Un ransomware per i server Zimbra

L’industria del malware è sempre pronta a colpire nuovi obiettivi sfruttando per un certo periodo l’effetto sorpresa. Dopo aver colpito le workstation degli utenti, in particolare Windows, ma anche Mac e Linux, con una frequenza sempre maggiore, nuovi ransomware hanno iniziato a colpire i server che erogano servizi su internet.

Dopo il ransomware che infettava i siti in wordpress siamo di fronte ad una nuova importante minaccia, un ransomware che attacca i mailserver Zimbra.

Lawrence Abrams ha scoperto uno script malevolo in grado di crittografare i dati presenti nella directory /opt/zimbra/store/ ovvero la directory utilizzata nella configurazione standard per memorizzare i messaggi presenti nelle mailbox.

Il malware è scritto in Python e per poter portare al termine l’attacco ha necessità che siano installate sulla macchina vittima dell’attacco le librerie:

python-dev
pip install pycrypto

e deve poter essere eseguito con privilegi di root.

Se riesce ad essere eseguito, lo script effettua la crittografia dei file contenuti directory /opt/zimbra/store e nelle sue sottodirectory, aggiunge il suffisso .crypto ai messaggi crittografati.

Infine genera il file /root/how.txt contenente le istruzioni per il “riscatto” dei file, dopo aver effettuato il pagamento di 3 bitcoin.

Le chiavi utilizzate dalla crittografia, vengono generate sul sistema vittima, la chiave AES utilizzata per crittografare i dati, viene crittografata con l’algoritmo RSA a 2048 bit ed entrambe le chiavi vengono inviate con un messaggio di posta elettronica all’attaccante.

Per precludere questo tipo di attacco è sufficiente limitare l’accesso tramite SSH al server, tenere aggiornato il sistema operativo ed installare il minimo dei pacchetti necessari al funzionamento di Zimbra evitando di installare altri prodotti e servizi sullo stesso server.

Il malware è piuttosto primitivo nella sua forma ed ancora non costituisce una vera minaccia, è piuttosto facile difendersi, ma deve risuonare forte l’allarme, se intendi lavorare devi necessariamente proteggerti accuratamente.

I ransomware si stanno dimostrando un ottimo strumento, per i criminali informatici, per convertire gli attacchi informatici in denaro e nuove forme di attacco vengono quotidianamente implementate.

I tecnici Argonavis sono a tua disposizione per maggiori informazioni sulle minacce attuale ed aiutarti a proteggere le informazioni della tua azienda.

Richiedi Informazioni

Grave vulnerabilità su Adobe Flash Player

Una nuova grave vulnerabilità è stata scoperta su Adobe Flash Player e pubblicata sul bollettino di sicurezza di Adobe Security Advisory https://helpx.adobe.com/security/products/flash-player/apsa16-03.html il 14 giugno 2016.

La vulnerabilità è presente nella versione 21.0.0.242 e nelle precedenti nei software installati su sistemi operativi Windows, Linux, Mac, e ChromeOS.

Il punteggio CVSS assegnato a questa vulnerabilità è elevatissimo 9,8

cvss

Sfrutta come vettore d’accesso la rete (una applicazione flash aperta tramite browser) genera il crash dell’applicazione e permette all’attacante di prendere il controllo del sistema attaccato.

La complessità di questo attacco è veramente bassa e non richiede privilegi particolari dell’utente, è sufficiente avere a disposizione l’input che genera il crash per poterlo utilizzare e compromettere la confidenzialità, l’integrità e la disponibilità dei dati e dei servizi presenti nella macchina vittima dell’attacco.

La vulnerabilità è stata scoperta da Anton Ivanov e Costin Raiu di Kaspersky Lab.

La scoperta è avvenuta in modo accidentale durante l’analisi di un caso di attacco APT.
I ricercatori Kaspersky sono all’avanguardia nell’individuazione degli attacchi, delle tecniche utilizzate dagli hacker per colpire le loro vittime e nel fronteggiare gli attacchi.

Le conoscenze acquisite dai ricercatori Kaspersky sugli attacchi zero-day permettono di avere nei loro prodotti tecniche di riconoscimento avanzate degli attacchi zero-day, tuttavia quando l’attacco è già noto, bisogna procedere il più rapidamente possibile nell’installazione delle patch applicative.

Kaspersky Security Center offre al reparto IT la possibilità di gestire il ciclo di individuazione, prioritizzazione, testing della patch e distribuzione delle patch per la maggior parte delle applicazioni commerciali e non solo per le patch del sistema operativo.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

Database con decryptor per ransomware

E’ disponibile un database costantemente aggiornato da esperti di sicurezza in cui sono presenti tutte le versioni di ransomware scoperte, inoltre per le versioni in cui è presente il tool di decrittazione è indicato il link da cui scaricarlo.

