Buone Feste e Felice 2023

Vi informiamo che i nostri uffici rimarranno chiusi dal 27 dicembre 2022 al 5 gennaio 2023.

Tanti auguri dallo Staff Argonavis

20 Dicembre 2022

CryWiper: il finto ransomware

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 09/12/2022
 
Il nuovo malware CryWiper danneggia i file in modo irreversibile spacciandosi per ransomware
 
 
 
 
 
 

Gli esperti Kaspersky hanno scoperto un attacco da parte di un nuovo Trojan, ribattezzato CryWiper. A prima vista il malware sembra un ransomware: modifica i file, aggiunge loro un’estensione e salva un file README.txt con una richiesta di riscatto, che contiene l’indirizzo del portafogli Bitcoin, l’indirizzo e-mail di contatto degli sviluppatori del malware e l’ID dell’infezione. In realtà il malware è, a tutti gli effetti, un wiper. Un file modificato da CryWiper non potrà essere ripristinato al suo stato originale. Mai. Pertanto, se trovate una richiesta di riscatto e i vostri file presentano una nuova estensione .CRY non affrettatevi a pagare: è inutile.

In passato, gli esperti avevano già incontrato alcuni tipi di malware che diventavano wiper per sbaglio, a causa di errori degli sviluppatori che implementavano in modo alquanto maldestro algoritmi di crittografia. Tuttavia, questo non è il caso: gli esperti sono certi che lo scopo principale dei malviventi non sia il guadagno economico, bensì la distruzione dei dati. I file non vengono realmente crittografati in quanto il Trojan li sovrascrive con dati generati in modo pseudo-casuale.

Cosa sta cercando CryWiper?

Il Trojan danneggia dati non essenziali per il funzionamento del sistema operativo. Non coinvolge file con estensione .exe, .dll. .lnk, .sys oppure .msi, ignorando molte cartelle di sistema nella directory C:\Windows. Il malware si focalizza su database, archivi e documenti degli utenti.

Fino ad ora gli esperti Kaspersky hanno rilevato unicamente attacchi localizzati verso obiettivi nella Federazione Russa. In ogni caso, di solito, nessuno può garantire che lo stesso codice non venga utilizzato nuovamente verso target diversi.

Come funziona il Trojan CryWiper

Oltre a sovrascrivere direttamente il contenuto dei file con immondizia varia, CryWiper funziona così:

  • crea un task che riavvia il wiper ogni cinque minuti utilizzando Task Scheduler;
  • invia il nome del computer infetto al server C&C e attende un comando per iniziare l’attacco;
  • sospende i processi legati ai server di database MySQL e MS SQL, i server di posta MS Exchange e i servizi web di MS Active Directory (se così non fosse, l’accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
  • cancella le copie shadow dei file in modo che non possano essere riparati (tuttavia, per qualche strana ragione, solo nell’unità C:);
  • disabilita la connessione al sistema infetto tramite un protocollo di accesso remoto RDP.

Lo scopo di quest’ultima azione non è completamente chiaro. Probabilmente, con questo tipo di disattivazione gli sviluppatori del malware hanno cercato di complicare il lavoro dell’Incident Response Team, che avrebbe chiaramente preferito avere l’accesso remoto al computer infetto. Nel post su Securelist (disponibile solo in russo) potete trovare i dettagli tecnici dell’attacco, insieme agli indicatori di compromissione.

Come proteggersi

Gli esperti raccomandano i seguenti accorgimenti per proteggere i computer aziendali sia da ransomware che wiper:

  • controllate attentamente le connessioni di accesso remoto alla vostra infrastruttura; vietate le connessioni da network pubblici, permettete l’accesso RDP solo attraverso un tunnel VPN e utilizzate delle password uniche molto forti, oltre all’autenticazione a due fattori;
  • aggiornate il software critico regolarmente, prestando particolare attenzione al sistema operativo, alle soluzioni di sicurezza, ai client VPN e gli strumenti di accesso remoto;
  • sensibilizzate i dipendenti utilizzando, per esempio, degli strumenti specifici online;
  • utilizzate soluzioni avanzate di sicurezza per proteggere sia i dispositivi di lavoro che il perimetro della rete aziendale.

