È passato un anno da quando il ransomware WannaCryptor.D (ovvero WannaCry e WCrypt) ha causato uno dei più grandi incidenti informatici che il mondo abbia mai visto. E se da una parte la minaccia stessa non sta facendo più grandi danni, l’exploit che ne ha permesso l’enorme diffusione, noto come EternalBlue, sta ancora minacciando i sistemi privi di patch e quelli non protetti. E come mostrano i dati della telemetria di ESET, negli ultimi mesi la sua popolarità è tornata a crescere con un recente picco che ha superato anche i migliori risultati del 2017. EternalBlue ha infatti avuto un periodo di apparente calma immediatamente dopo la campagna WannaCryptor 2017, scendendo nei mesi successivi a “solo” centinaia di rilevazioni ogni giorno. Da settembre dello scorso anno, tuttavia, l’utilizzo dell’exploit ha lentamente ripreso ad aumentare, crescendo continuamente e raggiungendo una nuova vetta il 16 aprile 2018, data in cui si è registrato un picco di rilevazione del 100%, a fronte del 97% registrato il 1 giugno del 2017.

Una possibile spiegazione per l’ultimo picco è la campagna del ransomware Satan identificata proprio nello stesso periodo, ma potrebbe anche essere collegato ad altre attività pericolose messe in atto nello stesso arco temporale.

EternalBlue ha permesso molti attacchi informatici di alto profilo. Oltre a WannaCryptor, ha anche contribuito alla diffusione del distruttivo Diskcoder.C (noto anche come Petya, NotPetya ed ExPetya) nel mese di giugno 2017 e alla campagna del ransomware BadRabbit nel quarto trimestre 2017. È stato anche usato dal gruppo di cyberespionaggio di Sednit (noto anche come APT28, Fancy Bear e Sofacy) per attaccare le reti Wi-Fi negli hotel europei. Si è inoltre scoperto come lo stesso exploit sia stato utilizzato per diffondere crypto miner maligni. Più recentemente, è stato usato per diffondere la campagna ransomware Satan, descritta solo pochi giorni dopo che la telemetria di ESET ha rilevato il picco EternalBlue di metà aprile 2018.

L’exploit EternalBlue è stato presumibilmente rubato dalla National Security Agency (NSA), probabilmente nel 2016 e pubblicato online il 14 aprile 2017 da un gruppo soprannominato Shadow Brokers. Microsoft ha rilasciato gli aggiornamenti che hanno corretto la vulnerabilità SMB il 14 marzo 2017, ma a tutt’oggi in circolazione ci sono molte macchine prive di patch.

Questo exploit e tutti gli attacchi che ne hanno beneficiato evidenziano l’importanza di patch tempestive e la necessità di una soluzione di sicurezza affidabile e multilivello in grado di bloccare lo strumento dannoso che lo utilizza.

Per ulteriori informazioni sull’argomento visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/05/un-anno-dopo-eternalblue-torna-a-far-parlare-di-se-a-causa-di-una-nuova-epidemia-di-wannacryptor/

ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione europea, ha presentato oggi la nuova generazione di prodotti e servizi per la sicurezza aziendale, frutto dei suoi 30 anni di esperienza sul mercato.

I prodotti di punta della nuova suite per la sicurezza aziendale includono il nuovissimo ESET Enterprise Inspector – una soluzione di rilevamento e risposta degli endpoint (EDR) con funzionalità e dettagli che superano qualsiasi altro prodotto sul mercato – e ESET Dynamic Threat Defense, uno strumento che fornisce un sistema di sandboxing off-premise in Cloud, che sfrutta l’apprendimento automatico e il rilevamento basato sul comportamento per prevenire attacchi zero-day.

ESET inoltre dà il benvenuto al nuovissimo ESET Security Management Center, un server di livello enterprise che permette la gestione e le attività di reporting per tutti i sistemi operativi, che sostituirà ESET Remote Administrator. Tutte le soluzioni aziendali di ESET si integrano perfettamente con questo nuovo centro di controllo, da cui è possibile monitorare minacce come gli zero-day, APT e botnet, modificando le policy e le configurazioni dei prodotti per la sicurezza degli endpoint in modo semplice e intuitivo. Questo nuovo centro di controllo progettato da ESET risponde alle reali esigenze degli specialisti della sicurezza IT aziendale, che hanno bisogno di una singola console che consenta il controllo di tutte le fasi dell’intercettazione delle minacce, dalla previsione e la prevenzione al rilevamento e alla rimozione.

I prodotti endpoint di ESET includono un sistema di reputazione in Cloud che fornisce informazioni pertinenti sulle minacce più recenti e sui file non pericolosi. Il sistema di reputazione di ESET, ESET LiveGrid®, è composto da 110 milioni di sensori in tutto il mondo i cui dati vengono costantemente verificati dai centri di ricerca e sviluppo dell‘azienda; ciò consente ai clienti di avere tutte le informazioni necessarie e i rapporti sulla sicurezza direttamente sulla propria console.

Il tema della sicurezza aziendale e in particolare della compliance al GDPR sarà oggetto dell’evento di ESET Italia “GDPR e Cyber Security: strumenti strategici per il tuo business”, che si terrà a Roma il prossimo giovedì 17 maggio 2018.  Secondo gli esperti di ESET, GDPR e sicurezza aziendale tendono ad un unico obiettivo: il nuovo regolamento europeo deve essere visto infatti come una concreta opportunità per rivedere i processi di sicurezza aziendale e indirizzare con maggiore coerenza gli investimenti tecnologici, con un ritorno positivo sulla produttività e sul business. Durante l’evento verranno anche approfondite le funzionalità di ESET Endpoint Encryption e ESET Secure Authentication, due soluzioni richieste dal GDPR ed in grado di garantire un’efficace tutela dei dati.

Per ulteriori informazioni sulle nuove soluzioni di ESET per la sicurezza aziendale è possibile visitare il sito www.eset.it, mentre per approfondimenti sull’evento di ESET Italia è possibile visitare il seguente link: https://www.esetsecuritydays.com/it/

Il 25 Maggio è una data storica per l’IT Europeo. Per le aziende l’ingresso nell’era del GDPR non deve essere visto solo come una necessità burocratica ma come una concreta occasione per rivedere i propri processi di sicurezza. ESET, da anni al fianco di imprese e professionisti, intende l’adeguamento al regolamento come un’opportunità per innalzare il livello di sicurezza aziendale. Partendo dal basso, le soluzioni di security possono incentivare l’integrazione di ulteriori piattaforme tese a salvaguardare in maniera progressivamente più pervasiva ed efficace i processi di business. Questo percorso virtuoso è simile a quello intrapreso anni fa con l’introduzione delle certificazioni ISO che hanno spinto i soggetti interessati ad implementare ulteriori misure di eccellenza che hanno garantito loro un vantaggio competitivo rispetto alle aziende che non hanno intrapreso lo stesso percorso.

In questo senso, GPDR e sicurezza tendono ad un unico obiettivo che va al di là del singolo paradigma della protezione di clienti e server. In prospettiva, l’adeguamento al regolamento indirizzerà con maggiore coerenza gli investimenti, supportando la produttività e attivando virtuosi processi innovativi che porteranno a migliorare il rapporto con i clienti ed i partner aziendali, con un forte ritorno in termini di credibilità.

Crittografia e autenticazione a due fattori sono vettori dell’adeguamento normativo e spinta all’innovazione

Partendo dall’esigenza di mettere in sicurezza i propri dati, si può arrivare dunque a gestire meglio il business, innalzando i livelli di protezione sia all’interno che all’esterno dell’azienda. Per questo ESET ha puntato molto sui vantaggi offerti da ESET Endpoint Encryption e ESET Secure Authentication, due soluzioni richieste dal GDPR ed in grado di garantire un’efficace tutela dei dati.

ESET Endpoint Encryption è una soluzione completa di crittografia che si adatta ad aziende di ogni dimensione e consente di ridurre al minimo il rischio di perdita, furto e compromissione dei dati. Permette la cifratura completa dell’endpoint crittografando l’intero disco; consente la crittografia dei supporti rimovibili per qualsiasi dispositivo di archiviazione mobile come usb, cd, dvd e hard disk esterni.

