Bad rabbit, il nuovo ransomware che attacca l’Europa

Un nuovo ransomware denominato Bad Rabbit è stato individuato nelle reti ucraine e russe, ma la sua diffusione si sta propagando anche in Europa. Come è noto un ransomware è un tipo di malware che cripta i dati presenti nel sistema che infetta, richiedendo un riscatto (ransom in Inglese)  per rimuovere la limitazione. Anche l’aeroporto di Odessa, in Ucraina, avrebbe subito martedì scorso cyberattacco.

Come accennato, giungono segnalazioni di Bad Rabbit anche dalla Bulgaria, Giappone, Polonia, Corea del Sud e Stati Uniti. L’US-Cert ha lanciato un’allerta anche se non ha indicato ulteriori dettagli. Nello specifico, Bad Rabbit penetra in una rete aziendale nascosto all’interno di un falso programma di installazione di Adobe Flash Player veicolato via e-mail. L’avvio di questo falso programma di installazione provoca l’introduzione del ransomware all’interno del computer e della rete associata.

Dopo essersi impossessato del sistema e dei dispositivi collegati, Bad Rabbit fa apparire sullo schermo un messaggio in rosso su sfondo nero – una combinazione di colori già nota e utilizzata per il ransomware NotPetya. La richiesta di riscatto ordina alle vittime di loggarsi in un sito indicato e versare 0,05 Bitcoin (pari a circa 239 euro) come riscatto per ottenere la chiave di decriptazione. Gli esperti di sicurezza sconsigliano sempre di pagare il riscatto. Questo perché il pagamento incoraggia ulteriori attacchi, e perché non c’è alcuna garanzia che gli attaccanti rispettino la parola data e rimuovano il malware dal dispositivo.

Fonte PCSelf.com

Enel, attenzione alle finte e-mail: virus negli allegati

Sono ormai numerose le segnalazioni di e-mail provenienti da un indirizzo che sembra riferito ad una società del gruppo Enel. È la stessa azienda a mettere in guardia i suoi clienti sui pericoli che si corrono aprendo gli allegati contenuti in queste false mail apparentemente provenienti da “Enel Energia” e dall’indirizzo “no_reply.enelenergia@enel.com” contenenti un file in grado di scaricare ed installare un malware.

Il malware sarebbe poi in grado di propagarsi ad eventuali dispositivi e sistemi interconnessi in rete, prendendone il controllo. “Queste e-mail”, conferma l’azienda, “non sono state inviate né da società del Gruppo Enel né da società da essa incaricate. Si tratta di un tentativo di raggiro simile a quelli più volte denunciati da altre aziende e istituti finanziari. Le procedure aziendali non prevedono in alcun caso la richiesta di fornire o verificare dati bancari e/o codici personali attraverso link esterni. Enel ha già informato le autorità competenti e richiesto la chiusura dei siti malevoli”.

La raccomandazione, quindi, è sempre la stessa: chiunque riceve e-mail sospette deve stenersi dal cliccare sui link riportati nel testo, evitando anche di scaricare e aprire eventuali allegati. Per verificare l’autenticità di eventuali mail è possibile rivolgersi ai Punti Enel presenti sul territorio o ai numeri verdi 800 900 800 per Enel Servizio Elettrico e 800 900 860 per Enel Energia.

McAfee: cosa ci possiamo aspettare dopo il recente attacco globale del ransomware Petya

L’episodio di attacco ransomware globale Petya di questi giorni è solo il più recente step nell’evoluzione del ransomware iniziato settimane fa con l’epidemia WannaCry.

Ma con Petya questa tipologia di attacchi ha fatto un vero e proprio balzo, dipingendo un quadro davvero allarmante di computer senza patch usate per infettare migliaia di macchine a sia protette sia non protette.

Ransomware inizialmente agiva infettando migliaia di singoli sistemi, uno alla volta, detenendoli in ostaggio per riscuotere un pagamento dai singoli utenti. L’impatto di tali campagne ransomware è sempre stato limitato perché la metodologia di distribuzione – le email di phishing – ha sempre impiegato parecchio tempo per raggiungere l’obiettivo.

