I sintomi che indicano che uno dei vostri dispositivi è stato attaccato

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 04/11/2022
 

 

Di norma, i cybercriminali cercano di realizzare i loro attacchi in modo furtivo. In fondo, più a lungo rimangono inosservati dalle vittime, più è probabile che raggiungano i loro obiettivi. Tuttavia, non sempre riescono a nascondere la loro attività. Molto spesso, infatti, in base a una serie di segnali, è possibile capire se qualcosa non va sul computer o sullo smartphone. 

Ecco un elenco con i sintomi più evidenti; tali segnali possono indicare che il malware è in esecuzione su un dispositivo o che gli hacker stanno interferendo in qualche modo (si consiglia quindi di segnalare i problemi almeno al proprio dipartimento IT):

Il dispositivo funziona lentamente

Quasi tutti i sistemi degli utenti iniziano ad avviarsi e/o a funzionare più lentamente con il passare del tempo. Ciò può essere dovuto a vari motivi: il disco è pieno, alcuni software richiedono più risorse dopo un aggiornamento o il sistema di raffreddamento è semplicemente intasato dalla polvere. Ma può anche indicare la presenza di un codice dannoso in esecuzione sul dispositivo.

Il computer accede costantemente al hard drive

Se il computer fa lampeggiare continuamente la spia di accesso all’hard drive, fa molto rumore o copia i file con una lentezza incredibile (anche se non sono stati avviati processi che consumano risorse), ciò può significare che il disco è danneggiato oppurre che qualche programma sta leggendo o scrivendo continuamente i dati.

Problemi con l’account

Se improvvisamente alcuni servizi o sistemi non vi concedono più l’accesso pur avendo inserito la password correttamente, è bene prestare attenzione. Potete provare a reimpostare la password, ma se qualcun altro l’ha cambiata non c’è garanzia che non lo faccia di nuovo. È bene prestare attenzione anche se si viene improvvisamente disconnessi dai servizi o se si ricevono più notifiche relative a tentativi di modifica della password. Tutto ciò potrebbe indicare un possibile attacco.

Finestre pop-up

È normale che un dispositivo comunichi occasionalmente all’utente che è necessario un aggiornamento o che la batteria sta per esaurirsi. Ma i messaggi di errore regolari sono un segno che qualcosa non funziona correttamente. Allo stesso modo, non è normale se improvvisamente iniziano a comparire finestre non richieste con pubblicità o richieste di conferma della password.

Comportamento sospetto del browser

A volte un comportamento anomalo del browser può essere la prova di un attacco, e non solo per le già citate finestre che appaiono all’improvviso. Se un malware di tipo adware si introduce in un computer, può iniziare a sostituire i banner su diverse pagine con lo stesso tipo di pubblicità, ma di dubbia legalità. Naturalmente, questo può anche significare un problema da parte delle reti che si occupano dei banner. Ma il fatto che lo stesso annuncio appaia su tutti i siti è un sintomo allarmante. Inoltre, bisogna prestare attenzione ai reindirizzamenti. Se inserite un indirizzo e il browser vi reindirizza regolarmente a un altro, dovreste segnalarlo agli esperti di sicurezza informatica.

File o cartelle inaccessibili o mancanti

Se di recente i file o le directory si sono aperti normalmente, ma ora non è più possibile aprirli o sono completamente scomparsi, è una buona ragione per contattare il dipartimento IT. Forse avete accidentalmente cancellato un file importante, o forse è stato criptato da un ransomware o eliminato da un wiper.

Sono comparsi file o applicazioni sconosciute

Se non avete installato un nuovo software né scaricato o aggiornato nulla, ma sul vostro computer sono comparsi nuovi programmi, file, pulsanti di programma, plug-in, tool o altri elementi sconosciuti, è meglio verificare insieme al dipartimento IT e capire di cosa si tratta e da dove provengono. È bene prestare attenzione soprattutto alle richieste di riscatto. Ci sono stati casi in cui le vittime hanno ignorato tali messaggi perché tutti i file sembravano immutati e disponibili sul dispositivo. Ma poi si è scoperto che il ransomware non era riuscito a criptare i file, ma era comunque riuscito a trasferire i dati sui server dei criminali.

