I cinque attacchi informatici più famosi

 

La maggior parte degli attacchi informatici sono piuttosto banali; nel peggiore dei casi, l’utente visualizza una richiesta di riscatto sullo schermo, ovvero che tutto ciò che si trova sul computer è stato cifrato e può essere sbloccato solo dietro pagamento. Molte volte, però, in superficie non sembra che accada alcunché perché certi malware agiscono nell’ombra con lo scopo di rubare più dati possibile prima di essere scoperti.

Ci cono casi in cui certi attacchi sono talmente sofisticati che è impossibile che non attirino l’attenzione; questo post è dedicato proprio ai cinque attacchi informatici più famosi ed eclatanti dell’ultima decade.

WannaCry: una vera e propria epidemia

L’attacco WannaCry ha reso famosi i ransomware agli occhi di tutti, anche di coloro che non sono per nulla ferrati sull’argomento. I cybercriminali, sfruttando gli exploit del team di hacker Equation Group resi pubblici da The Shadow Brokers, hanno creato un vero e proprio mostro, un ransomware encryptor in grado di diffondersi velocemente su Internet e attraverso le reti locali.

L’epidemia Wannacry in quattro giorni ha messo KO oltre 200 mila computer in 150 paesi. Parliamo anche di infrastrutture critiche: in alcuni ospedali, WannaCry ha cifrato tutti i dispositivi, apparecchiature medicali comprese, e alcune aziende sono state costrette a bloccare la produzione. WannaCry è uno degli attacchi più recenti ad aver colpito su così vasta scala.

Per maggiori dettagli su WannaCry, potete leggere questo articolo; questi due post, invece, vi serviranno per capire la portata economica dell’epidemia. Va detto, comunque, che WannaCry è ancora in circolazione e può mettere in pericolo i computer di tutto il mondo. Se volete sapere come configurare correttamente Windows per evitare problemi, vi consigliamo di leggere questo post.

 

NotPetya/ExPetr: l’attacco informatico più costoso

L’epidemia più costosa non è stata comunque WannaCry, ma è stata dovuta a un altro ransomware encryptor (dal punto di vista tecnico, si tratta di un wiper, ma questo dettaglio non cambia le cose), il cui nome è ExPetr o anche NotPetya. Il principio di base era lo stesso di WannaCry: sfruttando gli exploit EternalBlue ed EternalRomance, il worm riusciva a muoversi nel Web, cifrando qualsiasi dato trovasse al suo passaggio.

Sebbene il numero totali di dispositivi infettati sia stato minore, l’epidemia NotPetya ha colpito soprattutto le aziende, e ciò è stato in parte dovuto al fatto che il vettore iniziale per la sua propagazione è stato il software MeDoc. I cybercriminali sono riusciti a prendere il controllo del server di aggiornamento di MeDoc, e molti clienti che utilizzavano questo software hanno ricevuto il malware, dalle sembianze di un aggiornamento, potendo così diffondersi facilmente attraverso la rete.

È stato calcolato che l’attacco informatico NotPetya abbia provocato danni per 10 miliardi di dollari, mentre WannaCry, si è “fermato” a un range di 4-8 miliardi di dollari. Fino ad oggi, NotPetya è l’attacco informatico che ha provocato più danni economici in assoluto. Speriamo che questo record non venga infranto nel prossimo futuro da qualche altro attacco.

In questo post troverete maggiori informazioni sull’epidemia NotPetya/ExPetr, mentre in quest’altro post sono state analizzate le perdite per le aziende. Qui, invece, potete leggere perché questa epidemia, oltre a colpire grandi aziende, può avere conseguenze non solo sui computer infetti ma su tutti gli altri in generale. 

 

Stuxnet: una cyberpistola fumante

Probabilmente si tratta dell’attacco malware più famoso in assoluto, celebre per la sua laboriosità, versatilità e soprattutto per aver disattivato le centrifughe di arricchimento dell’uranio in Iran, rallentando di molti anni il programma nucleare del paese. Grazie a Stuxnet, si è parlato per la prima volta dell’uso di armi informatiche per colpire i sistemi industriali.

Nessun altro malware batte Stuxnet in quanto a complessità o arguzia: il worm è riuscito a diffondersi senza farsi notare grazie ai dispositivi USB, insinuandosi anche in quei computer non connessi a Internet o alla rete locale.

