Decriptazione del ransomware: ci pensa Kaspersky

 
 
Tratto da www.lineaedp.it
Redazione: LineaEDP – 17/03/2023
 
 

Kaspersky presenta un tool per la decriptazione del ransomware basato sul codice sorgente del gruppo Conti precedentemente rivelato

 

Decriptazione del ransomware

 

Kaspersky ha pubblicato l’aggiornamento dello strumento di decriptazione del ransomware di una versione basata sul codice sorgente del gruppo Conti precedentemente rivelato. Si tratta di una gang specializzata in ransomware che domina la scena del cybercrimine dal 2019 e i cui dati, compreso il codice sorgente, sono stati rivelati a marzo 2022 in seguito a un conflitto interno causato dalla crisi geopolitica in Europa. La modifica scoperta è stata distribuita da un gruppo ransomware sconosciuto ed è stata utilizzata per colpire aziende e istituzioni statali.

Verso la fine di febbraio 2023, gli esperti di Kaspersky hanno scoperto una nuova fuga di dati, pubblicati sui forum. In seguito ad un’analisi delle informazioni che contenevano 258 chiavi private, il codice sorgente e alcuni decrittatori precompilati, Kaspersky ha rilasciato una nuova versione del sistema di decriptazione pubblico per aiutare le vittime degli attacchi causati dal gruppo Conti.

Conti è apparso alla fine del 2019 ed è stato molto attivo per tutto il 2020, rappresentando più del 13% di tutte le vittime di ransomware. Tuttavia, un anno fa, una volta trapelato il codice sorgente, diverse modifiche del ransomware Conti sono state create da diverse bande di criminali e utilizzate nei loro attacchi.

La variante del malware di cui sono state diffuse le chiavi era stata scoperta dagli specialisti di Kaspersky a dicembre 2022 ed è stato utilizzato in diversi attacchi contro aziende e istituzioni statali.

Le chiavi private divulgate si trovano in 257 cartelle (solo una di queste contiene due chiavi). Alcune contengono decodificatori generati in precedenza e diversi file comuni: documenti, foto e altro. Presumibilmente questi sono file di prova – quelli che la vittima invia agli attaccanti per assicurarsi che possano essere decriptati.

Tra le cartelle, 34 contengono nomi di aziende e pubbliche amministrazioni. Supponendo che una cartella corrisponda a una vittima e che i decrittatori siano stati generati per le vittime che hanno pagato il riscatto, si può ipotizzare che 14 su 257 abbiano deciso di pagarlo.

Dopo aver analizzato i dati, gli esperti hanno rilasciato una nuova versione del programma di decriptazione pubblico per aiutare le vittime di questa variante del ransomware Conti. Il codice di decriptazione e tutte le 258 chiavi sono state aggiunte all’ultima build dell’utility RakhniDecryptor 1.40.0.00 di Kaspersky. Inoltre, lo strumento di decriptazione è stato aggiunto al sito “No Ransom” di Kaspersky.

Per la decriptazione del ransomware e per proteggersi da questo tipo di attacchi, Kaspersky consiglia di:

  • Non utilizzare i servizi di remote desktop (come RDP) sulle reti pubbliche se non è assolutamente necessario, è importante utilizzare sempre password sicure per questo servizio.
  • Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti che lavorano da remoto e costituiscono dei gateway per la rete.
  • Concentrare la strategia di difesa sul rilevamento di movimenti laterali ed esfiltrazione dei dati attraverso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
  • Eseguire regolarmente il backup dei dati. Assicurarsi di poter accedere rapidamente ai dati in caso di emergenza.
  • Utilizzare soluzioni come Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e bloccare l’attacco nelle fasi iniziali, prima che i criminali informatici raggiungano i loro obiettivi finali.
  • Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente sulle attuali TTP utilizzate dagli attori delle minacce. Il portale Kaspersky Threat Intelligence è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team in 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi difficili, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

20 Marzo 2023

ChatGPT al centro di una campagna phishing

 
 
 

Tratto da www.bitdefender.it – 06/03/2023

Bitdefender ha pubblicato una nuova ricerca su una crescente truffa finanziaria che utilizza una versione fake di ChatGPT.

