Ransomware: in Italia il 39% delle vittime paga il riscatto

Tratto da www.bitmat.it
Autore: Redazione BitMAT – 31/03/2021
 
 
Il 43% non è comunque stato in grado di recuperare le informazioni rubate
 
 
LCF-000010 Development economics
 

Un recente studio globale di Kaspersky ha mostrato che, nel 2020, il 39% degli italiani vittima di ransomware ha pagato il riscatto per ripristinare l’accesso ai propri dati. Tuttavia, il 43% non ha comunque recuperato le informazioni rubate. Fortunatamente, gli utenti sono sempre più consapevoli in tema di sicurezza informatica e questo è un ottimo segnale per la lotta contro i ransomware.

Il ransomware è un tipo di malware che viene utilizzato per estorcere denaro. In questo tipo di attacchi, viene usata la crittografia per impedire agli utenti di recuperare i propri dati o di accedere al proprio dispositivo.

Guardando ai dati a livello globale e alle fasce di età degli intervistati, nel 2020, gli utenti di età compresa tra 35 e 44 anni si sono dimostrati i più propensi a pagare il riscatto con il 65% di persone che ha dichiarato di averlo fatto. Inoltre, più della metà (52%) degli utenti di età compresa tra i 16 e i 24 anni e solo l’11% di quelli di età superiore ai 55 anni hanno versato denaro ai criminali, dimostrando che gli utenti più giovani sono più propensi a pagare un riscatto rispetto a quelli di età superiore ai 55 anni.

Tra gli italiani intervistati che hanno subito un attacco ransomware, il 33% ha dichiarato di aver perso quasi tutti i suoi dati. Indipendentemente dal fatto che abbiano pagato o meno, in Italia solo l’11% delle vittime è stato in grado di ripristinare tutti i file criptati o bloccati dopo l’attacco. Il 17%, invece, ne ha persi solo alcuni mentre il 22% non è riuscito a recuperarne una quantità significativa.

“Questi numeri mostrano che una percentuale significativa di utenti, negli ultimi 12 mesi, ha pagato un riscatto per recuperare i propri file. Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare, ha commentato Marina Titova, Head of Consumer Product Marketing presso Kaspersky. Per proteggersi gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati. Questo renderebbe l’attacco stesso meno redditizio per i criminali informatici, riducendo la diffusione di queste minacce e garantendo un futuro più sicuro per gli utenti del web.”

Oggi, il 28% ha sentito parlare dei ransomware negli ultimi 12 mesi. È importante che questa percentuale di persone consapevoli aumenti man mano che cresce il lavoro da remoto ed è fondamentale che gli utenti capiscano come comportarsi in presenza di un ransomware.

Kaspersky raccomanda di:

  • Non pagare il riscatto se il dispositivo è stato bloccato, questo incoraggerebbe i criminali a continuare nelle estorsioni. Si consiglia di contattare le forze dell’ordine locali e segnalare l’attacco
  • Cercare di scoprire il nome del trojan ransomware. Queste informazioni possono aiutare gli esperti di cybersecurity a decifrare e risolvere la minaccia
  • Visitare noransom.kaspersky.com per scoprire gli ultimi decryptor, i tool per la rimozione dei ransomware e le informazioni su come proteggersi da queste minacce
  • Evitare di cliccare sui link presenti nelle email spam o su siti web sconosciuti e non aprire gli allegati delle email inviate da utenti di cui non ci si fida.
  • Non inserire mai chiavi USB o altri dispositivi rimovibili di archiviazione nel proprio computer se non si è certi della loro provenienza
  • Proteggere il proprio computer dai ransomware con una soluzione completa di sicurezza online come Kaspersky Internet Security
  • Eseguire il backup dei dispositivi in modo che i propri dati rimangano al sicuro in caso di attacco

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

6 Aprile 2021

Monero: Kaspersky rileva un aumento di 2000 attacchi in due mesi

 

Tratto da BitMAT
Autore: Redazione BitMAT – 12/03/2021
 
 
Aumentano drasticamente le installazioni di applicazioni fake in cui si cela la criptovaluta Monero
 
 
Monero

 

Alla fine di gennaio gli esperti di Kaspersky hanno registrato un severo aumento di applicazioni fake. Sotto questo fenomeno si nascondeva la criptovaluta Monero che, i cybercriminali, hanno distribuito, tramite queste applicazioni, nei vari siti web.