Il worm è andato rapidamente fuori controllo e si è diffuso in tutto il mondo, infettando centinaia di migliaia di computer. Ma, oltre a infettare questi dispositivi, lo scopo era un altro ben preciso; il worm si mostrava solo sui computer con controllori programmabili e software Siemens. Una volta in questi dispositivi, il worm riprogrammava questi controllori e, impostando la velocità di rotazione delle centrifughe di arricchimento dell’uranio a un livello troppo alto, le distruggeva fisicamente.

Si è parlato molto di Stuxnet, si è persino scritto un libro sull’argomento; tuttavia, per avere un quadro generale circa la diffusione del worm e dei dispositivi infettati, questo post dovrebbe essere sufficiente.

 

DarkHotel: una spia nella suite d’albergo

Non è un segreto che le reti Wi-Fi pubbliche di bar e aeroporti non siano le più sicure del mondo. Tuttavia, molti pensano che quelle degli hotel siano più protette perché, anche quando la rete dell’hotel è pubblica, per lo meno viene sempre richiesta una qualche forma di autorizzazione.

Questa idea erronea ha portato a costose conseguenze per top manager e personalità di alto rango. Quando si collegavano alla rete dell’hotel, veniva richiesto loro di installare un aggiornamento apparentemente legittimo che riguardava un software piuttosto popolare. E invece, i dispositivi venivano infettati immediatamente dallo spyware DarkHotel, appositamente introdotto nella rete dai cybercriminali qualche giorno prima dell’arrivo della personalità in questione per poi essere rimosso qualche giorno dopo. Lo spyware registrava in segreto i tasti digitati dalla vittima e tale mossa consentiva ai cybercriminali di orchestrare attacchi phishing mirati.

Qui potete avere maggiori informazioni su DarkHotel e sulle sue conseguenze.

 

Mirai: la caduta di Internet

Le botnet sono in circolazione da anni ormai ma, grazie alla recente ampia diffusione dell’Internet delle Cose, questo metodo di attacco sembra vivere una seconda giovinezza. Abbiamo assistito all’infezione a grande scala e improvvisa di dispositivi la cui sicurezza informatica non è mai stata contemplata e per i quali non esisteva un antivirus dedicato. Questi dispositivi rintracciavano altri dello stesso tipo da poter contagiare e così questo esercito di zombie, chiamati a raccolta dal malware Mirai (che in giapponese significa “futuro”) è diventato sempre più grande, in attesa di ricevere istruzioni.

Poi un “bel” giorno, il 21 ottobre 2016, i proprietari di questa botnet gigante hanno deciso di mettere alla prova le potenzialità di questo esercito, facendo sì che milioni di registratori video digitali, router, fotocamere IP e altri dispositivi “intelligenti” bombardassero di richieste il fornitore di servizi DNS Dyn.

Dyn non ha potuto contrastare un attacco DDoS di tale portata; il DNS e altri servizi che vi si appoggiavano non erano più disponibili, e ciò ha avuto conseguenze importanti su piattaforme online molto popolari quali PayPal, Twitter, Netflix, Spotify, Playstation e altri servizi statunitensi. Dyn alla fine è riuscita a riprendersi, ma la veloce escalation di Mirai ha portato a riflettere sull’effettiva sicurezza dei dispositivi “smart”. Un bell’avvertimento, questo è sicuro.

Per maggiori informazioni su Mirai, Dyb e l’attacco “che ha fatto cadere Internet,” vi consigliamo di leggere questo post.

 

 

Fonte
Kaspersky Daily

6 Novembre 2018

Android 8 e autorizzazioni app: la guida completa

 

Le varianti di Android al momento in circolazione potrebbero essere migliaia, in quanto ogni casa produttrice di smartphone modifica il sistema on base alle proprie necessità, e a volte queste modifiche non sono sempre positive. In ogni caso, il cuore di Android continua a essere un sistema operativo ben progettato e la sua sicurezza migliora a ogni nuova versione.

A essere precisi, la sicurezza migliora se l’utente fa le cose per bene. Per accedere a una serie di informazioni interessanti nelle zone condivise della memoria o a delle funzionalità che potrebbero non essere sicure, le app di Android hanno bisogno di un permesso esplicito dell’utente. Ed è importante impostare adeguatamente le autorizzazioni che si concedono.

Oggi analizzeremo la versione Android 8. Innanzitutto, la versione 8 prevede maggiori impostazioni rispetto al passato, il che può essere un bene e un male allo stesso tempo. Un bene perché rendono il sistema più sicuro, un male perché configurare queste impostazioni ora è più complicato e si ha bisogno di più tempo. Inoltre, le impostazioni sono organizzate in modo diverso e a volte questa organizzazione non è così intuitiva.

 

In questa guida di Kaspersky trovate l’elenco delel principali e le relative confiurazioni.

