Tag: malware

Uno spartiacque per la cyber-assicurazione (con un pagamento di 1,4 miliardi di dollari!)

Ciao ragazzi e ragazze!

È passato un po’ di tempo dalla mia ultima puntata di iNews, ossia, oh-oh cyber-news, ossia, cyber-racconti dal lato oscuro, quindi eccomi a ravvivare la serie, torno in pista con i punti salienti delle cyber-meraviglie di cui potreste non aver sentito parlare dalle vostre solite fonti di notizie…

In questa puntata, vi porto solo un articolo di iNews per voi, ma è abbastanza: un articolo in più avrebbe potuto annacquare il significato di questo (e non sarebbe appropriato essendoci ‘spartiacque’ nel titolo:).

Brevemente sulle iNews: dopo un lungo procedimento legale negli Stati Uniti, un tribunale si è pronunciato a favore della grande azienda farmaceutica Merck contro il suo assicuratore per un pagamento di 1,4 miliardi di dollari (!!) per coprire i danni che Merck ha subito per le mani sporche di NotPetya (alias ExPetr o semplicemente Petya) nel 2017.

Torniamo velocemente indietro al 2017…

Nel giugno di quell’anno, all’improvviso un worm crittografico particolarmente cattivo e tecnologicamente avanzato, NotPetya, è apparso e si è diffuso a macchia d’olio. Inizialmente ha preso di mira l’Ucraina, dove ha attaccato le vittime attraverso un popolare software di contabilità, colpendo banche, siti governativi, l’aeroporto di Kharkov, i sistemi di monitoraggio della centrale nucleare di Chernobyl (!!!), e così via. In seguito, l’epidemia si è diffusa in Russia, e poi in tutto il mondo. Molte fonti autorevoli ritengono che NotPetya sia stato il più distruttivo attacco informatico di sempre. Il che sembra giusto se si conta il numero di aziende attaccate (dozzine delle quali hanno perso centinaia di milioni di dollari ciascuna), mentre il danno complessivo all’economia mondiale è stato stimato in almeno 10 miliardi di dollari!

Una delle vittime più notevoli del cyberattacco globale è stato il gigante farmaceutico statunitense Merck. È stato riferito che 15.000 dei suoi computer sono stati colpiti entro 90 secondi (!) dall’inizio dell’infezione, mentre il suo centro dati di backup (che era collegato alla rete principale), è stato perso quasi istantaneamente.

Alla fine dell’attacco Merck aveva perso circa 30.000 workstation e 7.500 server. Ci sono voluti mesi per ripulire l’attacco, ed un costo di ~1,4 miliardi di dollari. Merck ha anche dovuto prendere in prestito vaccini da fonti esterne per una somma di 250 milioni di dollari a causa delle interruzioni causate alle sue operazioni di produzione.

Ok, sto andando fuori strada. Ora la parte più succosa…
Continua a leggere:Uno spartiacque per la cyber-assicurazione (con un pagamento di 1,4 miliardi di dollari!)

Ramsom: pagare o non pagare? Questo è il dilemma

A volte, leggendo un articolo su cosa fare in caso di un attacco ransomware, mi imbatto in questo consiglio: “Considerate l’opzione di pagare il riscatto”. Nel momento in cui lo leggo, faccio un respiro profondo, poi sospiro contrariato… e chiudo la scheda del browser. Perché? Non si dovrebbe mai pagare il riscatto richiesto dagli estorsori! E non solo perché significherebbe sostenere un’attività criminale. Chiaramente ci sono altri motivi, lasciatemi spiegare quali.

Primo punto: state promuovendo il malware

Continua a leggere:Ramsom: pagare o non pagare? Questo è il dilemma

Foto di Flickr

  • Yakutsk - Tiksi - Yakutsk
  • Yakutsk - Tiksi - Yakutsk
  • Yakutsk - Tiksi - Yakutsk
  • Yakutsk - Tiksi - Yakutsk

Instagram Photostream

Giocare a nascondino con i malware fileless

Il codice dannoso… si insinua ovunque…

È un po’ come un gas, che riempirà sempre lo spazio in cui si trova, anche se una differenza c’è: il codice dannoso passerà sempre attraverso i “buchi” (le vulnerabilità) di un sistema informatico. Quindi il nostro lavoro (anzi, uno di questi) è trovare tali falle e chiuderle. Il nostro obiettivo è di farlo in modo proattivo, cioè prima che il malware scopra queste falle. E se ci riesce, siamo lì pronti ad acciuffarlo.