Kaspersky è arrivata alla conclusione che è stata messa a punto una vera e propria campagna distruttiva, che ha avuto inizio già in estate e segnalata dai membri della community di sicurezza. La segnalazione riguardava la distribuzione, da parte dei criminali informatici, di miner nascosti in finti programmi di installazione di antivirus.

Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Monero viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti.

Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.

Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare, con Monero, app fake sui dispositivi di 21.141 utenti.

Numero di utenti attaccati tra agosto 2020 e febbraio 2021

Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.

Le soluzioni di Kaspersky per difendersi da Monero, rilevano le minacce precedentemente descritte con i seguenti nomi:

• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen

17 Marzo 2021

Phishing: attenzione alle false email provenienti dall’OMS

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 
 
Phishing: attenzione alle false email provenienti dall'OMS
 

I criminali informatici hanno ampiamente sfruttato l’emergenza sanitaria che negli ultimi mesi ha occupato le prime pagine di tutti i media, utilizzandola più volte come esca per diffondere numerosi malware. La strategia è stata spesso quella di nascondere i malware all’interno di documenti falsi sulla diffusione del coronavirus. Molti venivano diffusi come allegati di una mail contenenti le istruzioni su come proteggersi dal virus. In realtà, questi file contenevano diverse minacce tra cui Trojan e worm, in grado di distruggere, bloccare, modificare o copiare i dati, oltre ad interferire con il funzionamento dei computer o delle reti di computer. In questi giorni i ricercatori di Kaspersky hanno rilevato un’ulteriore minaccia che utilizza la stessa strategia. A fine settembre è stato rilevato uno schema di phishing che ha preso di mira gli utenti italiani. Circa 1.000 utenti italiani di soluzioni Kaspersky hanno ricevuto una mail, apparentemente inviata dall’OMS (Organizzazione Mondiale della Sanità) contenente una lettera in cui venivano indicate tutte le precauzioni da mettere in atto contro l’infezione.

La mail contiene in realtà un allegato dannoso attraverso il quale viene scaricato un Trojan: Trojan-Downloader.MSOffice.Agent.gen.

Phishing: attenzione alle false email provenienti dall'OMS

Tatyana Shcherbakova, security expert di Kaspersky ha dichiarato: “Abbiamo rilevato link simili in diverse lingue che sostenevano di contenere misure precauzionali emanate dall’OMS durante la prima ondata della pandemia. Dal momento che i tassi di infezione sono nuovamente in aumento, questo tipo di truffa è apparso nuovamente. L’OMS viene spesso utilizzata come esca per convincere le vittime che i documenti inviati siano legittimi”.

14 Ottobre 2020

Cyber spionaggio: rilevato un nuovo bootkit firmware

Tratto da BitMAT
Autore: Redazione BitMAT – 06/10/2020
 
Cyber spionaggio: rilevato un nuovo bootkit firmware
 
Alcuni cyber criminali hanno iniziato ad utilizzare un bootkit firmware, un malware osservato raramente, per condurre una nuova campagna APT di spionaggio. Il nuovo malware è stato rilevato dalla tecnologia di scansione UEFI / BIOS di Kaspersky, che rileva minacce note e sconosciute. La tecnologia di scansione ha identificato un malware precedentemente sconosciuto all’interno dell’Unified Extensible Firmware Interface (UEFI), una parte essenziale di ogni dispositivo informatico moderno. Il malware è difficile da rilevare e da rimuovere dai dispositivi infetti. Il bootkit UEFI utilizzato insieme al malware è una versione personalizzata del bootkit di Hacking Team emersa nel 2015.
 