Offre la possibilità di cifrare file, cartelle, volumi virtuali; si integra con Outlook nativamente, supportando quindi lo scambio di email crittografato anche per altri client di posta elettronica. La protezione dei dati è garantita indipendentemente da dove essi vengano copiati, modificati o salvati, tanto sui dispositivi endpoint locali che nel cloud. ESET Endpoint Encryption richiede un’interazione minima da parte degli utenti non compromettendone la produttività e risulta semplice da utilizzare per l’azienda poiché può essere implementata e amministrata da una console di gestione centralizzata che permette la definizione e la distribuzione di policy di configurazione e chiavi di crittografia per utenti e team di lavoro diversi. ESET Secure Authentication è un sistema di autenticazione a due fattori che elimina i rischi di violazione causati da furti degli account di accesso o dall’uso di password deboli.

Richiedendo un secondo meccanismo di autenticazione che avviene attraverso una one-time password (OTP) ricevuta tramite applicazioni mobili, SMS o token hardware, ESET Secure Authentication protegge l’accesso remoto alla rete aziendale ed ai dati sensibili presenti in diverse appliances che le aziende quotidianamente utilizzano per il loro business.

Per ulteriori informazioni su ESET visitare il sito www.eset.it

Tratto dalla Business Card DATA MANAGER, Aprile 2018, dedicata ad ESET Italia

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato una curiosa tecnica di frode su Google Play che sfruttava unicamente la disattenzione dell’utente: l’app Pingu Cleans Up faceva sottoscrivere agli utenti, senza il loro consenso, un abbonamento di € 5,49 a settimana per poi riscuotere le quote utilizzando il metodo di pagamento legittimo di Google Play. Il trucco funzionava sul classico presupposto che molti utenti “fanno clic” su qualsiasi finestra dall’aspetto legittimo che impedisca loro di eseguire il gioco stesso, senza prestare molta attenzione al contenuto. L’obiettivo principale della truffa erano gli utenti che hanno registrato le informazioni della carta di credito sul proprio account Google Play.

Il gioco è stato caricato su Google Play l’8 febbraio 2018 ed è stato installato tra le 50.000 e 100.000 volte prima di essere rimosso dopo la segnalazione di ESET al team di Google. Osservando la valutazione e le recensioni del gioco, sembra che molti utenti inizialmente abbiano lasciato commenti positivi, indipendentemente dall’uso fuorviante del metodo di pagamento di Google Play; tuttavia, prevalgono le valutazioni negative.

Come funziona la truffa?

Dopo essere stata eseguita, l’app consentiva agli utenti di personalizzare l’avatar del pinguino in tre passaggi. Nei primi due passaggi, per scegliere l’attributo desiderato, gli utenti dovevano cliccare “conferma” su una finestra pop-up che appariva in primo piano. Nella terza fase, gli utenti con i dettagli della carta di credito memorizzati vedevano una finestra simile alle precedenti, in cui al pulsante “conferma” era però sostituito quello “iscriviti”. A questo punto, alle vittime venivano addebitati 5,49 € sulla carta collegata ai loro account. Il pagamento veniva quindi ripetuto settimanalmente fino a quando l’utente non annullava la sottoscrizione direttamente dall’app.

Agli utenti che non avevano una carta di credito collegata al proprio account veniva mostrata una finestra diversa nel terzo passaggio, in cui si richiedeva di aggiungere un metodo di pagamento per completare l’acquisto. La necessità di una partecipazione attiva rendeva tali utenti meno inclini a cadere in questo tipo di truffa.

Come stare al sicuro

Nel caso di Pingu Cleans Up, gli utenti potrebbero aver notato diversi indicatori anche prima della visualizzazione della finestra “subscribe”, ovvero:

• “Termini d’uso” identici in tutte e tre le fasi
• L’immediata richiesta di pagamento dopo l’esecuzione, nonostante l’app sia elencata come gratuita
• Valutazione e recensioni negative su Google Play

Per non essere ingannati da truffe simili a questa, è necessario – prima di installare un’app – controllare attentamente le valutazioni e recensioni degli altri utenti. Inoltre, nel caso si consenta ai figli di installare e giocare sul dispositivo dei genitori, è consigliabile creare un account separato che non sia collegato ad alcuna carta di credito.

Ultimo, ma non meno importante, utilizzare una soluzione di sicurezza mobile affidabile per proteggere il dispositivo Android dalle ultime minacce.

Per ulteriori informazioni su ESET visitare il seguente link: https://www.eset.com/it/

Il boom delle monete virtuali continua a crescere e di conseguenza le truffe ad esse legate:  secondo i ricercatori di ESET, seppure in Italia l’incidenza di JS/Coinminer – il minaccioso malware per il mining delle cripto valute –  ha subito negli ultimi due mesi una battuta d’arresto scendendo dal picco del 32% di gennaio 2018 al 18% di inizio marzo, in alcune nazioni europee il livello d’allerta è ancora altissimo e si registrano a tutt’oggi percentuali allarmanti come per la Spagna (39%), Ungheria (30%) e Grecia (28%).

La piattaforma Android non è stata risparmiata dai tentativi di frode, anzi rappresenta la nuova frontiera del cyber crime legato alle cripto valute, considerato che molti dei servizi e delle app ad esse legati non hanno ancora una versione mobile ufficiale e che è facile imbattersi su Google Play in valutazioni e recensioni fasulle. Tutto questo aumenta la possibilità per gli hacker di ingannare gli ignari utenti. Vediamo come:

False app per lo scambio di cripto valuta – il caso Poloniex

Nel corso dell’ultimo anno i ricercatori di ESET hanno riportato due casi di app fake di Poloniex, uno dei leader degli scambi di cripto valuta a livello mondiale. Oltre a raccogliere le credenziali di accesso a Poloniex, le finte app hanno cercato di ingannare le vittime per ottenere i dati dei loro account Gmail. Da allora, la tendenza alla creazione di app false per gli scambi o la gestione di portafogli di cripto valute esistenti è costantemente aumentata. Solo per Poloniex, i ricercatori di ESET hanno riscontrato almeno altre sette varianti di applicazioni fake.

MyEtherWallet e le app fasulle per la gestione dei portafogli di cripto valuta

Le app fake per la gestione dei portafogli di monete virtuali si basano su un semplice principio: subito dopo essere state lanciate e senza richiedere alcun tipo di registrazione, le app fingono di generare una chiave pubblica per un nuovo portafoglio, presentata come testo copiabile e / o QR code scansionabile. Se gli utenti seguono le istruzioni e inviano valuta a questo portafoglio, scopriranno che non possono eseguire ulteriori azioni con l’importo che hanno inviato, mentre i criminali potranno accedervi e l’importo inviato sarà ora a loro completa disposizione. I ricercatori di ESET hanno rilevato dozzine di app con questo tipo di comportamento fraudolento e le hanno segnalate ai team di sicurezza di Google, che le ha prontamente rimosse da Google Play. Un esempio di un portafoglio di cripto valute che è stato continuamente sfruttato dai truffatori nell’ultimo anno è MyEtherWallet, un famoso portafoglio Ethereum open source. Come per Poloniex, MyEtherWallet attualmente non offre un’app Android ufficiale ed è quindi un facile obiettivo dei cyber criminali.

Malware Android per il mining delle valute digitali

Con l’aumento generale delle attività legate alle cripto valute registrate negli ultimi mesi, anche il numero di sistemi per generare le monete virtuali su Android è aumentato. Le truffe in questo caso si ottengono includendo nelle app un framework per il crypto-mining o eseguendo degli script nei browser mobile, meglio noti come mining in-browser o cryptojacking. Un esempio recente di un’app che è stata usata impropriamente per nascondere attività di mining di monete digitali è stato Bug Smasher, un famoso gioco che è stato disponibile su Google Play dal novembre del 2011 ed è stato scaricato tra 1 e 5 milioni di volte prima di essere rimosso a gennaio del 2018 dopo la segnalazione degli esperti di ESET. Al momento della scoperta, il gioco conteneva un pacchetto di mining che utilizzava una libreria per generare la cripto valuta Monero.

5 stelle per promesse mai mantenute: falsi miner di bitcoin

A differenza delle app che nascondono le loro funzioni di mining, queste si presentano proprio come strumenti per consentire agli utenti di generare cripto valuta ma in realtà non fanno altro che attivare pop up pubblicitari. E per massimizzare l’effetto degli annunci, queste app truffa sono spesso progettate per incentivare gli utenti ad aprirle su base regolare, con la promessa di ricevere più monete “gratuite” ogni giorno. In alcuni dei falsi miner analizzati da ESET, il falso processo di mining è stato interrotto da popup che promettevano una ricompensa per aver lasciato le valutazioni a 5 stelle per l’app. Nei pop-up di Bitcoin Miner Android dello sviluppatore Miner Coin e Bitcoin Miner Automatic – Earn free Bitcoin di Mining and Utility Apps, il premio promesso era di 50.000 Satoshi (un Satoshi è attualmente l’unità più piccola in cui è possibile frazionare i bitcoin ed ammonta a 0.00000001 BTC).