La campagna inizia con un’email di phishing che indirizza le vittime a una versione fake di ChatGPT. Il sito offre allettanti opportunità finanziarie utilizzando l’intelligenza artificiale per analizzare i mercati e consigliare azioni a fronte di un investimento minimo di 250 euro.

L’oggetto della email include frasi come per esempio:

– ChatGPT: Il nuovo bot AI fa impazzire tutti

– Il nuovo ChatGPT chatbot sta facendo impazzire tutti – ma molto presto sarà uno strumento comune come Google

– Perché tutti sono nel panico per il bot ChatGPT?

Il “chatbot” della falsa piattaforma inizia con una breve introduzione al suo ruolo di analisi dei mercati finanziari che può consentire a chiunque di diventare un investitore di successo. I ricercatori di Bitdefender hanno accettato di stare al gioco e hanno permesso alla chatbot di aiutarli ad arricchirsi: hanno così chattato con l’intelligenza artificiale (che poteva selezionare solo risposte predefinite) e hanno scoperto che la campagna è abbinata a un call center in cui operatori reali convincono le vittime a creare un conto (per iniziare a investire) fornendo informazioni personali e finanziarie come il numero di carta di credito.

La campagna al momento è attiva maggiormente in Danimarca, Germania, Australia, Irlanda e Paesi Bassi, ma Bitdefender consiglia agli utenti di tutto il mondo di stare all’erta, poiché la campagna sembra stia crescendo a livello globale.

L’intero articolo, con link a immagini e ricerca completa, pubblicato sul sito Bitdefender, è disponibile qui

13 Marzo 2023

Piano in 10 punti per la sicurezza OT nel 2023

Tratto da www.endian.com – 07/03/2023
 

La situazione delle minacce nello spazio cibernetico rimane tesa. Con la crescente digitalizzazione delle aziende, gli attacchi non sono solo un rischio per i sistemi IT: anche l’Operational Technology (OT) è sempre più nel mirino degli aggressori.

Endian raccomanda alle aziende di implementare le seguenti misure per garantire la sicurezza dei loro ambienti OT:

1. Visualizzazione delle reti

La rappresentazione grafica delle reti aiuta a rendere gestibile la loro crescente complessità. Riuscendo a visualizzare i vari componenti, sensori e connessioni, è più facile capire come funziona il flusso di comunicazione all’interno dell’azienda e oltre i suoi confini. Le irregolarità nei processi possono così essere riconosciute più facilmente. Allo stesso tempo, la visualizzazione costituisce la base per la segmentazione della rete.

2. Segmentazione delle reti

I ransomware sono ancora la più grande minaccia per le aziende in Italia. Gli aggressori criptano i dati aziendali tramite un codice, per estorcere successivamente un riscatto. Spesso, questo codice maligno mira a diffondersi nel modo meno evidente possibile nelle reti per ottenere il massimo effetto. Dividere la rete operativa in segmenti separati è quindi un passo fondamentale per garantire la sicurezza nell’area OT. Utilizzando i gateway di sicurezza IoT, che sono posizionati in ciascun segmento, le reti possono essere rapidamente suddivise senza richiedere alcuna modifica alla struttura della rete.

3. Introduzione del concetto di Zero Trust

Più la digitalizzazione avanza, meno le reti aziendali hanno confini chiari. Per un’attività ottimale, i fornitori e i partner commerciali hanno bisogno di accedere a determinate risorse aziendali; inoltre, l’attuale situazione ha portato molti dipendenti a lavorare da casa. Il concetto di Zero Trust si basa sul presupposto che nessun accesso – sia interno sia esterno – può essere considerato affidabile senza un’effettiva verifica. Non si basa più su luoghi, ma su identità, autorizzazione e autenticazione sicura di utenti e macchine per ogni ingresso.

4. Autorizzazione e autenticazione

Impostando account, utente e credenziali è possibile garantire che solo i dipendenti autorizzati abbiano accesso a macchine e sistemi. Per la gestione, gli amministratori hanno bisogno di uno strumento centrale che permetta loro di creare, cambiare o cancellare ruoli e autorizzazioni in tempo reale. L’introduzione di regole di accesso può aumentare ulteriormente la sicurezza: per esempio, si può specificare che i dipendenti debbano avere accesso alle reti solo da determinati Paesi. Le regioni in cui l’azienda non ha né filiali né clienti possono essere escluse.

