Amanti delle Serie TV? Occhio al cybercrime!

Gli attacchi informatici più frequenti sono quelli che prendono di mira gli utenti e una delle aree di maggior vulnerabilità oggi è rappresentata dal mondo dell’entertainment.

Le minacce informatiche non si limitano al mondo delle grandi aziende o alle campagne su larga scala. Gli attacchi più frequenti, infatti, sono quelli che prendono di mira gli utenti comuni. Una delle aree di maggior vulnerabilità oggi è rappresentata dal mondo dell’entertainment, una grande passione alimentata anche dall’apparente possibilità di trovare tutto ciò che vogliamo online.

I cybecriminali, da sempre abituati a prestare grande attenzione alle passioni digitali per trarne un profitto, sfruttano sempre più questo trend come mezzo per lanciare diversi tipi di attacchi informatici, facendo leva sulla curiosità delle persone, sull’impazienza di vedere l’ultima puntata di una produzione e sulla tendenza a cercare online ciò che non si ha a disposizione.

Abbiamo notato che i criminali informatici hanno visto l’ampliamento dell’offerta come nuovo e redditizio canale di attacco: poche ore dopo il lancio di Disney+, ad esempio, migliaia di account di utenti sono stati hackerati. Non solo i servizi di streaming nuovi sono vulnerabili e appetibili per i cybercriminali; anche i servizi più popolari lanciati anni fa sono diventati obiettivi primari per la distribuzione di malware, per il furto di password e per il lancio di attacchi di spam e phishing. Abbiamo esaminato il panorama delle minacce informatiche in relazione al mondo delle serie TV e in particolar cinque importanti piattaforme di streaming in un arco temporale che va da gennaio 2019 e arriva fino all’8 aprile 2020. Partendo dall’analisi sulle 25 produzioni originali di maggior successo, i nostri ricercatori hanno scoperto che i cinque titoli utilizzati più frequentemente dai criminali informatici come esca per trarre in inganno gli utenti sono stati:

  1. “The Mandalorian” (Disney+)
  2. “Stranger Things” (Netflix)
  3. “The Witcher” (Netflix)
  4. “Sex Education” (Netflix)
  5. “Orange is the New Black” (Netflix)

Più di 4.500 utenti Kaspersky sono stati esposti a varie minacce informatiche veicolate da file malevoli che utilizzavano come esca proprio il nome di una di queste serie TV, con un totale di 18.947 tentativi di infezione registrati. Il numero maggiore di tentativi proveniva da file malevoli che contenevano il nome “The Mandalorian”: l’obiettivo dei cybecriminali era proprio sfruttare la curiosità degli appassionati inducendoli al download non di una puntata, ma di un file malevolo: è successo a 1.614 utenti, con un totale di 5.855 tentativi di infezione!

I consigli di Kaspersky

Anche Kaspersky mette in guardia gli amanti della serialità perché non sottovalutino mai i rischi legati alla sicurezza informatica. Ecco alcune buone abitudini da mettere in pratica:

  • Non scaricare mai le versioni non ufficiali o eventuali modifiche delle app delle piattaforme di streaming.
  • Utilizza sempre password diverse e forti per ognuno degli account che hai (anche per quelli che usi per accedere alle piattaforme di serie e film).
  • Prestare sempre molta attenzione ai dettagli e diffidare dalle offerte apparentemente troppo accattivanti per essere anche gratuite, magari utilizzando una soluzione di sicurezza affidabile che offra una protezione avanzata su tutti i dispositivi che usiamo.

Autore: Alessandra Venneri
Tratto da Blog Kaspersky – 31/08/2020

10 Settembre 2020

Che cosa è l’iperconvergenza, come funziona e quali sono i vantaggi

Autore Laura Zanotti
tratto da Digital4 , 23 aprile 2020

C’era una volta il tempo dell’integrazione. Oggi la nuova parola chiave è iperconvergenza. L’evoluzione tecnologica cambia terminologie ed approcci, ma il problema rimane una questione culturale. Il motivo? Che la strategia addizionale è diventata obsoleta

Che cos’è l’iperconvergenza o hyperconvergence? È un approccio che fornisce un ambiente virtualizzato completo e chiavi in mano, il tutto senza richiedere all’utente una conoscenza tecnica o un impegno a livello di configurazione. L’infrastruttura IT, infatti, viene incentrata su di un’architettura software in cui convergono risorse di calcolo, di memorizzazione, di networking e di virtualizzazione. Il tutto reso disponibile su un sistema hardware supportato, nel caso, da un provider. In pratica si tratta di un IT as a Service di nuova generazione.

