Bad rabbit, il nuovo ransomware che attacca l’Europa

Un nuovo ransomware denominato Bad Rabbit è stato individuato nelle reti ucraine e russe, ma la sua diffusione si sta propagando anche in Europa. Come è noto un ransomware è un tipo di malware che cripta i dati presenti nel sistema che infetta, richiedendo un riscatto (ransom in Inglese)  per rimuovere la limitazione. Anche l’aeroporto di Odessa, in Ucraina, avrebbe subito martedì scorso cyberattacco.
bad rabbit
Come accennato, giungono segnalazioni di Bad Rabbit anche dalla Bulgaria, Giappone, Polonia, Corea del Sud e Stati Uniti. L’US-Cert ha lanciato un’allerta anche se non ha indicato ulteriori dettagli. Nello specifico, Bad Rabbit penetra in una rete aziendale nascosto all’interno di un falso programma di installazione di Adobe Flash Player veicolato via e-mail. L’avvio di questo falso programma di installazione provoca l’introduzione del ransomware all’interno del computer e della rete associata.
Dopo essersi impossessato del sistema e dei dispositivi collegati, Bad Rabbit fa apparire sullo schermo un messaggio in rosso su sfondo nero – una combinazione di colori già nota e utilizzata per il ransomware NotPetya. La richiesta di riscatto ordina alle vittime di loggarsi in un sito indicato e versare 0,05 Bitcoin (pari a circa 239 euro) come riscatto per ottenere la chiave di decriptazione. Gli esperti di sicurezza sconsigliano sempre di pagare il riscatto. Questo perché il pagamento incoraggia ulteriori attacchi, e perché non c’è alcuna garanzia che gli attaccanti rispettino la parola data e rimuovano il malware dal dispositivo.
Annunci

Enel, attenzione alle finte e-mail: virus negli allegati

Sono ormai numerose le segnalazioni di e-mail provenienti da un indirizzo che sembra riferito ad una società del gruppo Enel. È la stessa azienda a mettere in guardia i suoi clienti sui pericoli che si corrono aprendo gli allegati contenuti in queste false mail apparentemente provenienti da “Enel Energia” e dall’indirizzo “no_reply.enelenergia@enel.com” contenenti un file in grado di scaricare ed installare un malware.

Il malware sarebbe poi in grado di propagarsi ad eventuali dispositivi e sistemi interconnessi in rete, prendendone il controllo. “Queste e-mail”, conferma l’azienda, “non sono state inviate né da società del Gruppo Enel né da società da essa incaricate. Si tratta di un tentativo di raggiro simile a quelli più volte denunciati da altre aziende e istituti finanziari. Le procedure aziendali non prevedono in alcun caso la richiesta di fornire o verificare dati bancari e/o codici personali attraverso link esterni. Enel ha già informato le autorità competenti e richiesto la chiusura dei siti malevoli”.

La raccomandazione, quindi, è sempre la stessa: chiunque riceve e-mail sospette deve stenersi dal cliccare sui link riportati nel testo, evitando anche di scaricare e aprire eventuali allegati. Per verificare l’autenticità di eventuali mail è possibile rivolgersi ai Punti Enel presenti sul territorio o ai numeri verdi 800 900 800 per Enel Servizio Elettrico e 800 900 860 per Enel Energia.

McAfee: cosa ci possiamo aspettare dopo il recente attacco globale del ransomware Petya

L’episodio di attacco ransomware globale Petya di questi giorni è solo il più recente step nell’evoluzione del ransomware iniziato settimane fa con l’epidemia WannaCry.

Ma con Petya questa tipologia di attacchi ha fatto un vero e proprio balzo, dipingendo un quadro davvero allarmante di computer senza patch usate per infettare migliaia di macchine a sia protette sia non protette.