16 Dicembre 2022

Protezione dei dati personali: gli strumenti di tutela a disposizione dell’interessato

 
Tratto da www.garanteprivacy.it – 06/12/2022
 
 
 

 

Il Garante lancia una scheda informativa che illustra, in modo dettagliato, caratteristiche, differenze e modalità di impiego degli strumenti di tutela a disposizione dell’interessato previsti dalla normativa in materia di protezione dei dati personali: la segnalazione e il reclamo.

L’iniziativa fa parte di un più ampio progetto dell’Autorità, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali e illustrano le modalità per un concreto esercizio di tali diritti.

La scheda è pubblicata sul sito Internet del Garante alla pagina https://www.gpdp.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

13 Dicembre 2022

Videosorveglianza: stop del Garante privacy a riconoscimento facciale e occhiali smart. L’Autorità apre istruttorie nei confronti di due Comuni

 
Tratto da www.garanteprivacy.it – 14/11/2022
 

Faro del Garante sui sistemi di videosorveglianza intelligente.

L’Autorità ha aperto un’istruttoria nei confronti del Comune di Lecce, che ha annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.

In base alla normativa europea e nazionale, ha ricordato l’Autorità, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. 

Ma i Comuni, ha sottolineato il Garante, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura”.

Inoltre, fino all’entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall’esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità.

Il Comune dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Sempre in materia di videosorveglianza, il Garante ha avviato un’istruttoria anche nei confronti del Comune di Arezzo, dove, secondo notizie di stampa, a partire dal 1° dicembre 2022 è prevista la sperimentazione di “super-occhiali infrarossi” (che rileverebbero le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore).

L’Autorità ha messo in guardia dall’uso di dispositivi video che possano comportare – anche indirettamente – un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.

Anche il Comune di Arezzo dovrà fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.

16 Novembre 2022

I sintomi che indicano che uno dei vostri dispositivi è stato attaccato

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 04/11/2022
 

 

Di norma, i cybercriminali cercano di realizzare i loro attacchi in modo furtivo. In fondo, più a lungo rimangono inosservati dalle vittime, più è probabile che raggiungano i loro obiettivi. Tuttavia, non sempre riescono a nascondere la loro attività. Molto spesso, infatti, in base a una serie di segnali, è possibile capire se qualcosa non va sul computer o sullo smartphone. 

Ecco un elenco con i sintomi più evidenti; tali segnali possono indicare che il malware è in esecuzione su un dispositivo o che gli hacker stanno interferendo in qualche modo (si consiglia quindi di segnalare i problemi almeno al proprio dipartimento IT):

Il dispositivo funziona lentamente

Quasi tutti i sistemi degli utenti iniziano ad avviarsi e/o a funzionare più lentamente con il passare del tempo. Ciò può essere dovuto a vari motivi: il disco è pieno, alcuni software richiedono più risorse dopo un aggiornamento o il sistema di raffreddamento è semplicemente intasato dalla polvere. Ma può anche indicare la presenza di un codice dannoso in esecuzione sul dispositivo.

Il computer accede costantemente al hard drive

Se il computer fa lampeggiare continuamente la spia di accesso all’hard drive, fa molto rumore o copia i file con una lentezza incredibile (anche se non sono stati avviati processi che consumano risorse), ciò può significare che il disco è danneggiato oppurre che qualche programma sta leggendo o scrivendo continuamente i dati.