Fonte
Kaspersky Lab – Daily

10 Ottobre 2018

Una infezione su 10 da dispositivi USB è un cryptominer

I dispositivi USB, noti per diffondere malware tra computer non connessi, sono stati sfruttati dagli autori di cyberattacchi come efficace veicolo di distribuzione di malware di cryptomining. Secondo un recente report di Kaspersky Lab sulle minacce legate a USB e supporti rimovibili, anche se la gamma e il numero di attacchi di questo tipo resta relativamente basso, la quantità di vittime sta aumentando di anno in anno.

Nonostante i dispositivi USB vengano utilizzati da circa vent’anni e si siano guadagnati la reputazione di non essere device sicuri, rimangono comunque strumenti professionali molto diffusi e gadget apprezzati nelle fiere. Tutto ciò ha permesso a questi dispositivi di essere un obiettivo dei cybercriminali che hanno potuto utilizzarli per diffondere una serie di minacce. Come rilevato dalla Kaspersky Security Network (KSN), la top 10 delle minacce che sfruttano i supporti rimovibili è stata guidata, almeno fino al 2015, dal malware LNK di Windows. La lista include, inoltre, l’exploit “Stuxnet vulnerability” del 2010 che comincia ad essere “vecchio”, CVE-2018-2568 e sempre più cryptominer.

Secondo i dati del KSN, un cryptominer noto dal 2014 e rilevato nelle drive-root è il Trojan.Win32.Miner.ays/Trojan.Win64.Miner. Il trojan agisce scaricando l’applicazione di mining sul PC, la installa e, senza farsi rilevare, avvia il software di mining scaricando gli elementi che gli consentono di inviare qualsiasi risultato ad un server esterno controllato dall’autore delle minacce. I dati di Kaspersky Lab mostrano che alcune delle infezioni rilevate nel 2018 risalgono ad anni precedenti e sono state quindi probabilmente la causa di un significativo impatto negativo sulla potenza di calcolo del dispositivo della vittima.

Stanno, inoltre, crescendo di circa un sesto, anno dopo anno, le rilevazioni della versione a 64 bit del miner, con un aumento del 18,42% tra il 2016 e il 2017 e se ne prevede un aumento del 16,42% tra il 2017 e il 2018. Questi risultati suggeriscono come la propagazione tramite supporti rimovibili funzioni bene per questa minaccia.

I mercati emergenti, dove i dispositivi USB sono più utilizzati anche in azienda, sono i più vulnerabili alle infezioni maligne diffuse dai supporti rimovibili. I Paesi più colpiti sono Asia, Africa e Sud America, ma sono stati rilevati casi isolati anche in Paesi dell’Europa e del Nord America.

Nel 2018 alcuni dispositivi USB sono stati utilizzati anche per diffondere Dark Tequila, un complesso malware bancario scoperto il 21 agosto 2018, attivo in Messico dal 2013, che ha colpito utenti e aziende. Inoltre, secondo i dati del KSN, l’8% delle minacce rivolte ai sistemi di controllo industriale, nella prima metà del 2018, sono state diffuse tramite supporti rimovibili.

 

 

“I dispositivi USB, rispetto al passato, possono essere meno efficaci nella diffusione dell’infezione a causa della crescente consapevolezza della loro debolezza a livello di sicurezza e della diminuzione del loro utilizzo in ambito aziendale, ma la nostra ricerca mostra che rimangono comunque un rischio significativo che gli utenti non dovrebbero sottovalutare. Questi dispositivi sono certamente utili ai cybercriminali, che infatti continuano a sfruttarli, anche perché alcune infezioni non vengono rilevate addirittura per anni. Fortunatamente ci sono alcuni accorgimenti molto semplici che gli utenti e le aziende possono adottare per preservare la sicurezza” ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
I dispositivi USB offrono molti vantaggi: sono compatti e maneggevoli e una grande risorsa per una azienda, ma i dispositivi in sé, i dati memorizzati su di essi e i computer a cui vengono collegati sono tutti potenzialmente vulnerabili alle cyberminacce se non protetti.
Kaspersky Lab consiglia di seguire alcuni accorgimenti per utilizzare i dispositivi USB e altri supporti rimovibili in modo sicuro:

  • Fare attenzione ai dispositivi che si connettono al proprio computer – qual è la loro origine?
  • Investire in dispositivi USB crittografati di marche affidabili, in questo modo i propri dati sono al sicuro anche se si perde il dispositivo
  • Assicurarsi che tutti i dati memorizzati sulle USB siano crittografati
  • Avere installata una soluzione di sicurezza in grado di verificare che sui supporti rimovibili non ci siano malware installati prima di collegarli alla rete; può infatti accadere che anche i dispositivi delle marche affidabili possano essere compromessi attraverso la loro supply chain.