Ransomware inizialmente agiva infettando migliaia di singoli sistemi, uno alla volta, detenendoli in ostaggio per riscuotere un pagamento dai singoli utenti. L’impatto di tali campagne ransomware è sempre stato limitato perché la metodologia di distribuzione – le email di phishing – ha sempre impiegato parecchio tempo per raggiungere l’obiettivo.

WannaCry ha portato il ransomware a un nuovo livello, introducendo un worm sui computer tramite una particolare vulnerabilità.

L’epidemia di Petya di oggi si basa su questa tecnica basata sulla commistione tra worm e vulnerabilità, aggiungendo un nuovo ulteriore elemento che consente anche alle macchine non vulnerabili di essere infettate. Lo fa anche rubando credenziali dalle macchine infette, permettendo alle credenziali rubate di essere utilizzate per infettare macchine cui sono state correttamente applicate tutte le patch disponibili.

Questo approccio ibrido amplifica drasticamente l’impatto e la portata dell’attacco e minaccia le più grandi società del mondo con la prospettiva che le loro attività siano interrotte se una macchina è in grado di infettarne migliaia.

Siamo convinti che gli eventi di oggi siano parte dell’evoluzione naturale della tecnologia di ransomware, ma che siano anche un test per un attacco molto più grande e più audace in futuro.

Per prepararsi alla prossima generazione di attacchi di ransomware, è essenziale che le aziende applichino le patch a tutti i sistemi con determinazione contro le vulnerabilità note, creino un’architettura sicura che utilizzi tecnologie avanzate di difesa della sicurezza informatica ed eseguano un piano completo di backup dei dati per la loro organizzazione.

Fonte: Steve Grobman, CTO, McAfee LLC

Su Google Play spuntano malware Android

Tre app per Android distribuite su Google Play (ora rimosse da Google ma scaricate oltre dieci milioni di volte) contenevano codice malware in grado di attaccare i dispositivi di inconsapevoli utenti. Nello specifico si tratta di una versione del gioco di carte Durak, un test d’intelligenza e un’applicazione dedicata alla storia della Russia. L’allarme è stato lanciato da Filip Chytry sul blog di Avast, il noto software antivirus.
“Un paio di giorni fa – scrive Chytry – un utente ha pubblicato un commento sul nostro forum riguardante alcune applicazioni che ospitano adware distribuite su Google Play”. La notifica inizialmente non aveva destato una grossa preoccupazione, ma dopo una attenta analisi il problema in realtà si era rivelato più pesante del previsto.
Le app sono risultate infette da codice malevolo che può far apparire false notifiche di sistema. Una volta installate, infatti, tutto sembra procedere senza intoppi. Dopo un un certo numero di giorni, variabili da da una settimana ad un mese, i dispositivi iniziano ad avere dei problemi. Cominciano a materializzarsi annunci e avvisi indesiderati riferiti a non bene definite infezioni da malware, un mancato aggiornamento o qualche altro problema. Naturalmente si viene invitati a risolvere la complicazione attraverso un link da loro proposto e si viene indirizzati verso un sito contenente altro malware e app store non ufficiali, che tentano di inviare Sms ad alto costo dal telefono compromesso e rubare dati. Continua

CTB-Locker, il pericoloso malware che ricatta gli utenti

Si sta diffondendo in questi giorni, con una certa virulenza, una nuova variante del ransomware CTB-Locker, un malware che dopo aver infettato il sistema delle vittime cadute nella trappola, è in grado di crittografare i file del computer, tenendoli in “ostaggio” fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

ctb-locker-screenshot-600

La diffusione di CTB-Locker avviene attraverso la posta elettronica e l’infezione si attiva aprendo l’allegato contenuto in una e-mail contenente le informazioni su uno pseudo acquisto di materiale informatico.

