Ragnar Locker e Egregor: il ransomware 2.0

Tratto da: BitMAT

Autore: Redazione BitMAT – 12/11/2020

I criminali ampliano il raggio d’azione dall’encryption dati alla pubblicazione di informazioni riservate

I comuni attacchi ransomware sono stati sostituiti, negli ultimi due anni, da attacchi mirati contro aziende e settori specifici: gli attaccanti non solo minacciano di criptare i dati ma pubblicano online le informazioni riservate. I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.

In generale, gli attacchi ransomware sono considerati una delle minacce più gravi per le imprese. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare ingenti perdite finanziarie. In alcuni casi, le multe e le cause legali sostenute in seguito alla violazione di leggi e regolamenti possono persino portare un’azienda al fallimento. Ad esempio, si stima che gli attacchi di WannaCry abbiano causato più di 4 miliardi di dollari di perdite finanziarie. Tuttavia, le nuove campagne ransomware stanno modificando il loro modus operandi, minacciando di rendere pubbliche le informazioni aziendali rubate.

Ragnar Locker e Egregor sono due note famiglie di ransomware che impiegano questo nuovo metodo di estorsione.

Ragnar Locker è stato scoperto per la prima volta nel 2019, ma è diventato noto solo nella prima metà del 2020, quando ha rivolto la propria attenzione a grandi organizzazioni. Gli attacchi sono estremamente mirati con ogni campione specificatamente adattato alla vittima designata. I dati riservati di chi si rifiuta di pagare il riscatto, così come le conversazioni intercorse con gli attaccanti, vengono pubblicati nella sezione “Wall of Shame” del loro sito dedicato informazioni rubate. I principali obiettivi di Ragnar Locker sono aziende situate negli Stati Uniti che operano in diversi settori industriali. Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020, e questo sta a indicare che i due collaboreranno e si scambieranno le informazioni rubate.

Egregor, osservato per la prima volta a settembre, è un ransomware più recente rispetto a Ragnar Locker. Utilizza però molte tattiche simili a quelle usate da Maze oltre a presentare delle somiglianze nel codice. Il malware viene in genere rilasciato violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.

La superficie d’attacco di Egregor è molto più estesa di quello di Ragnar Locker. Sono state registrate vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific).

“Il trend che stiamo osservando in questo momento è l’ascesa dei ransomware 2.0. Rileviamo attacchi sempre più mirati che utilizzano un processo di estorsione che non si basa più solo sulla crittografia, ma implica anche la pubblicazione online di dati riservati. La reputazione aziendale non è la sola a essere messa a repentaglio. Nel caso in cui i dati pubblicati violino norme come l’HIPAA o il GDPR, è possibile che vengano intraprese anche azioni legali, con delle conseguenze che vanno oltre le perdite finanziarie”, ha dichiarato Dmitry Bestuzhev, Head del Latin American Global Research and Analysis Team (GReAT).

“Nello scenario attuale, le organizzazioni devono considerare i ransomware come una minaccia più pericolosa di un semplice malware. Il ransomware è spesso solo la fase finale di una violazione della rete. Nel momento in cui il ransomware viene implementato, l’attaccante ha già eseguito una ricognizione della rete, identificato i dati confidenziali e provveduto all’esfiltrazione. È importante, quindi, che le organizzazioni implementino tutte le buone pratiche in materia di sicurezza informatica. Identificare l’attacco in una fase iniziale, prima che gli attaccanti raggiungano il loro obiettivo finale, permette un notevole risparmio economico”, ha aggiunto Fedor Sinitsyn, security expert di Kaspersky.