Di fatto, è questa protezione proattiva e la capacità di prevedere le azioni dei cybercriminali e di creare una barriera in anticipo che fa la differenza tra una cybersecurity di qualità e altamente tecnologica dal marketing di paccottiglia.

Oggi voglio parlarvi di un altro modo in cui la nostra protezione proattiva protegge da un tipo di malware, particolarmente astuto. Sì, voglio parlarvi del cosiddetto codice dannoso fileless (o bodiless, senza corpo), un tipo pericoloso di malware-fantasma che ha imparato a usare i difetti dell’architettura di Windows per infettare i computer. E voglio parlarvi anche della nostra tecnologia brevettata che combatte questa particolare cyber-malattia. Lo farò proprio come piace a voi: spiegando problemi complessi in modo semplice, senza nascondere nulla ma in modo avvicente, una sorta di cyber-thriller con elementi di suspense.

Prima di tutto, cosa indica il termine fileless?

Ebbene, il codice fileless, una volta entrato in un sistema informatico, non crea copie di sé stesso sotto forma di file su disco e, in questo modo, evita di essere individuato dalle tecniche tradizionali, utilizzando ad esempio un monitor antivirus.

Come può esistere un tale “malware fantasma” all’interno di un sistema? In realtà, risiede nella memoria di processi affidabili! Ah, sì. Proprio così.

Su Windows (in realtà, non solo Windows), è sempre esistita la possibilità di eseguire un codice dinamico che, in particolare, viene utilizzato per il compilatore just-in-time; cioè, il codice del programma viene trasformato in linguaggio macchina non subito, ma quando è necessario e nel modo in cui è necessario. Questo approccio aumenta la velocità di esecuzione per alcune applicazioni. E per supportare questa funzionalità, Windows permette alle applicazioni di inserire il codice nella memoria del processo (o anche in un’altra memoria di un processo affidabile) e di eseguirlo.

Non è una grande idea dal punto di vista della sicurezza, ma cosa si può fare? Da decenni milioni di applicazioni eseguite su Java, .NET, PHP, Python e altri linguaggi e per altre piattaforme funzionano in questo modo.

Come era facile prevedere, i cybercriminali hanno approfittato della possibilità di utilizzare il codice dinamico, inventando vari metodi per utilizarlo per i propri scopi. E uno dei metodi più comodi e quindi più diffusi è la cosiddetta Reflective PE injection. Che cosa? Lasciate che vi spieghi (in realtà, è un argomento piuttosto interessante, quindi abbiate pazienza)…

Lanciare un’applicazione cliccando su un’icona, un’operazione abbastanza semplice e diretta, giusto? Sembra semplice, ma in realtà, dietro ci sono tante operazioni in ballo: viene richiamato un loader di sistema, che prende il rispettivo file dal disco, lo carica in memoria e lo esegue. E questo processo standard è controllato dai monitor antivirus, che controllano al volo la sicurezza dell’applicazione.

Ora, quando c’è un “riflesso”, il codice viene caricato bypassando il loader del sistema (e quindi anche il monitor antivirus). Il codice viene posto direttamente nella memoria di un processo affidabile, creando un “riflesso” del modulo eseguibile originale. Tale riflesso può essere eseguito come un modulo reale caricato con un metodo standard, ma non è registrato nella lista dei moduli e, come detto sopra, non ha un file sul disco.

Inoltre, a differenza di altre tecniche di iniezione del codice (per esempio, tramite shellcode), le reflected injection consentono di creare un codice funzionalmente avanzato in linguaggi di programmazione ad alto livello e framework di sviluppo standard con quasi nessuna limitazione. Quindi quello che si ottiene è: (i) nessun file, (ii) l’occultamento dietro un processo affidabile, (iii) l’invisibilità alle tradizionali tecnologie di protezione e (iv) via libera per causare un po’ di caos.

Quindi, naturalmente, le reflected injection hanno avuto un grande successo tra gli sviluppatori di codici dannosi: all’inizio apparivano in pacchetti di exploit, poi sono entrati in gioco le cyberspie (per esempio, Lazarus e Turla), i cybercriminali avanzati (perché è un modo utile e legittimo di eseguire un codice complesso!) e infine anche i cybercriminali di poco conto.

