area-press.eu

Tag: malware

  • Group-IB presenta il suo compendio annuale sul ransomware

    Amsterdam, 19.05.2022 – Group-IB, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale “Ransomware Uncovered Logo_Group-IB 2021/2022” sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell’impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto è aumentata del 45%, fino a raggiungere 247.000 dollari nel 2021. Le gang del ransomware sono anche diventate molto più avide rispetto allo scorso anno. Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari a MediaMarkt (in Italia MediaWorld). Il riscatto più elevato nel 2020 è stato di “soli” 30 milioni di dollari. Hive e la new entry della “caccia grossa” (il cosiddetto Big Game Hunting) nel 2021, Grief, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS – Data Leak Sites). Una pratica che tra il primo trimestre 2021 e il primo trimestre 2022 ha interessato i dati di 986 aziende europee vittime di attacchi ransomware. Con 148 aziende i cui dati sono stati caricati sui DLS l’Italia è al terzo posto in Europa e al quinto su scala globale.

    La catena di montaggio del ransomware

    Il nuovo compendio fa il punto sulle più recenti tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce ransomware e osservate dal team Digital Forensics e Incident Response (DFIR) di Group-IB nelle sedi dell’azienda in tutto il mondo. Oltre ai 700 attacchi esaminati nel 2021 da Group-IB nel quadro delle proprie attività di risposta agli incidenti informatici e di Cyber Threat Intelligence, il rapporto tratta anche le piattaforme online su cui vengono divulgati i dati delle vittime del ransomware (DSL = Data Leak Sites).

    Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L’ascesa dei broker di accesso iniziale (IAS), descritta nell´ Hi-Tech Crime Trends di Group-IB, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attività ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.

    Sulla base dell’analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si è attestata sui 247.000 dollari nel 2021, il 45% in più rispetto al 2020. L’accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22 del 2021.

    Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l’esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si è diffusa in modo ancora più capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63% dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500 vittime. La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite.  Con 148 vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l’Italia occupa il quinto posto nella classifica mondiale e il terzo in quella europea, seguita a ruota dalla Germania con 143 aziende. La maggior parte delle organizzazioni i cui dati sono stati divulgati fa capo al settore industriale (322, di cui 28 italiane), immobiliare (305) e dei servizi professionali (256). In Italia anche il settore dei trasporti (15 aziende) e il commercio (13 aziende) risultano interessati dal fenomeno.

    Lockbit, Conti e Pysa si sono rivelate le organizzazioni più aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640 e 186, tra cui figurano anche aziende italiane, nella fattispecie rispettivamente 45, 25 e 12 vittime. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.

    Bot ingannevoli

    Nel 2021 l’abuso di server RDP esposti su Internet è stato ancora una volta il metodo più comune per l’accesso iniziale alle reti target – il 47% di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB è iniziato con la compromissione di un servizio remoto esterno.

    Le E-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%). L’impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarità tra gli attori del ransomware rendendo più complicata l’attribuzione degli attacchi ransomware. Nel 2021 infatti molti bot come Emotet, Qakbot e IcedID sono stati utilizzati da più attori, mentre nel 2020 alcune tipologie di malware comune erano legate a specifiche gang. Il team DFIR di Group-IB ha ad esempio osservato che IcedID è stato impiegato da vari gruppi ransomware per assicurarsi l’accesso iniziale. Tra questi Egregor, REvil, Conti, XingLocker, RansomExx.

    In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attività a posteriori dell’esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).

    Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilità zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, è stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che – secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.

    “A fronte delle molteplici ridenominazioni forzate dalle operazioni di polizia e della fusione delle TTP, dovuta alla costante migrazione degli affiliati da un programma Ransomware-as-a-Service (RaaS) all’altro, sta diventando sempre più difficile per i professionisti della sicurezza tenere traccia delle tattiche e degli strumenti in continua evoluzione impiegati dagli attori del ransomware”, afferma Oleg Skulkin, responsabile del team DFIR di Group-IB. “Per tenere al corrente i responsabili della cybersecurity aziendale e prepararli ad eventuali incidenti ransomware, abbiamo evidenziato le principali tendenze e i cambiamenti delle TTP sotto forma di indicazioni praticabili, mappate e organizzate secondo la matrice MITRE ATT&CK®”.

    La seconda edizione 2021/2022 del rapporto “Ransomware Uncovered” presenta quindi una matrice MITRE ATT&CK® che contiene informazioni sulle TTP impiegate più di frequente durante gli attacchi ransomware operati da esseri umani. Il nuovo compendio è scaricabile dal sito web di Group-IB.