5. Autenticazione a due fattori

Le password deboli sono un altro rischio per la sicurezza in ambienti OT. Soprattutto di fronte al crescente trend dell’home working, le aziende dovrebbero fare sempre più affidamento sull’autenticazione a due fattori. Oltre alla password, gli utenti hanno bisogno di un altro fattore per accedere a una macchina o a una rete. Il cosiddetto “fattore di possesso”, che consiste nella ricezione di una password una tantum sullo smartphone, è molto usato.

6. Comunicazione M2M con certificati

La comunicazione tra macchine è diventata una costante nel processo di digitalizzazione che colpisce ogni segmento della nostra economia. Così come con le persone, anche in questo contesto è necessario garantire sicurezza tramite accessi adeguatamente protetti. I certificati forniscono a ogni dispositivo un’identità univoca per accedere ad altre macchine o anche a interi sistemi.

7. Focus sull’Edge Computing

Prima di essere inviati a un cloud centrale, i dati vengono raccolti nella rispettiva macchina o impianto e devono passare attraverso una valutazione preliminare. Questo approccio permette di risparmiare larghezza di banda e assicura un minor rischio di furto o manipolazione di dati durante la trasmissione.

8. Comunicazione crittografata 

La trasmissione dei dati tra Edge e Cloud, se non adeguatamente gestita, li espone a enormi rischi. Grazie all’utilizzo di un tunnel crittografato, è possibile rendere i dati inutilizzabili per chiunque cerchi di intercettare o accedere alla comunicazione.

9. Soluzioni on premises

Per molte aziende è importante mantenere la loro indipendenza da piattaforme di terze parti nella gestione dei dati e decidere in autonomia dove e come devono essere depositati. Grazie all’utilizzo di soluzioni On Premises è possibile offrire la massima flessibilità, poiché possono essere implementate nel cloud, nel data center dell’azienda o presso il partner system house.

10. Sensibilizzazione dei collaboratori

La maggior parte delle minacce informatiche si insinua nell’azienda tramite e-mail di phishing. Per mezzo di una falsa identità, gli aggressori inducono i collaboratori ad aprire un allegato o un link infetto. Un’adeguata formazione sull’utilizzo degli strumenti tecnologici è di sicuro un concreto aiuto nel coinvolgimento dei lavoratori.

L’intero articolo, pubblicato sul sito endian, è disponibile qui

8 Marzo 2023

Direttiva UE NIS2: l’open source è la chiave del successo

Tratto da www.endian.com – 16/02/2023
 

L’Unione Europea alza l’asticella: con la direttiva NIS2, le aziende incluse nell’area dei servizi critici aumenteranno considerevolmente di numero e allo stesso tempo i requisiti di sicurezza informatica si faranno più stringenti. Le aziende devono prepararsi subito alla transizione: la tecnologia open source può aiutare a raggiungere gli obiettivi di cybersecurity.

Fra i rischi che le aziende corrono, quello di un attacco informatico e di una conseguente interruzione dell’attività è fra i più impattanti al mondo. In risposta al crescente numero di attacchi, l’Unione Europea ha rafforzato i requisiti normativi per la sicurezza informatica e ha adottato la direttiva NIS2 a dicembre 2022.

Gli Stati membri sono obbligati a convertire la direttiva in legge entro ottobre 2024: un tempo che le aziende dovrebbero sfruttare per allinearsi ai numerosi requisiti stringenti della direttiva.

La sicurezza informatica come priorità assoluta

L’obiettivo di creare le basi per una maggiore sicurezza informatica si basa su una serie di misure tecniche: la NIS2 richiede ad esempio, come misure minime la crittografia di dati e informazioni, la gestione delle vulnerabilità e un controllo sistematico degli accessi.

Non è tuttavia comunque sufficiente per raggiungere un livello di sicurezza adeguato, poiché anche metodologie e strumenti di attacco stanno diventando sempre più sofisticati. Il chatbot ChatGPT, per esempio, è in grado di comporre testi che non differiscono quasi per nulla da quelli scritti da un essere umano e questo rende ancora più difficile rilevare le e-mail di phishing con un allegato infetto da malware.