Come proteggersi dalle truffe di cripto valute su Android

E’ importante essere consapevoli dei trucchi che stanno usando i truffatori sfruttando l’attuale mania della cripto valuta sulla piattaforma Android e adottare le giuste misure preventive. Ecco i suggerimenti di ESET per stare al sicuro:

1. Prima di tutto bisogna trattare gli exchange e i portafogli di cripto valuta con lo stesso livello di cautela adottato per le app di home banking.
2. Se si desidera scaricare un’app mobile per uno scambio di moneta digitale o un portafoglio, assicurarsi innanzitutto che il servizio ne offra una ufficiale. In tal caso, l’app dovrebbe essere collegata al sito Web originale del servizio, reindirizzando a un download legittimo.
3. Se è disponibile, utilizzare l’autenticazione a due fattori per proteggere gli account dell’exchange o del portafoglio per un livello di sicurezza aggiuntivo.
4. Quando si scarica un’app da Google Play, prestare attenzione al numero di download, considerandone anche le valutazioni e le recensioni. Fare molta attenzione alle nuove app pubblicate con recensioni positive dal tono troppo generico e concentrarsi invece su quelle negative.
5. Se qualcosa sembra troppo buono per essere vero, molto probabilmente è così ed è molto improbabile che un’app per Android regali gratuitamente dei bitcoin o altre cripto valute.
6. Mantenere aggiornato il dispositivo Android e utilizzare un’efficace soluzione di sicurezza mobile per difenderlo dalle ultime minacce.

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET ITA al seguente link: https://blog.eset.it/2018/03/rischio-per-le-cripto-valute-su-android-scoperte-dai-ricercatori-di-eset-app-fake-di-poloniex-e-myetherwallet/

Chi di noi non possiede già in casa una Smart TV, un interruttore della luce, una stazione meteo collegati a Internet o un giocattolo interattivo per i nostri figli? Per non parlare dei router domestici. La casa intelligente è ormai realtà e i dispositivi IoT sono entrati a far parte della vita quotidiana di molti utenti, rendendola più semplice e comoda. Ma quanto sono sicuri in termini di protezione della privacy? I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno testato undici dei dispositivi IoT più diffusi sul mercato (compreso un prodotto che non è stato incluso nel report finale per la scoperta di vulnerabilità importanti) con l’obiettivo di creare una smart home di base. Il punto di partenza è stato un assistente personale virtuale – ovvero Amazon Echo – un dispositivo che accetta comandi verbali e può controllare molte delle device IoT; una smart home può effettivamente iniziare con un dispositivo come questo e quindi espandersi funzionalmente con altri dispositivi IoT.

Gli altri dispositivi analizzati dai ricercatori di ESET sono stati:·           DLink DCH – G020 Connected Home, DLink DCH – S150 Monitor Sensor, DLink DCS – 935L Camera, DLink DCS – 2132L Camera·           NETAMTO Weather Station·           Nokia Health Body + Scale, Nokia Health Body cardio Scale·           Sonos Play:1 Speaker ·           Woerlein Soundmaster Internet Radio IR4000SW·           TP Link Smart Plug HS110

La questione privacy

La principale area di interesse è stata la costruzione di una casa intelligente che non compromettesse la privacy, considerato che i dispositivi di questo tipo raccolgono molti dati personali di base. I ricercatori di ESET hanno riscontrato che le aziende spesso utilizzano il termine “ma non limitato a” (but not limited to), il che significa che potrebbero raccogliere una maggiore quantità di dati rispetto a quelli richiesti dalla policy sulla privacy.

Ogni dispositivo testato ha suscitato alcuni problemi di privacy, ma sono stati senza dubbio gli assistenti vocali a sollevare le maggiori preoccupazioni, legate all’ eccesso di condivisione dei dati per scopi commerciali, ad una protezione insufficiente dei dati personali archiviati e la possibilità di intercettazione del traffico digitale da parte di criminali informatici o malintenzionati.

E’ possibile creare una smart home sicura? Ecco come!

Utilizzando giudizio e cautela, è possibile iniziare a costruire una casa intelligente di base. A questo proposito i ricercatori di ESET consigliano di effettuare alcune verifiche prima di procedere con qualsiasi acquisto in ottica smart home:

1.                La verifica di potenziali vulnerabilità prima dell’acquisto dovrebbe essere un requisito obbligatorio prima di prendere una decisione. Una semplice ricerca (nome device + vulnerabilità note) darà un’indicazione se ci sono problemi noti. 2.                Controllare se il produttore aggiorna il firmware del dispositivo o se lo notifica all’utente tramite un’app o un’email. Controllare il sito Web del fornitore o cercare su Google le informazioni. 3.                Leggere attentamente l’informativa sulla privacy. Capire quali dati sono raccolti, archiviati o condivisi aiuterà a decidere se il dispositivo sarà parte della rete generale o se dovrà essere isolato. E se nessuno di questi è ritenuto sicuro, ovviamente non acquistare. 4.                Prestare attenzione quando si condividono dati sui social network o con i sistemi di un fornitore. Condividere la posizione, il dispositivo e il modello di utilizzo può dare ai criminali informatici abbastanza dati per truffare l’utente o iniziare un attacco mirato. 5.                Gli assistenti personali intelligenti controllati dalla voce sono convenienti ma sono anche… onniscienti! E’ buona norma, quindi ponderare le informazioni trasferite al proprio assistente e a quelle che si chiede di raccogliere per proprio conto. Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/02/la-sicurezza-delle-smart-home-possibilita-o-miraggio/mentre per accedere al white paper di ESET IoT and privacy by design in the Smart Home è possibile visitare il seguente link: https://www.welivesecurity.com/wp-content/uploads/2018/02/ESET_MWC2018_IoT_SmartHome.pdf

Parte lunedì 26 febbraio su Google Play la #MobileWeek promotion di ESET, che permetterà di acquistare i prodotti ESET Mobile Security e ESET Parental Control al 50% di sconto. La promozione è valida sugli acquisti effettuati dal 26 febbraio al 4 marzo 2018.

ESET Mobile Security per Android – esplora Internet in tutta sicurezza, ovunque ti trovi

ESET Mobile Security è l’antivirus per Android progettato per rispondere a tutte le esigenze di sicurezza su mobile, senza rallentare i dispositivi e occupando poco spazio nella memoria di sistema.
Una soluzione di protezione completa in grado di proteggere smartphone e tablet dalle minacce emergenti e dalle pagine phishing, filtrare chiamate e messaggi indesiderati e controllare il dispositivo da remoto in caso di smarrimento o furto. Grazie alla #MobileWeek promotion sarà possibile acquistare ESET Mobile Security con il 50% di sconto sul prezzo di listino. 

ESET Parental Control per Android – la protezione Internet a misura di bambino

Il mondo digitale è una meravigliosa fonte di informazione e divertimento per i minori.
ESET Parental Control per Android aiuta i genitori a guidare i propri figli mentre navigano online, mettendo  a disposizione strumenti di gestione delle applicazioni mobile e dei siti web e  suggerendo ciò che è adatto e ciò che invece non è appropriato per i minori. Consente inoltre di localizzare in qualsiasi momento il dispositivo che il minore utilizza e di inviare messaggi che appariranno direttamente sul suo schermo. Grazie alla #MobileWeek promotion sarà possibile acquistare ESET Parental Control con uno sconto del 50% sul prezzo di listino.

Per ulteriori informazioni sui prodotti ESET visitare il sito www.eset.it

La cronaca sempre più spesso riporta di crimini legati al mondo informatico, tanto che la parola “hacker” è ormai entrata di diritto nei termini di uso comune. Spesso ci si chiede come le forze dell’ordine siano in grado di smascherare gli autori di attacchi informatici o di reati online e quali siano le tecniche utilizzate per localizzarli e arrestarli nella vita reale.

Per dare una risposta a queste domande riportiamo un estratto dell’ultimo documento pubblicato ufficialmente dalla Polizia Postale, in cui viene descritto il processo di analisi delle tracce online rilasciate durante qualsiasi attività Web.