Il firmware UEFI è una parte essenziale dei computer ed inizia a funzionare prima ancora del sistema operativo e di tutti i programmi installati sul pc. Se il firmware UEFI viene in qualche modo modificato per contenere un codice dannoso, questo codice verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza. Questa particolarità unita al fatto che il firmware stesso risiede su un chip flash separato dal disco rigido, rende gli attacchi contro UEFI difficili da rilevare e persistenti. L’infezione del firmware UEFI implica che, indipendentemente da quante volte il sistema operativo sia stato reinstallato, il malware impiantato dal bootkit rimarrà sul dispositivo.

I ricercatori di Kaspersky hanno scoperto che un campione di questo malware è stato utilizzato in una campagna nella quale sono state implementate diverse varianti di un complesso framework modulare a più stadi denominato MosaicRegressor. Il framework è stato utilizzato per lo spionaggio e la raccolta di dati e con il malware UEFI è stato uno dei metodi di persistenza di questo nuovo malware precedentemente sconosciuto.

I componenti del bootkit UEFI rilevati erano basati sul bootkit ‘Vector-EDK’ sviluppato da Hacking Team e il cui codice sorgente è apparso in rete nel 2015. Il codice trapelato ha probabilmente permesso agli autori di costruire il proprio software senza grandi sforzi e con un rischio di esposizione ridotto.

Gli attacchi sono stati rilevati con l’aiuto di Firmware Scanner, incluso nei prodotti Kaspersky all’inizio del 2019. Questa tecnologia è stata sviluppata per rilevare in modo specifico le minacce che si nascondono nel BIOS della ROM, comprese le immagini del firmware UEFI.

Anche se non è ancora noto il vettore esatto dell’infezione che ha permesso agli aggressori di sovrascrivere il firmware originale UEFI, i ricercatori di Kaspersky hanno creato un’ipotesi sulla base di alcune informazioni trapelate da alcuni documenti di Hacking Team su VectorEDK. Queste informazioni suggeriscono, senza escludere altre opzioni, che le infezioni potrebbero essere state possibili attraverso l’accesso fisico alla macchina della vittima, in particolare con una chiavetta USB avviabile, contente una speciale utility di aggiornamento. Il firmware con patch faciliterebbe quindi l’installazione di un downloader di Trojan, ovvero un malware che consente di scaricare qualsiasi payload adatto alle esigenze dell’aggressore mentre il sistema operativo è attivo e funzionante.

Nella maggior parte dei casi, tuttavia, i componenti di MosaicRegressor sono stati consegnati alle vittime utilizzando misure molto meno sofisticate, come la consegna di spearphishing nascosto in un archivio insieme ad un file esca. La struttura a più moduli del framework ha permesso agli aggressori di nascondere il framework più ampio dall’analisi e di distribuire i componenti alle macchine prese di mira solo on demand. Il malware inizialmente installato sul dispositivo infetto è un Trojan-downloader, un programma in grado di scaricare ulteriori payload e altri malware. A seconda del payload scaricato, il malware potrebbe caricare o fare il download di file arbitrari da/verso URL arbitrari e raccogliere informazioni dalla macchina presa di mira.

Sono state individuate caratteristiche comuni a tutte le vittime identificate che hanno consentito ai ricercatori di stabilire che MosaicRegressor è stato utilizzato in una serie di attacchi mirati contro diplomatici e membri di ONG provenienti dall’Africa, dall’Asia e dall’Europa. Alcuni degli attacchi comprendevano documenti di spearphishing in lingua russa, mentre altri erano collegati alla Corea del Nord e utilizzati come esca per scaricare malware.

La campagna non è stata collegata con certezza a nessuno dei threat actor APT conosciuti.

