede esplicitamente la possibilità, per le vittime, di citare in giudizio l’autore di un film hard fake che ritrae la vittima senza che questa ne abbia mai girato uno: in questo caso si cerca di combattere due fenomeni criminosi oramai molto diffusi, ovvero la sextortion o il revenge porn.

Il problema è così grave che perfino a livello nazionale è in discussione un atto specifico, il Deep Fakes Accountabilty Act, che si basa su due assunti fondamentali: l’obbligo di dichiarare, per chi crea un deep fake, di dichiarare apertamente la manipolazione del video pena sanzioni penali e la possibilità per chi viene danneggiato dalla diffusione di tali video / immagini di citare in giudizio l’autore.

a1[1]

Riflessioni sui dati compromessi di 3 milioni di utenti Unicredit: altro che privacy, i dati degli altri vanno protetti!

martedì 29 ottobre 2019
Alessandro Papini – Presidente AIP

È di ieri il lancio di agenzia ANSA della compromissione dei dati di 3 milioni di clienti Unicredit.

Di per se la notizia non regala nulla di nuovo: un gruppo di hacker si è introdotto venerdì scorso, o forse anche prima, nei server di Unicredit, e ha trafugato un file creato nel 2015 contenente i dati di oltre 3 milioni di clienti e li ha pubblicati nel darkweb. Lo sappiamo e lo diciamo da anni che in Italia la protezione dei dati degli altri è inefficace, inadeguata e non più al passo con i tempi. È da tempo che invochiamo controlli e sanzioni che riportino l’attenzione sulla materia, che speriamo nella designazione del nuovo Garante che possa iniziare a pianificare una roadmap credibile ed efficiente. E invece la situazione in Italia è grave e anche seria (parafrasando all’incontrario la nota citazione di Flaiano) e noi tutti stiamo a guardare.

Quello su cui mi voglio soffermare è invece il taglio della notizia: riporto tra virgolette

“Questo file conteneva circa 3 milioni di records, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. Lo si legge in una nota della banca.”

Che vuol dire solo? Il nome, cognome indirizzo, numero di telefono ed email di un interessato sono dati secondari? Far pubblicare sul darkweb 3 milioni di dati che dal minuto successivo saranno preda di spam, phishing, offerte pubblicitarie non gradite, telefonate di telemarketer senza scrupoli vi sembra una cosa da poco? Voglio ricordare l’articolo 82 del GDPR:

“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.”

Il problema è che ancora non ci prendiamo sul serio, crediamo sia tutto un gioco ed andiamo avanti riempiendosi la bocca con la parola privacy. Volete la riprova? Il lancio continua così:

“Nell’accesso non autorizzato a file Unicredit “non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate”. UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia.”

Certo, fa figo dire che “abbiamo salvato gli altri dati personali dei clienti”, rende più professionali, più reattivi, più efficaci. Ma quali altri dati personali?

Oramai anche i bambini sanno che con il numero di conto non ci si può fare più niente, ci sono le “One Time Password” e recentemente i doppi controlli con gli smartphone. Quali altri miei dati personali può avere una banca e che è riuscita a salvare? (ammesso e non concesso che ci sia davvero riuscita).

La verità è che ancora non sanno quanti e quali dati sono stati rubati e l’unica maniera per accertarlo è armarsi del browser Thor e navigare nella rete oscura alla ricerca dei market che stanno vendendo a pacchetti tali files.

Unicredit dal canto suo ha giustamente segnalato la cosa al Garante e al Cnaipic, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche e da un punto di vista formale ha espletato tutte le azioni necessarie, nulla da dire.

Rimane il fatto che tutti i giorni aziende, organizzazioni, enti pubblici, banche e società di servizi sono vittime di furto di dati altrui e la domanda è: per quanto tempo ancora vogliamo continuare a proteggere inadeguatamente tali dati? Non sono certo un fautore della repressione ma mai come in questi casi delle sanzioni certe ed adeguate potrebbero sensibilizzare quel tanto che basta a fare di più, a fare di meglio.

Ci sono solo da fare i primi passi, poi il cammino diverrà per tutti più semplice e soprattutto inarrestabile.

1[1]

Unicredit: Sistemi violati

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti

E’stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici. Parla di un “incidente” che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell’istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l’Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.

Cosa si sa per adesso
Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca.