La navigazione in Internet avviene attraverso l’utilizzo di servizi, primo fra tutti la connessione alla Rete, generalmente forniti dai provider attraverso un’utenza telefonica analogica, digitale, o su fibra, satellite, radio, ecc. La connessione alla Rete presuppone in genere un processo di autenticazione che permette al fornitore del servizio (provider) di “riconoscere” l’utente che ne fruisce, assegnandogli un indirizzo telematico (IP Andress) che identificherà la macchina connessa alla rete in un determinato intervallo temporale e garantirà il corretto scambio di dati tra il computer/smartphone ed i vari server che saranno interessati durante la navigazione in Rete.

La possibilità di individuare l’autore di un reato informatico è legata alla lettura delle tracce informatiche che i singoli collegamenti hanno “seminato “sulla Rete, generalmente su server attraverso i quali sono effettuati i collegamenti stessi.

Per l’intera durata della navigazione il personal computer/smartphone collegato alla Rete lascerà tracce telematiche (c.d. file di log) del proprio “passaggio” su ogni server interessato; queste tracce verranno registrate sotto forma di file di testo.

I file di log si traducono quindi in informazioni a disposizione degli investigatori per l’eventuale individuazione delle condotte tenute in Rete e per l’identificazione dei soggetti autori delle stesse.

L’analisi del log può consentire di stabilire se un determinato utente si sia collegato alla rete nel giorno ed ora di interesse, da quale nodo vi sia entrato, quale provider abbia fornito l’accesso in rete, ed in taluni casi quale attività sia stata svolta.

Le tracce telematiche sono soggette ad elevato tasso di volatilità, la loro conservazione inoltre è disciplinata da specifiche leggi che definiscono gli intervalli di tempo in cui vige l’obbligo per i provider di conservare i dati telematici e telefonici.

Al di fuori di tali intervalli di tempo sarà difficile e talora impossibile ricostruire eventuali responsabilità penali.

Gli intervalli di tempo entro i quali i provider devono rendere accessibili alle forze dell’ordine dati telematici relativi ai loro servizi sono diversi a seconda del tipo di dato informatico: per esempio i gestori di telefonia hanno obbligo di conservare i dati relativi alle chiamate effettuate per circa 30 giorni, questo comporterà che, qualora sia necessario ricostruire da chi provengono chiamate mute e anonime che disturbano un utente, potrebbe essere possibile avere questo dato solo entro i 30 giorni successivi alle chiamate stesse.

Per l’identificazione dei reali utilizzatori di profili social, profili utenti, utilizzatori di servizi di messaggistica dai quali provengono insulti, denigrazioni, minacce ai danni di altri utenti è necessario richiedere i dati entro e non oltre i 12/24 mesi successivi agli eventi presunti illegali.

Per questi motivi è indispensabile che le segnalazioni/denunce siano sporte con la massima tempestività in modo da garantire che l’Autorità Giudiziaria, che dispone l’acquisizione delle tracce telematiche e la Polizia, che effettua gli accertamenti tecnici, possano agire prima che i dati non siano più disponibili.

ESET Italia vuole inoltre sottolineare l’importanza di attenersi, anche online, alle stesse norme di comportamento che si dovrebbero tenere nella vita reale e di porre sempre attenzione a ciò che si pubblica sul Web e al download dei contenuti che si trovano in rete. Infatti troppo spesso gli utenti scaricano o a visualizzano materiale protetto da leggi sul copyright credendo che sia assolutamente legittimo, mentre di fatto stanno compiendo un’azione illegale, passabile di denuncia o querela, che potrebbe innescare un controllo da parte delle forze dell’ordine.

Per ulteriori informazioni ESET visitare il seguente link: https://www.eset.com/it/

• Il 2017 è stato senza dubbio l’anno dei ransomware, basti pensare a Petya e WannaCryptor, che hanno causato danni per molti miliardi, mettendo in ginocchio tanto gli utenti privati quanto le aziende. Tuttavia, a destare scalpore sono stati soprattutto i ransomware progettati per la piattaforma Android, che si sono rivelati sempre più aggressivi e capaci di estorcere denaro. Eppure, secondo i dati di ESET LiveGrid®, nonostante la crescita generale dei malware per Android, la distribuzione dei ransomware per questa piattaforma non ha mantenuto il trend di crescita degli anni precedenti: si è registrata infatti una diminuzione significativa, che ha visto scendere le percentuali di detenzione dal picco del 100% di Marzo 2016 al 35% del Marzo 2017, toccando i minimi del 5% di Novembre 2017.
• Questo calo potrebbe essere stato solo temporaneo, come potrebbero dimostrare i diversi picchi di rilevamento ransomware per Android tra cui DoubleLocker, individuato dai ricercatori ESET proprio verso la fine del 2017. DoubleLocker rappresenta probabilmente uno dei casi più emblematici dell’evoluzione dei ransomware avvenuta nel 2017, che ha coniugato un miglioramento dei sistemi per estorcere denaro alle vittime con l’abuso dei servizi di accessibilità del menu Android. Grazie a questi ultimi, i cyber criminali sono stati in grado di attivare i diritti di amministratore del dispositivo, raccogliere le credenziali e le informazioni personali dell’utente, scaricare e installare payload malevoli, applicazioni indesiderate o altri malware sul dispositivo della vittima. La maggior parte degli attacchi registrati negli ultimi 12 mesi hanno distribuito malware bancari, che hanno puntato ad ottenere le credenziali del conto corrente e rubare i numeri delle carte di credito delle vittime.
• Per maggiori informazioni sui ransomware per Android, sulle varianti più pericolose dello scorso anno e sugli esempi più significativi rilevati sin dal 2013 è possibile consultare l’ultimo documento pubblicato da ESET al seguente link: https://www.welivesecurity.com/wp-content/uploads/2018/02/Android_Ransomware_From_Android_Defender_to_Doublelocker.pdf
• La tematica sarà approfondita anche in occasione del Mobile World Congress di Barcellona, in cui ESET sarà presente allo stand 7H41, padiglione 7. Per ulteriori informazioni sulla partecipazione di ESET all’evento visitare il seguente link: https://www.eset.com/int/mwc-telco/

Le forze armate di tutti i paesi del mondo messe in crisi da un’applicazione per gli amanti della corsa e della bici. Detta in questi termini sembrerebbe uno scherzo, purtroppo però il pericolo è reale. A destare tanta preoccupazione è Strava, una delle app più utilizzate da runner e ciclisti, capace di tracciare e condividere le attività e i percorsi degli utenti. La quantità di dati condivisa è veramente notevole se si pensa che solo tra il 2015 e il 2017 si parla di oltre un miliardo di attività, grazie a cui i produttori dell’app hanno potuto creare e pubblicare una “heatmap” globale di tutti i percorsi dei propri utenti. Una sorta di ragnatela formata da tante linee colorate che indicano le strade battute da corridori e cicloamatori talmente dettagliata da minare la sicurezza delle basi militari visto che, come afferma Nathan Ruser analista presso l’Institute for United Conflict Analysts, “Le basi statunitensi sono chiaramente identificabili”.

Praticamente da anni grazie a Strava vengono condivisi dai militari (e non solo quelli USA) tutti i circuiti di allenamento, persino quelli vicini alle basi militari. A peggiorare la situazione sembrerebbe che diversi utenti appartenenti alle forze armate abbiano pubblicato i loro percorsi anche durante missioni in siti segreti di Siria, Afghanistan, Somalia o Yemen, rivelando di fatto la posizione di basi strategiche, le strade battute dalle pattuglie e le attività delle caserme, tutte informazioni che potrebbero essere sfruttate dai terroristi per attività di spionaggio o addirittura per attacchi armati.

Strava, nome che deriva dal termine svedese “battersi”, funziona sfruttando un dispositivo GPS o un ciclocomputer che registra i dati delle attività fisiche degli utenti e gli fornisce la possibilità di condividerli pubblicamente, facendo leva sul desiderio personale di celebrare i propri risultati. L’azienda californiana creatrice dell’app, dal 2009 continua a registrare un enorme successo con oltre 16 attività caricate al secondo dagli oltre 27 milioni di utenti nel mondo, tra cui compaiono più di 600 atleti professionisti. Tra gli account “VIP” figurano per esempio atleti di fama assoluta come Froome, Nibali, o Bardet che periodicamente condividono i loro percorsi, le velocità raggiunte e le loro statistiche di allenamento.

