Inserire una eccezione per la sandbox di LibraESVA

Nell’ultima versione di LibraESVA 4.0.0 è stata rilasciata una interessantissima funzionalità la Sandbox, che permette di analizzare la pericolosità dei link prima di poterci accedere.

Il link nel messaggio viene riscritto, in modo da indirizzarlo verso la sandbox installata negli EsvaLabs ed essere analizzato.

In alcuni casi è utile poter inserire delle eccezioni alla riscrittura. LibraESVA anche in questo caso ci permette di scegliere per quali domini non effettuare la riscrittura del link.

Dal menù “System” -> “Content Analisys” -> “Phishing Highlight” possiamo inserire dei siti da considerare SAFE

eccezioni sandbox

Nota: per i siti considerati sicuri e su cui non si vuole la riscrittura mettere il valore Phishing Safe: Yes, mettendo Phishing Safe: No i link che rispondono alla regola verranno considerati sempre come Phishing.

Dopo aver inserito le regole ricordarsi di applicare le nuove impostazioni

phishing apply settings

argonavislab

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

23 Settembre 2016

Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file  DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

5 Settembre 2016

Bug Bounty Program

I Bug Bounty Program sono dei programmi a premio finanziati dai produttori di software, in cui vengono remunerate le scoperte di nuovi bug o vulnerabilità ancora sconosciute.robot-mela

Questi programmi servono ai produttori di software di venire a conoscenza di vulnerabilità e bug che possono mettere in pericolo la sicurezza del loro prodotto, ben consapevoli che in un mercato affollato di concorrenti, basta un passo falso per perdere importanti quote di mercato.

A questo programma possono partecipare tutti i ricercatori capaci di individuare delle falle di sicurezza, quando una di queste viene individuata deve essere rigorosamente segnata ai gestori del programma e deve rimanere riservata fino al momento in cui viene rilasciata una apposita fix, in quel momento viene resa pubblica.

La partecipazione ad un programma di questo genere, lascia intendere un sincero desiderio da parte del vendor di perfezionare il proprio codice riducendo il rischio che possa essere oggetto di un attacco.

2 Settembre 2016

Kaspersky rilascia un proprio Sistema Operativo

Diverse minacce informatiche possono influenzare la stabilità delle infrastrutture di 12Internet. Il corretto funzionamento dipende dalle scelte fatte sulle attrezzature da parte dei fornitori di servizi di telecomunicazioni.

Tra le minacce informatiche rivolte alle apparecchiature per le telecomunicazioni, sono particolarmente significative due tipologie di minacce:

  1. Le minacce associate con azioni involontarie:
    • azioni svolte dai dipendenti a seguito di un guasto dell’apparecchiatura totale o parziale
    • installazione non autorizzata e l’utilizzo di programmi non sicuri
  2. Le minacce associate con azioni intenzionali:
    • attacchi remoti su hardware con l’obiettivo di cambiare la sua configurazione o modificare il suo software integrato (Firmware).
    • attacchi che sfruttano backdoor built-in o vulnerabilità note di software e hardware al fine di intercettare traffico o prendere il controllo di apparecchiature o di un sistema.

Alcune minacce possono essere mitigate attraverso lo sviluppo di software per la sicurezza, specifiche, tuttavia i produttori di apparati si trovano ad affrontare un difficile dilemma.

Da un lato, la apparecchiature che producono deve fornire funzionalità estese; dall’altro, il firmware dovrebbe essere sufficientemente compatto per rendere possibile la verifica che non presenti vulnerabilità e backdoor sfruttabili.

Va inoltre tenuto presente che la protezione contro le apparecchiature di telecomunicazione informatica minacce è ulteriormente complicata da una serie di fattori, tra cui:

  1. la necessità di attrezzature per funzionare in modo autonomo, senza aggiornamenti di manutenzione o software per lunghi periodi di tempo
  2. utilizzo di hardware specializzato
  3. utilizzo di software proprietario incorporato
  4. collegamento diretto permanente ad Internet
  5. impossibilità di installare una protezione aggiuntiva progettata per sistemi generici

L’unico modo per proteggere questi apparati è quello di sviluppare una suite software integrata di cyber-sicurezza già inclusa nel sistema operativo.

Per affrontare la questione della sicurezza informatica per le apparecchiature di telecomunicazione, riducendo al minimo il tempo necessario per sviluppare le caratteristiche di sicurezza è stato realizzato KasperskyOS, un sistema operativo sicuro basato su un’architettura progettata per garantire che il software venga eseguito in modo sicuro, anche quando le applicazioni non sono completamente sicure per la presenza vulnerabilità. Inoltre, KasperskyOS fornisce protezione in caso di errori software casuali e sulle azioni errate da parte degli utenti.

KasperskyOS, gira su hardware: Intel x86, x64, ARMv7 (i.MX6) destinato al mercato degli apparati di telecomunicazione ed in particolare ai Router.

30 Agosto 2016

Ransomware Petya e Mischa disponibili as a Service

Da qualche giorno su un sito raggiungibile tramite rete TOR è possibile affiliarsi ad una rete di criminali informatici che mette a disposizione i ransomware Petya e Mischa, attraverso una vera e propria piattaforma RaaS (Ransomware as a Service) per la diffusione del malware come servizio.

La piattaforma mette a disposizione una interfaccia web per generare campagne di diffusione del malware e gestire i riscatti.

La tabella sottostante riporta i guadagni offerti. Si va dal 25% se il volume settimanale di BitCoin raccolti è inferiore a 5, fino all’85% se il volume di riscatti settimanali ottenuti è superiore ai 125 BitCoin, che come viene riportato nella descrizione, al momento equivale ad un guadagno superiore ai 45.000 dollari.

raas

L’incoraggiamento dato al potenziale affiliato sulla facilità con cui si possono raccogliere più di 100 BitCoin con le giuste tecniche è una realtà, i ransomware hanno raggiunto livelli di diffusione rilevanti e la pubblicazione di queste piattaforme per l’affiliazione produrrà nuove campagne sempre può mirate.

Tutte le aziende per evitare perdite di denaro dovrebbero implementare delle soluzioni tecniche in grado di mitigare la minaccia di infezione da Cryptlocker.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni ed illustrarvi come proteggere i vostri sistemi impiegando le più diffuse best practies ed utilizzando le tecnologie più efficaci.

Richiedi Informazioni

2 Agosto 2016

Blog & News

Categorie