Funzionamento della sandbox in LibraESVA

Per eludere le capacità di rilevazione del malware, molte campagne di attacco (incluse diverse di ransomware) si sono basate su mail che non contenevano direttamente il malware, ma che avevano un collegamento ad un file malevolo.

In questa situazione nel il modulo antispam, ne il modulo antimalware, potevano rilevare l’oggetto e bloccare l’azione da parte dell’utente.

Una delle novità più interessanti nell’ultima versione (4.0.0) di LibraESVA è la funzionalità Sandbox.

La funzionalità sandbox riscrive l’url di tutti i collegamenti

riscrittura

effettua una analisi del contenuto

analisi

se il collegamento è considerato sicuro l’utente viene reindirizzato verso la pagina richiesta, mentre il collegamento è considerato malevolo viene presentata una maschera di blocco all’utente.

blocco L’utente può comunque accettare il rischio e proseguire nella navigazione raggiungendo l’indirizzo pericoloso.

La funzionalità sandbox è disattiva per default, può essere attivata dal menu: System / Content Analisys / Antispam Action Settings attiva sandbox

La scansione del contenuto non viene effettuata in locale dalla virtual appliance, ma viene effettuata dagli EsvaLabs, la struttura che effettua studi continui sullo spam e sulle campagne di attacco basate su email.

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

Rilasciato LibraESVA 4.0

E’ stata rilasciata la versione 4.0 di LibraESVA.

libraesva

La nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Problemi Corretti

– Corretto problema che causava il blocco del servizio HTTPD
– Corretto un errore che duplicava le whitelist
– Corretto un problema sul rilascio di archivi annidati nella funzione “Dangerous content release override”
– Corretto un errore sul job di Backup
– Corretto un problema sul wizard del Cluster
– Corretto un problema su Rule Score Override
– Migliorato il supporto ad UTF-8 nelle Custom Spam Rules
– Corretto un problema che si verificava durante l’aggiunta di un dominio
– Corretto un problema sulla configurazione di SSL in apache
– Corretto un problema sulle blacklist
– Corretto un problema sul download del Maillog
– Migliorate le prestazioni di LocalRBL
– Corretto un problema sul rilascio di archivi protetti da Password
– Corretto un problema sulle API per ISP

Nuove Funzionalità

– Nuova interfaccia Web
– Aggiunta la nuova funzionalità URL Sandbox
– Aggiunta High Availability Distributed
– Aggiunto un nuovo plugin Graymail
– Aggiunto il supporto ai certificati Crittografici
– Aggiunta l’azione Forward per i messaggi clean
– Filechecks archive è attivato per tutti i domini
– La richiesta di rilascio del messaggio dalla quarantena viene notificato all’amministratore
– Le impostazioni di Clean Messages sono state separate dalle impostazioni di Quarantine Retention
– Aggiunto il filtro Bounced emails nelle funzioni di ricerca
– Nuove funzionaiità offerte dalle API
– Aggiunta l’opzione SMTP Delay warning
– File con estensione .jar vengono bloccati di default
– Motore di scansione aggiornato
– Aggiunta la possibilità di vedere lo stato di aggiornamento dei compomenti di Libra Esva

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

Bug Bounty Program

I Bug Bounty Program sono dei programmi a premio finanziati dai produttori di software, in cui vengono remunerate le scoperte di nuovi bug o vulnerabilità ancora sconosciute. robot-mela

Questi programmi servono ai produttori di software di venire a conoscenza di vulnerabilità e bug che possono mettere in pericolo la sicurezza del loro prodotto, ben consapevoli che in un mercato affollato di concorrenti, basta un passo falso per perdere importanti quote di mercato.

A questo programma possono partecipare tutti i ricercatori capaci di individuare delle falle di sicurezza, quando una di queste viene individuata deve essere rigorosamente segnata ai gestori del programma e deve rimanere riservata fino al momento in cui viene rilasciata una apposita fix, in quel momento viene resa pubblica.

La partecipazione ad un programma di questo genere, lascia intendere un sincero desiderio da parte del vendor di perfezionare il proprio codice riducendo il rischio che possa essere oggetto di un attacco.

Arrestato gruppo criminale Lurk, autore di Angler Kit

All’inizio del mese di giugno una importante organizzazione di criminali informatici, chiamata Lurk, è stata arrestata dalle forze dell’ordine russe.

Il gruppo Lurk era specializzato in frodi online con software Remote Banking Service e sofisticati meccanismi di furto, sempre rivolte verso il settore bancario. Lurk è anche l’autore di Angler Kit, di cui avevamo già parlato Angler: un kit di exploit utilizzato anche per la diffusione di ransomware e della sua grandissima diffusione.

Si ritiene che Angler Kit non sia stato creato con l’intenzione di essere ridistribuito, ma doveva rimanere riservato per permettere al gruppo di effettuare le loro frodi, tuttavia a partire dal 2013 Angler è stato uno dei malware più distribuiti secondo la filosofia “Malware as a Service”, ovvero viene reso disponibile, pronto per l’utilizzo ad altri gruppi di criminali informatici in cambio di una sottoscrizione o di una percentuale dei proventi delle truffe effettutate.

Secondo Ruslan Stoyanov di Kaspersky Lab la scelta di cambio di strategia fatta dal gruppo Lurk, di espandere il business di questo kit di malware è dipesa dalla necessità di dover guadagnare molti più soldi per pagare una struttura molto complessa.

“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato. Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha spiegato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.

Le informazioni raccolte dalla speciale Divisione per le Indagini sugli Incidenti Informatici allestita da Kaspersky Lab sono risultate determinanti per identificare i componenti del gruppo.

Lo studio approfondito di questi fenomeni criminali, oltre ad assicurare alla legge i delinquenti, crea nel gruppo di ricerca Kaspersky Lab un know-how di conoscenze che vengono trasferite nei prodotti Kaspersky Lab e garantiscono ottimi risultati nella protezione del business.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

Categorie