L’app Strava ha sensibilmente modificato le abitudini e i metodi di allenamento di milioni di atleti, ma rimane pur sempre uno strumento informatico e come tale è soggetto a diverse criticità, non ultima quella di essere sfruttato in maniera illecita. Per esempio le attività possono essere “alterate” senza molte difficoltà e senza necessità di essere un hacker, inoltre come per altri software dello stesso tipo le problematiche relative alla privacy dei dati sono ricorrenti. Tra i casi più suggestivi riportiamo quello del 2015 in cui un gruppo di criminali aveva escogitato un sistema per localizzare attraverso Strava i garage o i box auto nei quali venivano custodite biciclette di valore e derubarli. Naturalmente la sicurezza militare è un tema ben più serio e quanto emerso ultimamente dimostra la disarmante ingenuità e la superficialità con la quale i soldati condividano dati personali che però possono rivelare informazioni strategiche di importanza critica.

L’azienda produttrice dell’app ha però voluto sottolineare come sia semplice rendere privati i dati degli allenamenti ed escluderli dalla mappa globale e come sia informato il consenso di divulgazione delle informazioni, scaricando così la responsabilità sugli utenti e in questo caso particolare sui militari. Problematiche di questo tipo non sono nuove quando si parla di applicazioni con funzioni di geo localizzazione come fu nel caso dell’esercito russo le cui truppe furono rintracciate in Ucraina e in Siria sfruttando i dati condivisi sui social network dai soldati, oppure quando nel 2016 le forze armate israeliane vietarono ai militari in servizio o in missione di utilizzare il famoso gioco Pokemon Go, perché in grado di rivelare informazioni rilevanti sulla loro posizione. Ormai gli eserciti non dovranno solo preoccuparsi delle minacce esterne, ma porre sempre più attenzione agli aspetti critici legati all’uso dei mezzi tecnologici dei propri militari.ESET Italia ribadisce l’importanza di verificare costantemente le informazioni che si condividono sui social network o attraverso le app installate nei dispositivi e inoltre di non sottovalutare le richieste di autorizzazioni nelle fasi di installazione o utilizzo dei software. Troppo spesso infatti con un po’ di ingenuità si concedono permessi alle app che possono mettere a rischio non solo la nostra privacy, ma a volte addirittura la nostra incolumità.

Le vulnerabilità sono uno degli elementi cardine negli incidenti di sicurezza e, insieme ad altre minacce come exploit e malware, costituiscono un rischio continuo. Nel 2017 il numero di vulnerabilità segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti: ne sono infatti state registrate 14.600, rispetto alle 6.447 del 2016. Non solo, ma anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale nell’anno appena concluso.

Secondo gli esperti di ESET, il più grande produttore di software per la sicurezza informatica dell’Unione europea, è del tutto naturale che questo tipo di minaccia aumenti, dato il trend che vede i software sempre più numerosi e pervasivi: basta pensare al numero di app che un utente medio aveva sullo smartphone nel 2016, a quelle che ha aggiunto nel 2017 e a quelle che ha oggi. Il software aumenta, si diffonde e viene utilizzato per fare sempre più cose mentre i siti web dipendono sempre più da script e da plug-in di terze parti. Ogni singolo programma o app può essere vulnerabile e ogni singolo aggiornamento può portare nuove vulnerabilità.

Aumento esponenziale delle vulnerabilità segnalate nel 2017

Secondo CVE Details, nel 2017 il totale di queste falle nella sicurezza è più che raddoppiato, con un aumento del 120% da un anno all’altro.

È importante sottolineare che l’aumento potrebbe essere addirittura superiore, in quanto questi dati non includono le vulnerabilità zero-day, utilizzate “in-the-wild”, quindi senza che produttori o utenti ne siano a conoscenza.

Guardando i risultati di questi record, è anche importante sottolineare che nel 2017 sono state segnalate una media di 40 vulnerabilità al giorno, rispetto alle “sole” 17 registrate durante il 2016.

Aumentano anche le vulnerabilità di gravità elevata e critica

La gravità delle vulnerabilità è determinata sulla base di vari fattori, come il loro impatto sulla riservatezza, integrità o disponibilità dei dati, nonché sul tipo di vettore di attacco sfruttato, la complessità dell’attacco, i privilegi richiesti o qualsiasi interazione con l’utente.

Sulla base alle classificazioni di gravità del sistema di punteggio della vulnerabilità comune (CVSS), secondo il National Vulnerability Database (NVD) nel 2017 il numero delle vulnerabilità considerate elevate e critiche è aumentato considerevolmente.

Le vulnerabilità considerate critiche sono cresciute significativamente negli ultimi 5 anni, passando dallo 0 (zero) registrato nel 2013, a 2.070 alla fine dell’anno scorso, raddoppiando di numero rispetto al 2016.

Per quanto riguarda le vulnerabilità considerate elevate, anche in questo caso il livello di crescita è stato considerevole, passando da 2.470 nel 2016 a oltre 4.100 alla fine del 2017, con un aumento di oltre il 60%.

Si nota dunque un significativo aumento del numero di vulnerabilità segnalate negli ultimi mesi, insieme ad un ulteriore aumento di quelle considerate alte e critiche. Tutto sommato, possiamo dichiarare il 2017 l’anno delle vulnerabilità! ESET Italia non può che raccomandare l’aggiornamento costante dei sistemi operativi e dei software installati così da poter arginare qualsiasi tentativo di sfruttarne le falle, e l’utilizzo di strumenti di sicurezza efficaci che comprendano un controllo dei protocolli di comunicazione.

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link:

https://blog.eset.it/2018/02/nel-2017-le-vulnerabilita-hanno-raggiunto-un-picco-storico/

• ESET – uno dei principali produttori di soluzioni di sicurezza informatica – è stata riconosciuta come Challenger nel Gartner Magic Quadrant del 2018 per le Piattaforme di Protezione degli Endpoint*. L’azienda è stata l’unica ad essere inclusa tra i Challenger nel Magic Quadrant. ESET è stata valutata in base alla sua capacità di operare e alla completezza di visione. ESET crede che questo traguardo sia il risultato di un costante miglioramento nella propria capacità di offrire alle aziende la massima protezione.

Nel rapporto del Gartner Magic Quadrant per Piattaforme di Protezione Endpoint si legge che “la protezione endpoint si sta evolvendo, includendo sempre più nuove attività relative all’architettura di sicurezza – rispetto a quelle già considerate da Gartner – come l’hardening, l’investigazione, la rilevazione degli incidenti e la capacità di reazione agli incidenti stessi. I responsabili della sicurezza e della gestione dei rischi dovrebbero assicurarsi che il loro fornitore di EPP sappia rispondere rapidamente alle nuove minacce in continua evoluzione.”

“Riteniamo che il nostro posizionamento come Challenger sia il risultato dei nostri continui progressi nel fornire la migliore protezione endpoint alle aziende, senza ridurre le prestazioni dei loro sistemi o richiedere inutili spese aggiuntive“, ha commentato Ignacio Sbampato, Chief Business Officer di ESET. “Le aziende possono fare affidamento sulle conoscenze e sulle intuizioni di ESET per mantenere le loro infrastrutture protette e consideriamo la nostra posizione in questo Magic Quadrant di Gartner per le Piattaforme di Protezione degli Endpoint come un risultato del lavoro svolto, che ci ha portato a diventare uno dei maggiori produttori al mondo nel settore della sicurezza informatica.”Secondo quanto riportato nel Glossario IT di Gartner, “I Gartner Magic Quadrant offrono istantanee visuali, analisi approfondite e consigli pratici sulla direzione che sta seguendo il mercato, la sua maturità e i suoi partecipanti. I Magic Quadrant confrontano i produttori basandosi sui criteri e metodologie standard di Gartner. Ogni report viene presentato attraverso un grafico del Magic Quadrant che descrive un tipo di mercato utilizzando una matrice bidimensionale che valuta i fornitori in base alla loro completezza di visione e alla capacità di operare nel settore.” **

Per ricevere una copia del rapporto Gartner e verificare il posizionamento di ESET nel Magic Quadrant accedere al seguente link: https://www.eset.com/int/business/gartner-epp-mq-2018/

*Fonte: Gartner, “Magic Quadrant for Endpoint Protection Platforms,” Ian McShane, Avivah Litan, Eric Ouellet, Prateek Bhajanka, 24 Gennaio 2018.

** Fonte: Glossario IT di Gartner, https://www.gartner.com/it-glossary/magic-quadrant.

Gli autori del famigerato trojan bancario Dridex sono responsabili di una nuova famiglia di malware di alto profilo: si tratta di FriedEx, un sofisticato ransomware rilevato dai ricercatori di ESET come Win32 / Filecoder.FriedEx e noto anche come BitPaymer.