  • Malware: il bilancio del 2018

    Sebbene nel 2018 nessun attacco abbia assunto dimensioni tali da destare l’interesse dei mass-media è innegabile che nello scorso anno siano stati diffusi numerosi nuovi malware: attacchi che, seppur sofisticati, non hanno scalzato il buon vecchio ransomware, di cui sentiremo ancora parlare. Il team di Intelligence di Stormshield traccia il bilancio dei malware dello scorso anno.

    Niente WannaCry o simili nel 2018, che ha tuttavia visto emergere attacchi malware sempre più sofisticati. Tra questi ad esempio Slingshot, ad oggi il più avanzato, definito “un capolavoro” dagli esperti di Kaspersky Lab. Sfruttando due moduli, GollumApp e Cahnadr, il malware Slingshot prende il controllo integrale della macchina infetta e svolge molteplici funzioni: recupera qualunque tipo di dato, cattura immagini dello schermo, traccia qualsiasi input dato tramite tastiera. Difficile da rilevare, si adatta persino alle soluzioni di sicurezza installate sul sistema con strategie di “anti-debugging”. Questo malware non colpisce solo siti web, ma annovera tra i propri obiettivi anche computer collegati ai router MikroTik.

    Svolta decisiva per il cryptojacking

    Fatta eccezione per Slighshot, la crescita esponenziale del malware è dovuta alla proliferazione di strumenti per minare criptovalute in modo abusivo (cryptojacking) sfruttando le risorse della CPU di macchine infette, come Coinhive e Crytoloot. Secondo il report di Skybox, questo genere di minacce ha rappresentato il 31% degli attacchi nei primi sei mesi del 2018, rispetto al 7% negli ultimi sei mesi del 2017. Una tecnica apprezzata dai cybercriminali meno esperti, poiché meno rischiosa e più remunerativa. I malware progettati a tale scopo prendono illecitamente il controllo degli onerosi processi di calcolo matematico sviluppati sia per generare criptovalute sia per verificare, autenticare e convalidare le transazioni effettuate con queste valute.

    I rischi del social hacking

    Altra minaccia in piena crescita è la frode ai danni degli utenti dei social network. Secondo Proofpoint ad esempio l’uso di tecniche di ingegneria sociale e di manipolazione delle informazioni allo scopo di trarre in inganno gli internauti sarebbe cresciuto del 485% nel terzo trimestre del 2018 rispetto allo stesso periodo dell’anno precedente. I dati sensibili delle aziende sono particolarmente esposti a questo tipo di minaccia poiché ogni impiegato è un possibile bersaglio per i social hacker: “i cybercriminali trascorrono sempre più tempo a indagare sugli interessi delle persone che lavorano per aziende specifiche, così da poter inviar loro e-mail personalizzate e, di conseguenza, entrare nella rete aziendale per carpire quanti più dati possibile”, spiega Stéphane Prévost, Product Marketing Manager di Stormshield.

    Botnet multifunzione

    Un’ultima rilevante particolarità da segnalare per il 2018 è rappresentata dalla crescita di botnet multifunzione, sufficientemente versatili per poter eseguire qualsiasi compito. Queste reti di computer infetti sono controllate da cybercriminali e utilizzate per diffondere malware e facilitare attacchi spam o i denial-of-service (DDoS). Il volume di RAT (remote access trojans) come Njrat, DarComet e Nanocore risulta raddoppiato nel 2018: “Ne è un esempio il ‘Pony RAT’, un trojan poco sofisticato ma facilmente reperibile e focalizzato su bersagli mal protetti”, afferma Paul Fariello, membro del Security Intelligence Team.

    La vera minaccia rimane il ransomware

    Tutti questi “nuovi” attacchi non devono farci perdere di vista il caro vecchio ransomware, più pericoloso che mai. SamSam, una famiglia di ransomware attiva dal 2015, è ritenuta responsabile di una serie di attacchi di alto profilo, come quello perpetrato alla città di Atlanta in marzo. In questo ambito, i cybercriminali non mancano certo di inventiva, come dimostrato dai ransomware Gandcrap e DataKeeper con i loro aggiornamenti quotidiani. “Benché gli attacchi siano divenuti sicuramente più complessi, i ransomware tradizionali (che cifrano i dati) rimangono di gran lunga la minaccia più rilevante per le piccole e medie imprese”, dichiara Paul Fariello, raccomandando di non abbassare la guardia in nessun caso.

  • Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”

    Un nuovo approccio per una vecchia tecnica

    Bochum (Germania), 3 luglio 2018

    I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

    Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

    Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

    Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

    Rozena

    Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

    Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

    Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

    Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

    Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

    Prevenzione

    Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

    1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
    2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
    3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
    4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.

  • G DATA e Allnet.Italia: nuova partnership nel segno della cybersicurezza

    In virtù dell’accordo commerciale siglato tra il noto vendor di sicurezza teutonico e il distributore a valore aggiunto, Allnet.Italia S.p.a commercializza da subito le soluzioni firmate G DATA sul territorio nazionale.

    Bologna / Casalecchio di Reno – In un contesto in cui “innovazione” è un buzz-word e le aziende di ogni ordine e grado cominciano a comprendere che la partita del futuro si gioca sul campo della digitalizzazione dei sistemi produttivi e amministrativi, urge incrementare la consapevolezza dei rischi informatici e la capacità delle organizzazioni di puntare su una cybersecurity efficace, anche ma non esclusivamente, a fronte delle nuove normative. Questa la mission di G DATA che ha trovato in Allnet.Italia un partner egregio con cui condividere intenti, strategie e servizi. Da subito i clienti del distributore a valore beneficiano delle pluripremiate soluzioni G DATA e fruiscono dei vantaggi di un programma partner caratterizzato da formule commerciali innovative e strumenti di business personalizzati.

    L’accordo tra Allnet.Italia S.p.a e G DATA prevede la commercializzazione dell’intero portafoglio di soluzioni business firmate dal vendor teutonico, tra cui G DATA Managed Endpoint Security, la nuova piattaforma GDPR-ready che consente a VAR, System Integrator e rivenditori specializzati di erogare servizi di sicurezza gestita e proattiva a consumo gode attualmente di un’eccellente risonanza sul mercato. Da tempo il vendor mette a disposizione del canale strumenti sviluppati per favorire la generazione di nuove opportunità e modalità di business che aggiungano valore alla mera rivendita di un prodotto. Un impegno pienamente condiviso da Allnet.Italia, che ritiene la cybersecurity uno degli abilitatori più rilevanti per un sano sviluppo degli operatori di canale e ha costituito una Business Unit ad hoc attraverso cui fornisce ai propri clienti tutti i servizi a valore per cui è nota.

    Giulio Vada, Country Manager, G DATA Italia

    “L’accordo siglato con Allnet.Italia Spa è misura concreta del valore delle nostre soluzioni da un un lato e conferma della bontà del lavoro che abbiamo svolto sinora sul territorio dall’altro”, commenta Giulio Vada, Country Manager di G DATA per l’Italia, “I prodotti e i vendor che Allnet.Italia integra nel proprio portafoglio sono sottoposti a severe valutazioni tecniche e di scenario. Superare con successo questa selezione ci ha consentito di acquisire un partner apprezzato per l’attenzione che dedica sia ai rapporti con i brand che rappresenta sia alla propria clientela. La stessa che anche noi dedichiamo ai nostri partner”.

    Emiliano Papadopoulos, CEO di Allnet.Italia S.p.a.

    Emiliano Papadopoulos, CEO di Allnet.Italia S.p.a., commenta: “L’accordo commerciale siglato con G DATA rappresenta un importante tassello nell’ambito di una strategia di più ampio respiro di Allnet.Italia, volta a potenziare la nostra vicinanza al mercato attraverso lo sviluppo di partnership mirate a creare una total solution che integra più tecnologie anche nella Sicurezza. Grazie, infatti, a G DATA, saremo in grado di assicurare ai nostri clienti una vasta gamma di soluzioni innovative, in grado di superare i tradizionali paradigmi per realizzare progetti ad alto valore aggiunto e cogliere appieno le grandi opportunità derivanti da un segmento in continua crescita. “

    (altro…)

  • MWC 2017: sicurezza mobile componente basilare della rivoluzione digitale

    logo-claim-2015-3c-highresG DATA presenta al Mobile World Congress 2017 di Barcellona le proprie soluzioni di sicurezza completa per smartphone e tablet. Padiglione 6, stand 6B40.

