Arrestato gruppo criminale Lurk, autore di Angler Kit

All’inizio del mese di giugno una importante organizzazione di criminali informatici, chiamata Lurk, è stata arrestata dalle forze dell’ordine russe.

Il gruppo Lurk era specializzato in frodi online con software Remote Banking Service e sofisticati meccanismi di furto, sempre rivolte verso il settore bancario. Lurk è anche l’autore di Angler Kit, di cui avevamo già parlato Angler: un kit di exploit utilizzato anche per la diffusione di ransomware e della sua grandissima diffusione.

Si ritiene che Angler Kit non sia stato creato con l’intenzione di essere ridistribuito, ma doveva rimanere riservato per permettere al gruppo di effettuare le loro frodi, tuttavia a partire dal 2013 Angler è stato uno dei malware più distribuiti secondo la filosofia “Malware as a Service”, ovvero viene reso disponibile, pronto per l’utilizzo ad altri gruppi di criminali informatici in cambio di una sottoscrizione o di una percentuale dei proventi delle truffe effettutate.

Secondo Ruslan Stoyanov di Kaspersky Lab la scelta di cambio di strategia fatta dal gruppo Lurk, di espandere il business di questo kit di malware è dipesa dalla necessità di dover guadagnare molti più soldi per pagare una struttura molto complessa.

“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato. Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha spiegato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.

kaspersky-logo

Le informazioni raccolte dalla speciale Divisione per le Indagini sugli Incidenti Informatici allestita da Kaspersky Lab sono risultate determinanti per identificare i componenti del gruppo.

Lo studio approfondito di questi fenomeni criminali, oltre ad assicurare alla legge i delinquenti, crea nel gruppo di ricerca Kaspersky Lab un know-how di conoscenze che vengono trasferite nei prodotti Kaspersky Lab e garantiscono ottimi risultati nella protezione del business.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

 

 

31 Agosto 2016

Kaspersky rilascia un proprio Sistema Operativo

Diverse minacce informatiche possono influenzare la stabilità delle infrastrutture di 12Internet. Il corretto funzionamento dipende dalle scelte fatte sulle attrezzature da parte dei fornitori di servizi di telecomunicazioni.

Tra le minacce informatiche rivolte alle apparecchiature per le telecomunicazioni, sono particolarmente significative due tipologie di minacce:

  1. Le minacce associate con azioni involontarie:
    • azioni svolte dai dipendenti a seguito di un guasto dell’apparecchiatura totale o parziale
    • installazione non autorizzata e l’utilizzo di programmi non sicuri
  2. Le minacce associate con azioni intenzionali:
    • attacchi remoti su hardware con l’obiettivo di cambiare la sua configurazione o modificare il suo software integrato (Firmware).
    • attacchi che sfruttano backdoor built-in o vulnerabilità note di software e hardware al fine di intercettare traffico o prendere il controllo di apparecchiature o di un sistema.

Alcune minacce possono essere mitigate attraverso lo sviluppo di software per la sicurezza, specifiche, tuttavia i produttori di apparati si trovano ad affrontare un difficile dilemma.

Da un lato, la apparecchiature che producono deve fornire funzionalità estese; dall’altro, il firmware dovrebbe essere sufficientemente compatto per rendere possibile la verifica che non presenti vulnerabilità e backdoor sfruttabili.

Va inoltre tenuto presente che la protezione contro le apparecchiature di telecomunicazione informatica minacce è ulteriormente complicata da una serie di fattori, tra cui:

  1. la necessità di attrezzature per funzionare in modo autonomo, senza aggiornamenti di manutenzione o software per lunghi periodi di tempo
  2. utilizzo di hardware specializzato
  3. utilizzo di software proprietario incorporato
  4. collegamento diretto permanente ad Internet
  5. impossibilità di installare una protezione aggiuntiva progettata per sistemi generici

L’unico modo per proteggere questi apparati è quello di sviluppare una suite software integrata di cyber-sicurezza già inclusa nel sistema operativo.