FriedEx si concentra su obiettivi di profilo elevato, non su singoli utenti finali, e viene solitamente distribuito tramite un attacco brute force RDP. Il ransomware crittografa ogni file con una chiave RC4 generata casualmente, che viene quindi ricodificata utilizzando una chiave pubblica RSA a 1024 bit e salvata nel corrispondente file.readme_txt.

I ricercatori di ESET hanno esaminato per la prima volta uno dei campioni di FriedEx a dicembre 2017 e hanno subito notato la somiglianza del suo codice con quello di Dridex. Incuriositi dai risultati iniziali, gli esperti di ESET hanno analizzato in profondità i campioni di FriedEx e hanno scoperto che utilizza le stesse tecniche di Dridex per nascondere quante più informazioni possibili sul suo comportamento.

Le somiglianze tra Dridex e FriedEx sono molteplici: entrambi i malware presentano analogie sul codice, utilizzano lo stesso sistema di pacchettizzazione, includono i medesimi percorsi PDB e sono entrambi compilati in Visual Studio 2015. Inoltre i ricercatori di ESET hanno trovato diversi casi di Dridex e FriedEx con la stessa data di compilazione. E’ quindi possibile affermare con sicurezza che FriedEx è opera degli stessi sviluppatori di Dridex.

Questa scoperta offre un quadro più preciso sulle attività del gruppo di criminali informatici che si nasconde dietro i due malware, confermando che non solo si occupa di aggiornare costantemente il proprio trojan bancario inserendo di volta in volta nuove tecnologie, come il supporto webinject per le ultime versioni di Chrome o funzionalità come l’Atom Bombing, ma che segue anche le ultime “tendenze” malware creando un proprio ransomware.

Per ulteriori informazioni su FriedEx è possibile visitare il blog di ESET IT al seguente link: https://blog.eset.it/2018/01/gli-autori-del-dridex-di-nuovo-allopera-arriva-il-ransomware-friedex/

Lo spyware FinFisher, conosciuto anche con il nome di FinSpy, viene distribuito oramai da diversi anni e ha colpito le realtà più disparate, infiltrandosi anche in paesi in cui vigono regimi oppressivi. A metà del 2017 i ricercatori di ESET hanno identificato alcune campagne di sorveglianza che hanno utilizzano una nuova variante di FinFisher, diffusa in sette paesi; in due di questi molto probabilmente lo spyware si è diffuso attraverso un attacco Man In The Middle attraverso alcuni importanti Internet Provider.

Lo spyware FinFisher ha molteplici funzionalità di spionaggio, come la sorveglianza attraverso webcam e microfoni, il keylogging e l’estrazione di file. Nell’ultima versione sono stati introdotti alcuni miglioramenti tecnici, finalizzati ad aumentare le sue capacità di spionaggio. Lo spyware usa un sistema di virtualizzazione del codice personalizzato per proteggere la maggior parte dei suoi componenti, incluso il driver in modalità kernel. Inoltre, l’intero codice è pieno di “trucchi” anti disassemblaggio per superare il primo livello di protezione.

Il gruppo dietro a FinFisher ha costruito un business multimilionario su questo spyware e non sorprende che si sia maggiormente concentrato nel nasconderne e offuscarne il codice rispetto ai criminali informatici più comuni.

I ricercatori ESET hanno così deciso di scavare in profondità nei campioni di FinFisher, abbattendone preventivamente tutte le protezioni e fornendo indicazioni a ricercatori di sicurezza e analisti su come superare le avanzate funzionalità di offuscamento e virtualizzazione di FinFisher.

E’ possibile scaricare il whitepaper completo di ESET sull’analisi di FinFisher al seguente link: https://www.welivesecurity.com/wp-content/uploads/2018/01/WP-FinFisher.pdf

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/01/finfisher-lanalisi-di-eset/

I ricercatori ESET hanno scoperto che il famigerato gruppo di spie informatiche Turla, probabilmente appoggiato dal governo russo, sta utilizzando un nuovo strumento nelle ultime campagne indirizzate alle ambasciate e ai consolati negli stati dell’ex unione sovietica. Questo nuovo tool cerca di ingannare le vittime nel tentativo di installare un malware in grado di sottrarre le informazioni sensibili ricercate dal gruppo Turla.

Da sempre queste spie digitali utilizzano l’ingegneria sociale per ingannare gli utenti e condurli all’esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player. Pur conservando nel tempo lo stesso modus operandi, il gruppo ha escogitato nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l’ultima ricerca ESET.

Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest’occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere ad Adobe, inducendo le vittime a credere di scaricare il software direttamente dal sito adobe.com.

Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito, una backdoor ideata dallo stesso gruppo di spie, e l’uso di indirizzi IP precedentemente collegati al gruppo.

Vettori di attacco

I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.

I possibili vettori di attacco che i ricercatori ESET hanno considerato sono:

• Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale.
• I criminali potrebbero compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
• L’intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile.
• Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP.

Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo. Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script.

ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/01/le-spie-di-turla-sfruttano-adobe-per-diffondere-i-loro-malware/

Molto spesso durante la navigazione, soprattutto dai dispositivi mobili come smartphone e tablet, quando si digita l’indirizzo di un sito Web specifico si viene reindirizzati su pagine totalmente estranee a quanto ricercato, che indicano l’avvenuta infezione del dispositivo. Si tratta di popup creati appositamente per destare allarmismo nell’utente, con la speranza che quest’ultimo vi dia seguito.

In realtà simili messaggi non sono altro che tentativi di frode dai quali è possibile liberarsi chiudendo forzatamente il browser di navigazione, anche se questa operazione potrebbe non essere sufficiente per evitare che la medesima situazione si ripresenti durante i successivi collegamenti.

E’ opportuno infatti eliminare anche la cache di navigazione in modo da non lasciare traccia sul dispositivo delle ricerche precedentemente effettuate, evitando così che la medesima situazione si ripresenti.

L’allerta su questo tipo di frode informatica è stata lanciata dalla Polizia Postale – attraverso la propria pagina Facebook – che ricorda agli utenti come queste attività illecite siano indirizzate a qualsiasi tipologia di utente, dal privato all’azienda, e come sia opportuno prestare sempre la massima attenzione per evitare di cadere in simili trappole.ESET Italia si associa al suggerimento della Polizia Postale ricordando inoltre come sia ormai fondamentale proteggere tutti i dispositivi con un software antimalware performante e proattivo.

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/01/reindirizzamento-delle-pagine-web-virus-o-no/

Spectre e Meltdown sono due vulnerabilità dei moderni processori causate da tecniche di ottimizzazione originariamente pensate per aumentarne le performance. Queste tecniche consentono ai processori di gestire meglio la velocità di esecuzione delle operazioni, occupando i tempi di inattività per preparare ulteriori risultati che potrebbero poi tornare utili in seguito. Se questi risultati vengono utilizzati il processore ha risparmiato tempo, se invece non vengono utilizzati possono essere scartati. Tuttavia i ricercatori hanno dimostrato che vi sono casi in cui questi risultati non vengono scartati adeguatamente, e un hacker sarebbe in grado di accedere a dati in teoria inaccessibili.

Come affermato dagli autori dei documenti che descrivono le vulnerabilità, ci sono modi teorici in cui gli antivirus potrebbero rilevare il problema. Tuttavia, l’individuazione avrebbe un impatto estremamente negativo sulle prestazioni del dispositivo e influenzerebbe in modo significativo l’esperienza dell’utente, risultando un approccio meno efficace della prevenzione. Gli esperti di ESET raccomandano pertanto di tenere traccia di tutte le patch relative ai loro sistemi e di applicarle il prima possibile.

Sempre più spesso si sente parlare di deep web, ovvero la parte più nascosta di Internet utilizzata soprattutto per le transazioni illegali come la vendita di database contenenti credenziali e dati sensibili, trafugati attraverso attacchi hacker. Recentemente è stato individuato un unico database messo in rete da un utente con lo pseudonimo di tomasvanagas, che ha pubblicato un link contenente un miliardo e 400 milioni di nomi, email e password in chiaro, messo a disposizione di chiunque dietro una donazione in Bitcoin. Si tratta senza dubbio del più grande leak di dati personali mai registrato in Internet.

