Bad rabbit, il nuovo ransomware che attacca l’Europa

Un nuovo ransomware denominato Bad Rabbit è stato individuato nelle reti ucraine e russe, ma la sua diffusione si sta propagando anche in Europa. Come è noto un ransomware è un tipo di malware che cripta i dati presenti nel sistema che infetta, richiedendo un riscatto (ransom in Inglese)  per rimuovere la limitazione. Anche l’aeroporto di Odessa, in Ucraina, avrebbe subito martedì scorso cyberattacco.
bad rabbit
Come accennato, giungono segnalazioni di Bad Rabbit anche dalla Bulgaria, Giappone, Polonia, Corea del Sud e Stati Uniti. L’US-Cert ha lanciato un’allerta anche se non ha indicato ulteriori dettagli. Nello specifico, Bad Rabbit penetra in una rete aziendale nascosto all’interno di un falso programma di installazione di Adobe Flash Player veicolato via e-mail. L’avvio di questo falso programma di installazione provoca l’introduzione del ransomware all’interno del computer e della rete associata.
Dopo essersi impossessato del sistema e dei dispositivi collegati, Bad Rabbit fa apparire sullo schermo un messaggio in rosso su sfondo nero – una combinazione di colori già nota e utilizzata per il ransomware NotPetya. La richiesta di riscatto ordina alle vittime di loggarsi in un sito indicato e versare 0,05 Bitcoin (pari a circa 239 euro) come riscatto per ottenere la chiave di decriptazione. Gli esperti di sicurezza sconsigliano sempre di pagare il riscatto. Questo perché il pagamento incoraggia ulteriori attacchi, e perché non c’è alcuna garanzia che gli attaccanti rispettino la parola data e rimuovano il malware dal dispositivo.
Annunci

CTB-Locker, il pericoloso malware che ricatta gli utenti

Si sta diffondendo in questi giorni, con una certa virulenza, una nuova variante del ransomware CTB-Locker, un malware che dopo aver infettato il sistema delle vittime cadute nella trappola, è in grado di crittografare i file del computer, tenendoli in “ostaggio” fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

ctb-locker-screenshot-600

La diffusione di CTB-Locker avviene attraverso la posta elettronica e l’infezione si attiva aprendo l’allegato contenuto in una e-mail contenente le informazioni su uno pseudo acquisto di materiale informatico.

Il file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione cab. Tale file è camuffato e potrebbe non essere visibile come “.exe”. Questo perchè i creatori del virus si sono basati sul fatto che i sistemi Windows non mostrano le estensioni dei file di default e in questo modo l’eseguibile potrebbe essere visualizzato come “.pdf”, ingannando gli utenti inducendoli ad aprirlo. Anche se tutti ormai dovrebbero saper diffidare dei messaggi di posta elettronica contenenti allegati non richiesti, purtroppo sono ancora troppi coloro che continuano ad aprire incautamente e di impulso gli allegati alle e-mail. Occorre ricordare e sottolineare, che i messaggi di posta elettronica contenenti malware sono frutto di tenciche di ingegneria sociale (dall’inglese social engineering) particolarmente subdole e in grado di trarre in inganno.

Una volta avviato l’allegato, il software si installa nella cartella “Documents and Settings” (o “Users“, nei sistemi Windows più recenti) con un nome a caso e inserisce una chiave nel registro affinchè si possa poi avviare automaticamente ad ogni accensione della macchina. Fatto ciò, tenta la connessione a uno dei server di controllo e una volta connesso riceverà una chiave RSA a 2048 bit, inserendola come chiave pubblica sul sistema. A questo punto …  (Continua la lettura)

Facebook, G Data: false gift Starbucks rubano dati personali

I G Data SecurityLabs hanno scoperto una nuova truffa ai danni degli utenti del social network ideato da Zuckerberg. Stavolta nell’occhio del ciclone è finita la nota catena internazionale di caffè Starbucks. La falsa campagna che la interessa si sta diffondendo in tutto il mondo attraverso Facebook, ormai diventato uno dei mezzi preferiti dai truffatori per le frodi online.
La pagina principale della campagna ha un design molto semplice e in perfetta armonia con lo stile del social network. Gli utenti vengono invitati a condividere il post sulla propria bacheca e poi a dare il loro “Like”.

I testi utilizzati negli annunci sono in inglese, così da aumentare il numero di utenti che possa effettivamente cliccare e accettare il “messaggio esca”.

Seguendo i passaggi, viene visualizzata una finestra pop-up in cui si dice all’utente di essere il vincitore della giornata e invitandolo, pertanto, a scegliere uno dei premi in palio (prodotti hi-tech, gift cards, ecc.).