Ora, dall’altra parte della barricata, trovare una tale infezione fileless non è una passeggiata nel cyber-parco. Quindi non c’è da stupirsi che la maggior parte dei vendor di sicurezza informatica non sia troppo esperta. Alcune riescono a malapena a individuare il problema.

Continua a leggere:Giocare a nascondino con i malware fileless

Notizie dal mondo informatico (in lockdown): 92 marzo 2020

La maggior parte della gente in tutto il mondo è in lockdown da circa tre mesi! E sempre in questi ultimi tre mesi sono sicuro che vi avranno menzionato un famoso film di qualche tempo fa, ma ecco la nuova versione: Ricomincio da capo non è più un film divertente! Poi c’è la questione tempo metereologico “accidenti se fa bello, accidenti se fa freddo”: se il tempo è umido e invernale, tutti sono depressi (oltre al lockdown); se, invece il tempo diventa bello, secco ed estivo, tutti sono depressi perché non si può uscire!

Eppure, credo che forse sia una consolazione che la maggior parte di noi stia vivendo in casa la stessa esperienza. Può darsi. Ma siamo comunque noi, persone buone e con una vita normale. E i cybercriminali? Come se la stanno cavando rinchiusi in casa? Beh, l’altra settimana vi ho dato alcune statistiche e tendenze in merito. Oggi voglio continuare con un aggiornamento, perché, sì, i cybercriminali si muovono in fretta. // Oh, e comunque – se siete interessati ad altre notizie dal lato oscuro, alias I-news, date un’occhiata a questa tag d’archivio.

Prima di tutto, qualche dato in più, dati aggiornati e rassicuranti.

Marzo, e poi ancora di più, aprile, ha visto grandi balzi nell’attività criminale informatica generale; tuttavia, maggio ha poi visto un brusco calo, fino a ritornare ai livelli pre-coronavirus di gennaio-febbraio:

Continua a leggere:Notizie dal mondo informatico (in lockdown): 92 marzo 2020

Le minacce informatiche nel mondo durante la pandemia

Tra le domande che mi vengono poste in questi tempi difficili, una delle più frequenti è come sia cambiata la situazione delle minacce informatiche per via del coronavirus e in che modo la sicurezza informatica sia stata influenzata in generale dal passaggio in massa allo smart working (purtroppo c’è anche chi è rimasto senza lavoro e che si ritrova a rimanere a casa anche per questo motivo). Nello specifico, quali nuovi e astuti trucchi hanno escogitato i cybercriminali e cosa bisogna fare per difendersi?

Permettetemi di riassumere il tutto in questo post…

Come sempre i criminali in generale, compresi i criminali informatici, monitorano attentamente la situazione e poi si adattano alle condizioni in continuo mutamento, in modo da massimizzare i loro introiti. Così, quando la maggior parte del mondo passa improvvisamente a un regime di permanenza in casa praticamente totale (lavoro da casa, intrattenimento domestico, shopping online, interazione sociale e quant’altro tutto da casa) i cybercriminali modificano le proprie tattiche.

Ora, per quanto riguarda i cybercriminali, il fenomeno principale di cui si sono accorti è che, per via del lockdown, è aumentato notevolmente il tempo trascorso su Internet. Ciò significa per loro avere a disposizione una “superficie d’attacco” generale più ampia per portare a termine i propri intenti criminali.

In particolare, molte persone che ora lavorano da casa, ahimè, non dispongono di una protezione informatica affidabile e di qualità, protezione che i datori di lavoro avrebbero dovuto fornire. Ciò significa che ora ci sono più opportunità per i cybercriminali di hackerare le reti aziendali alle quali si collegano i dipendenti, occasioni vantaggiose per portare a termine con successo i propri stratagemmi criminali.

I cybercriminali, ovviamente, non vogliono lasciarsi scappare nessuna di queste occasioni. A dimostrarlo c’è il forte aumento degli attacchi di forza bruta ai server dei database e agli RDP (servizi che permette, ad esempio, a un dipendente di avere pieno accesso da remoto al suo computer di lavoro, ai file etc.).