WannaCry ha portato il ransomware a un nuovo livello, introducendo un worm sui computer tramite una particolare vulnerabilità.

L’epidemia di Petya di oggi si basa su questa tecnica basata sulla commistione tra worm e vulnerabilità, aggiungendo un nuovo ulteriore elemento che consente anche alle macchine non vulnerabili di essere infettate. Lo fa anche rubando credenziali dalle macchine infette, permettendo alle credenziali rubate di essere utilizzate per infettare macchine cui sono state correttamente applicate tutte le patch disponibili.

Questo approccio ibrido amplifica drasticamente l’impatto e la portata dell’attacco e minaccia le più grandi società del mondo con la prospettiva che le loro attività siano interrotte se una macchina è in grado di infettarne migliaia.

Siamo convinti che gli eventi di oggi siano parte dell’evoluzione naturale della tecnologia di ransomware, ma che siano anche un test per un attacco molto più grande e più audace in futuro.

Per prepararsi alla prossima generazione di attacchi di ransomware, è essenziale che le aziende applichino le patch a tutti i sistemi con determinazione contro le vulnerabilità note, creino un’architettura sicura che utilizzi tecnologie avanzate di difesa della sicurezza informatica ed eseguano un piano completo di backup dei dati per la loro organizzazione.

Fonte: Steve Grobman, CTO, McAfee LLC

Su Google Play spuntano malware Android

Tre app per Android distribuite su Google Play (ora rimosse da Google ma scaricate oltre dieci milioni di volte) contenevano codice malware in grado di attaccare i dispositivi di inconsapevoli utenti. Nello specifico si tratta di una versione del gioco di carte Durak, un test d’intelligenza e un’applicazione dedicata alla storia della Russia. L’allarme è stato lanciato da Filip Chytry sul blog di Avast, il noto software antivirus.

“Un paio di giorni fa – scrive Chytry – un utente ha pubblicato un commento sul nostro forum riguardante alcune applicazioni che ospitano adware distribuite su Google Play”. La notifica inizialmente non aveva destato una grossa preoccupazione, ma dopo una attenta analisi il problema in realtà si era rivelato più pesante del previsto.

Le app sono risultate infette da codice malevolo che può far apparire false notifiche di sistema. Una volta installate, infatti, tutto sembra procedere senza intoppi. Dopo un un certo numero di giorni, variabili da da una settimana ad un mese, i dispositivi iniziano ad avere dei problemi. Cominciano a materializzarsi annunci e avvisi indesiderati riferiti a non bene definite infezioni da malware, un mancato aggiornamento o qualche altro problema. Naturalmente si viene invitati a risolvere la complicazione attraverso un link da loro proposto e si viene indirizzati verso un sito contenente altro malware e app store non ufficiali, che tentano di inviare Sms ad alto costo dal telefono compromesso e rubare dati. Continua

CTB-Locker, il pericoloso malware che ricatta gli utenti

Si sta diffondendo in questi giorni, con una certa virulenza, una nuova variante del ransomware CTB-Locker, un malware che dopo aver infettato il sistema delle vittime cadute nella trappola, è in grado di crittografare i file del computer, tenendoli in “ostaggio” fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

La diffusione di CTB-Locker avviene attraverso la posta elettronica e l’infezione si attiva aprendo l’allegato contenuto in una e-mail contenente le informazioni su uno pseudo acquisto di materiale informatico.

Il file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione cab. Tale file è camuffato e potrebbe non essere visibile come “.exe”. Questo perchè i creatori del virus si sono basati sul fatto che i sistemi Windows non mostrano le estensioni dei file di default e in questo modo l’eseguibile potrebbe essere visualizzato come “.pdf”, ingannando gli utenti inducendoli ad aprirlo. Anche se tutti ormai dovrebbero saper diffidare dei messaggi di posta elettronica contenenti allegati non richiesti, purtroppo sono ancora troppi coloro che continuano ad aprire incautamente e di impulso gli allegati alle e-mail. Occorre ricordare e sottolineare, che i messaggi di posta elettronica contenenti malware sono frutto di tenciche di ingegneria sociale (dall’inglese social engineering) particolarmente subdole e in grado di trarre in inganno.