Tra le informazioni sottratte si trovano:

nome e cognome
città di residenza
numero di telefono
indirizzo email

Unicredit Bank ha escluso categoricamente la compromissione non solo delle credenziali di accesso all’home banking, ma anche di altri tipi di dettagli finanziari e personali: nessuno dei dati rubati cioè può mettere l’attaccante in condizione di accedere ai conti dei clienti e/o effettuare transazioni non autorizzate.

Non sono state diffuse informazioni sul come sia avvenuto tale attacco, ma anche sul quando Unicredit è parca di dettagli: si può supporre, leggendo la nota sopra menzionata, che l’attacco sia avvenuto proprio nel 2015, quindi che la violazione risalga a 4 anni fa. Ed è verosimile pensarlo anche perchè, anche se non ci sono riscontri ufficiali, alcuni organi di stampa esteri (la notizia è rimbalzata un pò in tutta Europa e non solo) riportano che la scoperta della violazione sia avvenuta proprio in conseguenza del ritrovamento del database in questione nel Dark Web.

Unicredit ha annunciato di aver avviato immediatamente una indagine sull’accaduto, segnalando la violazione alle autorità italiane e al Garante per la Privacy, secondo gli obblighi previsti dal GDPR. Nel frattempo l’Istituto si sta occupando di contattare e avvisare individualmente i clienti riguardanti dal furto dei propri dati, anche tramite notifiche via banking online.

Ci pare corretto però ricordare, sopratutto se si è clienti Unicredit, che ad indagini in corso, è assai arduo, forse eccessivamente avventato, escludere categoricamente che non siano stati trafugati altri dati oltre a quelli indicati sopra e che, comunque, anche i dati il cui furto è stato accertato non sono comunque dati meno importanti o sensibili di altri. Consigliamo, da questo punto di vista, la lettura di questa breve riflessione di Alessandro Papini, presidente di Accademia Italiana Privacy.

I precedenti
Non è la prima volta che Unicredit è vittima di un incidente di questo tipo: i tecnici della banca avevano scoperto due data breach molto simili, avvenuti uno tra Settembre e Ottobre 2016 e l’altro da Giugno e Luglio 2017. I due data breach avevano compromesso la sicurezza dei dati di oltre 400.000 clienti.

Nell’Ottobre 2018 invece sempre Unicredit è stata vittima di un tentativo di intrusione ai servizi di banking online, notificato il giorno dopo al Garante per la Privacy: 731.000 circa i clienti che potevano essere riguardati dalla violazione. I sistemi di sicurezza IT e il team di cyber esperti di Unicredit sventarono il tentativo di intrusione che avrebbe potuto compromettere dati come nome, cognome, codice fiscale, il codice identificativo del cliente e il REB (ovvero un codice identificativo per l’accesso ai servizi bancari). I tecnici di Unicredit bloccarono in quell’occasione 6.856 account, compromessi dall’individuazione del PIN prima che l’intrusione fosse bloccata e gli attaccanti esclusi dalla rete.

Dati i precedenti quindi, Unicredit ha concluso la nota con la quale denuncia il data breach odierno dettagliando le risorse e gli sforzi spesi negli ultimi 3 anni per aumentare la sicurezza dei propri sistemi e dei dati: si parla di oltre 2.4 miliardi di euro investiti in aggiornamento e rafforzamento dei sistemi IT e dell’introduzione di sistemi di autenticazione più sicuri della mera password, come la password usa e getta o l’identificazione biometrica.

Pubblicato da s-mart Informa a 12:59
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: data, data breach, enterprise IT security, gdpr

1+28129[1]

Rilevata nuova variante del ransomware FTCode: l’alert del Cert-PA

Rilevata nuova variante del ransomware FTCode: l’alert del Cert-PA

Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un’attività in corso da parte di qualche cyber attaccante sul codice.

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c’è un investimento attivo da parte
di un cyber criminale o di un gruppo, su FTCode e sul suo codice. La nuova versione è ancora veicolata attraverso l’invio di email inviate da account PEC precedentemente compromesse. Sotto pubblichiamo una email vettore:

Fonte: https://www.cert-pa.it

Il codice presenta numerose parti di codice in comune, o esattamente identiche, con la versione del ransomware FTCode diffuso nelle scorse settimane: in particolare sono estremamente affini la unzione usata per la persistenza sul sistema, quella per la comunicazione con il server di comando e controllo, quella per l’esecuzione di comandi sulla macchina e l’intero algoritmo di criptazione del contenuto dei file.