Agilità, efficienza e risparmi economici: sono i 3 principali vantaggi che indicano, in sintesi, il valore e il significato dell’iperconvergenza.

 

Perché si parla di iperconvergenza e quanto è diffusa

Ieri il tema di chi si occupava di gestire l’IT aveva una parola magica: integrazione. Oggi, questa parola è rimasta nelle agende dei CIO, ma in parallelo se n’è affiancata un’altra: iperconvergenza. Per capire la sua valenza e il suo reale significato rispetto alla governance è necessario ragionare prima di tutto di prospettiva. Rispetto al passato, infatti, l’orizzonte tecnologico è profondamente cambiato. L’evoluzione del software, il potenziamento delle tecnologie di rete e le SOA (Service Oriented Architecture) hanno sdoganato la virtualizzazione come un approccio di qualità rispetto alla gestione elaborativa.

Per chi si occupa di ICT l’abitudine a ragionare per addizione, cioè di aggiungere in modo progressivo nuove componenti tecnologiche all’esistente, non è cambiata. Così è difficile abbracciare le nuove vision necessarie al salto quantico richiesto da una digitalizzazione sempre più multicanale, decisamente liquida e in cui applicazioni, dati e infrastrutture non possono più essere consolidate, ma vanno bilanciate tra diverse formule di servizio, in house e in outsourcing, on premise o in cloud. È la natura stessa della tecnologia a essere diventata assolutamente dinamica e cangiante, richiedendo nuove equazioni per il calcolo del ROI.

Gli analisti concordano nel ritenere che l’interesse delle aziende verso le infrastrutture iperconvergenti sia in crescita: secondo MarketsAndMarkets, il mercato globale delle soluzioni HCI (Hyper Converged Infrastructures) aumenterà anno su anno, partendo dai 4.1 miliardi di dollari del 2018 per arrivare ai 17.1 miliardi del 2023, con un CAGR del 32,9%.

 

Come funziona l’iperconvergenza

Alla base dell’iperconvergenza c’è una nuova intelligenza del software. Grazie a questa chiave di sviluppo server, storage e software di virtualizzazione convergono in un unico oggetto, detto appliance, governato da un unico programma che funge da controller di gestione. Idealmente, il modello fa collassare un intero data center in un nodo che viene gestito attraverso un’interfaccia utente non solo più semplice e intuitiva, ma che può essere subappaltata a un provider e gestita in cloud. La flessibilità e la scalabilità dell’infrastruttura iperconvergente si basano su di uno o più nodi che si aggiungono, all’occorrenza, al sistema di base.

In un approccio convergente, il modello chiavi in mano è il seguente: un fornitore consegna un insieme preconfigurato di hardware e software in un singolo chassis per minimizzare i problemi di compatibilità fra differenti componenti e razionalizzare la gestione di tutta l’infrastruttura. Non si parla di convergenza, ma di iperconvergenza perché la differenza è che quest’ultima aggiunge un livello maggiore di integrazione e di relativa semplificazione d’uso rispetto ai componenti in gioco. Spesso, infatti, i sistemi iperconvergenti integrano tutto quello che serve a una sala server o a un datacenter: hardware, software, storage, deduplicazione, compressione ed eventuale replica geografica. Il tutto in un unico appliance, gestito con un solo software, attraverso un unico cruscotto centralizzato. Questo è il motivo per cui si parla di software defined data center.

In sintesi, dal possesso di una tecnologia il focus si è spostato alla fruizione del servizio, attraverso SLA (Service Level Agreement) a misura di ogni tipo di esigenza. Potenza, intelligenza, memoria, spazio ed energia diventano funzioni variabili, gestite da un’unica regia di controllo. Compito degli executive è ragionare sul tipo di contratti e sui fornitori più competenti, bilanciando risorse ed economics secondo orizzonti di pianificazione nel breve, nel medio e nel lungo termine.

 

Autore Laura Zanotti
tratto da Digital4 , 23 aprile 2020

1 Settembre 2020

Libraesva : nuova ondata di campagne malware EXCEL 4.0 che abusano della funzione macro FORMULA

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

MVBA è stato introdotto in Excel 5.0. Prima di allora Excel aveva solo macro XLM, che sono ancora supportate oggi.