Il database è un foglio di calcolo online ed è disponibile all’indirizzo: https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Nonostante siano presenti alcuni tool (il cui funzionamento non è garantito) ricordiamo i principali metodi per evitare di essere infettati:

Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

Un brutto esempio di phishinig

La diffusione dei Ransomware ha portato molta attenzione al tema della sicurezza informatica ed in particolare verso tutti i metodi di protezione dai ransomware, trascurando l’esistenza di altre pericolose minacce.

Fra queste c’è senza dubbio in Phishing, che continua attraverso campagne mirate a sottrarre dati personali da rivendersi nel mercato nero.

Stamattina mi è capitato di osservare un messaggio di phishing correttamente classificato, ma che mi ha fatto riflettere su alcuni aspetti caratterizzanti di questo messaggio.

Vediamo come era composto:

Delivered-To: <rimosso>
Received: by 10.202.62.131 with SMTP id l125csp2191720oia;
        Tue, 31 May 2016 14:13:07 -0700 (PDT)
X-Received: by 10.194.173.132 with SMTP id bk4mr110281wjc.92.1464729186993;
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Return-Path: <root@mail.yervaguena.com>
Received: from mail.yervaguena.com (mail.yervaguena.com. [5.56.57.43])
        by mx.google.com with ESMTPS id o84si39196803wmb.94.2016.05.31.14.13.06
        for <angelopenduzzu@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) client-ip=5.56.57.43;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) smtp.mailfrom=root@mail.yervaguena.com
Received: by mail.yervaguena.com (Postfix, from userid 0)
	id 3DFF513A22A; Tue, 31 May 2016 22:44:06 +0200 (CEST)
To: <rimosso>
Subject: Accesso bloccato al tuo account CheBanca associato con l'indirizzo e-mail angelopenduzzu@gmail.com .
X-PHP-Originating-Script: 0:ch3.php
From: CheBanca! <noreply.5206@ingdirectitalia.it>
Reply-To: noreply.5206@ingdirectitalia.it
Content-Type: text/html
Message-Id: <20160531204406.3DFF513A22A@mail.yervaguena.com>
Date: Tue, 31 May 2016 22:44:06 +0200 (CEST)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<a href="http://www.chebanca.it.voKUCJ.thearborist.co.nz/.chebanca.it/?sicurezza=voKUCJ">
<img src="http://www.chebanca.it.Rzfuwt.thearborist.co.nz/images/chebancalogo205.png" height="261" width="632" border="0"></a> <text-align:center;margin-top: -19px;\"><b> </b></p></div
</html>'

Gli aspetti interessanti sono due:

L’indirizzo del mittente usa il dominio ingdirectitalia.it di proprietà di una nota banca online che opera a livello internazionale, purtroppo da una rapida analisi scopriamo che non hanno registrato un record SPF e quindi il messaggio non è stato bloccato.

dig ingdirectitalia.it TXT
; <<>> DiG 9.10.3-P4-Ubuntu <<>> ingdirectitalia.it TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41050
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;ingdirectitalia.it.        IN    TX
;; AUTHORITY SECTION:
ingdirectitalia.it.    3600    IN    SOA    dns1.fastweb.it. dnsmaster.fastweb.it. 2015121001 10800 900 604800 86400
;; Query time: 1133 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jun 01 07:10:48 CEST 2016
;; MSG SIZE  rcvd: 95

L’indirizzo a cui punta il collegamento inizia con http://www.chebanca.it che ad una lettura superficiale potrebbe anche far credere che si tratti dell’indirizzo giusto, mentre invece il vero dominio è: thearborist.co.nz

Infine un’ultima considerazione, nelle intestazioni possiamo trovare che il messaggio è stato spedito da uno script php:

X-PHP-Originating-Script: 0:ch3.php

Il furto di identità è ancora una pratica molto diffusa e le campagne di Phishing quotidiane. Un incidente di sicurezza causato dalla perdita di credenziali di accesso può produrre danni economici più ingenti rispetto al BitCoin solitamente necessario per acquistare la chiave di decrittazione per un ransomware (acquisto che continuiamo a sconsigliare perchè significherebbe incrementare le disponibilità economiche e la motivazione dei gruppi che sviluppano e diffondono ransomware).

L’unico modo per risparmiare è dotarsi di un antispam efficace in grado di bloccare i messaggi più pericolosi.

Logo_Esva

LibraESVA è la soluzione Italiana ai problemi di spam e phishing, in grado di ridurre drasticamente del 99,99% la presenza di messaggi di spam nelle nostre mailbox ed ridurre quasi a zero la presenza di malware negli allegati potendo effettuare la scansione con più motori antispam.

Argonavis é partner LibraESVA e può fornirti tutte le informazioni commerciali e tecniche per implementare LibraESVA e migliorare la sicurezza della tua infrastruttura ed in particolare della posta elettronica.

Richiedi Informazioni

Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

Categorie