    Il leitmotiv del Mobile World Congress 2017 è “basilare” (elemental), uno slogan che simbolizza egregiamente il grado di integrazione dei dispositivi mobili nel nostro quotidiano. Nella nostra penisola il 70% dei consumatori è connesso a Internet unicamente attraverso smartphone e tablet o attraverso device mobili in combinazione con dispositivi desktop. Gli Italiani inoltre trascorrono più tempo su mobile che su desktop, al mobile fa capo infatti il 64% della durata totale delle connessioni (fonte:comScore, analisi 2016). Altrettanto rapidamente cresce il numero di minacce ai danni dei device mobili: con 3.246.284 nuove istanze di malware per Android nel 2016, corrispondente ad un aumento del 40% anno su anno, i cybercriminali hanno messo a segno un nuovo record. A fronte della sua redditività, questo mercato è di forte interesse per i cybercriminali che escogitano metodi sempre più creativi per attirare utenti ignari nella propria trappola.

    gdata-infographic-mmwr-h2-16-new-android-malware-per-year-en-rgb

    G DATA illustrerà come gli utenti possono rendere sicuri i propri dispositivi mobili con sistema operativo Android e iOS e salvaguardare la propria identità digitale, e come le aziende possano mettere in atto efficaci misure di Mobile Device Management dal 27 febbraio al 2 marzo in occasione del Mobile World Congress di Barcellona, padiglione 6 – stand 6B40.

     

    Highlight di G DATA al Mobile World Congress

    • Secure Chat per iOS e Android
      L’applicazione G DATA Secure Chat consente di condurre chat temporizzate, protette attraverso una crittografia multipla che garantisce anche lo scambio sicuro di file multimediali. Già inclusa nella suite G DATA Mobile Internet Security per Android, l’applicazione sarà disponibile a breve anche per dispositivi iOS.
    • Modulo VPN integrato
      Anche gli utenti iOS potranno beneficiare di questa funzionalità integrata nel G DATA Mobile Internet Security. Non sarà quindi più necessario installare ulteriori soluzioni per la protezione del traffico dati nelle reti pubbliche di hotel, bar, ristoranti, aeroporti. Il modulo VPN integrato può essere posto automaticamente in background quando l’utente mobile naviga in Internet, controlla le e-mail o effettua le proprie transazioni bancarie.
    • Status del livello di insicurezza mobile
      Le 3.246.284 nuove istanze di malware per Android identificate nel corso del 2016 rappresentano un nuovo record negativo, corrispondente ad un incremento del 40 percento rispetto al 2015 ai danni di una componente ormai basilare per la nostra quotidianità. Oltre a svolgere attività di online-banking, spedire messaggi o navigare in internet tramite smartphone, gli utenti impiegano questi tuttofare sempre più spesso come telecomando per dispositivi IoT. A Barcellona gli esperti di sicurezza di G DATA presenteranno i più recenti attacchi perpetrati contro utenti privati e aziende. Come si possono affrontare in modo efficace le sfide del mondo mobile?

    mwc2017

    (altro…)

  • Attacchi contro le grandi aziende: tutto il giorno, tutti i giorni

    logo-claim-2015-3c-highresCome riportato da diversi media durante lo scorso fine settimana, il gruppo industriale ThyssenKrupp è stato preso di mira dai cybercriminali. La società si dice vittima di un attacco hacker sapientemente progettato e sferrato già nel febbraio di quest’anno. Il dipartimento CERT (Cyber Emergency Response Team) interno ha scoperto però l’attacco solo nel mese di aprile. Gli aggressori avevano cercato di ottenere un punto di accesso permanente alla rete aziendale.

    L’incidente conferma le stime dei G DATA Security Labs: qualora ben congeniato, un attacco mirato ad una rete può passare inosservato per oltre tre mesi dopo l’infiltrazione. Alla luce di tale valutazione, il reparto di sicurezza della ThyssenKrupp è stato relativamente veloce nel rilevare l’attacco. Esempi passati mostrano tuttavia che, in determinate circostanze, attacchi molto complessi e progettati per colpire un obiettivo specifico o per condurre campagne di spionaggio mirate possono rimanere celati addirittura per diversi anni. Un esempio di questo tipo è Uroburos.

    thyssen_g_data_640h400

    Anatomia di un attacco mirato

    Un attacco mirato di solito segue un certo schema. Dapprima gli aggressori raccolgono informazioni sul loro obiettivo. In base alle informazioni raccolte formulano una strategia per accedere alla rete, che contempla diverse metodologie, da malware prodotto ad hoc all’ingegneria sociale. Una volta ottenuto l’accesso, i criminali cercano di estendere la portata dell’attacco incrementando il numero di sistemi alla propria mercè. Identificati i dati di proprio interesse, gli aggressori passano alla fase estrattiva ossia al vero e proprio furto di dati e segreti aziendali.