Continua a leggere:Le minacce informatiche nel mondo durante la pandemia

Cyber-notizie : Se Aramco avesse il nostro Antidrone…; e honeypot per combattere i malware dell’Internet delle Cose

Ciao amici!

Recentemente c’è stata una cyber-notizia dal lato oscuro di proporzioni gigantesche. Ne avrete sicuramente sentito parlare, visto che è stata su tutti i notiziari per giorni. Si tratta dell’attacco del drone all’Aramco saudita che ha fatto fuori milioni di barili di greggio al giorno e ha causato centinaia di milioni di dollari di danni.

Purtroppo, temo che questo sia solo l’inizio. Ricordate quei droni che hanno creato il caos a Heathrow qualche tempo fa? O era Gatwick?

Beh, si tratta di una progressione naturale di eventi. Ce ne saranno sicuramente altri. In Arabia Saudita, gli Houthis hanno rivendicato la responsabilità, ma sia i sauditi, sia gli Stati Uniti incolpano l’Iran, e l’Iran nega di essere responsabile. In breve, la solita dimostrazione di forza in Medio Oriente. Ma non è di questo che voglio parlare qui, si tratta di geopolitica, e noi non ne facciamo. No, quello di cui voglio parlare è che mentre si continua a puntare il dito, nel frattempo abbiamo trovato una soluzione per fermare attacchi di droni come quello di Aramco. Quindi, signore e signori, presento al mondo…il nostro nuovo Antidrone!

Allora, come funziona?

Il dispositivo elabora le coordinate di un oggetto in movimento, una rete neurale determina se si tratta di un drone e, se lo è, blocca la connessione tra esso e il suo telecomando. Come risultato, il drone o ritorna alla base o atterra immediatamente quando viene intercettato. Il sistema può essere fisso o mobile, ad esempio per l’installazione su un’automobile.

L’obiettivo principale del nostro antidrone è la protezione di infrastrutture di importanza elevata, come aeroporti, oggetti industriali e altre proprietà. L’incidente della saudita Aramco ha evidenziato quanto sia urgente e necessaria questa tecnologia per prevenire casi simili, e lo diventerà ancora di più: nel 2018 si calcolava che il mercato mondiale dei droni fosse di 14 miliardi di dollari; nel 2024 si prevede che sarà di 43 miliardi di dollari!

È evidente, quindi, che il mercato della protezione contro i droni impiegati per scopi dannosi crescerà molto (troppo) velocemente. Tuttavia, al momento, la nostra soluzione Antidrone è l’unica sul mercato russo in grado di rilevare oggetti tramite video utilizzando reti neurali, ed è il primo al mondo ad utilizzare la scansione laser per rintracciare la posizione dei droni.

Continua a leggere:Cyber-notizie : Se Aramco avesse il nostro Antidrone…; e honeypot per combattere i malware dell’Internet delle Cose

Se mi avessero dato un dollaro per tutte le volte che mi hanno fatto questa domanda…

Ciao gente!

Riuscite a immaginare quale sia la domanda più ricorrente durante le interviste e le conferenze stampa?

È iniziato tutto negli anni 90, ed è diventata subito la domanda più temuta, che mi faceva venire voglia di alzare gli occhi al cielo (ho resistito alla tentazione). Poi, dopo qualche anno, ho deciso semplicemente di accettarne l’inevitabilità e ho iniziato a improvvisare un po’ e ad aggiungere più dettagli alle mie risposte. E ancora oggi, anche se le mie risposte sono state pubblicate e trasmesse dai mass media di tutto il mondo, anche più di una volta, mi viene ancora chiesto più e più volte, ancora e ancora. Ultimamente, però, è come se avessi chiuso il cerchio: quando me lo chiedono mi piace ricordare quei giorni lontani!

Allora? Avete già capito?

La domanda è: “Qual è stato il primo virus che hai scoperto?” (e altre domande relative ad esso, come quando l’ho trovato, come ho curato il computer che aveva infettato, ecc.).

È chiaramente una domanda importante, dal momento che se non fosse stato per aver infettato il mio computer tanti anni fa potrei non aver fatto un cambiamento di carriera così drastico; non avrei creato il miglior antivirus del mondo, non avrei fondato una delle migliori aziende private di cybersicurezza, e molto altro ancora. Quindi sì, il virus ha giocato un ruolo importante. Quel virus è stato il precursore di tutto quello che è successo dopo: miliardi di “discendenti”, e poi, cybercrimine, cyberguerra, cyberspionaggio e tutti quei cyber bad boys dietro tutto ciò, in tutti gli angoli del pianeta.