Notifiche di connessione remota

Gli hacker spesso utilizzano software di accesso remoto legittimi. Di norma, tali software visualizzano sullo schermo un messaggio che indica che qualcuno si è collegato in remoto al computer. Se tale notifica appare senza il vostro consenso o se vi viene improvvisamente proposto di concedere l’accesso a una persona sconosciuta, molto probabilmente il vostro computer è stato attaccato da un hacker. Nel caso in cui ci si deve connettere remotamente, i veri amministratori di sistema avvertono in anticipo gli utenti e lo fanno tramite un canale di comunicazione fidato.

Qualcosa impedisce al computer di spegnersi o di riavviarsi

Molti virus hanno bisogno di rimanere presenti nella RAM. Anche i trojan spia hanno bisogno di tempo per caricare le informazioni raccolte sui server dei criminali. Di conseguenza, il malware deve mantenere il computer in funzione il più a lungo possibile. Se notate che il vostro dispositivo non si spegne correttamente, informate il responsabile della sicurezza IT o un informatico il prima possibile.

Comunicazioni o messaggi che non avete inviato

Se i vostri contatti si lamentano di aver ricevuto e-mail o messaggi istantanei da voi ma non li avete mai inviati, significa che qualcuno ha avuto accesso ai vostri account o sta manipolando uno dei vostri dispositivi. In entrambi i casi, è necessario avvisare il responsabile della sicurezza aziendale.

7 Novembre 2022

EndianOS UTM 6.5 è ora disponibile

 

 

La UTM 6.5 è stata rilasciata ed è disponibile per tutte le nuove appliances hardware, software e virtual.

È una revisione completa del sistema EndianOS e fornisce una moltitudine di nuove funzionalità e miglioramenti rispetto alla versione precedente tra cui: Network Awareness, Docker, supporto multizona e tanto altro ancora.

Qui i maggiori dettagli riguardo gli highlights del rilascio.

Se siete già in possesso della versione Endian UTM 5.x, nelle prossime settimane verrà rilasciata l’opzione per l’aggiornamento.

Informazioni aggiuntive:
  • L’Hotspot non è momentaneamente disponibile (verrà aggiunto nella futura release)
  • Il Network monitoring (NTOP) è stato sostituito dalle nuove funzioni di Network Awareness
  • La versione in inglese è disponibile e completa (italiano e tedesco verranno completate in un futuro aggiornamento)
  • La funzionalità di SPAM Training non è attualmente disponibile.

Per ulteriori informazioni: dircom@argonavis.it

24 Ottobre 2022

Vulnerabilità in Zimbra sfruttata in-the-wild

 
Tratto da Blog Kaspersky
Autore: Editorial Team – 17/10/2022
 

I server con installato Zimbra Collaboration Suite sono stati attaccati attraverso un’utility per decomprimere gli archivi

 

 

Gli esperti di Kaspersky hanno rilevato che gruppi APT sconosciuti stanno attivamente sfruttando la vulnerabilità CVE-2022-41352, recentemente scoperta nel software Zimbra Collaboration. Almeno uno di questi gruppi sta attaccando i server vulnerabili in Asia Centrale.

Cos’è CVE-2022-41352 e perché è così pericolosa?

Questa vulnerabilità risiede nell’utility di archiviazione cpio, utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis, il quale decomprime e analizza gli archivi. Gli hacker possono creare un archivio .tar dannoso con all’interno una web-shell e inviarlo a un server che esegue il software Zimbra Collaboration vulnerabile. Quando Amavis inizia a controllare questo archivio, richiama l’utility cpio che decomprime la web-shell in una delle directory pubbliche. A questo punto i criminali devono solo eseguire la loro web-shell e iniziare a eseguire comandi arbitrari sul server attaccato. In altre parole, questa vulnerabilità è simile a quella del modulo tarfile.