    Non ci è dato conoscere al momento il livello di sofisticazione dell’applicazione back-door impiegata presso ThyssenKrupp. Va sottolineato, tuttavia, che non tutti gli strumenti per lo spionaggio sono costituiti da componenti sviluppate ad hoc. I criminali si avvalgono spesso di strumenti già esistenti per risparmiare in un certo qual modo sui costi di realizzazione dell’attacco. Secondo quanto divulgato dalla stessa ThyssenKrupp, quanto finora rilevato suggerisce l’area asiatica come origine geografica dell’attacco.

    g_data_blog_targeted_attacks_webgrafik2016_en_78014w1280h580

    Le grandi aziende non sono l’unico obiettivo

    Una statistica prodotta da GE Capital indica che circa il 44% dei brevetti europei registrati sono di proprietà di aziende tedesche di medie dimensioni. Non meraviglia quindi che anche queste società rappresentino obiettivi appetibili per i cybercriminali. Secondo l’Ufficio federale tedesco per la Sicurezza Informatica (BSI), il 58% delle aziende pubbliche e private sul territorio teutonico ha già subito attacchi contro i rispettivi sistemi IT e di comunicazione. In Italia la percentuale di aziende colpite da attacchi mirati cresce di due cifre anno su anno, un incremento forse favorito dall’ingente numero di macchine zombie presenti sul nostro territorio, di cui i cybercriminali possono servirsi indisturbati per sferrare i propri attacchi.

    Uno sguardo al passato: Uroburos – software di spionaggio di origini russe

    Nel 2014, gli esperti di sicurezza di G DATA avevano rilevato e analizzato un malware altamente sofisticato e complesso, progettato per rubare dati provenienti da reti di alto profilo come quelle di agenzie governative, servizi informativi e grandi aziende. Il rootkit denominato Uroburos lavora in autonomia e si propaga nella rete colpita senza richiedere un ulteriore intervento da parte dei criminali, in questo modo è persino riuscito ad infettare macchine prive di connessione Internet. G DATA è giunta alla conclusione che un malware di questo livello possa essere realizzato esclusivamente con forti investimenti infrastrutturali e in personale altamente specializzato. Il design ed il livello di complessità di questo malware fanno supporre che lo stesso abbia avuto origine dal settore dell’intelligence. L’analisi rivelò inoltre che Uroburos avesse radici russe. Fino all’identificazione da parte dei G DATA Security Labs questo malware complesso era restato celato nella rete.

    (altro…)

  • Pokémon Go: “Catch ‘em all” – ma non a tutti i costi!

    Logo-Claim-2015-3c-highresAlcuni di voi forse si ricordano ancora le piccole e adorabili bestioline tascabili in voga alla fine degli anni novanta. Ora sono tornate sotto forma di gioco in realtà aumentata per smartphone. I cybercriminali sfruttano la popolarità di questo nuovissimo gioco scommettendo su giocatori impazienti che non vogliono attendere l’uscita ufficiale del gioco in Europa: scoperta prima versione manipolata della app.

    Chi pare congelarsi per qualche secondo mentre fissa intensamente il proprio smartphone in un centro commerciale o per strada e poi riprende a camminare, borbottando “l’ennesimo pidgey”… sta indubbiamente giocando a Pokémon Go, la app in realtà aumentata per smartphone in cui rivive il famoso gioco per il Game Boy della Nintendo, che unisce mondo reale a piattaforma ludica. E’ infatti possibile catturare piccoli e graziosi animaletti animati, ma per farlo è necessario uscire fisicamente di casa per andare nel posto in cui le bestioline raccolgono, che sia un parco pubblico, per strada o appunto nel centro commerciale. Gli sviluppatori danno agli avidi collezionisti di questi piccoli animaletti giapponesi una nuova occasione per riaccendere vecchie passioni.

    GDATA_SecurityBlog_PokemonGo_Office_75602w506h900

    La app manipolata

    Il turbinio attorno al gioco é stato un richiamo irresistibile anche per alcuni cybercriminali: su una rete di condivisione file é già stata rilevata una versione manipolata della app per l’installazione del gioco che contiene un comando per il controllo remoto di device Android. A quanto risulta, la app originaria é stata rimanaeggiata con “DroidJack”, uno strumento impiegato spesso legittimamente dagli sviluppatori, per integrarvi il malware “AndroRAT”.

    AndroRAT (Remote Access Tool), già noto dal 2012/2013 e citato nel G DATA Mobile Malware Report H1/2013 fornisce numerose informazioni personali ai criminali, tra cui, ma non solo, l’elenco dei contatti, log e coordinate GPS. Ricordiamo che l’attivazione del GPS è essenziale per poter andare “a caccia” di bestioline. I criminali possono persino attivare il microfono e la fotocamera da remoto. I dati così trafugati dai dispositivi infetti vengono rivenduti e non sono da escludere casi di ricatto sulla base delle registrazioni audio-video condotte all’insaputa degli utenti.