Per proteggersi dagli attacchi ransomware, gli esperti di Kaspersky raccomandano alle aziende di:

Non esporre i servizi di desktop remoto (come l’RDP, il Remote Desktop Protocol) a reti pubbliche se non strettamente necessario e utilizzare sempre password complesse.
Aggiornare sempre il software su tutti i dispositivi utilizzati. Per impedire al ransomware di sfruttare le vulnerabilità, servirsi di strumenti in grado di rilevarle in modo automatico e scaricare e installare le patch
Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti da remoto e agiscono come gateway all’interno della rete.
Non aprire allegati sospetti ricevuti via mail da mittenti sconosciuti.
Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response per identificare e bloccare l’attacco nella sua fase iniziale, prima che gli attaccanti raggiungano l’obiettivo.
Focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale e esfiltrazione di dati su internet. Prestare particolare attenzione al traffico in uscita in modo da rilevare connessioni da parte dei cybercriminali, eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza quando necessario.
Formare i dipendenti per proteggere le risorse aziendali. I corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform, possono offrire un valido aiuto.
Utilizzare una soluzione di sicurezza affidabile per i dispositivi personali come Kaspersky Security Cloud, che protegga dagli encryption malware e ripristini le modifiche apportate dalle applicazioni dannose.
Migliorare la protezione aziendale con Anti-Ransomware Tool for Business, uno strumento gratuito offerto da Kaspersky. La versione recentemente aggiornata integra una funzionalità di prevenzione degli exploit per evitare che il ransomware e altre minacce sfruttino le vulnerabilità di software e applicazioni. È utile anche per i clienti che utilizzano Windows 7, poiché al termine del supporto per questo sistema operativo lo sviluppatore non rilascerà più patch per le nuove vulnerabilità
Per una protezione completa, utilizzare una soluzione di sicurezza degli endpoint, come Integrated Endpoint Security, che si basa sulla prevenzione degli exploit, sulle tecnologie di behavior detection e su un motore di remediation in grado di annullare le operazioni dannose.

Per ulteriori informazioni: dircom@argonavis.it

Nella vita falla semplice. Ma non con le password!

Tratto da: Blog Kaspersky

Autore: Daniela Incerti – 09/11/2020

Semplici o complesse? Con caratteri speciali o senza? Ecco quanto ci mettono gli hacker a trovare le vostre password!

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

I vostri account social, di gioco o di lavoro vi sembrano essere al sicuro?
E se invece scopriste che la vostra password potrebbe essere decifrata in pochi secondi?

È sempre meglio usare password variegate, fantasiose, non solo nei caratteri ma anche nei simboli, numeri, caratteri speciali, e chi più ne ha più ne metta. Sembra un assunto semplice, intuitivo e diretto, ma non è così.

Al primo posto troviamo “123456″. Questa password è hackerabile in meno di 1 secondo. Al secondo e terzo posto l’intramontabile “123456789” e subito dopo “qwerty“. Al quarto posto troviamo “password“, hackerabile in 1 secondo, e non ci son maiuscole che tengano: “PaSsWoRD” la troverebbero in 4 secondi.

Attenzione però: la sicurezza online non è un gioco!

Proprio per questo Kaspersky mette a disposizione Password Checker, uno strumento che permette di verificare quanto sia “sicura” la propria password e offre tutta una serie di utili consigli su come crearla a prova di cybercriminale.

Giocandoci un po’ si potrà subito capire come l’utilizzo di caratteri speciali è utilissimo per rendere la propria password più sicura. Alcuni semplici esempi potrebbero essere “TuoNome”, decifrabile in 2 giorni, contro i 4 anni che ci vorrebbero per scoprire “TuoNome80!”
Quindi, meglio metterci un po’ più di tempo e generare una password sicura, che crearne una troppo semplice e vulnerabile, correndo il rischio di farsi rubare il proprio account con all’interno informazioni di pagamento, contatti e dati sensibili.

Ci teniamo a specificare che, sebbene Password Checker fornisca preziose indicazioni su come generare password “forti”, non può sostituire in toto l’intelligenza umana. Ad esempio, se la password del vostro account di incontri online è il vostro nome seguito dal vostro cognome e anno di nascita, magari un programma la troverà in 4 anni, ma il vostro fidanzato o la vostra fidanzata ci metterà molto, molto meno.

