Andariel, nuova famiglia di malware da documentare

 
 
Tratto da www.lineaedp.it
Redazione: LineaEDP – 30/06/2023

3 Luglio 2023

Decriptazione del ransomware: ci pensa Kaspersky

 
 
Tratto da www.lineaedp.it
Redazione: LineaEDP – 17/03/2023
 
 

Kaspersky presenta un tool per la decriptazione del ransomware basato sul codice sorgente del gruppo Conti precedentemente rivelato

 

Kaspersky ha pubblicato l’aggiornamento dello strumento di decriptazione del ransomware di una versione basata sul codice sorgente del gruppo Conti precedentemente rivelato. Si tratta di una gang specializzata in ransomware che domina la scena del cybercrimine dal 2019 e i cui dati, compreso il codice sorgente, sono stati rivelati a marzo 2022 in seguito a un conflitto interno causato dalla crisi geopolitica in Europa. La modifica scoperta è stata distribuita da un gruppo ransomware sconosciuto ed è stata utilizzata per colpire aziende e istituzioni statali.

Verso la fine di febbraio 2023, gli esperti di Kaspersky hanno scoperto una nuova fuga di dati, pubblicati sui forum. In seguito ad un’analisi delle informazioni che contenevano 258 chiavi private, il codice sorgente e alcuni decrittatori precompilati, Kaspersky ha rilasciato una nuova versione del sistema di decriptazione pubblico per aiutare le vittime degli attacchi causati dal gruppo Conti.

Conti è apparso alla fine del 2019 ed è stato molto attivo per tutto il 2020, rappresentando più del 13% di tutte le vittime di ransomware. Tuttavia, un anno fa, una volta trapelato il codice sorgente, diverse modifiche del ransomware Conti sono state create da diverse bande di criminali e utilizzate nei loro attacchi.

La variante del malware di cui sono state diffuse le chiavi era stata scoperta dagli specialisti di Kaspersky a dicembre 2022 ed è stato utilizzato in diversi attacchi contro aziende e istituzioni statali.

Le chiavi private divulgate si trovano in 257 cartelle (solo una di queste contiene due chiavi). Alcune contengono decodificatori generati in precedenza e diversi file comuni: documenti, foto e altro. Presumibilmente questi sono file di prova – quelli che la vittima invia agli attaccanti per assicurarsi che possano essere decriptati.

Tra le cartelle, 34 contengono nomi di aziende e pubbliche amministrazioni. Supponendo che una cartella corrisponda a una vittima e che i decrittatori siano stati generati per le vittime che hanno pagato il riscatto, si può ipotizzare che 14 su 257 abbiano deciso di pagarlo.

Dopo aver analizzato i dati, gli esperti hanno rilasciato una nuova versione del programma di decriptazione pubblico per aiutare le vittime di questa variante del ransomware Conti. Il codice di decriptazione e tutte le 258 chiavi sono state aggiunte all’ultima build dell’utility RakhniDecryptor 1.40.0.00 di Kaspersky. Inoltre, lo strumento di decriptazione è stato aggiunto al sito “No Ransom” di Kaspersky.

Per la decriptazione del ransomware e per proteggersi da questo tipo di attacchi, Kaspersky consiglia di:

  • Non utilizzare i servizi di remote desktop (come RDP) sulle reti pubbliche se non è assolutamente necessario, è importante utilizzare sempre password sicure per questo servizio.
  • Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti che lavorano da remoto e costituiscono dei gateway per la rete.
  • Concentrare la strategia di difesa sul rilevamento di movimenti laterali ed esfiltrazione dei dati attraverso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
  • Eseguire regolarmente il backup dei dati. Assicurarsi di poter accedere rapidamente ai dati in caso di emergenza.
  • Utilizzare soluzioni come Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e bloccare l’attacco nelle fasi iniziali, prima che i criminali informatici raggiungano i loro obiettivi finali.
  • Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente sulle attuali TTP utilizzate dagli attori delle minacce. Il portale Kaspersky Threat Intelligence è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team in 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi difficili, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

20 Marzo 2023

CryWiper: il finto ransomware

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 09/12/2022
 
Il nuovo malware CryWiper danneggia i file in modo irreversibile spacciandosi per ransomware
 
 
 
 
 
 

Gli esperti Kaspersky hanno scoperto un attacco da parte di un nuovo Trojan, ribattezzato CryWiper. A prima vista il malware sembra un ransomware: modifica i file, aggiunge loro un’estensione e salva un file README.txt con una richiesta di riscatto, che contiene l’indirizzo del portafogli Bitcoin, l’indirizzo e-mail di contatto degli sviluppatori del malware e l’ID dell’infezione. In realtà il malware è, a tutti gli effetti, un wiper. Un file modificato da CryWiper non potrà essere ripristinato al suo stato originale. Mai. Pertanto, se trovate una richiesta di riscatto e i vostri file presentano una nuova estensione .CRY non affrettatevi a pagare: è inutile.

In passato, gli esperti avevano già incontrato alcuni tipi di malware che diventavano wiper per sbaglio, a causa di errori degli sviluppatori che implementavano in modo alquanto maldestro algoritmi di crittografia. Tuttavia, questo non è il caso: gli esperti sono certi che lo scopo principale dei malviventi non sia il guadagno economico, bensì la distruzione dei dati. I file non vengono realmente crittografati in quanto il Trojan li sovrascrive con dati generati in modo pseudo-casuale.

Cosa sta cercando CryWiper?

Il Trojan danneggia dati non essenziali per il funzionamento del sistema operativo. Non coinvolge file con estensione .exe, .dll. .lnk, .sys oppure .msi, ignorando molte cartelle di sistema nella directory C:\Windows. Il malware si focalizza su database, archivi e documenti degli utenti.