    Quando si installa una app, vengono elencate le autorizzazioni richieste. In questo caso, gli utenti più attenti possono identificare immediatamente app sospette. L’attuale versione di Android peraltro indica all’apertura di una app se un dato comando va eseguito, ma sono solo pochi gli utenti che beneficiano ad oggi del nuovo sistema operativo Android.

    Da notare anche che la versione della app studiata dai ricercatori dei G DATA Security Labs disponeva persino di un certificato scaduto. Il detentore del certificato gestisce anche di un blog, che pare inattivo dal 2014. Non ci è stato quindi possibile rilevare se la app manipolata sia stata distribuita da questo individuo o se il certificato da lui emesso sia stato rubato e quindi abusato a scopo fraudolento.

    Chi protegge i propri dispositivi mobili con G DATA Mobile Internet Security per Android é protetto da questa app manipalata, che viene riconosciuta come “Android.Trojan.Kasandra.B”

    Perché tutto questo

    In generale eventi del genere dimostrano che i criminali si adattano e possono reagire ai trend del momento molto rapidamente. Per distribuire il malware, i suoi programmatori fanno affidamento sull’alea di “esclusività” che dà giocare ad un gioco che non è ancora uscito ufficialmente sul mercato – una sensazione molto simile, per esempio, a quella dei collezionisti di dischi in vinile, quando riescono ad assicurarsene un esemplare di una edizione limitata, numerato a mano.

    Il giocatore installa quindi la app manipolata e condivide con terzi ignoti informazioni che altrimenti sarebbero state riservate. Ci aspettiamo che questo tipo di manipolazioni aumentino, troppo grande il desiderio di trarre profitto dall’entusiasmo degli utenti. Eppure, per giocare in tutta sicurezza, evitando di fornire informazioni personali a chi non dovrebbe averle e magari di restare impalati in mezzo alla strada o di finire in stradine secondarie poco raccomandabili o giù da un declivio, basta giusto usare la testa!

    Sul blog di G DATA alcuni consigli su come proteggersi (articolo in inglese)

    (altro…)

  • G DATA avvisa: il nuovo ransomware Manamecrypt usa vettori di infezione non convenzionali e blocca noti antivirus

    Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi.
    Logo-Claim-2015-3c-highres

    I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in “bundle” con software altrimenti legittimi e viene installato insieme all’applicazione manipolata. Le soluzioni G DATA riconoscono e rimuovono questo malware.

    csm_manamecrypt_locked_01_anonym_430746d965

    Vettore di infezione e attività atipici

    Ciò che rende Manamecrypt fondamentalmene differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, è che il campione analizzato non si diffonde tramite mail o exploit kit bensì attraverso software legittimi, può quindi essere classificato come classico trojan. Il bundle consiste di un client µTorrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con sé la componente nociva “on top”.

    Anche il comportamento del malware una volta installato è differente da altri ransomware, tra cui Locky,Petya o Teslacrypt, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati.

    Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:

    manamecrypt_block_exe_01

    Interessanti anche le stringhe colpite dal ransomare:

    Catturamanamecrypt

    Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l’articolo completo sul G DATA SecurityBlog: https://blog.gdatasoftware.com/2016/04/28234-manamecrypt-a-ransomware-that-takes-a-different-route

    Come prevenire infezioni

    • Installare una soluzione di sicurezza che include uno scanner anti-malware e tecnologie proattive per l’identificazione di minacce sconosciute
    • Il software dovrebbe essere scaricato esclusivamente dalla pagina ufficiale dei rispettivi produttori
    • E’ importante effettuare regolarmente backup di documenti e dati importanti
    • Le applicazioni installate vanno aggiornate rapidamente, non appena è disponibile l’aggiornamento da parte del produttore
    • Esaminare con cautela le email ricevute da sconosciuti.