Una volta avviato l’allegato, il software si installa nella cartella “Documents and Settings” (o “Users“, nei sistemi Windows più recenti) con un nome a caso e inserisce una chiave nel registro affinchè si possa poi avviare automaticamente ad ogni accensione della macchina. Fatto ciò, tenta la connessione a uno dei server di controllo e una volta connesso riceverà una chiave RSA a 2048 bit, inserendola come chiave pubblica sul sistema. A questo punto …  (Continua la lettura)

Attenti ai falsi avvisi di consegna iPhone 5

La fantasia del crimine informatico è sempre fervida e non conosce ostacoli. L’enorme successo riscosso dal nuovo iPhone 5, per il quale Apple ha ricevuto 2 milioni di preordini in sole 24 ore, ha catalizzato l’interesse del cyber-crimine che ha pensato bene di sfruttare questa occasione per diffondere del codice malevolo via e-mail. 

Gli utenti che sono in attesa di ricvere il nuovo gioiello, che l’azienda inizierà a distribuire dal prossimo venerdi 21 settembre, potrebbero essere tentati di aprire con una certa leggerezza delle notifiche di preavviso della consegna provenienti da Ups e FedEx, i corrieri incaricati da Apple. Le comunicazioni ovviamente sono un falso e integrano, in allegato, un file htm con un link che dovrebbe comunicare le informazioni sullo stato dell’ordine. Niente di vero: indirizza verso una pagina appositamente realizzata che installa un trojan bancario nel PC tramite uno script nascosto.

 

La falsa e-mail di notifica

A darne notizia i Websense Security Labs. “Quando abbiamo controllato le email monitorate dal servizio Cloud Email Security di Websense, ci siamo accorti che erano state intercettate e bloccate oltre a 45.000 email simili. Le esche UPS/FedEx non sono una novità, ma di questi tempi – quando le persone stanno aspettando con impazienza un’email di questo tipo – è molto probabile che i destinatari abbasseranno le proprie difese ed eseguiranno il file allegato”, ha concluso Patrik Runald, Director Websense Security Labs.

“Possiamo notare – aggiunge il comunicato di Websense – che viene caricato un iframe da un dominio .UR, che è un sito Blackhole Exploit Kit che installa un trojan bancario nel PC”.

Il consiglio è uno solo: non abbassare la guardia e prestare sempre molta attenzione se si sta aspettando la notifica di consegna, è importante non aprire nessun allegato contenuto in questo tipo di e-mail.

Fonte PCSELF.COM

Grave falla di sicurezza per Internet Explorer

Internet Explorer è inciampato in un altro serio problema di sicurezza. Le versioni 7, 8 e 9 del browser Microsoft sono affette da una grave vulnerabilità “zero day” che può consentire l’esecuzione da remoto di codice nocivo su PC Windows, semplicemente visitando una pagina web appositamente predisposta. Internet Explorer 10 risulta immune dal problema.

Microsoft, preso atto della falla, sta lavorando per rilasciare un aggiornamento di sicurezza. Nel frattempo ha allertato gli utenti esortandoli a scaricare e installare un programma di sicurezza per arginare temporaneamente il pericolo e porre in essere alcuni accorgimenti per ridurre i rischi.

Ulteriori approfondimenti (in inglese)
Microsoft Security Advisory (2757760)

Fonte PCSELF.COM

Recensione Symantec Norton 360

Il noto software per la sicurezza informatica Symantec Norton 360 arriva allaversione 6.0. Con questo prodotto, che offre una protezione completa dalle minacce che da più parti tentano di attaccare il PC, Symantec offre uno strumento di sicurezza estremamente migliorato nelle prestazioni. La sua installazione è rapida e procede in modo fluido senza problemi. Il programma è in grado anche di rimuovere eventuali altri antivirus precedentemente installati sul computer.