Le macro XLM consentono di scrivere codice immettendo istruzioni direttamente nelle celle, proprio come le normali formule. In realtà sono chiamati macro-formule.

[omissis]

Ci sono alcune dichiarazioni tra queste macro-formule che consentono l’esecuzione di codice dannoso, queste sono denominate EXEC, RUN e CALL. Il mese scorso, nell’aprile 2020, è circolata un’ondata di malware che abusa di queste chiamate.

A maggio abbiamo visto una nuova ondata che apparentemente abusava ancora delle macro XLM ma senza chiamare EXEC, RUN o CALL. Al momento in cui li abbiamo ottenuti, la maggior parte di questi campioni aveva un tasso di rilevamento pari a 0 su virustotal, quindi sembra che valga la pena investigarli.

[omissis]

Alcuni di questi file stavano usando trucchi aggiuntivi per confondere l’analisi, come mettere le macro in fogli “nascosti”. Alcuni hanno usato fogli “molto nascosti”, altri sono stati protetti con la password “VelvetSweatshop” (che è un trucco usato da Microsoft per definire documenti di sola lettura). C’è anche una grande variabilità nei nomi dei file e nelle campagne e-mail. Non perderò tempo con questi dettagli e andrò subito al punto.

[omissis]

[Dall’analisi dei campioni , si e’ visto che tutti hanno in comune] l’abuso della macro-formula FORMULA. La denominazione ricorsiva può creare confusione, quindi lasciatemi fornire un po ‘di chiarimenti: proprio come qualsiasi altra istruzione formula (come IF o SUM per esempio), l’istruzione FORMULA può essere inserita in una cella sotto forma di formula. Questa affermazione particolare sembra essere denominata FORMULA stessa.

Cosa fa questa dichiarazione FORMULA? Immette una formula nella cella attiva (o in un riferimento). Fondamentalmente ciò che viene dato come parametro a questa chiamata diventa una fomula.

Generazione indiretta di formule se lo desideri e, sì, è pericoloso come sembra.

[omissis]

Questo è fondamentalmente il comportamento di questi campioni dannosi: creano una formula raccogliendo dati da molte celle diverse e apportando alcune trasformazioni. Quindi applicano la formula usando l’istruzione FORMULA.FILL (o una delle sue varianti, vedi il riferimento alle funzioni collegato sopra se sei interessato).

Il testo esatto del FORMULA è costruito in fase di esecuzione e ciò garantisce l’offuscamento che sembra essere efficace dato il punteggio zero o molto basso ottenuto da questi campioni su Virustotal.

[omissis]

Non siamo interessati a retroingegnerizzare ogni campione per scoprire i dettagli del comportamento. Come società di sicurezza della posta elettronica ci concentriamo sui metodi e sugli strumenti utilizzati dagli aggressori piuttosto che sulla specifica variante di malware.

Il nostro compito è bloccare queste minacce sul gateway, sappiamo che l’approccio del riconoscimento di elementi dannosi noti non è efficace e pertanto ci concentriamo sulla rimozione degli strumenti utilizzati dagli aggressori.

La filosofia del nostro sandbox QuickSand è più simile a un firewall: quando i nostri sistemi vedono un modello come questo, non si preoccupano davvero del reverse engineering del comportamento reale, non si preoccupano nemmeno di riconoscere se si tratta di una variante di malware nota o uno nuovo.

Che sia diretto o indiretto, non è consentito alcun modo di eseguire materiale per i documenti consegnati via e-mail. Questo approccio è meno soggetto all’evasione ed è proattivo: blocca le varianti attuali e future, note e sconosciute.

Il basso tasso di rilevamento di questi campioni su virustotal e su molti servizi di sandboxing basati sulla virtualizzazione conferma che, per essere efficace con le minacce in continua evoluzione, questo è un approccio migliore.

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

16 Maggio 2020

PhantomLance: un Trojan su Google Play

Gli esperti di Kaspersky hanno individuato su Google Play il Trojan backdoor per Android denominato PhantomLance.

 

Lo scorso luglio, i nostri colleghi di Doctor Web hanno rilevato un  Trojan backdoor su Google Play. Queste scoperte non sono esattamente cosa di tutti i giorni, ma non sono nemmeno così rare, i ricercatori possono rilevare dei Trojan su Google Play  e spesso centinaia tutti in una volta.