“Sebbene gli attacchi UEFI presentino ampie opportunità per i theat actor, MosaicRegressor è il primo caso pubblicamente noto in cui un threat actor abbia utilizzato un firmware UEFI malevolo personalizzato in the wild. Gli attacchi precedentemente osservati in the wild avevano semplicemente riprogrammato un software legittimo (ad esempio LoJax), il che rende questo attacco in the wild il primo a sfruttare un bootkit UEFI personalizzato. Quanto rilevato dimostra che, anche se raramente e in casi eccezionali, gli attori sono disposti a fare di tutto per ottenere il massimo livello di persistenza sulla macchina di una vittima. I threat actor continuano a diversificare il loro toolset e a diventare sempre più creativi nei metodi scelti per prendere di mira le vittime. Lo stesso dovrebbero fare i fornitori di sicurezza per mantenere il vantaggio sui criminali informatici. Fortunatamente, la combinazione della nostra tecnologia e la conoscenza delle campagne attuali e passate che sfruttano firmware infetti ci aiuta a monitorare e riferire di futuri attacchi contro questi obiettivi”, ha commentato Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

“L’utilizzo di un codice sorgente di terze parti trapelato e la sua personalizzazione in un nuovo malware avanzato ricorda nuovamente l’importanza della sicurezza dei dati. Una volta che il software – che si tratti di un bootkit, di un malware o di qualsiasi altra cosa – viene diffuso, i threat actor ottengono un vantaggio significativo. Gli strumenti resi disponibili senza limiti offrono loro l’opportunità di migliorare e personalizzare i loro toolset con pochi sforzi e minori possibilità di essere scoperti”, ha commentato Igor Kuznetsov, principal security researcher at Kaspersky’s GReAT.

Per difendersi da minacce come MosaicRegressor, Kaspersky raccomanda:

  • Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.
  • Per la detection a livello endpoint, l’indagine e la remediation degli incidenti, implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response.
  • Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale.
  • Utilizzare un prodotto affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business, in grado di rilevare l’uso del firmware.
  • Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori fidati.

6 Ottobre 2020

StrongPity un attacco APT interessato all’Italia

Il ricercatore di Kaspersky Lab, Kurt Baumgartner, ha evidenziato in una ricerca una woodpickerpericolosa minaccia chiamata: StrongPity. Si tratta di un malware utilizzato per effettuare attacchi persistenti (APT), utilizzati per rubare dati confidenziali.

Il malware StrongPity viene distribuito tramite gli installar opportunamente modificati di due applicativi utilizzati per la crittografia: WinRAR e TrueCrypt. L’utente alla ricerca di uno di questi software, durante la ricerca potrebbe imbattersi in un sito da cui fare il download che presenta la versione di uno di questi software alterata.

Conclusa l’installazione l’applicazione binocularsscelta funziona regolarmente, purtroppo però entra in funzione anche il meccanismo di controllo del malware che permette ai criminali informatici di aver il controllo completo del sistema, permettendo di rubare i contenuti dei dischi e inviare al target dei moduli aggiuntivi del malware per ottenere informazioni mirate in base al sistema target.

Il malware è stato distribuito a partire da maggio 2016 da un sito italiano di distribuzione di WinRAR. In questo caso gli utenti non venivano reindirizzati ad un sito che proponeva una versione modificata, ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore. In alcuni casi erano presenti dei domini che invertivano alcuni caratteri e che conducevano a siti malevoli da cui scaricare l’applicazione modificata.

Questo malware era diretto in particolare contro gli utenti italiani, con l’87% delle infezioni a livello mondiale.

Questo genere di malware è particolarmente difficile da scoprire, la macchina infetta non mostra sintomi di infezione, l’obiettivo di un attacco APT e rubare i dati in maniera persistente e sempre più mirata.

kaspersky-logo

I prodotti Kaspersky Lab individuano e rimuovono i componenti di StrongPity con i nomi: HEUR:Trojan.Win32.StrongPity.gen, Trojan.Win32.StrongPity.* ed altri nomi generici di infezione.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

11 Ottobre 2016

Blog & News

Categorie