Per affrontare la questione della sicurezza informatica per le apparecchiature di telecomunicazione, riducendo al minimo il tempo necessario per sviluppare le caratteristiche di sicurezza è stato realizzato KasperskyOS, un sistema operativo sicuro basato su un’architettura progettata per garantire che il software venga eseguito in modo sicuro, anche quando le applicazioni non sono completamente sicure per la presenza vulnerabilità. Inoltre, KasperskyOS fornisce protezione in caso di errori software casuali e sulle azioni errate da parte degli utenti.

KasperskyOS, gira su hardware: Intel x86, x64, ARMv7 (i.MX6) destinato al mercato degli apparati di telecomunicazione ed in particolare ai Router.

30 Agosto 2016

MTA Queue come scegliere la durata del Lifetime

MTA Queue Lifetime è il numero di giorni che un messaggio che non è stato consegnato a business-man-1002781_1920causa di un errore temporaneo, deve rimanere in coda di consegna, in modo che quando il sistema del destinatario riprende a funzionare possiamo consegnare il messaggio.

Come dicevamo nell’articolo riferito alla configurazione di LibraESVA il valore di default di 5 giorni è stabilito dal RFC 5321 che regola gli standard di funzionamento del protocollo SMTP, ma che per esigenze particolari LibraESVA ci permette di estenderlo o ridurlo.

La modifica di un parametro definito da un RFC non andrebbe mai fatta, perché rende il comportamento del nostro sistema inatteso ed incomprensibile, tuttavia ci sono dei pro e dei contro da analizzare, sia nel ridurre che nell’estendere questo tempo.

Riducendo il parametro MTA Queue Lifetime abbassiamo la dimensione delle code di consegna e di conseguenza l’impiego di risorse della macchina ma corriamo il rischio di non consegnare dei messaggi di posta nel caso il servizio non venisse ripristinato per tempo.

Aumentando il parametro MTA Queue Lifetime, abbiamo maggiori probabilità che il servizio venga ripristinato e quindi riuscire a consegnare effettivamente il messaggio, ma aumentiamo la dimensione della coda, aumentiamo le risorse impegnate sulla macchina (visto che avvengono continui tentativi di consegna) ed infine non notifichiamo per molto tempo al mittente che il messaggio che ha spedito non è stato consegnato pur essendo stato accettato.

26 Agosto 2016

LibraESVA configurare il tempo di permanenza in coda di un messaggio

LibraESVA permette all’utente esperto di personalizzare il comportamento della propria appliance, anche in aspetti molto avanzati del sistema di gestione del flusso delle email.

L’elemento fondamentale del sistema, detto Mail Transfert Agent (MTA) è quel componente che si occupa di ricevere i messaggi e consegnarli al server destinatario. Di questo componente è possibile effettuare una configurazione avanzata.

libraesva mta

Quando LibraESVA non riesce a consegnare il messaggio a causa di un errore temporaneo (ad esempio il server di destinazione non è disponibile) questo messaggio rimane in coda di consegna per un periodo massimo stabilito dai parametri MTA Queue Lifetime.

Il valore di default di 5 giorni è stabilito dal RFC 5321 che regola gli standard di funzionamento del protocollo SMTP, tuttavia per esigenze particolari LibraESVA ci permette di estenderlo o ridurlo. Questa operazione è tuttavia sconsigliata ed andrebbe effettuata solo in casi eccezionali e per il periodo strettamente necessario a risolvere l’emergenza.

24 Agosto 2016

Kaspersky blocca BadUSB

BadUSB è una vulnerabilità nota da diverso tempo, ma poco nota, si tratta della possibilità di riprogrammare il firmware delle memorie usb (le famose “chiavette”)  con un firmware malevolo in grado di effettuare operazioni di keylogging, redirect DNS o altre azioni.

Kaspersky ha introdotto un nuovo componente chiamato BadUSB Attack Prevention che permette di prevenire la connessione alla workstation protetta di dispositivi USB riprogrammati per riprodurre il funzionamento di una tastiera.

Quando un dispositivo USB viene collegato alla workstation protetta e viene identificato con una tastiera dal sistema operativo, il componente richiede all’utente di autorizzare la connessione al nuovo componente. Tutte le tastiere che non sono state autorizzate verranno bloccate.badusb

23 Agosto 2016

Blog & News

Categorie