È importante perciò monitorare costantemente il traffico per individuare qualsiasi evento che si discosti dalla condizione di normalità. Se un attacco è riuscito a superare il firewall, il sistema di rilevamento delle intrusioni (IDS) può segnalare eventuali irregolarità, come un maggiore trasferimento di dati, mentre il sistema di prevenzione delle intrusioni (IPS) può bloccare l’attacco. Anche la Deep Packet Inspection (DPI) sta acquisendo sempre più importanza: questo strumento analizza i pacchetti di dati inviati in rete, fino al livello dell’utente, per individuare e classificare protocolli e applicazioni.

Oltre ai provvedimenti tecnici, diventeranno obbligatorie tutta una serie di misure organizzative: innanzitutto predisporre una gestione del rischio cyber, predisporre piani di emergenza e formare regolarmente i propri dipendenti in materia di sicurezza informatica. Ciò significa che il management non potrà più assegnare la responsabilità della cybersecurity esclusivamente al reparto IT, ma sarà chiamato a risponderne in prima persona.

Un altro fattore che sta diventando chiave nell’analisi e nella prevenzione del rischio è la supply chain: un attacco anche grave in termini di conseguenze può passare attraverso i fornitori o i sistemi di altre aziende. In questo contesto, le certificazioni che attestino l’affidabilità di sistemi e componenti, saranno particolarmente rilevanti e per questa ragione l’UE ha invitato gli Stati membri a definire standard industriali adeguati per la certificazione.

I vantaggi della tecnologia open source

La tecnologia open source consente di utilizzare standard di comunicazione aperti e offre quindi una buona soluzione per il collegamento in rete e la protezione di infrastrutture eterogenee. Ciò offre alle aziende la flessibilità necessaria anche per accogliere innovazioni future, senza dipendere da un singolo produttore o provider.

Inoltre, la NIS2 afferma che: “Le politiche che promuovono l’introduzione e l’uso sostenibile di strumenti di cybersecurity open-source sono di particolare importanza per le piccole e medie imprese che devono affrontare costi significativi per l’implementazione, riducendo al minimo la necessità di applicazioni o strumenti specifici“.

Sanzioni severe

Eventuali violazioni delle linee guida e degli obblighi di rendicontazione, sono soggette a severe sanzioni. In caso di mancato adeguamento, le sanzioni previste arrivano fino a 10 milioni di euro o al 2% del fatturato globale. Questo dato ci dice l’UE attribuisce alla sicurezza informatica la stessa importanza che attribuisce alla protezione dei dati.

Nonostante le sanzioni severe e gli obblighi estesi, la NIS2 rappresenta nel complesso un deciso passo in avanti: se le aziende metteranno effettivamente al centro la sicurezza informatica, sarà possibile contenere le minacce che arrivano dalla rete, e, in ultima analisi, saranno le stesse aziende a trarne vantaggio.

L’intero articolo, pubblicato sul sito endian, è disponibile qui

17 Febbraio 2023

Attacco hacker: rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi (AL01/230204/CSIRT-ITA)

 
Tratto da www.csirt.gov.it
Autore: Computer Security Incident Response Team – CSIRT – 04/02/2023
 
 
 
logo ACN
 
 

Qui di seguito riportiamo quanto pubblicato dal CSIRT, sul suo sito ufficiale www.csirt.gov.it , in merito al recente attacco hacker.

Il CSIRT Italia è istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) e ha i seguenti compiti:

  • il monitoraggio degli incidenti a livello nazionale;
  • l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
  • l’intervento in caso di incidente;
  • l’analisi dinamica dei rischi e degli incidenti;
  • la sensibilizzazione situazionale;
  • la partecipazione alla rete dei CSIRT.

Tratto da www.csirt.gov.it:

Sintesi

Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100)1.

Descrizione

È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.

Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.

Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.

Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

VMware ESXi 6.5

VMware ESXi 6.7

VMware ESXi 7.0

VMware Cloud Foundation (ESXi) 3.x

VMware Cloud Foundation (ESXi) 4.x

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

https://www.csirt.gov.it/contenuti/vulnerabilita-su-prodotti-vmware-al03-210224-csirt-ita

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

6 Febbraio 2023

Blog & News

Categorie