A questo punto, il riferimento a Starbucks scompare e l’utente viene incalzato, attraverso un timer, a cliccare velocemente sul premio che desidera ricevere, prima che il tempo scada. Nessuno, ovviamente, riceverà nulla, a prescindere da quanto sia stato veloce a cliccare.

Cosa succede se si sceglie un premio e si seguono le istruzioni?

Scegliendo una delle offerte sopra descritte, inizialmente l’utente viene dirottato verso quiz o piccoli test che …
Continua la lettura su PCSELF.COM 

Fonte PCSELF.COM

Market Android: app dannose tornano sul mercato

Gli esperti dei G Data Security Labs hanno rilevato un ritorno sull’Android Market di alcune applicazioni sviluppate da TYP3-Studios che erano state eliminate perché contenenti codice dannoso. Queste applicazioni, tutte apparentemente innocue, rubano i dati personali e promuovono annunci di altre applicazioni dello stesso sviluppatore.

Le app dannose sono state disponibili ufficialmente nel Market Android fino allo scorso 4 luglio 2011, ovvero fino a quando un professore della University of North Carolina ha avvertito della loro presenza. Si trattava di programmi molto semplici e comuni come, per esempio, “Airhorn” che imitava il suono di un altoparlante o ” Flashlight” con la funzione di torcia portatile. I programmi, a prima vista innocui, una volta installati, inviavano le informazioni personali degli utenti (dati della rubrica, numero di telefono o IMEI, International Mobile Equipment Identity che identifica ogni terminale mobile) ai server di TYP3-Studios.

Pochi mesi dopo, gli sviluppatori hanno rilasciato l’applicazione per la seconda volta. Questa volta i colori dell’icona del programma sono diversi ed è stato aggiunto un accordo con l’utente finale che descrive la funzione del programma. Questo accordo, in realtà, è ben nascosto all’interno dell’app e talmente lungo che risulta improbabile che gli utenti lo leggano. L’applicazione possiede ancora le sue stesse caratteristiche nocive rubando i dati degli utenti che la installano. L’unica differenza è che ora cripta i dati prima di inviarli al destinatario (condizione necessaria per rimanere nel Market di Google).

Queste applicazioni sono ancora disponibili sul Market Android e sono state scaricate più di 10.000 volte. Gli utenti che hanno installato il G Data MobileSecurity sono protetti da queste app, che sono state bloccate e rilevate come “Riskware”.

I consigli per la sicurezza di smartphone e tablet …. (Leggi tutto)

 

Dispositivi mobili nelle mire del cyber crimine

Sono minacciose le nubi che si addensano all’orizzonte dei dispositivi mobili. Il motivo? Il cyber crimine sta concentrando la propria attenzione e interesse verso smartphone e tablet. Lo rende noto G Data con la pubblicazione del suo Malware Report. Gli esperti dell’azienda di sicurezza informatica tedesca hanno rilevato che la percentuale di nuovo malware per questi dispositivi ha visto incrementi di circa il 140% nella prima metà dell’anno in corso: in media uno ogni 12 secondi. A dominare la scena sono i Trojan cross-platform. Molti di questi sono progettati per favorire lo spamming o altre attività criminali tra le tanti presenti nel catalogo del cosiddetto eCrime.

“Con i mobile malware i cyber criminali hanno scoperto un nuovo modello di business”, spiega Ralf Benzmüller, Responsabile dei G Data SecurityLabs. ”Al momento i criminali utilizzano soprattutto backdoor, programmi spia e costosi servizi di SMS per danneggiare le loro vittime. Anche se questo particolare segmento del mercato underground è ancora in fase di organizzazione, possiamo già evidenziare un enorme e potenziale rischio per i dispositivi mobili e i loro utenti. Ci aspettiamo pertanto un’ulteriore crescita nel settore dei mobile malware nella seconda metà dell’anno”.

Due esempi di codici maligni per Android

L’app manipolata chiamata Zsone è stata diffusa attraverso il Google Android Market. Questo Trojan manda segretamente i dati di iscrizione a costosi numeri SMS cinesi. Poiché viene anche intercettata la conferma della registrazione, gli utenti possono scoprire questa truffa solo controllando la propria bolletta.

Le funzionalità di NickiBot includono la possibilità di spiare le sue vittime. Una variante del malware chiamato Google++, è disponibile come applicazione per il social network Google+ e registra rumori di background e chiamate. Il malware utilizza un sito per mandare queste informazioni, tra i cui i dati del tracciamento GPS, a chi ha condotto l’attacco. Questo consente ai criminali di accedere alle informazioni personali e determinare dove l’utente si trovi in qualsiasi momento.