Sfruttando queste conoscenze, diventa imperativo avere password variegate nei caratteri, maiuscole, minuscole e simboli. Soprattutto è preferibile avere password diverse per account diversi, nell’evenienza in cui la nostra password dovesse essere hackerata o rivelata.

Quindi qual è la soluzione migliore?

Abbiamo capito quali password sarebbe meglio non utilizzare e anche quali potrebbero essere così deboli da essere scoperte in pochi secondi.

Purtroppo, la soluzione è anche la più complessa: una password per essere sufficientemente sicura dovrebbe contenere numeri, lettere minuscole, lettere maiuscole, punti esclamativi, interrogativi e simboli; dovrebbe essere lunga almeno 8 caratteri e dovresti renderla memorizzabile. La simpatica password 12345-humpty-dumpty-satonthe-firewall e la folle combinazione ?Y]G9gWJ48zYkFBc@{nKw!’q hanno più o meno la stessa forza, ma è difficile che tu possa ricordarti la seconda.

Come sarà mai possibile ricordarsi una password del genere, diversa per ogni account?
Lasciate perdere penna e taccuino (che comunque è un metodo per ricordarsi le password MOLTO PERICOLOSO).

Kaspersky corre in soccorso con lo strumento perfetto: il Password Manager incluso all’interno di Kaspersky Total Security che ti permette di sincronizzare le tue password ovunque esse siano: su PC, Mac, iOS e Android. Così da non perdertene più neanche una! È un programma sicuro in grado di gestire e memorizzare le password più complesse per accedere alla tua vita online, ed essere sicuri di non dimenticare mai più una password, rendendo l’esistenza di chiunque voglia accedere ai tuoi dati un autentico calvario.

Kaspersky Password manager: molto più di un gestore di Password

Quando esegui l’accesso a un sito, il Password Manager di Kaspersky ti proporrà l’inserimento automatico, così da rendere l’esperienza online più fluida, senza interruzioni.

Oltre a salvare le password, quando apri un nuovo account, il Password Manager grazie a un “motore genera password” te ne creerà una sicura e complessa. Come ricordartela? Nessun problema, te la ricorda il software.

Password Manager non solo crea, salva, memorizza e sincronizza le tue password: ma anche documenti sensibili come foto e PDF, i dati della tua carta di credito e gli indirizzi. Così, in caso di spese online, potrai concentrarti su ciò che ti piace davvero.

Per ulteriori informazioni: dircom@argonavis.it

Con il Fondo per la formazione, Kaspersky Automated Security Awareness & Kaspersky Adaptive Online Training

Redazione Argonavis

E’ stato pubblicato sul sito dell’ANPAL (Agenzia Nazionale Politiche Attive del Lavoro) il bando per il fondo di formazione dei dipendenti delle aziende private.

Sono risorse messe a disposizione entro il 31 Dicembre 2020 per progetti di formazione. Al link di seguito tutti i dettagli:https://www.anpal.gov.it

Vista la situazione sia economica che congiunturale, questa è certamente un’opportunità per far crescere la cultura e la consapevolezza dell’importanza della formazione in ambito Security all’interno di qualsiasi tipo di struttura ed attività.

Kaspersky propone al riguardo due soluzioni per la formazione:

KASAP (Kaspersky Automated Security Awareness)
KAOT (Kaspersky Adaptive Online Training).

Per ulteriori informazioni: dircom@argonavis.it

Kaspersky: ecco i nuovi trend negli attacchi APT

Tratto da www.lineaedp.it

Redazione LineaEDP – 04/11/2020

I ricercatori di Kaspersky hanno studiato e individuato le nuove tendenze negli attacchi APT

Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.

Uno dei risultati più importanti del trimestre è stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a più stadi chiamato MosaicRegressor. L’infezione del UEFI ha reso il malware installato sul dispositivo più persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.