Potete trovare una descrizione tecnica più dettagliata della vulnerabilità nel post sul blog di Securelist. Tra l’altro, il post include un elenco con le directory in cui gli hacker hanno collocato la loro web-shell (nei casi analizzati dai nostri esperti).

L’aspetto particolarmente pericoloso è che l’exploit per questa vulnerabilità è stato aggiunto al Metasploit Framework, uno strumento in teoria creato nell’ambito di un proggetto di sicurezza informatica e pentesting, ma che in realtà viene spesso utilizzata dai criminali informatici per attacchi reali. Quindi, l’exploit per CVE-2022-41352 ora può essere utilizzato anche da criminali informatici alle prime armi.

Come proteggersi

Il 14 ottobre Zimbra ha rilasciato una patch insieme alle istruzioni per l’installazione, quindi la prima cosa da fare è logicamente installare gli aggiornamenti più recenti che si possono trovare qui. Se per qualche motivo non è possibile installare la patch, esiste un workaround: l’attacco può essere evitato installando l’utility pax su un server vulnerabile. In questo caso, Amavis utilizzerà pax per decomprimere gli archivi .tar invece di cpio. Tuttavia, non dimenticate che questa non è una vera soluzione al problema: in teoria, gli hacker possono trovare un altro modo per sfruttare cpio.

Le soluzioni Kaspersky rilevano e bloccano con successo i tentativi di sfruttamento della vulnerabilità CVE-2022-41352.

Per ulteriori informazioni: dircom@argonavis.it

20 Ottobre 2022

AdvancedIPSpyware: il backdoored che colpisce le aziende

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 13/10/2022
 

Kaspersky ha scoperto AdvancedIPSpyware, una versione con backdoor di Advanced IP Scanner presenta un’architettura insolita ed è la copia quasi identica del sito web legittimo

AdvancedIPSpyware
 

In un recente report sul crimeware, gli esperti di Kaspersky hanno descritto AdvancedIPSpyware. Si tratta di una versione con backdoor dello strumento legittimo Advanced IP Scanner, utilizzato dagli amministratori di rete per controllare le reti locali (LAN). Lo strumento dannoso ha colpito un vasto pubblico con aziende vittime in Europa Occidentale, America Latina, Africa, Asia Meridionale, Australia e Paesi della CSI, raggiungendo un numero complessivo di circa 80 vittime.

Testo estratto dall’articolo pubblicato su www.bitmat.it

14 Ottobre 2022

Qbot: il trojan bancario adesso colpisce le aziende

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 07/10/2022
 

Gli esperti Kaspersky segnalano una campagna malware Qbot. I criminali informatici intercettano conversazioni esistenti e si inseriscono per diffondere file malevoli

 

Qbot
 

Dopo un periodo di tregua, sta tornando una campagna dannosa che prende di mira le organizzazioni con il pericoloso malware Qbot. Kaspersky ha identificato una nuova ondata di attività con oltre 1.500 utenti colpiti dal 28 settembre 2022. Tra i Paesi più attaccati ci sono gli Stati Uniti con 193 utenti, seguiti da Italia con 151, Germania con 93 e India con 74 (al 4 ottobre 2022). Kaspersky ha finora scoperto più di 400 siti web infetti che diffondono Qbot.

Qbot è un noto Trojan bancario, in grado di rubare i dati e le e-mail degli utenti dalle reti aziendali infette, di diffondersi ulteriormente nella rete e di installare ransomware o altri Trojan su altri dispositivi della rete. I criminali informatici presumibilmente intercettano le e-mail attive che riguardano conversazioni su questioni di lavoro e inviano ai destinatari un messaggio contenente un link con un file archiviato con una password da scaricare per infettare i loro dispositivi con un trojan bancario. Per convincere gli utenti ad aprire o scaricare il file, gli attaccanti di solito affermano che contiene alcune informazioni importanti, come un’offerta commerciale. Questo schema rende questi messaggi più difficili da individuare e aumenta le probabilità che il destinatario cada nella trappola.

Testo estratto dall’articolo pubblicato su www.bitmat.it

10 Ottobre 2022

Blog & News

Categorie