    (altro…)

  • G DATA Password Manager: maggior tutela e controllo dei dati personali

    La nuova release delle soluzioni per la protezione degli utenti privati firmata dal vendor teutonico é dotata delle più moderne tecnologie di protezione „made in Germany“ per un online banking e shopping più sicuro. Logo-Claim-2015-3c-highres

     Sebbene siano in media 17 le password utilizzate dagli utenti Internet (fonte: Password Research), molte di queste non contengono un mix sufficiente tra maiuscole, minuscole e cifre, tali da garantire un giusto grado di sicurezza. Inoltre, il 38 percento degli utenti, secondo un sondaggio effettuato dal consorzio digitale tedesco Bitkom, è dovuto ricorrere almeno una volta negli ultimi dodici mesi al ripristino della password per poter accedere ad un determinato servizio on-line. Con G DATA Password Manager il padre dell’antivirus assicura maggior tutela e controllo sui propri dati di accesso. I dati sensibili, quali utente e password vengono cifrati in una banca dati sul PC. L’accesso a questa banca dati è consentito solo tramite “master password”. Le nuove funzionalità quali il Password Manager, la tecnologia BankGurad unica nel panorama della sicurezza informatica e le soluzioni G DATA Antivirus, G DATA Internet Security e G DATA Total Protection, oggetto di un esteso aggiornamento, concorrono a massimizzare la protezione della navigazione, come delle transazioni bancarie o di acquisto condotte online. Le nuove fìunzionalità saranno disponibili da aprile 2016.

    Oltre alla protezione classica contro virus, trojan, spyware, phishing e altri malware, l’amministrazione dei dati sensibili sta assumendo una crescente importanza. Navigare, fare operazioni bancarie o acquisti online, accedere a vari profili social – molti utenti impiegano una password diversa per ogni account. Per tenere sotto controllo tutte le credenziali di accesso ai servizi, la funzione di gestione delle password integrata nella nuova generazione dei software di sicurezza G DATA, rappresenta un validissimo aiuto. Grazie a questo modulo particolarmente intuitivo, svolgere le proprie attività quotidiane online torna ad essere comodo. Dopo l’installazione, il Password Manager appare come un’icona sul browser e registra tutte le password delle pagine cui si accede tramite credenziali cifrate, decretando la fine dei post-it attaccati allo schermo o delle passsword insicure.

    Aggiornamento gratuito per i clienti G DATA
    I clienti G Data in possesso di una licenza valida, possono aggiornare gratuitamente il proprio software alla nuova “security generation” e scaricando la nuova versione direttamente dal sito del produttore.

    Requisiti di sistema:
    PC con Windows 10/8.x/7 e almeno 2 GB RAM (32 und 64 Bit)

    Le soluzioni di sicurezza di G DATA, una panoramica:


    g_data_consumer_antivirus_boxshot_it_3d_4cProtezione di base: G DATA Antivirus

    Il minimo per la vostra sicurezza: G DATA Antivirus protegge in modo affidabile il PC contro i virus, tutelando nel contempo i dati personali immessi per lo svolgimento di transazioni bancarie o di acquisti online con la tecnologia brevettata G DATA BankGuard. Con questa soluzione l’utente non dovrà più preoccuparsi dei pericoli più comuni

    Versioni e Prezzi:
    G DATA Antivirus per 1 PC: prezzo di listino raccomandato Euro 29,95
    G DATA Antivirus per 3 PC: prezzo di listino raccomandato Euro 36,95
    g_data_consumer_internet_security_boxshot_it_3d_4cProtezione avanzata: G DATA Internet Security

    G DATA Internet Security garantisce in modo affidabile la sicurezza del PC e dei dati personali con la migliore protezione contro virus, keylogger e trojan, nonché un potente firewall. Gli utenti di Internet sono ben protetti contro tutte le minacce – indipendentemente da quale attività svolgano online. Grazie al controllo genitoriale, anche i più giovani sono protetti efficacemente nelle vastità di Internet.

    Versioni e Prezzi:
    G DATA Internet Security per 1 PC: prezzo di listino raccomandato Euro 39,95
    G DATA Internet Security per 3 PC: prezzo di listino raccomandato Euro 49,95
    g_data_consumer_total_protection_boxshot_it_3d_4cProtezione integrale: G DATA Total Protection

    G DATA Total Protection protegge non solo i modo sicuro da virus, trojan e attacchi cibernetici ma, grazie a innumerevoli extra come la cifratura dei dati personali o il controllo affidabile degli apparecchi, protegge gli utenti da qualsiasi altra minaccia in modo assolutamente efficiente.