Altri gruppi criminali si avvalgono della steganografia. In the wild è stato rilevato, in un attacco rivolto ad una società di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo così le possibilità di rilevamento.

Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli più flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che è stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.

Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker. Questo gruppo APT si concentra principalmente su studi legali e società che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo più identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker è stato in grado di portare avanti una serie di attacchi di successo.

“Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano sé stessi e i loro strumenti. Nell’ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attività malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attività degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”, ha commentato Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.

È disponibile una sintesi delle tendenze APT dell’ultimo trimestre che riassume i risultati dei report di threat intelligence di Kaspersky relativi ai soli abbonati, oltre ad altre fonti che coprono i principali sviluppi di cui il settore aziendale dovrebbe essere a conoscenza. I report di threat intelligence di Kaspersky includono anche i dati sugli Indicatori di Compromissione (IoC), nonché le regole di Yara e Suricata per aiutare gli esperti forensi e supportare la caccia ai malware.

Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:

• Fornire al team SOC l’accesso alla threat intelligence più recente (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la TI dell’azienda e fornisce i dati sugli attacchi informatici in corso e le informazioni raccolte da Kaspersky in oltre 20 anni di esperienza sul campo. È possibile accedere gratuitamente alle sue funzioni e controllare file, URL e indirizzi IP a questo link.
• Per la detection a livello endpoint, l’indagine e il ripristino tempestivo degli incidenti, è necessario implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
• Oltre ad adottare una protezione per endpoint è necessario implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate della rete, come Kaspersky Anti Targeted Attack Platform.

Scoperta nuova campagna di phishing rivolta agli utenti italiani

Tratto da BitMAT

Autore: Redazione BitMAT – 23/10/2020

Il team di ricerca di Kaspersky ha individuato una nuova campagna di phishing rivolta agli utenti italiani, che sfrutta un noto brand di telefonia con l’obiettivo di rubare i dati personali.

In questi giorni, gli utenti italiani hanno ricevuto una email di phishing che annuncia alla vittima di essere stata selezionata per ricevere in regalo un iPhone XR. Nella mail viene chiesto agli utenti di accedere inserendo i propri dati di contatto e cliccare su un link per reclamare il premio. Di fatto l’obiettivo di questa email è di rubare i dati di accesso degli utenti. Inoltre, il mittente della comunicazione, “National Consumer Center”, è in realtà una finta organizzazione, nota per aver generato e distribuito in passato contenuti dannosi con l’intenzione di truffare gli utenti.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media. Se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivi, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

Tatyana Sidorina, Lead web content analyst di Kaspersky, ha commentato: “Sono diversi i tentativi di phishing che utilizzano schemi simili approfittando della notorietà di un brand. Ne osserviamo in continuazione. Ad esempio, secondo i dati anonimi elaborati dai prodotti Kaspersky nel periodo compreso tra il 14 e il 21 ottobre, sono state osservate alcune decine di risorse web sospette in tutto il mondo che proponevano agli utenti il pre-ordine del nuovo iPhone. È probabile però che risorse di questo tipo siano molte di più. Per evitare di cadere nella trappola dei cybercriminali raccomandiamo agli utenti di verificare sempre l’affidabilità delle risorse web e di diffidare di offerte troppo vantaggiose per essere vere.”

Per evitare di incorrere in un questo tipo di truffe, Kaspersky consiglia anche gli utenti di:

Fare attenzione alle novità, alle offerte e alle promozioni estremamente generose
Verificare che i messaggi provengano da fonti affidabili
Non cliccare i link da e-mail o messaggi sospetti
Verificare l’autenticità dei siti web visitati
Installare una soluzione di sicurezza con database aggiornati che includano la conoscenza delle più recenti risorse di phishing e spam.

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

Kaspersky Password manager: molto più di un gestore di Password

Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:

Categorie