Ulteriori consigli per le imprese:

  • Regolamentare l’uso dei dispositivi USB in azienda: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa
  • Istruire i dipendenti sulle modalità sicure per utilizzare le USB, in particolare quando utilizzano un dispositivo sia su un computer di casa che su uno dell’ufficio
  • Non lasciare USB in giro e in vista

Le soluzioni di sicurezza di Kaspersky Lab, come Kaspersky Endpoint Security for Windows, garantiscono sicurezza e crittografia per tutti i supporti rimovibili, inclusi i dispositivi USB.
Il report completo sulle minacce USB è disponibile su Securelist.

Fonte
Kaspersky – Securelist

1 Ottobre 2018

Perche’ non esistono antivirus per IOS ?

Potrebbe sembrare strano che Kaspersky Lab non offra un’app antivirus per iOS, ma c’è una buona ragione: Apple non ammette app ufficiali di antivirus nell’App Store, dichiarando  che “Apple ha progettato la piattaforma iOS con la sicurezza al centro” e quindi il sistema operativo non ha bisogno di un’utilità antivirus.

Sembra arrogante, ma non è solo marketing: Apple iOS è infatti progettato per essere molto sicuro.

Le app iOS vengono eseguite nelle proprie sandbox: ambienti sicuri che nascondono le app, tenendole lontane dai dati di altre app, e dalla possibilità di manomettere i file del sistema operativo.
In ambiente iOS, un’app “wanna-be-malicious” non sarà in grado di rubare o compromettere nulla: non sarà consentito l’accesso al di fuori della propria sandbox, dove vengono memorizzati ed elaborati solo i propri dati.
Oltre a questa misura di sicurezza, Apple limita l’installazione sui dispositivi iOS solo a quelle app che provengono dall’App Store ufficiale (a meno che qualcuno che sia l’amministratore della tua azienda o un malfattore, abbia un account sviluppatore aziendale che consente di utilizzare Mobile Device Management [MDM] per installare app da fonti di terze parti).
La società ha un controllo molto stretto su ciò che è consentito nel suo store, controllando il codice di tutte le app prima di approvare qualsiasi cosa.
Ciò significa che qualcuno dovrebbe sviluppare un’app dannosa per iOS e quindi sottoporla a una revisione ufficiale prima di avere la possibilità di installarla su un dispositivo iOS.

Ovviamente, quanto sopra è vero solo per i dispositivi iOS non jailbreak, ma la maggior parte degli iPhone e degli iPad non sono jailbreak, soprattutto perché le versioni moderne di iOS sono molto sicure e non esiste un modo noto per effettuare il jailbreak.
Proprio quelle stesse limitazioni significano che le app antivirus non possono essere create per iOS: qualsiasi soluzione antivirus per funzionare deve essere in grado di vedere cosa stanno facendo le altre app e intervenire se il comportamento di un’applicazione è sospetto, e non puoi farlo in una sandbox.

 

Cosa sono le app di security che trovo nel App Store ?
Cercando nell’App Store troverai app chiamate “di sicurezza Internet”, ma non sono app antivirus. Una soluzione antivirus corretta non può essere eseguita su iOS. Queste app non sono utility antivirus, anche se hanno motori antivirus incorporati, non sono autorizzati a scansionare altre app e i loro dati.
Cosa fanno davvero quelle app? Sono dei falsi? No e possono avere utili funzioni di sicurezza come i moduli antiphishing e antitracking, VPN, utilità di controllo parentale, gestione password, blocco annunci, soluzioni antifurto o qualsiasi combinazione di questi.

Questa è la ragione per cui Kaspersky Internet Security per iOS non esiste.
Ma tutte le funzionalità di cui sopra sono effettivamente utili, ed è per questo che Kaspersky ha qualcos’altro per il sistema operativo mobile di Apple.

 

Sono sicuro con iOS ?
Apple ha davvero progettato iOS con la sicurezza al suo interno, ma non è sufficiente definirlo un sistema operativo assolutamente sicuro. Di tanto in tanto, i criminali informatici scoprono nuovi modi per sfruttare le vulnerabilità in iOS o ingannare i tecnici Apple che esaminano le app.
Ad esempio è stato infettato il kit di sviluppo Xcode in modo che app innocenti create con esso possano diventare malevoli; o app che controllando la posizione geografica quando vengono eseguite negli Stati Uniti non attivano la parte malevole del codice e riescono cois’ a bypassare i controlli Apple e vengono pubblicate nell’App Store.