Le novità riscontrate sono:

1. crea un GUID (Globally Unique Identifier) univoco per la macchina infetta in un file di lavoro. Probabilmente tale meccanismo è affetto da bug, perchè l’identificativo viene generato ad ogni avvio;
2. i file sono rinominati con una estensione casuale, i primi 6 caratteri di un GUID;
3. le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono criptate;
4. in caso di errore durante la criptazione di un file, o durante l’enumerazione degli stessi, l’errore viene riportato all’attaccante tramite comunicazione con server C&C;
5. la pagina HTML contenente la nota di riscatto non è in chiaro, ma è codificata in base64;
6. il file di lock, necessario per garantire una sola istanza del malware, è considerato non valido dopo 30 minuti. Questo evita che due processi si blocchino a vicenda (situazione di deadlock), ma anche la possibilità di usare il killswitch come protezione.

Il file TMP interruttore: la nuova versione impedisce l’uso come scudo
La precedente versione verifica la presenza del file C:\Users\Public\OracleKit\w00log03.tmp sulla macchina infetta prima di avviare la routine di criptazione. Qualora il file venga individuato, FTCode si arresta: la presenza di questo file indica infatti che la macchina è già stata attaccata dal ransomware, magari da una versione precedente. Un possibile “vaccino” contro questa infezione è quindi quella di creare questo file per far credere a FTCode di aver già infettato la macchina. La modifica nella versione attualmente in diffusione del file di lock, la cui “scadenza” è fissata a 30 minuti, rende inefficace questo meccanismo di protezione.

Qualche informazione in più sul meccanismo di criptazione
FTcode verifica tutti i drive collegati alla macchina con almeno 50kb di spazio libero, quindi enumera i file criptabili, ovvero tutti i file con le seguenti estensioni (esclusi quelli presenti nelle cartelle menzionate in precedenza).

.sql,.mp4,.7z,.rar,.m4a,.wma,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.gdb,.tax,.pkpass,.bc6,.bc7,.bkp,.qic,.bkf,.sidn,.sidd,.mddata,.itl,.itdb,.icxs,.hvpl,.hplg,.hkdb,.mdbackup,.syncdb,.gho,.cas,.svg,.map,.wmo,.itm,.sb,.fos,.mov,.vdf,.ztmp,.sis,.sid,.ncf,.menu,.layout,.dmp,.blob,.esm,.vcf,.vtf,.dazip,.fpk,.mlx,.kf,.iwd,.vpk,.tor,.psk,.rim,.w3x,.fsh,.ntl,.arch00,.lvl,.snx,.cfr,.ff,.vpp_pc,.lrf,.m2,.mcmeta,.vfs0,.mpqge,.kdb,.db0,.dba,.rofl,.hkx,.bar,.upk,.das,.iwi,.lite,.mod,.asset,.forge,.ltx,.bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big,.wallet,.wotreplay,.xxx,.desc,.py,.m3u,.flv,.js,.css,.rb,.png,.jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der,.x3f,.srw,.pef,.ptx,.r3d,.rw2,.rwl,.raw,.raf,.orf,.nrw,.mrwref,.mef,.erf,.kdc,.dcr,.cr2,.crw,.bay,.sr2,.srf,.arw,.3fr,.dng,.jpe,.jpg,.cdr,.indd,.ai,.eps,.pdf,.pdd,.psd,.dbf,.mdf,.wb2,.rtf,.wpd,.dxg,.xf,.dwg,.pst,.accdb,.mdb,.pptm,.pptx,.ppt,.xlk,.xlsb,.xlsm,.xlsx,.xls,.wps,.docm,.docx,.doc,.odb,.odc,.odm,.odp,.ods,.odt

Enumerati i file, FTCode cripta i primi 40960 byte di ogni file usando l’algoritmo di criptazione simmetrico AES / Rijndael”.

FtCode, insomma, è in sviluppo ed è molto probabile che ne vedremo circolare ancora nuove varianti: il giorno dopo l’avvio della distribuzione della versione 930.5, è stata individuata in diffusione la versione 1001.7. La versione approfondita in questo articolo è una ulteriore versione, messa anch’essa in diffusione in pochissimi giorni.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy