Come scaricare Windows 11 evitando i malware

 
Tratto da Blog Kaspersky
Autore: Anton V. Ivanov – 26/07/2021
 
 
Alcuni scammer stanno distribuendo malware e adware facendoli passare per Windows 11
 
 

 

Microsoft non ha ancora rilasciato Windows 11 ma il nuovo sistema operativo è già disponibile per il download e per un’anteprima. I criminali informatici, naturalmente, se ne stanno approfittando per “piazzare” alcuni malware agli utenti che pensano di aver scaricato il nuovo sistema operativo targato Microsoft.

Perché scaricare adesso Windows 11?

Microsoft in realtà aveva annunciato che Windows 10 sarebbe stata l’ultima versione di Windows e che in futuro avrebbe solo rilasciato aggiornamenti. Il 24 giugno di quest’anno, però, l’azienda ha presentato Windows 11. E anche se sotto sotto è fondamentalmente uguale al precedente, Windows 11 è comunque il più grande aggiornamento del sistema operativo in sei anni, che comprende un numero notevole di nuove caratteristiche e modifiche dell’interfaccia.

Ufficialmente, Windows 11 sarà disponibile al grande pubblico nel 2021, ma molte persone lo stanno provando in anticipo installando una versione pre-release. Alcuni appassionati vogliono provare il nuovo sistema per capire quali sono le novità; altri, come i giornalisti tecnici, per informare gli utenti sulle nuove caratteristiche. Per quanto riguarda gli sviluppatori di software, hanno bisogno di conoscere il nuovo sistema operativo per eseguire test di compatibilità con i loro prodotti e correggere eventuali problemi prima del giorno del rilascio.

Anche se Microsoft ha reso il processo di download e installazione di Windows 11 dal suo sito ufficiale abbastanza semplice, molti visitano ancora altre fonti per scaricare il software, che spesso contiene “chicche” non pubblicizzate dai criminali informatici (e non è necessariamente Windows 11).

Come i truffatori ingannano gli utenti che decidono di scaricare Windows 11

Il modo più diretto usato dai criminali informatici per ingannare gli utenti è inserendo un extra dannoso.

Un esempio riguarda un file eseguibile chiamato 86307_windows 11 build 21996.1 x64 + activator.exe. Con i suoi 1,75 GB, sembra un file certamente plausibile. In realtà, però, la maggior parte di questo spazio è occupato da un file DLL che contiene un sacco di informazioni inutili.

 

 

All’apertura del file eseguibile si avvia il programma di installazione, che sembra una normale procedura guidata di installazione di Windows. Il suo scopo principale è quello di scaricare e avviare un altro eseguibile più interessante. Anche il secondo eseguibile è un installer, che propone persino un accordo di licenza (che poche persone leggono) denominato “download manager for 86307_windows 11 build 21996.1 x64 + activator” e che servirebbe a installare alcuni software sponsorizzati. Se accettate l’accordo saranno installati sul vostro dispositivo alcuni programmi dannosi.

 

 

I prodotti Kaspersky hanno già bloccato diverse centinaia di tentativi di infezione che usavano tattiche simili a quelle della truffa su Windows 11. Una gran parte di questi malware è costituito da downloader, il cui compito è quello di scaricare ed eseguire altri programmi.

Questi altri programmi possono essere molto diversi, da adware relativamente innocui, che le nostre soluzioni classificano come not-a-virus, a Trojan veri e propri, password stealer, exploit e altri programmi dannosi.

 

Dove e come scaricare Windows 11 in modo sicuro

Scaricate Windows 11 solo da fonti ufficiali, come consiglia Microsoft. Finora, Windows 11 è ufficialmente disponibile solo per i partecipanti al programma Windows Insider, per il quale dovete registrarvi. Avrete anche bisogno di un dispositivo su cui è già installato Windows 10.

Per aggiornare il vostro computer Windows 10 a Windows 11, andate su Impostazioni, cliccate su Aggiornamento e sicurezza, quindi selezionate Programma Windows Insider e attivate il Canale sviluppatori per ottenere l’aggiornamento.

Sconsigliamo di eseguire l’aggiornamento sul vostro computer principale, poiché le precompilazioni possono essere instabili.

Vi consigliamo inoltre di utilizzare una soluzione di sicurezza affidabile e di non disabilitarla mai, per evitare che i criminali informatici  possano accedere al vostro computer tramite ingegneria sociale o che sfruttino vulnerabilità di un sistema non ancora pronto per la release ufficiale.

 

27 Luglio 2021

Trojan bancari in un wrapper aziendale

 
Tratto da Blog Kaspersky
Autore: Julia Glazova – 12/07/2021
 
 
Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti
 
 

 

Per gli impiegati che devono affrontare centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere grande. I criminali informatici, naturalmente, ne approfittano, inviando documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, dai link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i trojan bancari IcedID e Qbot.

Spam con documenti dannosi

Entrambe le e-mail si spacciavano per corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per qualche motivo fraudolento o dichiaravano qualcosa sull’annullamento di un’operazione. Allegato al messaggio c’era un file Excel con zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web violato dove era conservato l’archivio contenente il documento.

In entrambi i casi, l’obiettivo degli aggressori era quello di convincere il destinatario ad aprire il file Excel dannoso ed eseguire la macro in esso contenuta, scaricando così IcedID o (meno comunemente) Qbot sul dispositivo della vittima.

IcedID e Qbot

I trojan bancari IcedID e Qbot sono in circolazione da anni, con IcedID arrivato per la prima volta all’attenzione dei ricercatori nel 2017 e Qbot in servizio dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia che è piuttosto difficile da rilevare.

Oggi, entrambi i programmi malware sono disponibili sul mercato ombra; oltre ai loro creatori, numerosi clienti distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:

  • Inserire uno script dannoso in una pagina web per intercettare i dati inseriti dall’utente;
  • Reindirizzare gli utenti dell’online banking a una falsa pagina di login;
  • Rubare i dati salvati nel browser.

Qbot può anche registrare le sequenze di tasti per intercettare le password.

Purtroppo, il furto dei dati di pagamento non è l’unico problema che si presenta alle vittime. Per esempio, IcedID può scaricare altri malware, incluso il ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai suoi operatori l’accesso remoto ai computer delle vittime. Sulle attrezzature da lavoro in particolare, le conseguenze possono essere gravi.

Come rimanere al sicuro dai trojan bancari

Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose, se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, lo schema semplicemente non funzionerà. Per ridurre le possibilità di diventare una vittima:

  • Controllate l’identità del mittente, incluso il nome del dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
  • Proibite le macro di default, e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che sia sicuro;
  • Installate una soluzione di sicurezza affidabile. Se lavorate su un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che sia protetta. I prodotti Kaspersky rilevano sia IcedID che Qbot.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

12 Luglio 2021

Un ransomware nell’ambiente virtuale

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 31/03/2021
 
 

Diversi gruppi di cybercriminali hanno sfruttato alcune vulnerabilità presenti in VMware ESXi per infettare i dispositivi con un ransomware

 

 

Sebbene la virtualizzazione riduca in modo significativo i rischi dovuti alle minacce informatiche, non è la panacea di tutti i mali. Un attacco ransomware potrebbe comunque colpire l’infrastruttura virtuale, così come riportato di recente da ZDNet, sfruttando ad esempio le versioni vulnerabili di VMware ESXi.

Optare per una macchina virtuale è un approccio sicuro e solido; ad esempio, se una macchina virtuale non contiene dati sensibili, i danni dovuti a un’infezione possono essere contenuti. Anche se l’utente attiva per sbaglio un Trojan su una macchina virtuale, la creazione di una nuova immagine della macchina virtuale annullerà qualsiasi modifica dannosa.

Tuttavia, il ransomware RansomExx colpisce specificatamente le vulnerabilità presenti in VMware ESXi con lo scopo di attaccare gli hard disk virtuali. Si pensa che il gruppo Darkside utilizzi lo stesso metodo; inoltre, i creatori del Trojan BabuLocker hanno insinuato di essere già in grado di cifrare ESXi.

Di quali vulnerabilità stiamo parlando?

L’ipervisore VMware ESXi consente a numerose macchine virtuali di salvare informazioni su un solo server mediante l’Open SLP (Service Layer Protocol) che, tra le altre cose, può rilevare i dispositivi di rete senza preconfigurazione. Le due vulnerabilità in questione si chiamano CVE-2019-5544 e CVE-2020-3992, entrambe di vecchia data e già note ai cybercriminali. La prima viene sfruttata per portare a termine attacchi di heap overflow, mentre la seconda è di tipo Use-After-Free, ovvero è legata all’uso non adeguato della memoria dinamica durante le operazioni.

Entrambe le vulnerabilità sono state risolte tempo fa (la prima nel 2019, la seconda nel 2020); tuttavia, siamo nel 2021 e grazie ad esse i cybercriminali riescono ancora a portare a termine con successo, il che vuole dire che alcune aziende non hanno ancora aggiornato i propri software.

In che modo i cybercriminali sfruttano le vulnerabilità di ESXi?

I criminali informatici possono utilizzare queste vulnerabilità per generare richieste SLP dannose e compromettere il salvataggio dei dati. Per cifrare le informazioni innanzitutto hanno bisogno di penetrare nella rete e di stabilirvisi; non si tratta di un grosso problema, soprattutto se sulla macchina virtuale non è attiva una soluzione di sicurezza.

Per consolidare la presenza nel sistema, i creatori di RansomExx possono sfruttare, ad esempio, la vulnerabilità Zerologon (all’interno del protocollo remoto Netlogon). In questo modo, ingannano l’utente affinché faccia partire il codice dannoso sulla macchina virtuale, poi i cybercriminali prendono le redini del controller Active Directory e solo allora cifrano la memoria e scrivono un messaggio per richiedere il riscatto.

Purtroppo, però, Zerologon non è l’unica opzione ma è solo una tra le più pericolose, in quanto è praticamente impossibile individuarla senza ricorrere a servizi specifici.

Come evitare gli attacchi su VMware ESXI

  • Aggiornate VMware ESXi;
  • Se è proprio impossibile procedere all’aggiornamento, seguite il workaround suggerito da VMware (questo metodo, però, limita alcune funzionalità SLP);
  • Aggiornate anche Microsoft Netlogon per risolvere la vulnerabilità che lo riguarda;
  • Proteggete tutti i dispositivi della rete, comprese le macchine virtuali;
  • Avvaletevi della soluzione Kaspersky Managed Detection and Response, che individua anche gli attacchi multifase più complessi che non vengono rilevati dalle soluzioni antivirus convenzionali.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

7 Aprile 2021

Ransomware: in Italia il 39% delle vittime paga il riscatto

Tratto da www.bitmat.it
Autore: Redazione BitMAT – 31/03/2021
 
 
Il 43% non è comunque stato in grado di recuperare le informazioni rubate
 
 
LCF-000010 Development economics
 

Un recente studio globale di Kaspersky ha mostrato che, nel 2020, il 39% degli italiani vittima di ransomware ha pagato il riscatto per ripristinare l’accesso ai propri dati. Tuttavia, il 43% non ha comunque recuperato le informazioni rubate. Fortunatamente, gli utenti sono sempre più consapevoli in tema di sicurezza informatica e questo è un ottimo segnale per la lotta contro i ransomware.

Il ransomware è un tipo di malware che viene utilizzato per estorcere denaro. In questo tipo di attacchi, viene usata la crittografia per impedire agli utenti di recuperare i propri dati o di accedere al proprio dispositivo.

Guardando ai dati a livello globale e alle fasce di età degli intervistati, nel 2020, gli utenti di età compresa tra 35 e 44 anni si sono dimostrati i più propensi a pagare il riscatto con il 65% di persone che ha dichiarato di averlo fatto. Inoltre, più della metà (52%) degli utenti di età compresa tra i 16 e i 24 anni e solo l’11% di quelli di età superiore ai 55 anni hanno versato denaro ai criminali, dimostrando che gli utenti più giovani sono più propensi a pagare un riscatto rispetto a quelli di età superiore ai 55 anni.

Tra gli italiani intervistati che hanno subito un attacco ransomware, il 33% ha dichiarato di aver perso quasi tutti i suoi dati. Indipendentemente dal fatto che abbiano pagato o meno, in Italia solo l’11% delle vittime è stato in grado di ripristinare tutti i file criptati o bloccati dopo l’attacco. Il 17%, invece, ne ha persi solo alcuni mentre il 22% non è riuscito a recuperarne una quantità significativa.

“Questi numeri mostrano che una percentuale significativa di utenti, negli ultimi 12 mesi, ha pagato un riscatto per recuperare i propri file. Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare, ha commentato Marina Titova, Head of Consumer Product Marketing presso Kaspersky. Per proteggersi gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati. Questo renderebbe l’attacco stesso meno redditizio per i criminali informatici, riducendo la diffusione di queste minacce e garantendo un futuro più sicuro per gli utenti del web.”

Oggi, il 28% ha sentito parlare dei ransomware negli ultimi 12 mesi. È importante che questa percentuale di persone consapevoli aumenti man mano che cresce il lavoro da remoto ed è fondamentale che gli utenti capiscano come comportarsi in presenza di un ransomware.

Kaspersky raccomanda di:

  • Non pagare il riscatto se il dispositivo è stato bloccato, questo incoraggerebbe i criminali a continuare nelle estorsioni. Si consiglia di contattare le forze dell’ordine locali e segnalare l’attacco
  • Cercare di scoprire il nome del trojan ransomware. Queste informazioni possono aiutare gli esperti di cybersecurity a decifrare e risolvere la minaccia
  • Visitare noransom.kaspersky.com per scoprire gli ultimi decryptor, i tool per la rimozione dei ransomware e le informazioni su come proteggersi da queste minacce
  • Evitare di cliccare sui link presenti nelle email spam o su siti web sconosciuti e non aprire gli allegati delle email inviate da utenti di cui non ci si fida.
  • Non inserire mai chiavi USB o altri dispositivi rimovibili di archiviazione nel proprio computer se non si è certi della loro provenienza
  • Proteggere il proprio computer dai ransomware con una soluzione completa di sicurezza online come Kaspersky Internet Security
  • Eseguire il backup dei dispositivi in modo che i propri dati rimangano al sicuro in caso di attacco

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

6 Aprile 2021

Monero: Kaspersky rileva un aumento di 2000 attacchi in due mesi

 

Tratto da BitMAT
Autore: Redazione BitMAT – 12/03/2021
 
 
Aumentano drasticamente le installazioni di applicazioni fake in cui si cela la criptovaluta Monero
 
 
Monero

 

Alla fine di gennaio gli esperti di Kaspersky hanno registrato un severo aumento di applicazioni fake. Sotto questo fenomeno si nascondeva la criptovaluta Monero che, i cybercriminali, hanno distribuito, tramite queste applicazioni, nei vari siti web.

Kaspersky è arrivata alla conclusione che è stata messa a punto una vera e propria campagna distruttiva, che ha avuto inizio già in estate e segnalata dai membri della community di sicurezza. La segnalazione riguardava la distribuzione, da parte dei criminali informatici, di miner nascosti in finti programmi di installazione di antivirus.

Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Monero viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti.

Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.

Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare, con Monero, app fake sui dispositivi di 21.141 utenti.

Numero di utenti attaccati tra agosto 2020 e febbraio 2021

Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.

Le soluzioni di Kaspersky per difendersi da Monero, rilevano le minacce precedentemente descritte con i seguenti nomi:

• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen

17 Marzo 2021