Il database ancora in circolazione unisce diversi elenchi già presenti in rete da diverso tempo, ma aggiornati a novembre 2017 con milioni di nuovi indirizzi e password in chiaro di strutture come Rai, Repubblica, la Sapienza di Roma, la Difesa, Istituti bancari, ministeri e amministrazioni pubbliche, con le stesse password che si ripetono per accedere ai social network e alla posta elettronica.

Molti di questi dati sono obsoleti e molte delle organizzazioni colpite, come la Rai, hanno da tempo ripristinato la situazione, ma ciò che rende prezioso questo elenco, più che la mole dei dati in esso contenuti, è la loro suddivisione in 1900 diversi file e la velocità con cui si ottiene ciò che interessa grazie a uno script di ricerca contenuto nel pacchetto.

Pur trattandosi di dati vecchi, ciò che preoccupa è come possono essere utilizzate queste informazioni per creare una linea guida tramite le password impiegate nel passato da cui trarre indicazioni per futuri attacchi basati sugli schemi utilizzati dagli utenti per generare nuove password.  Le informazioni presenti nell’elenco sono associate agli stessi username ottenuti da precedenti sottrazioni come quelle subite da Yahoo, Linkedin, Twitter, Yourporn, Myspace ed altri, da cui si evince come il fenomeno di riutilizzare la medesima password per diversi servizi Web sia assai diffuso.

In effetti analizzando il database si nota come 9 milioni di account usano la stessa password “123456“, oltre un milione “password” e trecentomila le parole “monkey” e “dragon”.  Il 14% di queste credenziali d’accesso finora non erano mai state decifrate, pertanto chi le ha ottenute non si è limitato a raccogliere i dati, ma ha anche trovato il modo di decriptarle.L’unica questione irrisolta rimane la motivazione dietro tale azione. Una delle opzioni è puramente economica dato che è la prima volta che un venditore chiede una donazione come pagamento, opzione che tuttavia non convince gli esperti.La concorrenza sleale è quindi una delle strade percorribili, anche se potrebbe esserci un’ipotesi peggiore. Nell’underground infatti esistono gruppi di esperti e di criminali informatici uniti che collaborano condividendo le informazioni apprese gli uni dagli altri. ESET Italia ricorda come sia fondamentale creare password complesse e differenti per ogni servizio che si utilizza, magari utilizzando un password manager, così che se una di esse dovesse essere compromessa non lo saranno anche tutte le altre.

Per ulteriori informazioni sull’argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2017/12/cyber-sicurezza-limportanza-di-differenziare-le-password/

La scorsa settimana Thomas Bossert, consigliere di Donald Trump per la sicurezza interna e l’antiterrorismo alla Casa Bianca, ha accusato la Corea del Nord di essere tra gli artefici del clamoroso attacco informatico basato sul ransomware WannaCry, che nel mese di maggio ha colpito tantissime aziende nel mondo, spingendo addirittura il governo britannico a un’interrogazione parlamentare per stimarne i danni causati. Lo stesso consigliere ha sottolineato in un’intervista sul Wall Street Journal come l’accusa statunitense verso il governo di Pyongyang si basi su prove. “Non siamo gli unici a sostenere la responsabilità della Corea del Nord: altri governi e società private sono d’accordo con noi”.

Sempre secondo Bossert l’attacco WannaCry è stato “codardo e costoso e la Corea del Nord è direttamente responsabile. Non lanciamo accuse alla leggera. Sono basate su prove” e ha continuato evidenziando come “le conseguenze e le ripercussioni di WannaCry sono andate al di là dell’impatto economico. Il virus ha colpito in modo particolarmente duro il sistema sanitario inglese, mettendo vite umane a rischio”.

“Mentre lavoriamo per rendere internet più sicuro, continuiamo a ritenere responsabili coloro che ci fanno del male e ci minacciano, sia che agiscano da soli sia che agiscano per organizzazioni criminali o per paesi ostili – ha proseguito il consigliere. – Gli hacker maligni appartengono al carcere, e i governi totalitari devono pagare un prezzo per le loro azioni”.

Bossert ha concluso il suo intervento sostenendo che il governo nord coreano “continua a minacciare l’America, l’Europa e il resto del mondo non solo con le sue aspirazioni nucleari. Sta usando sempre più i cyber attacchi per alimentare il suo comportamento e causare distruzioni”.

Senza entrare nel merito del confronto politico tra USA e Corea del Nord, ESET Italia ricorda a tutti come sia di fondamentale importanza verificare la propria vulnerabilità al WannaCry, oltre naturalmente a utilizzare un software di protezione antimalware efficace e costantemente aggiornato.

Per verificare la presenza della vulnerabilità EternalBlue, che consente a questo ransomware di infettare automaticamente i sistemi, è possibile utilizzare il seguente strumento gratuito di ESET: ESET Eternal BlueChecker.

Inoltre, per scaricare e installare l’aggiornamento specifico per risolvere la vulnerabilità è possibile cliccare sul seguente link al bollettino di sicurezza Microsoft: MS17-010

Ricordiamo infine che, vista la pericolosità dell’attacco, Microsoft ha deciso di rilasciare anche il seguente aggiornamento speciale per Windows XP: KB4012598

Per alcuni è la moneta del futuro, per altri una bolla destinata a scoppiare molto presto. Sta di fatto che il Bitcoin – cripto valuta nata per gestire le transazioni sul Web in maniera anonima e salita agli onori della cronaca per le quotazioni nei maggiori mercati finanziari – è diventata in questi giorni un piatto appetitoso per i cyber criminali. I ricercatori di ESET hanno infatti registrato un’impennata di JS/CoinMiner, un trojan creato per generare valuta digitale sfruttando le risorse del sistema infettato, che lo scorso 9 dicembre ha raggiunto in Italia il picco del 38% delle infezioni, attestandosi di gran lunga al primo posto tra le minacce che insidiano gli internauti italiani.

Il trojan ha colpito in particolare l’Europa, registrando nell’ultima settimana il picco di infezioni in Slovacchia (48%), Grecia (36%) e Spagna (36%), scendendo in Italia al 24% delle rilevazioni.

JS/CoinMiner è un codice Java Script che si diffonde attraverso i contenuti Java infetti, inseriti molto spesso in banner presenti su siti “affidabili” o all’interno di email di phishing contenenti link a pagine pericolose che ospitano questo script. Una volta eseguito nel sistema, CoinMiner installa un trojan creato per generare valuta digitale (attività di mining) sfruttando le risorse del sistema infettato.

Di solito l’utente non si accorge facilmente di aver contratto CoinMiner poiché i sintomi dell’infezione non sono caratteristici (dispositivo che lavora a rilento e sistema di raffreddamento particolarmente attivo).

Per identificare, rimuovere CoinMiner e proteggere il proprio dispositivo, ESET raccomanda l’uso di una soluzione di sicurezza digitale affidabile ed efficace.

Stai cercando un’idea regalo originale? Scegli una soluzione per la #sicurezzaonline di ESET e approfitta della promozione #SafeChristmas su Google Play: dal 18 al 31 dicembre potrai acquistare i prodotti ESET Mobile Security ed ESET Parental Control al 50% di sconto.

Inoltre, sempre dal 18 al 31 dicembre, ESET Multi-Device Security sarà disponibile con il 20% di sconto: un’unica licenza ad un prezzo davvero conveniente, per proteggere fino a tre dispositivi e navigare online in tutta tranquillità.

Natale sereno…Natale sicuro!

ESET Mobile Security per Android

ESET Mobile Security è l’antivirus per Android progettato per rispondere a tutte le esigenze di sicurezza su mobile, senza rallentare i dispositivi e occupando poco spazio nella memoria di sistema.
Una soluzione di protezione completa in grado di proteggere smartphone e tablet dalle minacce emergenti e dalle pagine phishing, filtrare chiamate e messaggi indesiderati e controllare il dispositivo da remoto in caso di smarrimento o furto. Grazie alla #SafeChristmas promotion è possibile acquistare ESET Mobile Security con il 50% di sconto sul prezzo di listino.

ESET Parental Control per Android

Il mondo digitale è una meravigliosa fonte di informazione e divertimento per i minori.
ESET Parental Control per Android aiuta i genitori a guidare i propri figli mentre navigano online, mettendo  a disposizione strumenti di gestione delle applicazioni mobile e dei siti web e  suggerendo ciò che è adatto e ciò che invece non è appropriato per i minori. Consente inoltre di localizzare in qualsiasi momento il dispositivo che il minore utilizza e di inviare messaggi che appariranno direttamente sul suo schermo. Grazie alla #SafeChristmas promotion è possibile acquistare ESET Parental Control con uno sconto del 50% sul prezzo di listino.