Questo backdoor, tuttavia, era sorprendentemente sofisticata rispetto ai malware che si è soliti trovare su Google Play, così i nostri esperti hanno deciso di scavare più a fondo. Hanno condotto una loro indagine e hanno scoperto che il malware fa parte di una campagna dannosa (che abbiamo denominato PhantomLance), in corso dalla fine del 2015.

Cosa può fare PhantomLance

I nostri esperti hanno rilevato diverse versioni di PhantomLance. Nonostante la sua crescente complessità e le differenze nel tempo di apparizione, sono abbastanza simili in termini di funzionalità.

L’obiettivo principale del Trojan PhantomLance è quello di raccogliere informazioni riservate dal dispositivo della vittima. Il malware è in grado di fornire ai suoi creatori dati di localizzazione, registro delle chiamate, messaggi di testo, elenchi di applicazioni installate e informazioni complete sullo smartphone infetto. Inoltre, le sue funzionalità possono essere ampliate in qualsiasi momento semplicemente caricando moduli aggiuntivi dal server C&C.

Diffusione di PhantomLance

Google Play è la principale piattaforma di distribuzione del malware. È stato trovato anche in repository di terze parti, ma per la maggior parte delle volte si tratta per lo più di copie dell’app store ufficiale di Google.

Possiamo dire con certezza che le prime app infettate da una versione del Trojan sono comparse nello store nell’estate del 2018. Il malware è stato trovato nascosto in utility per la modifica di font, per la rimozione di annunci, per la pulizia del sistema e così via.

Un’app su Google Play che si è scoperto contenere la backdoor PhantomLance.

Le applicazioni contenenti PhantomLance sono state tutte rimosse da Google Play, naturalmente, ma si possono ancora trovare delle copie in repository mirror. Ironia della sorte, alcuni di questi repository mirror affermano che il pacchetto di installazione di PhantomLance sia stato scaricato direttamente da Google Play, rassicurando l’utente circa l’assenza di virus.

Come hanno fatto i cybercriminali a introdurre di nascosto il loro Trojan nello store ufficiale di Google? In primo luogo, per una maggiore autenticità, i cybercriminali hanno creato un profilo di ogni sviluppatore su GitHub. Questi profili contenevano  semplicemente una specie di contratto di licenza. Tuttavia, avere un profilo su GitHub apparentemente conferisce agli sviluppatori una certa rispettabilità.

In secondo luogo, le app che i creatori di PhantomLance hanno inizialmente caricato nello store non erano dannose. Le prime versioni dei programmi non contenevano alcuna caratteristica sospetta, e quindi hanno superato i controlli di Google Play a pieni voti. Solo qualche tempo dopo, con gli aggiornamenti, le app hanno acquisito caratteristiche dannose, come la capacità di rubare dati.

Gli obiettivi di PhantomLance

A giudicare dalla geografia della sua diffusione, così come dalla presenza di versioni vietnamite delle applicazioni dannose negli store online, riteniamo che i principali obiettivi dei creatori di PhantomLance fossero gli utenti provenienti dal Vietnam.

Inoltre, i nostri esperti hanno rilevato una serie di caratteristiche che collegano PhantomLance con il gruppo OceanLotus,  responsabile della creazione di una gamma di malware rivolta anch’essa agli utenti del Vietnam.

Il set di strumenti malware OceanLotus precedentemente analizzato comprende una famiglia di backdoor macOS, una famiglia di backdoor Windows e un set di Trojan Android, la cui attività è stata individuata nel periodo 2014-2017. I nostri esperti sono giunti alla conclusione che PhantomLance sia subentrata ai suddetti Trojan Android a partire dal 2016.

PhantomLance è vincolato ad altre armi malware di  OceanLotus.

Come proteggersi da PhantomLance

Uno dei consigli che ripetiamo spesso nei post sul malware per Android è: “installate le applicazioni solo da Google Play”. Tuttavia, PhantomLance dimostra ancora una volta che il malware può talvolta ingannare anche i giganti di Internet.

Google si impegna molto per mantenere il suo app store sicuro e libero da malware (altrimenti ci imbatteremmo molto più spesso in software dannosi o sospetti), ma le capacità dell’azienda non sono infinite e gli hacker hanno molta inventiva. Pertanto, il semplice fatto che un’app sia su Google Play non è garanzia di sicurezza. Considerate sempre altri fattori per non essere vittime di Trojan su Android:

  • Date la preferenza alle applicazioni di sviluppatori di fiducia;
  • Prestate attenzione alle valutazioni delle app e alle recensioni degli utenti;
  • Analizzate attentamente le autorizzazioni che un’ applicazione richiede, e non esitate a rifiutare se pensate che siano eccessive. Ad esempio, un’app meteo probabilmente non ha bisogno di accedere ai vostri contatti e messaggi o un filtro fotografico non ha bisogno di conoscere la vostra posizione;
  • Analizzate le app installate sul vostro dispositivo Android servendovi di una soluzione di sicurezza affidabile.