Una volta avviato si presenta con un’interfaccia molto semplice, intuitiva e anche gradevole. Sono presenti una serie di pulsanti che consentono di accedere rapidamente a tutte le funzionalità offerte: Sicurezza PC, Informazioni personali, Backup, Ottimizzazione PC.

Il punto di forza di Symantec Norton 360 6.0 è naturalmente la protezione del sistema. Oltre a intercettare ed eliminare i virus, è in grado di alzare una barriera dalle minacce online, proteggendo l’utente dai furti di identità e dai keylogger, bloccando i siti di phishing e analizzando la bacheca di Facebook. Il sistema di protezione blocca i pericoli presenti nella rete neutralizzandoli prima ancora che possano raggiungere il computer per infettarlo. Non poteva ovviamente mancare la gestione di protezione minori che permette di controllare le attività online degli adolescenti tramite Norton Online Family, per proteggerli dai pericoli della rete. Questa funzionalità consente di acquisire informazioni su quali siti Web vengono visitati dai ragazzi, permettendo eventualmente il blocco di pagine web giudicate inappropriate.

Continua la lettura ed effettua il download su PCSELF.COM

Recensione Kaspersky PURE 2.0

Kaspersky PURE 2.0 è un pacchetto per la sicurezza informatica composto da un insieme di tool, con tutto il necessario per rendere sicuro il computer: l’identità dell’utente, le password, le foto, i dati riservati e finanziari. Semplice da usare, è nel contempo capace di garantire la massima protezione del PC. L’interfaccia utente è stata rivisitata rispetto alla versione precedente.

Kaspersky PURE 2.0 utilizza le nuove tecnologie cloud e i metodi di protezione proattiva, peraltro già usati in Kaspersky Internet Security 2012, che sono in grado di intervenire in modo molto rapido contro le crescenti minacce della rete. Lo stato di sicurezza del PC viene verificato già durante la fase di installazione, che procede molto fluida. Durante questa procedura vengono segnalate eventuali anomalie e forniti i suggerimenti sulle azioni da intraprendere.

La videata principale del programma offre una panoramica dello stato di protezione del sistema, mettendo in risalto con il colore rosso eventuali pericoli rilevati durante le scansioni o la navigazione. La funzionalità Home Network Control permette di gestire la sicurezza di tutta la rete domestica. Da un solo computer si può controllare il livello di protezione e aggiornare l’antivirus di tutti i computer connessi alla rete.

Il Password Manager offre il supporto a diversi account e permette quindi di assegnare a ciascun utente che accede al PC il proprio archivio delle password. La funzione consente di generare password complesse, di memorizzarle in modalità criptata e di accedere automaticamente a siti web e applicazioni. L’accesso al database delle credenziali di accesso avviene tramite una master password, un dispositivo Usb o attraverso un cellulare provvisto di Bluetooth.

Le caratteristiche di controllo di file, dati e siti web integrano Safe Run che crea un ambiente virtuale isolato per l’individuazione di programmi e siti web sospetti. In questo modo sarà possibile attivare un controllo prima di eseguirli o aprirli sul proprio sistema. Alla funzione System Watcher è invece delegato il compito di analizzare il comportamento dei programmi che sono in esecuzione sul PC. Se uno di questi attiva un’azione sospetta o nociva, viene immediatamente terminato e System Watcher si incarica di cancellare qualsiasi modifica effettuata sul sistema.

Kaspersky PURE 2.0 fa uso della nuova tecnologia File Advisor e, grazie al Kaspersky Security Network cloud-based, stabilisce se un file è sicuro prima che venga eseguito. Se è sospettato di svolgere azioni nocive, il suo comportamento viene aggiunto al database antivirus di Kaspersy Lab, in modo che altri programmi che manifestano azioni simili vengano bloccati.

