Ransomware Wannacry e patch management

Nelle ultime ore si sta diffondendo un nuovo tipo di ransomware chiamato con il nome di Wannacry, non mi soffermerò a descrivere il suo comportamento visto che è comune alla propria specie: effettua la crittografia usando l’algoritmo di cifratura AES e richiede un riscatto in bitcoin, ma per la sua caratteristica di colpire sfruttando delle vulnerabilità del software.

Da tempo avevamo previsto che il ransomware sarebbe potuto mutarsi in virus e puntualmente è accaduto. Wannacry verrà ricordato come l’inizio di una nuova era nell’epoca del Cyber Crime.

Fin’ora avevamo sempre visto che l’innesco di una infezione di ransomware era legata ad un comportamento poco accorto di qualche utente: un allegato ad un messaggio di posta aperto, l’apertura di un link in un messaggio di posta elettronica, la visita ad un sito web pericoloso o comunque che avesse già subito un attacco informatico.

Wannacry invece supera questi schemi noti ed inaugura la stagione dei “virus” ransomware, la cui caratteristica è quella di diffondersi in modo automatico ovvero utilizzando anziché un vettore di penetrazione legato all’incapacità umana di comprendere la pericolosità delle proprie azioni, un vettore di penetrazione legato alle vulnerabilità del software installato.

Le vittime scelte da Wannacry, che al momento ha colpito in particolare in Russia, ma anche in Italia (che guida la particolare classifica europea delle vittime di questo ransomware) hanno un elemento in comune, non avevano installato una patch di Microsoft per i propri sistemi operativi, rilasciata nel bollettino di marzo Microsoft Security Bulletin MS17-010 – Critical

Il risultato è stato che gli attaccanti hanno potuto colpire tutti coloro che non si erano “protetti” installando tempestivamente l’aggiornamento.

Questo nuovo tipo di diffusione della minaccia, deve spingerci a far evolvere la nostra strategia di difesa. La sola protezione perimetrale era già stata superata dalla mobilità dei dispositivi, le tecniche di protezione degli endpoint (anche le più sofisticate che fanno uso di machine learning e riconoscimento delle applicazioni) non sono più efficaci se non impariamo a tenere aggiornato dal punto di vista della sicurezza i nostri software.

Per tutti coloro che ancora non sono stati infettati si suggerisce di verificare ed installare il prima possibile la patch di sicurezza, mentre per le vittime non resta che ripristinare un backup o pagare il riscatto in bitcoin.

Fra le dotazioni minime di protezione informatica in azienda, oltre ai già diffusi Firewall (UTM) e Anti Malware installati sugli endpoint, dobbiamo prevedere sistemi di gestione automatiche delle Patch per evitare che minacce di questo genere possano colpirci.

Aggiornamento del 15/05/2017: Vista la particolare gravità della situazione Microsoft ha deciso di distribuire un aggiornamento (disponibile a questo indirizzo: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) per risolvere la vulnerabilità anche per i sistemi operativi Windows XP e Windows 2003 il cui supporto era stato interrotto.

13 Maggio 2017

Subscription Bombing

Subscription Bombing è una nuova tecnica per generare messaggi non desiderati (“spam”).

La tecnica consiste nel completare (con metodi automatici) migliaia di form di registrazione o di richiesta di informazioni, che generano automaticamente delle mail dirette all’indirizzo che è stato inserito all’interno il form. E’ sufficiente compilare il form, utilizzando l’indirizzo email della vittima per fargli recapitare migliaia di email in contemporanea.

I siti a rischio sono quelli che non usano dei metodi per individuare i form compilati con sistemi automatici, con meccanismi con il CAPTCHA.

Per i sistemi antispam tutti questi messaggi sono legittimi, perché generati da sistemi perfettamente regolari, arrivano ciascuno dal server corretto e molte volte rispettano anche il record SPF.
Se l’utente avesse usato realmente il proprio indirizzo email ed effettuato quella registrazione oppure compilato il modulo per la richiesta di informazioni quella mail è richiesta e deve arrivare.