In ogni caso, qual è la risposta?

Il nome del virus è Cascade.

Continua a leggere:Se mi avessero dato un dollaro per tutte le volte che mi hanno fatto questa domanda…

Cyber-notizie dal lato oscuro: cyber-ipocrisia, Mirai, spionaggio del governo britannico e tutto sulla vulnerabilità BlueKeep

Ciao a tutti!

Iniziamo con una buona notizia…

“Protezione Kaspersky: la più testata, la più premiata”. Ancora una volta.

Di recente il rinomato laboratorio di test indipendenti AV-Comparatives ha pubblicato i risultati del suo sondaggio annuale. Effettuato a fine 2018, il sondaggio ha coinvolto 3 mila intervistati in tutto il mondo. Tra le 19 domande c’era la seguente: “Quale soluzione di sicurezza anti-malware utilizzi per il tuo computer di casa?”. Indovinate qual è stata l’azienda a essere indicata nella maggior parte delle risposte degli utenti in Europa, Asia e Sud/Centro America? Ebbene sì, Kaspersky! In America del nord siamo arrivati secondi (sono sicuro che si tratta di un secondo posto temporaneo). Inoltre, in Europa siamo la soluzione di sicurezza più utilizzata sugli smartphone e siamo anche la prima azienda per la quale gli utenti chiedono più spesso un test dei prodotti, sia per quanto riguarda gli utenti privati, sia per i prodotti antivirus dedicati alle aziende. Bellissimo! Ci piacciono i test e, a giudicare dai risultati eccellenti che otteniamo, capirete certo perché! Qui troverete maggiori informazioni sui test indipendenti e le recensioni dei nostri prodotti.

“Ipocrita, togli prima la trave dal tuo occhio e poi ci vedrai bene per togliere la pagliuzza dall’occhio del tuo fratello”.
– Matteo 7 5

A maggio scorso, è stata scoperta un’altra backdoor dalle funzionalità daaaavvero utili per lo spionaggio. In quale azienda tecnologica è stata trovata la backdoor? È russa, cinese? Beh, in realtà si tratta di Cisco (di nuovo!). C’è stato grosso scalpore sui mezzi d’informazione? Titoli su titoli in prima pagina e dibattiti sulle minacce alla sicurezza nazionale? Si è parlato di voler vietare le sue soluzioni al di fuori degli Stati Uniti etc.? Vi siete persi tutto ciò, vero? E nel frattempo, non solo il linciaggio di Huawei a livello internazionale continua, ma continua senza che ci siano backdoor o prove di alcun tipo.

fuente

Continua a leggere:Cyber-notizie dal lato oscuro: cyber-ipocrisia, Mirai, spionaggio del governo britannico e tutto sulla vulnerabilità BlueKeep

Cyber-notizie dal lato oscuro – Versione SAS 2019

Ciao a tutti!

Eccoci a una nuova pubblicazione della mia serie iNews, ovvero le cyber-notizie dal lato oscuro, anche se stavolta mi concentrerò sulle presentazioni a cui ho assistito durante il Security Analyst Summit che si è tenuto il mese scorso a Singapore.

Un tratto distintivo del SAS ha a che fare con le presentazioni tenute dagli esperti. A differenza delle altre conferenze geopoliticamente corrette, al SAS gli analisti condividono sul palco le loro scoperte inerenti a qualsiasi minaccia informatica, indipendentemente da dove provengano, perché seguono dei princìpi. I malware rimangono malware e gli utenti devono essere protetti da tutti le minacce, senza considerare le buone intenzioni dichiarate da coloro che li hanno creati. Non va mai dimenticato l’effetto boomerang.

E se certi mezzi d’informazione mentono spudoratamente in risposta a questa nostra posizione di principio, che continuino a farlo. E attaccano non solo i nostri princìpi, dal momento che mettiamo sempre in pratica ciò che predichiamo, e quando si tratta del numero di operazioni di cyberspionaggio risolte, non c’è competenza che tenga. Ma soprattutto non abbiamo intenzione di cambiare il nostro atteggiamento a scapito degli utenti.