La funzione Parental Control, migliorata è più intuitiva, permette di controllare l’attività online dei minori preservandoli dai pericoli. Il programma dispone anche della Virtual Keyboard, una tastiera a video gestibile con il mouse, in modo che i login e le password digitati per accedere ad account bancari oppure ai numeri di carte di credito, possano essere digitati senza timore che qualche keylogger li possa intercettare.

PURE 2.0 dispone anche delle funzionalità di backup e ripristino dei dati. Non mancano le funzioni per eliminare definitivamente le tracce della propria attività online, con la cancellazione della cronologia di siti web visitati, cookie, file temporanei e così via. Il componente File Shredder multi pass cancella in modo irreversibile ogni tipo di dato riservato, evitando così che possa cadere sotto scguardi indiscreti.

Kaspersky PURE 2.0 è un ottimo programma, semplice da utilizzare, che mette a disposizione una estesa gamma di strumenti dedicati a proteggere il computer è l’utente da qualsiasi minaccia.

Requisiti per tutte le installazioni

Circa 600 MB di spazio libero sul disco rigido (in base alle dimensioni del database antivirus)
Unità CD-ROM: per l’installazione di Kaspersky PURE 2.0 da CD
Mouse o altro dispositivo di puntamento appropriato
Connessione Internet: per l’attivazione di Kaspersky PURE 2.0
Microsoft Internet Explorer 6.0 o versione successiva
Microsoft Windows Installer 2.0

Sono previste le seguenti restrizioni per tutti i sistemi operativi x64:

Password Manager non è disponibile per le applicazioni a 64 bit sui sistemi operativi x64.
La modalità Desktop Protetto non è disponibile sui sistemi operativi x64.
La Modalità Protetta per il Web e la Modalità Protetta per le Applicazioni non sono disponibili su Microsoft Windows XP x64.
La Modalità Protetta per il Web e la Modalità Protetta per le Applicazioni funzionano con limitazioni su Microsoft Windows Vista x64 e Microsoft Windows 7 x64 (le applicazioni in esecuzione non possono creare oggetti COM).
Netbook

Requisiti hardware:

Intel Atom 1,6 GHz (Z520) o compatibile
1 GB di RAM DDR2 disponibile
Adattatore video: Intel GMA950 con almeno 64 MB di memoria o compatibile
Dimensioni schermo: 10,1″, con risoluzione 1024×600 o superiore

Continua la lettura ed effettua il download su PCSELF.COM

Sulla pista di Flame

Si sente tanto parlare di Flame, l’ultimo allarmante malware progettato per lo spionaggio industriale, associato ai giganti Stunex e Duqu. Ma è davvero così complesso e sofisticato come, di primo acchito, sembrerebbe?

I G Data SecurityLabs l’hanno passato al setaccio giungendo alla conclusione che Flame è sicuramente un malware complesso ma non del tutto innovativo. Le tecniche utilizzate, infatti, sono quelle di occultamento, spionaggio e furto dei dati, tutte funzionalità già note ai programmi maligni. Il parassita si insinua all’interno dei certificati di Windows attraverso meccanismi raffinati arrivando a diffondersi anche in rete.

La diffusione di Flame a livello globale

Gli esperti di sicurezza G Data hanno scoperto che Flame spia i dati e li invia a server esterni concentrandosi su diversi tipi d’informazione:

• dettagli su sistema operativo infetto, indirizzo IP, struttura della rete e i tipi di connessione;
• estratti di conversazioni effettuate tramite il microfono incorporato nel PC;
• accesso al disco rigido e, quindi, a tutti i dati;
• controllo dello scambio dati all’interno della rete;
• screenshot del desktop;
• accesso alla connessione bluetooth per rintracciare i dispositivi collegati nelle vicinanze.

Le informazioni raccolte vengono inviate ai criminali informatici che le utilizzano, naturalmente, per trarne profitto, anche se non è ancora del tutto chiaro chi stia dietro al grande Flame. Gli utenti che utilizzano le soluzioni G Data sono al sicuro rispetto a Flame. Per notizie più approfondite è possibile consultare il SecurityBlog G Data.