    Versioni e Prezzi:
    G DATA Total Protection per 1 PC: prezzo di listino raccomandato Euro 44,95
    G DATA Total Protection per 3 PC: prezzo di listino raccomandato Euro 54,95
    Le caratteristiche principali della nuova generazione della sicurezza firmata G DATA

    • La più moderna tecnologia G DATA CloseGap „made in Germany“ per una rilevazione efficace dei virus
    • Online-Banking e shopping in tutta sicurezza grazie a G DATA BankGuard
    • Protezione anti-exploit, impedisce lo sfruttamento delle vulnerabilità applicative
    • Novità: Password Manager di facile utilizzo, garantisce maggior tutela e controllo delle credenziali di accesso personali ai vari servizi online
    • Browser Cleaner contro le barre degli strumenti indesiderate e add-on in G DATA Total Protection
    • G DATA USB Keyboard Guard: protezione contro dispositivi USB che si fingono tastiera
    • Gestione individuale degli aggiornamenti: consente di evitare costi aggiuntivi su connessione UMTS o LTE
    • Protezione dai Keylogger in tempo reale, automatizzata e senza ricorso a signature, priva di impatto sulle prestazioni
    • Cloud-Backup su Dropbox o similari in aggiunta al back-up locale, nella versione G DATA Total Protection
    • Risparmia risorse grazie al fingerprinting e alla scansione in fase di inattività
    • Protezione di navigazione e email
    • Protezione minori: grande sicurezza per i più piccoli con il motore di ricerca per bambini integrato. Migliaia di siti internet classificati come rilevanti a livello pedagogico e adeguati all’età degli utenti
    • Incluse in G DATA Total Protection (oltre alle funzionalità del G DATA Internet Security): controllo sull’accesso a chiavette o dischi USB e altri apparecchi, cifratura e tuning del sistema
    • Firme virali aggiornate di continuo: nessuna possibilià per nuove minacce
    • CD di emergenza per ripulire sistemi infetti
    • Assistenza gratuita 24 ore al giorno per domande e problemi tecnici

    (altro…)

  • Il miglior antivirus per vecchi e lenti computer? Panda Cloud Free

    Il mondo del web è ogni giorno sotto attacco: virus, malware, spyware e quant’altro affollano la rete ed i navigatori devono avere sempre gli occhi aperti, stare molto attenti e sapersi difendere al meglio senza però compromettere la velocità e la stabilità del proprio computer o portatile. Nel tempo, tali insidie si son fatte sempre più subdole, difficili da riconoscere e da eliminare. A volte, non è addirittura sufficiente un solo programma per rimuovere o difendersi dagli attacchi.

    Ciò che andremo a suggerirvi oggi è un ottimo antivirus totalmente gratuito da poco aggiornatosi alla versione 2016. Se però pensi che il tuo computer sia ormai compromesso, scopri come rimuovere malware (quali istartsurf o delta homes) o virus di tutti i tipi grazie ai nostri tecnici specializzati in tutta Roma, anche a domicilio.

    Pur essendo strumenti fondamentali, gli antivirus hanno però un brutto rovescio della medaglia: rallentano sensibilmente il computer e le sue funzioni. Questo perché quest’ultimi lavorano il real time, ogni operazione effettuata viene accuratamente controllata ed analizzata dal programma antivirus e solo al termine del check questa verrà autorizzata. Se in presenza di un computer di ultima generazione questo fattore si avverte poco, in computer datati (4-5 anni) e magari malandati (con hard disk ai limiti delle loro capacità), questa lentezza può risultare molto più marcata tanto da esasperare l’utente.

    In questo articolo, vorremmo consigliarvi un ottimo antivirus, in versione completamente gratuita (ne è prevista anche una a pagamento con funzioni extra) che si comporta molto molto bene una volta installato su vecchie macchine. Giunto alla versione 2016, Panda Free Antivirus si riconferma leader nel settore vantando dalla sua 3 punti cardini: leggerezza, semplicità e sicurezza.

    Questo ottimo antivirus, si installa in pochi minuti e risulta compatibile con tutti i sistemi operativi Windows quali il vecchio Windows XP, Vista fino ad arrivare al nuovissimo Windows 10.
    Una volta installato, potrete tranquillamente dimenticarvi della sua presenza in quanto sarà operativo fin da subito e vi difenderà da tutti i virus e principali malware senza alcun intervento da parte dell’utente. Il suo motore di scansione basato sul cloud, permetterà inoltre di avere un database aggiornato al minuto contro le principali e nuove minacce che infestano la rete.

    Un consiglio che ci sentiamo di darvi, un passaggio quasi obbligato, una volta installato e testato il nuovo antivirus potrebbe essere quello di eseguire un’attenta pulizia ed ottimizzazione del computer ripulendo ogni traccia di vecchi virus o malware, verificare che tutti i programmi siano aggiornati all’ultima versione ed eseguire una pulizia approfondita del computer.

    Un ottimo programma per proteggere e corazzare al meglio il vostro computer dimenticandovi definitivamente del pericolo derivato dai virus. Buona navigazione a tutti!