Questo genere di attacco ha due vittime:

  • il proprietario del sito web che rischia di finire in qualche blacklist pubblica, ad esempio Spamhaus è molto attenta a questo fenomeno e comunque si ritrova nel database un numero elevato di iscrizioni o richieste fittizie.
  • il proprietario della mail che si ritrova la casella invasa di messaggi di posta non desiderati e rischia fra i tanti messaggi di non notare qualche messaggio di posta importante.

Questo genere di attacco comporta un fenomeno che potremmo definire “fumogeno digitale“. Supponiamo che l’attaccante abbia le nostre credenziali del conto PayPal e sia pronto ad effettuare un trasferimento di denaro. Gli resta il problema di sopprimere i messaggi di posta verso il nostro indirizzo che potrebbero allarmarci. Con un attacco del genere fra i migliaia di messaggi non desiderati che potrebbero arrivare alla casella in contemporanea il messaggio di PayPal che ci indica l’avvenuto trasferimento potrebbe anche passare inosservato, considerato che sono frequentementi i messaggi di phishing con oggetto PayPal.

argonavislab

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni

12 Marzo 2017

Kaspersky installazione automatica di pacchetti

Kaspersky Security Center è la console creata appositamente per semplificare tutte le operazioni di gestione che dovrebbe svolgere l’amministratore. Non si limita a gestire le funzionalità antimalware dei prodotti Kaspersky, ma mette a disposizione un’insieme di strumenti efficaci per gestire con facilità alcuni aspetti della struttura IT.

L’installazione automatica dei pacchetti sugli endpoint membri del gruppo è una di quelle funzionalità che va verso questa direzione.

La procedura è molto semplice, occorre prima di tutto creare un pacchetto di installazione.

Quando il pacchetto è pronto è sufficiente andare nelle proprietà del gruppo a cui desideriamo installare il pacchetto

Aprire la scheda: “Automatic installation” e selezionare i pacchetti che desideriamo distribuire

 

e premere OK per concludere la procedura.

Conclusa la procedura verrà creato un task specifico che installa su tutte le macchine del gruppo in automatico i pacchetti selezionati.

Su ogni nuovo endpoint che andremo a posizionare nel gruppo automaticamente verrà lanciato automaticamente il task, senza rischio di dimenticarne nessuno.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

 

5 Marzo 2017

LibraESVA QuickSand Sandbox

Documenti di office e file PDF possono contenere dei contenuti attivi, ad esempio i file PDF possono contenere ed eseguire comandi JavaScript oppure documenti di Office che contengono script di PowerShell.

Una delle novità più interessanti dell’ultimo rilascio di LibraESVA è la QuickSand Sandbox.

QuickSand Sandbox è in grado di individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA, senza necessità di inviare il file da analizzare sul cloud ed è veramente rapida.

I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittografato” e per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca).

Prendiamo in esame un file PDF (il manuale di libraESVA), ed andiamo a testare la nuova funzionalità aggiungiamo un comando JavaScript:
app.launchURL(“https://www.libraesva.com”, true);
che ci permette di far aprire una pagina web all’apertura del file PDF.

Inviando il file in allegato al messaggio, LibraESVA individua il contenuto attivo ed esegue l’azione associata, rimuovendo il contenuto attivo o bloccando il file.