Le cose non vanno meglio per i computer, dove la crescita riscontrata dai G Data SecurityLabs nei primi sei mesi del 2011 è stata del 15.7% se confrontata con lo stesso periodo dell’anno precedente. I nuovi programmi malware in grado di infettare i PC sono stati ben 1.245.403, cifra che potrebbe raddoppiare per la fine del 2011, superando il totale di tutto il malware diffuso tra il 2006 e il 2009.

Fonte PCSELF

G Data: i pericoli dei social network

Il successo dei social network cresce ogni giorno e questo è ormai un fatto innegabile. Purtroppo esiste il rovescio della medaglia. Questa popolarità stimola il cyber crimine a utilizzare l’enorme popolarità di questo mezzo per indurre gli utenti a cliccare su link che rimandano a siti infetti che possono scaricare malware nei loro Pc.

Lo studio sulla sicurezza 2011 condotto da G Data fotografa una situazione che deve far riflettere. Quasi un utente su cinque clicca su tutti i link pubblicati, da chiunque essi siano stati postati. Se dunque rapportassimo questo risultato al solo Facebook significherebbe comunque che più di 130 milioni di utenti non fanno abbastanza attenzione e finiscono nelle trappole dei cyber criminali.
Lo studio, inoltre, evidenzia differenze anche tra i diversi gruppi di utenti: gli utenti più anziani sono di norma più attenti nell’utilizzo di Internet rispetto a quelli più giovani e le donne sono risultate un po’ più consapevoli degli uomini sul tema della sicurezza informatica.

In generale gli utenti più giovani utilizzano i social network più a lungo e in maniera più intensiva rispetto agli utenti più anziani. A dispetto di ciò, però, i “silver surfers” adottano più precauzioni come dimostrato dallo studio di G Data: più anziani sono gli utenti, meno è probabile che questi clicchino su link. Di contro gli utenti più giovani sono più predisposti a correre rischi sui social network. Come l’età diminuisce, così decresce il numero di utenti che operano una distinzione tra link provenienti da fonti conosciute e sconosciute.

Esiste comunque una leggera differenza nel modo con cui uomini e donne utilizzano Facebook e altri siti simili. Gli utenti maschi corrono più rischi nell’utilizzo di Facebook e, in maniera analoga agli utenti più giovani, non badano se un link proviene da una fonte conosciuta o sconosciuta. Le donne, invece, mostrano di essere più attente ai rischi dei social network e preferiscono cliccare solo su link che provengono dalla loro cerchia di amici.

Il testo completo dello Studio sulla sicurezza 2011 di G Data è disponibile in formato pdf a questo indirizzo . L’azienda di sicurezza, inoltre, distribuisce gratuitamente G Data CloudSecurity un plug-in compatibile con tutti i software antivirus gratuiti in grado di bloccare i siti dannosi prima che questi possano causare danni. Maggiori informazioni e download sul sito http://www.free-cloudsecurity.com/.

Fonte PCSELF

Malware, l’Italia è terza in Europa

Un altro primato italiano, in particolare di Roma, del quale il Belpaese e noi tutti avremmo fatto volentieri a meno. Secondo l’Internet Security Threat Report di Symantec, l’Italia è arroccata al terzo posto in fatto di malware. Roma, inoltre, è la quinta città al mondo (la prima in Italia) per numero di computer infetti utilizzati come “zombie”, ossia macchine sulle quali è installato codice malevolo (all’insaputa dei proprietari) controllate in remoto dal cyber crimine per lanciare attacchi informatici verso terze parti. Nella top five italiana, la Capitale è seguita nell’ordine da Milano, Cagliari, Arezzo e Torino.

Dal rapporto di Symantec emerge che l’Italia genera il 3% di tutto lo spam mondiale e il 5% di quello legato alle regioni Emea (Europa, Medio Oriente e Africa). Evidentemente i criminali hanno trovato terreno fertile visto che il 4% degli host che inviano posta elettronica indesiderata su scala mondiale e il 2% dei siti di phishing è localizzato nel nostro Paese.

Il report evidenzia inoltre l’aumento dei rischi legati alle piattaforme mobile (smartphone e tablet), che in un solo anno hanno visto emergere milioni di nuove minacce. Il malware più frequente nel segmento mobile è finalizzato al furto di informazioni, di identità e al superamento delle protezioni per le transazioni on line.