Il file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione cab. Tale file è camuffato e potrebbe non essere visibile come “.exe”. Questo perchè i creatori del virus si sono basati sul fatto che i sistemi Windows non mostrano le estensioni dei file di default e in questo modo l’eseguibile potrebbe essere visualizzato come “.pdf”, ingannando gli utenti inducendoli ad aprirlo. Anche se tutti ormai dovrebbero saper diffidare dei messaggi di posta elettronica contenenti allegati non richiesti, purtroppo sono ancora troppi coloro che continuano ad aprire incautamente e di impulso gli allegati alle e-mail. Occorre ricordare e sottolineare, che i messaggi di posta elettronica contenenti malware sono frutto di tenciche di ingegneria sociale (dall’inglese social engineering) particolarmente subdole e in grado di trarre in inganno.

Una volta avviato l’allegato, il software si installa nella cartella “Documents and Settings” (o “Users“, nei sistemi Windows più recenti) con un nome a caso e inserisce una chiave nel registro affinchè si possa poi avviare automaticamente ad ogni accensione della macchina. Fatto ciò, tenta la connessione a uno dei server di controllo e una volta connesso riceverà una chiave RSA a 2048 bit, inserendola come chiave pubblica sul sistema. A questo punto …  (Continua la lettura)

Attenti ai falsi avvisi di consegna iPhone 5

La fantasia del crimine informatico è sempre fervida e non conosce ostacoli. L’enorme successo riscosso dal nuovo iPhone 5, per il quale Apple ha ricevuto 2 milioni di preordini in sole 24 ore, ha catalizzato l’interesse del cyber-crimine che ha pensato bene di sfruttare questa occasione per diffondere del codice malevolo via e-mail. 

Gli utenti che sono in attesa di ricvere il nuovo gioiello, che l’azienda inizierà a distribuire dal prossimo venerdi 21 settembre, potrebbero essere tentati di aprire con una certa leggerezza delle notifiche di preavviso della consegna provenienti da Ups e FedEx, i corrieri incaricati da Apple. Le comunicazioni ovviamente sono un falso e integrano, in allegato, un file htm con un link che dovrebbe comunicare le informazioni sullo stato dell’ordine. Niente di vero: indirizza verso una pagina appositamente realizzata che installa un trojan bancario nel PC tramite uno script nascosto.

 

La falsa e-mail di notifica

A darne notizia i Websense Security Labs. “Quando abbiamo controllato le email monitorate dal servizio Cloud Email Security di Websense, ci siamo accorti che erano state intercettate e bloccate oltre a 45.000 email simili. Le esche UPS/FedEx non sono una novità, ma di questi tempi – quando le persone stanno aspettando con impazienza un’email di questo tipo – è molto probabile che i destinatari abbasseranno le proprie difese ed eseguiranno il file allegato”, ha concluso Patrik Runald, Director Websense Security Labs.

“Possiamo notare – aggiunge il comunicato di Websense – che viene caricato un iframe da un dominio .UR, che è un sito Blackhole Exploit Kit che installa un trojan bancario nel PC”.

Il consiglio è uno solo: non abbassare la guardia e prestare sempre molta attenzione se si sta aspettando la notifica di consegna, è importante non aprire nessun allegato contenuto in questo tipo di e-mail.

Fonte PCSELF.COM

Grave falla di sicurezza per Internet Explorer

Internet Explorer è inciampato in un altro serio problema di sicurezza. Le versioni 7, 8 e 9 del browser Microsoft sono affette da una grave vulnerabilità “zero day” che può consentire l’esecuzione da remoto di codice nocivo su PC Windows, semplicemente visitando una pagina web appositamente predisposta. Internet Explorer 10 risulta immune dal problema.

Microsoft, preso atto della falla, sta lavorando per rilasciare un aggiornamento di sicurezza. Nel frattempo ha allertato gli utenti esortandoli a scaricare e installare un programma di sicurezza per arginare temporaneamente il pericolo e porre in essere alcuni accorgimenti per ridurre i rischi.

Ulteriori approfondimenti (in inglese)
Microsoft Security Advisory (2757760)

Fonte PCSELF.COM