Questa nuova funzionalità è molto importante, in particolare durante le campagne di diffusione di ransomware abbiamo visto messaggi di posta  contenere allegati pericolosi con componenti attive, ma non il malware vero e proprio, che veniva richiamato dai contenuti attivi presenti negli allegati.

argonavislab

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni

19 Gennaio 2017

Rilasciata la versione 4.1.0 di LibraESVA

E’ stata rilasciata la versione 4.1.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Problemi noti corretti

  • File RAR crittografati vengono individuati correttamente in qualsiasi circostanza
  • Bug nella funzione di ricerca effetuata da un amministratore Multi-Domain è stata corretta
  • Lo strumento di pulizia degli utenti LDAP considera tutte le sorgenti LDAP
  • La funzione di import degli utenti da file viene replicata immediatamente sull’altro nodo del cluster.
  • Whitelist-Blacklist: Corretto un problema che in certe condizioni non permetteva ad un utente di aggiungere degli indirizzi nelle liste.
  • Corretta l’esportazione in CSV dell’elenco dei messaggi nel caso in cui ci fossero destinatari multipli.
  • FTP Backup: Corretto un problema sul ripristino tramite FTP
  • FTP Backup: Rimosso un fastidioso messaggio nei log quando il backup non è schedulato
  • Migliorata la validazione delle credenziali usate per fare smtp relay
  • Migliorata la validazione della chiave condivisa dal cluster nella configurazione guidata
  • Migliorata la sicurezza nascondendo le informazioni su PHP usate dal server.
  • Migliorata la velocità di accesso al login ed alla quarantena.
  • Improved Login and quarantine speed access

Nuove funzionalità

  • QuickSand Sandbox: è una sandbox per individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA (nessun file viene inviato sul cloud) ed è veramente rapida.
    I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittato” per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca)
  • Regole basate su dizionario: è possibile creare o importare dizionari di parole e frasi per definire regole basate sul numero di occorrenze di queste parole e definirne il comportamento sul messaggio (“blocca”, “reindirizza”, “aggiungi degli header”). Ciascuna regola può definire un proprio dizionario, mittente e destinatario.
  • Supporto DKIM: pieno supporto alla firma digitale DKIM sul gateway.
  • Personalizzazione dei temi: I colori dell’interfaccia web di ESVA possono essere personalizzati.
  • UrlSand Sandbox: aggiunto dei parametri alla configurazione per disabilitare la funzionalità: “I want to visit it anyway” (“Desiderato visitare comunque”) che permette agli utenti di aggirare il blocco e visitare siti pericolosi.
  • UrlSand Sandbox: migliorata l’individuazione delle URL nelle parti testuali del messaggio
  • Protezione contro attacchi brute-force sull’interfaccia web, tramite autenticazione smtp e tramite ssh.
  • Importazione LDAP: nuovi utenti ereditano le impostazioni degli amministratori di dominio.
  • I filtri sugli allegati supportano le espressioni regolari sul nome del file.
  • Aggiunta una opzione per bloccare l’intero messaggio quando e stato rimosso il file allegato (al posto di rimuovere solamente il file)
  • Setup distribuito: la configurazione è automaticamente versionata e nodi con configurazioni obsolete vengono evidenziati.
  • Ricerca: adesso vengono supportate nelle ricerche range di date ed oggetto, sia nelle ricerche locali che distribuite.
  • Restrizioni SMTP: aggiunti i parametri di configurazione per la restrizione su HELO (richiesto un indirizzo risolvibile, richiesto FQDN) e sul sender (dominio mittente sconosciuto, richiede FQDN)
  • Possibilità di pulire la coda in maniera selettiva specificando mittente o destinatario.
  • API Amministrative: Aggiunta/Rimozione dominio supporta hostname come relay domain, ed i parametri di configurazione per uri sandbox e file sandbox.
  • User API: aggiunti limiti sul numero di risultati ed aggiunte le funzioni di ricerca per mittente, dominio mittente, data, oggetto, stato.
  • User API: aggiunto filtro per mostrare solo i messaggi in quarantena.
  • User API: aggiunto lo stato “rilasciato” nelle informazioni restituite.

NOTE: Questo aggiornamento richiede oltre 4 minuti per essere completato e richiede il riavvio del sistema. E’ raccomandato effettuare uno snapshot prima di iniziare l’aggiornamento.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-4-0-0-0-to-4-1-0-0-upgrade-script/

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

17 Gennaio 2017

Blog & News

Categorie