 

Autore
Pavel Shoshin
Kaspersky blog

6 Maggio 2020

Tool per decifrare il ransomware Shade

I ricercatori di Kaspersky hanno pubblicato un decryptor che può aiutare a recuperare i file cifrati da tutte le varietà del ransomware Shade/Troldesh.

Ricordate il ransomware Shade? Abbiamo scritto questo post perché non è più una minaccia ormai  e potrete riavere i vostri file, anche quelli cifrati dalle ultime versioni di Shade. Vediamo come è andata.

Cos’è il ransomware Shade?

Shade, conosciuto anche come Troldesh, è uno sgradevole cryptor che ha iniziato a diffondersi già nel 2015. Cifrava documenti di lavoro, immagini e archivi (così come alcuni altri tipi di file) e poi chiedeva alle vittime di pagare un riscatto per decifrarli (anche conosciuto come rasomware). Diverse varietà utilizzavano nomi di file di fantasia come breaking_bad e da_vinci_code. Shade, tra l’altro, portava con sé degli amici, scaricando altri malware dopo aver cifrato tutti i dati che voleva.

Nel 2016, i nostri analisti del malware sono riusciti a creare un decryptor per le differenti versioni di Shade che esistevano allora. La cooperazione tra la polizia, dopo aver sequestrato i server con le chiavi di cifratura, e i ricercatori della sicurezza, ha reso possibile questo importante traguardo.

Tuttavia, il gruppo di cybercriminali che ha creato Shade ha continuato a sviluppare nuovi ceppi di ransomware per i quali il decryptor non poteva far nulla. I cybecriminali hanno continuato a diffondere Shade, rimanendo molto attivi fino a metà del 2019.

Il gruppo responsabile di Shade

Ma poi le cose sono cambiate. Tra la fine del 2019 e l’inizio del 2020, il numero di utenti che si è imbattuto nel ransomware Shade è diminuito significativamente rispetto agli anni precedenti. Inoltre, i cybercriminali responsabili di questo ransomware hanno annunciato di aver deciso di gettare la spugna. Si sono persino scusati per i danni causati e hanno pubblicato circa 750.000 chiavi per decifrare i file.

Questo è un buon motivo per aggiornare il decryptor ed è quello che abbiamo fatto. Il nuovo decryptor di Shade è ora disponibile su noransom.kaspersky.com/it e può aiutare le persone a recuperare i loro file cifrati da Shade, indipendentemente dalla versione che li ha messi nei guai.

Ricordate, diciamo sempre che non dovreste pagare il riscatto anche se al momento non c’è un decryptor per recuperarli, perché alla fine verrà creato. Questo caso è un ottimo esempio del perché dovreste tenere i vostri file cifrati e aspettare, anche se siete stati colpiti da qualche altro tipo di ransomware: prima o poi si troverà il decryptor, come nel caso di Yatron y FortuneCrypt.

Uomo avvisato…

È un bene che tutte le vittime di Shade possano riavere i loro file. Tuttavia, sarebbe stato meglio non perderli affatto. Ecco quindi i nostri soliti tre consigli che vi aiuteranno a non essere vittime dei ransomware:

  • Effettuate regolarmente il backup dei vostri dati. Ecco come farlo correttamente;
  • Non cliccate su link sospetti e non aprite gli allegati alle e-mail da mittenti sconosciuti. In sostanza, usate il buon senso e imparate dagli errori. Una volta che si conoscono i soliti vettori di attacco, evitare minacce come Shade diventerà naturale;
  • Utilizzate una buona soluzione di sicurezza. Anche se pensate di essere davvero bravi a individuare le potenziali minacce, una soluzione di sicurezza affidabile vi aiuterà se in una remota occasione doveste sbagliarvi. È un po’ come la corda di sicurezza per il funambolo, meglio averla nonostante si sia sperimentato il rischio mille volte.

 

Autore
Hugh Aver
Kaspersky blog

5 Maggio 2020