Problemi con l’account

Se improvvisamente alcuni servizi o sistemi non vi concedono più l’accesso pur avendo inserito la password correttamente, è bene prestare attenzione. Potete provare a reimpostare la password, ma se qualcun altro l’ha cambiata non c’è garanzia che non lo faccia di nuovo. È bene prestare attenzione anche se si viene improvvisamente disconnessi dai servizi o se si ricevono più notifiche relative a tentativi di modifica della password. Tutto ciò potrebbe indicare un possibile attacco.

Finestre pop-up

È normale che un dispositivo comunichi occasionalmente all’utente che è necessario un aggiornamento o che la batteria sta per esaurirsi. Ma i messaggi di errore regolari sono un segno che qualcosa non funziona correttamente. Allo stesso modo, non è normale se improvvisamente iniziano a comparire finestre non richieste con pubblicità o richieste di conferma della password.

Comportamento sospetto del browser

A volte un comportamento anomalo del browser può essere la prova di un attacco, e non solo per le già citate finestre che appaiono all’improvviso. Se un malware di tipo adware si introduce in un computer, può iniziare a sostituire i banner su diverse pagine con lo stesso tipo di pubblicità, ma di dubbia legalità. Naturalmente, questo può anche significare un problema da parte delle reti che si occupano dei banner. Ma il fatto che lo stesso annuncio appaia su tutti i siti è un sintomo allarmante. Inoltre, bisogna prestare attenzione ai reindirizzamenti. Se inserite un indirizzo e il browser vi reindirizza regolarmente a un altro, dovreste segnalarlo agli esperti di sicurezza informatica.

File o cartelle inaccessibili o mancanti

Se di recente i file o le directory si sono aperti normalmente, ma ora non è più possibile aprirli o sono completamente scomparsi, è una buona ragione per contattare il dipartimento IT. Forse avete accidentalmente cancellato un file importante, o forse è stato criptato da un ransomware o eliminato da un wiper.

Sono comparsi file o applicazioni sconosciute

Se non avete installato un nuovo software né scaricato o aggiornato nulla, ma sul vostro computer sono comparsi nuovi programmi, file, pulsanti di programma, plug-in, tool o altri elementi sconosciuti, è meglio verificare insieme al dipartimento IT e capire di cosa si tratta e da dove provengono. È bene prestare attenzione soprattutto alle richieste di riscatto. Ci sono stati casi in cui le vittime hanno ignorato tali messaggi perché tutti i file sembravano immutati e disponibili sul dispositivo. Ma poi si è scoperto che il ransomware non era riuscito a criptare i file, ma era comunque riuscito a trasferire i dati sui server dei criminali.

Notifiche di connessione remota

Gli hacker spesso utilizzano software di accesso remoto legittimi. Di norma, tali software visualizzano sullo schermo un messaggio che indica che qualcuno si è collegato in remoto al computer. Se tale notifica appare senza il vostro consenso o se vi viene improvvisamente proposto di concedere l’accesso a una persona sconosciuta, molto probabilmente il vostro computer è stato attaccato da un hacker. Nel caso in cui ci si deve connettere remotamente, i veri amministratori di sistema avvertono in anticipo gli utenti e lo fanno tramite un canale di comunicazione fidato.

Qualcosa impedisce al computer di spegnersi o di riavviarsi

Molti virus hanno bisogno di rimanere presenti nella RAM. Anche i trojan spia hanno bisogno di tempo per caricare le informazioni raccolte sui server dei criminali. Di conseguenza, il malware deve mantenere il computer in funzione il più a lungo possibile. Se notate che il vostro dispositivo non si spegne correttamente, informate il responsabile della sicurezza IT o un informatico il prima possibile.

Comunicazioni o messaggi che non avete inviato

Se i vostri contatti si lamentano di aver ricevuto e-mail o messaggi istantanei da voi ma non li avete mai inviati, significa che qualcuno ha avuto accesso ai vostri account o sta manipolando uno dei vostri dispositivi. In entrambi i casi, è necessario avvisare il responsabile della sicurezza aziendale.

7 Novembre 2022