Per ulteriori informazioni sui prodotti ESET visitare il sito www.eset.it

È di questi giorni la notizia di un bug nel sistema Android cha sta allarmando gli utilizzatori delle versioni antecedenti ad Oreo, che se sfruttata permetterebbe ai cyber criminali di prendere il controllo del registratore audio oltre che di visualizzare le attività sul display. Al momento la falla non sembra risolvibile, fatta eccezione per Oreo 8.0.

8 dispositivi su 10 sono quindi a rischio in quanto utilizzano le versioni più vulnerabili di Android ovvero Lollipop (5), Marshmallow (6) e Nougat (7). Il problema di sicurezza risale al rilascio di Lollipop ed è legato all’utilizzo del servizio MediaPjection che richiede alle app un accesso root. Tale condizione è protetta dall’autenticazione tramite la chiave del dispositivo che viene richiesta direttamente all’utente prima di poter utilizzare una dell’app stessa.

Gli hacker riescono però a sfruttare difetti nell’interfaccia utente per aprirsi dei varchi attraverso tecniche come il “tap-jacking”, già utilizzata in passato per infettare i sistemi Android, che consiste nel far comparire un finto pop-up che si sovrappone alla schermata di richiesta di autorizzazione all’app di MediaPjection, dando di fatto il consenso al malware di entrare nel dispositivo.

Android è spesso sotto attacco da parte di criminali informatici che cercano di sottrarre dati agli utenti e negli 4 ultimi anni i malware dedicati a questo sistema operativo sono aumentati in maniera esponenziale con circa 10 milioni di applicazioni sospette distribuite anche attraverso gli store ufficiali.

Google ha già rilasciato una patch inserita però solo in Oreo e che non può essere applicata per sanare le precedenti versioni di Android. In attesa di ulteriori aggiornamenti ESET Italia consiglia a tutti gli utenti di porre estrema attenzione ai download effettuati dai propri dispositivi mobile e di installare una soluzione antimalware efficace e di mantenerla costantemente aggiornata.

La botnet Andromeda, una delle più grandi reti di cyber criminali mai esistita ed attiva dal settembre del 2011, è stata debellata grazie ad un’operazione congiunta su scala globale condotta da ESET – il più grande produttore di software per la sicurezza digitale dell’Unione europea – insieme alle forze di polizia e Microsoft. Conosciuta anche con il nome di Gamarue, la botnet Andromeda si è alimentata grazie al trojan Win32/TrojanDownloader.Wauchos, spesso rivenduto come crimekit nei forum clandestini. Wauchos è stato dunque utilizzato da diversi gruppi di cyber criminali, dando vita a 464 reti infette che utilizzavano server di Comando & Controllo distribuiti su 1.214 domini. Secondo gli esperti di ESET, Andromeda è stata utilizzata come vettore di infezione per almeno 80 famiglie diverse di malware.

Cos’è Wauchos?

Wauchos è un malware modulare le cui funzionalità possono essere facilmente ampliate aggiungendo dei plug-in, tra cui keylogger, formgrabber, rootkit, SOCKS proxy e bot per TeamViewer. Si tratta di un trojan solitamente utilizzato per sottrarre le credenziali, scaricare e installare malware aggiuntivi in un sistema. Quindi se un computer è stato infettato da Wauchos, è probabile che ci siano diverse altre famiglie di malware in agguato per approfittare dello stesso sistema. Storicamente, le varianti di Wauchos sono state distribuite attraverso social media, programmi di messaggeria istantanea, supporti rimovibili, spam e Exploit Kit.

Come eliminare Wauchos dal proprio dispositivo

Wauchos è una vecchia botnet che si è reinventata nel corso degli anni, utilizzando vecchi trucchi per compromettere i nuovi sistemi. Gli esperti di ESET raccomandano di prestare sempre attenzione all’apertura di file presenti nei supporti rimovibili, così come a quelli ricevuti tramite e-mail o social media. In caso di dubbio sulla possibilità che il proprio sistema Windows sia stato infettato da Wauchos, è possibile scaricare e utilizzare ESET Online Scanner, che rimuoverà questa e tutte le altre minacce presenti nel dispositivo.

Per ulteriori informazioni sulla botnet Andromeda e la campagna che l’ha debellata è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2017/12/eset-partecipa-a-unoperazione-congiunta-su-scala-globale-per-debellare-il-gamarue-andromeda/

ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione europea, ha lanciato Chrome Cleanup, un nuovo tool di scansione e pulizia per Google Chrome progettato per aiutare gli utenti a navigare in rete in modo sicuro e senza interruzioni. Chrome Cleanup sarà disponibile per tutti gli utenti di Google Chrome che utilizzano la piattaforma Windows.

Chrome Cleanup neutralizza i programmi malevoli che possono influenzare negativamente l’esperienza degli utenti su Internet, sempre più insidiati da cyber attacchi complessi e difficili da individuare. Quando rileva un software indesiderato, Chrome Cleanup avverte l’utente di Google Chrome sulle potenziali minacce e fornisce la possibilità di rimuovere il software operando in background, senza visibilità o interruzioni per l’utente. Una volta completata la pulizia, Chrome Cleanup elimina il software notificandolo all’utente. Chrome Cleanup è incluso nell’ultima versione di Google Chrome; per aggiornare il browser, basta aprire la tendina del Menu > Guida > Informazioni su Google Chrome e l’aggiornamento verrà effettuato automaticamente.

Per ulteriori informazioni su Chrome Cleanup è possibile collegarsi al blog di ESET Italia al seguente link:

https://blog.eset.it/2017/10/chrome-cleanup-arriva-il-nuovo-strumento-di-sicurezza-google-basato-sulla-tecnologia-antimalware-di-eset/ 

ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it

FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it

I ricercatori di ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno scoperto DoubleLocker, un innovativo malware per Android che combina un astuto meccanismo di infezione con due potenti strumenti per estorcere denaro alle proprie vittime.

Distribuito principalmente come aggiornamento fake di Adobe Flash Player tramite siti compromessi, DoubleLocker sfrutta in modo improprio i servizi di accessibilità di Android, un classico stratagemma usato dai criminali informatici. Il suo payload di infezione è in grado di cambiare il PIN del dispositivo, per evitare che la vittima possa accedere al proprio dispositivo e contemporaneamente codifica i dati della vittima: una tale combinazione non era mai stata vista prima nell’ecosistema Android.

Una volta avviata, l’applicazione richiede l’attivazione del “Servizio di Google Play”. Dopo aver acquisito le autorizzazioni di accesso, il malware le utilizza per attivare i diritti di amministratore del dispositivo e si imposta come applicazione Home predefinita, in entrambi i casi senza il consenso dell’utente.

Oltre a essere un ransomware, il DoubleLocker si basa anche su un particolare Trojan bancario già analizzato dai ricercatori di ESET, secondo i quali la funzionalità che consentirebbe a questo malware di sottrarre le credenziali bancarie dai sistemi delle vittime potrebbe essere aggiunta molto facilmente.  Questa funzionalità aggiuntiva trasformerebbe DoubleLocker in quello che i ricercatori di ESET definiscono come un “ransom-banker”, già identificato in una versione di test in the wild a Maggio 2017.

I ricercatori di ESET ricordano l’importanza di utilizzare una valida soluzione di sicurezza per proteggere i dispositivi mobile, che impediscono il contagio da DoubleLocker e da altri tipi di malware.

Per ulteriori informazioni su DoubleLocker è possibile collegarsi al blog di ESET Italia al seguente link:

https://blog.eset.it/2017/10/doublelocker-il-nuovo-malware-per-android-che-sfrutta-il-tasto-home-per-infettare-i-dispositivi/

Per tutto il mese di ottobre – Mese Europeo della Sicurezza Informatica – sarà possibile acquistare su Google Play la soluzione ESET Mobile Security al 30% di sconto.

ESET Mobile Security è l’antivirus per Android progettato per rispondere a tutte le esigenze di sicurezza su mobile, senza rallentare i dispositivi e occupando poco spazio nella memoria di sistema.
Si tratta di una soluzione di protezione completa in grado di proteggere smartphone e tablet Android dalle minacce emergenti e dalle pagine phishing, filtrare chiamate e messaggi indesiderati e controllare il dispositivo da remoto in caso di smarrimento o furto.

Per ulteriori informazioni su ESET Mobile Security e sulla gamma delle soluzioni ESET per la sicurezza informatica visitare il sito www.eset.it

ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Internet Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it

FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it