Fino ad ora gli esperti Kaspersky hanno rilevato unicamente attacchi localizzati verso obiettivi nella Federazione Russa. In ogni caso, di solito, nessuno può garantire che lo stesso codice non venga utilizzato nuovamente verso target diversi.

Come funziona il Trojan CryWiper

Oltre a sovrascrivere direttamente il contenuto dei file con immondizia varia, CryWiper funziona così:

  • crea un task che riavvia il wiper ogni cinque minuti utilizzando Task Scheduler;
  • invia il nome del computer infetto al server C&C e attende un comando per iniziare l’attacco;
  • sospende i processi legati ai server di database MySQL e MS SQL, i server di posta MS Exchange e i servizi web di MS Active Directory (se così non fosse, l’accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
  • cancella le copie shadow dei file in modo che non possano essere riparati (tuttavia, per qualche strana ragione, solo nell’unità C:);
  • disabilita la connessione al sistema infetto tramite un protocollo di accesso remoto RDP.

Lo scopo di quest’ultima azione non è completamente chiaro. Probabilmente, con questo tipo di disattivazione gli sviluppatori del malware hanno cercato di complicare il lavoro dell’Incident Response Team, che avrebbe chiaramente preferito avere l’accesso remoto al computer infetto. Nel post su Securelist (disponibile solo in russo) potete trovare i dettagli tecnici dell’attacco, insieme agli indicatori di compromissione.

Come proteggersi

Gli esperti raccomandano i seguenti accorgimenti per proteggere i computer aziendali sia da ransomware che wiper:

  • controllate attentamente le connessioni di accesso remoto alla vostra infrastruttura; vietate le connessioni da network pubblici, permettete l’accesso RDP solo attraverso un tunnel VPN e utilizzate delle password uniche molto forti, oltre all’autenticazione a due fattori;
  • aggiornate il software critico regolarmente, prestando particolare attenzione al sistema operativo, alle soluzioni di sicurezza, ai client VPN e gli strumenti di accesso remoto;
  • sensibilizzate i dipendenti utilizzando, per esempio, degli strumenti specifici online;
  • utilizzate soluzioni avanzate di sicurezza per proteggere sia i dispositivi di lavoro che il perimetro della rete aziendale.

16 Dicembre 2022

Qbot: il trojan bancario adesso colpisce le aziende

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 07/10/2022
 

Gli esperti Kaspersky segnalano una campagna malware Qbot. I criminali informatici intercettano conversazioni esistenti e si inseriscono per diffondere file malevoli

 

Qbot
 

Dopo un periodo di tregua, sta tornando una campagna dannosa che prende di mira le organizzazioni con il pericoloso malware Qbot. Kaspersky ha identificato una nuova ondata di attività con oltre 1.500 utenti colpiti dal 28 settembre 2022. Tra i Paesi più attaccati ci sono gli Stati Uniti con 193 utenti, seguiti da Italia con 151, Germania con 93 e India con 74 (al 4 ottobre 2022). Kaspersky ha finora scoperto più di 400 siti web infetti che diffondono Qbot.

Qbot è un noto Trojan bancario, in grado di rubare i dati e le e-mail degli utenti dalle reti aziendali infette, di diffondersi ulteriormente nella rete e di installare ransomware o altri Trojan su altri dispositivi della rete. I criminali informatici presumibilmente intercettano le e-mail attive che riguardano conversazioni su questioni di lavoro e inviano ai destinatari un messaggio contenente un link con un file archiviato con una password da scaricare per infettare i loro dispositivi con un trojan bancario. Per convincere gli utenti ad aprire o scaricare il file, gli attaccanti di solito affermano che contiene alcune informazioni importanti, come un’offerta commerciale. Questo schema rende questi messaggi più difficili da individuare e aumenta le probabilità che il destinatario cada nella trappola.

Testo estratto dall’articolo pubblicato su www.bitmat.it

10 Ottobre 2022

Le estensioni del browser sono più pericolose di quanto sembrano

 
Tratto da Blog Kaspersky
Autore:  Anastasia Starikova – 20/09/2022
 
 
Tutti abbiamo probabilmente installato almeno una volta un’estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: “è sicuro?”. Purtroppo queste estensioni, apparentemente innocue, possono essere molto più pericolose di quanto non sembrino a prima vista.
 

Cosa sono e cosa fanno le estensioni?

Un’estensione del browser è un plug-in che aggiunge funzionalità al browser. Ad esempio, può bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l’ortografia e molto altro ancora. Per i browser più diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.

È importante sottolineare che, per svolgere il proprio lavoro, un’estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser.

Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti i dati dell’utente su tutti i siti web visitati.

Tutto ciò rappresenta un’opportunità per i criminali informatici dato che ne approfittano per distribuire adware e persino malware sotto le sembianze di estensioni apparentemente innocue.

Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l’utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari più mirati, possono anche analizzare le query di ricerca e altri dati.

Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito, i cookie e altre informazioni sensibili.

Alcune estensioni dannose:

  • adware con funzionalità WebSearch;
  • add-on di tipo DealPly;
  • estensioni della famiglia AddScript;
  • FB Stealer.
Gli esperti Kaspersky hanno elaborato un report  sulle principali estensioni dannose per il browser.
 

Come proteggersi

Le estensioni del browser sono strumenti utili, ma è importante installarle con cautela e tenere presente che non sono sempre così innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:

  • Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non è una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
  • Non installate troppe estensioni e controllate regolarmente l’elenco. Se nell’elenco appare qualche estensione che non avete installato voi stessi, è bene preoccuparsi.
  • Utilizzate una soluzione di sicurezza affidabile.

Testo estratto dall’articolo pubblicato sul Blog Kaspersky

21 Settembre 2022