Fortunatamente, il malware per iOS è molto raro al momento, quindi le probabilità di incontrarne uno è molto bassa.
Ribadiamo che è vero a meno che non si installi un profilo MDM, perché in seguito il dispositivo può essere controllato completamente e in remoto dal server dell’organizzazione che ha emesso il profilo.
Pertanto, per gli utenti non-enterprise, evitare i certificati MDM è la prima regola di sicurezza in  iOS.

 

Nessun malware, nessun problema, giusto?
Sfortunatamente, il malware non è l’unica minaccia. Non dimentichiamo che altre minacce sono altrettanto reali per gli utenti iOS come lo sono per tutti gli altri. Tali minacce includono phishing, spam, intercettazione dei dati di rete e così via e così via, per non parlare delle minacce alla privacy.

 

Rimane quindi importante adottare una soluzione di protezione per iOS per tutte le altre minacce a cui sono esposti anche iPhone e iPad.

 

Fonte
Kaspersky Daily

21 Settembre 2018

Protezione e controllo delle informazioni. Quali soluzioni ?

 

La crittografia è uno dei metodi più sicuri in assoluto per gestire con facilità le politiche di accesso e di condivisione delle informazioni, sia all’interno che all’esterno dell’organizzazione aziendale, riducendone il rischio di furto o di utilizzo non autorizzato.
E’ possibile proteggere documenti, endpoint (come smartphone, tablet, notebook, workstation, in parte o completamente), e-mail, dispositivi esterni (hard e flash drive). Le varie possibilità possono essere tra loro combinate al fine di raggiungere i più elevati standard di protezione da perdite accidentali o dolose.

Presentiamo alcune soluzioni che possono coprire le esigenze più comuni:

 

Proteggere e controllare sempre e ovunque i tuoi documenti
La soluzione IRM di Sealpath impedisce che informazioni riservate, ovunque esse siano, sulla rete aziendale, sulle reti dei clienti o dei partner, nel cloud (ad es. Box, Dropbox, ecc.) o su un dispositivo mobile, possano essere viste o usate da utenti non autorizzati.
IRM di Sealpath protegge i documenti riservati con crittografia persistente che accompagna i file ovunque essi siano; gestisce e controlla, attraverso una console centralizzata, chi accede ai documenti riservati, quando e con quale permessi (sola lettura, modifica, stampa, copia e incolla, ecc.) e registra i dettagli degli accessi ai documenti.
La soluzione consente inoltre di dimostrare che i documenti con dati personali e/o sensibili sono protetti con sistemi di crittografia e con misure tecniche che assicurano che l’accesso ad essi sia impossibile senza autorizzazione, rispondendo così anche al principio di accountability del GDPR.

 

Cifratura a livello di file, disco o dispositivo
La crittografia di Kaspersky Endpoint Security for Business Advanced, con certificazione FIPS 140-2 e completamente trasparente per l’utente, protegge i dati riservati sui dispositivi fissi e portatili. La tecnologia integrata consente di applicare in maniera centralizzata le policy di crittografia dei dati aziendali a livello di file, disco o dispositivo removibile.

 

End to end email encryption
Il modulo di Email Encryption di Libra Esva Email Security Gateway è una funzionalità di crittografia end-to-end che protegge le e-mail direttamente sul tuo gateway di posta.
La crittografia end-to-end garantisce che solo il destinatario previsto possa leggere il contenuto. Neanche gli amministratori possono leggere il messaggio senza la password.
Ogni volta che il destinatario riceve un messaggio crittografato viene informato sui metodi disponibili per leggere e decodificare il messaggio e, attraverso un apposito servizio web sul gateway ESVA del mittente, può accedere al messaggio e ai contenuti.

 

E-mail crittografate e firmate con certificato personale
I certificati email personali consentono agli utenti di firmare e crittografare le e-mail in modo digitale dimostrandone la paternità, impedendone la manomissione e garantendo la riservatezza attraverso la cifratura. Qualunque sia il sistema di posta utilizzato e’ possibile firmare l’email con il proprio certificato personale e crittografarne il contenuto purché anche il destinatario sia in possesso di un certificato email personale.

 

Storage criptato
IStorage produce storage portatili (flash drives, hard drive, ssd drive) ad attivazione a mezzo PIN, con crittografia in real time e autenticazione hardware. Non richiedono installazioni di software, driver o utility, e sono indipendenti dal sistema operativo e dalla piattaforma.

19 Settembre 2018

Blog & News

Categorie