Ecco un breve riassunto delle ricerche più cool che hanno presentato i nostri esperti al SAS. Le ricerche più interessanti, più scioccanti, più spaventose, più incredibili…

1. TajMahal

L’anno scorso, abbiamo scoperto un attacco a un’organizzazione diplomatica dell’Asia centrale. Ovviamente non deve sorprendere che un’organizzazione di questo tipo susciti l’interesse dei cybercriminali. I sistemi informatici di ambasciate, consolati e missioni diplomatiche sono sempre stati allettanti per gli altri stati e le loro agenzie di spionaggio, o anche per quelle persone dagli scopi poco trasparenti con le capacità tecniche e i mezzi economici necessari a disposizione. Dopotutto abbiamo letto i romanzi di spionaggio. Ma c’è una novità: è stato costruito un vero “TajMahal” per perpetrare degli attacchi, ovvero una piattaforma APT con tutta una serie di plugin (fino a ora, non avevamo mai visto tanti plugin utilizzati in una sola piattaforma APT), tool ideali per scenari di attacco di ogni tipo.

Continua a leggere:Cyber-notizie dal lato oscuro – Versione SAS 2019

Notizie in chiaroscuro dal mondo informatico

Ciao a tutti!

Abbiamo in serbo per voi alcune notizie di sicurezza informatica piuttosto sorprendenti. La prima della lista preoccupa un po’ e riguarda un piccolo dispositivo piuttosto diffuso e che in molti non ne possono fare a meno e devono averlo sempre a portata di mano (anche a letto o in bagno). L’ultima, invece, è una storia positiva e incoraggiante che riguarda le donne nel settore IT. Iniziamo dalle brutte notizie…

Non entrate nel club delle vittime di Asacub

Oggi come oggi, gli utenti affidano ai propri smartphone (di fiducia?) tutta una serie di informazioni di grande importanza (dati bancari, di lavoro, documenti personali, messaggi che dovrebbero essere visti solo da pochissime persone etc etc.). Sicuramente siete già al corrente di questa situazione e probabilmente fate parte di questo esteso gruppo di persone. Se è questo il caso, vi consigliamo di leggere attentamente quanto segue…

A fine agosto è stato registrato un importante incremento nella diffusione del Trojan Android Asacub, che sfrutta quella debolezza peculiare dell’essere umano che si chiama curiosità. Il Trojan invia un messaggio di testo del tipo: “Hey Mario, dovresti proprio vergognarti + link”, oppure “Mario, abbiamo ricevuto un MMS da Carlo che ti riguarda + link”. Mario inizia a domandarsi di cosa si tratti, la curiosità cresce, vuole sapere cosa c’è nella foto, clicca sul link e scarica (volontariamente!) un’applicazione… che accede alla sua rubrica i cui contatti, a loro volta, riceveranno lo stesso messaggio o uno simile.

Ma non finisce qui. Il malware, ad esempio, può leggere i messaggi in arrivo e mandare il loro contenuto agli hacker che lo hanno creato o a un numero di telefono prescelto. La capacità di intercettare e inviare messaggi fa sì che i creatori del Trojan, tra le varie cose, possano trasferire denaro dal conto bancario della vittima, se la carta di credito è collegata al numero di telefono. Come se non bastasse, la vittima riceverà un “bonus”: una bolletta telefonica salatissima per l’invio in massa di messaggi a tutta la rubrica (a sua insaputa).

Come proteggervi da questi malware mobile così preoccupanti?

Ecco qualche consiglio:

  • Non cliccate mai su link sospetti;
  • Verificate attentamente le autorizzazioni richieste dall’applicazione che vorreste installare (ad esempio, accesso a microfono, videocamera, posizione etc.);
  • Ultimo ma non meno importante (e il passo più semplice da fare): installate una protezione affidabile sul vostro dispositivo Android.

Android? Sento già un enorme sospiro di sollievo provenire da molti di voi: “Aaaaaah, ma io per fortuna ho un iPhone!”

Prestate molta attenzione a quanto vi dico, cari amanti del mondo Apple: ecco un paio di link anche per voi (non preoccupatevi, su questi sì che potete cliccare, ve lo assicuro):

Continua a leggere:Notizie in chiaroscuro dal mondo informatico