Ransomware

Security

No More Ransom, 4 anni di lotta contro il ransomware

Alfonso Maruccia | 28 Luglio 2020

Malware Servizi Web Sicurezza

Il problema dei malware cripta-file continua a fare danni per aziende e istituzioni, ma No More Ransom ha in questi contribuito in maniera significativa a rovinare il business dei cyber-criminali.

La piaga senza fine del ransomware non accenna a rallentare la sua corsa, le novità tecnologiche del momento vengono abusate a scopo di truffa e le infrastrutture cloud cedono sotto i colpi di cyber-attacchi sempre più sofisticati e pericolosi. No More Ransom, sito specializzato nella lotta ai malware cripta-file, ha in questi anni cercato di rendere il lavoro dei criminali informatici un po’ meno facile e remunerativo. Con risultati tutto sommato apprezzabili.

Il progetto No More Ransom è nato esattamente 4 anni fa a opera di Europol, Kaspersky e altri partner specializzati in sicurezza, servendo da centro informativo per le potenziali vittime in grado di prevenire, capire e combattere la minaccia in evoluzione costante del ransomware.

Risultati No More Ransom

In 4 anni di lavoro, i partner di No More Ransom (che ora sono 163 tra aziende, università, CERT e agenzie varie) hanno fatto risparmiare 632 milioni di dollari di “riscatti” alle vittime degli attacchi ransomware. I 110 strumenti di decrittazione resi disponibili sul sito sono stati scaricati più di 4,2 milioni di volte, con Emsisoft, Kaspersky e Trend Micro a dividersi il merito del contrasto al maggior numero di famiglie di ransomware “attaccate” dai rispettivi tool.

Anche se il business del ransomware ha oramai raggiunto cifre miliardarie, l’azione di contrasto di No More Ransom si è dimostrata preziosa per un gran numero di utenti domestici e (soprattutto) aziendali. Il caso Garmin sta lì a dimostrarlo: la minaccia moderna dei ransomware è qui per restare, e in futuro la situazione potrà solo peggiorare.

Malware

Software

Malware scoperto in 28 estensioni per Edge e Chrome

Luca Colantuoni | 18 Dicembre 2020

Browser Web Malware Sicurezza

Avast ha scoperto 28 estensioni (15 per Chrome e 13 per Edge) che includono malware in grado di dirottare il traffico e raccogliere diversi dati dell’utente.

Google ha promesso di migliorare la sicurezza delle estensioni, ma gli strumenti disponibili oggi non funzionano come dovrebbero. Gli esperti di Avast hanno infatti scoperto 15 add-on per Chrome contenenti malware. Altri 13 add-on infetti sono disponibili per Edge, il browser di Microsoft che usa lo stesso codice di base. Google ha rimosso tutte le estensioni dal Chrome Web Store, mentre al momento quelle per Edge sono ancora online.

Le estensioni sono molto popolari perché consentono di personalizzare il browser, aggiungendo anche funzionalità mancanti. Ma proprio per questo motivo sono spesso utilizzate per diffondere malware sui computer degli utenti. La maggioranza degli add-on infetti permettono di scaricare video da Facebook, YouTube o Vimeo. In realtà nascondono codice JavaScript che effettua il reindirizzamento verso siti di phishing e il furto di dati personali.

Quando l’utente clicca su un link, l’estensione fasulla invia l’informazione ad un server remoto che risponde con l’indirizzo di siti contenenti banner pubblicitari. Avast crede quindi che l’obiettivo sia dirottare il traffico per ottenere un guadagno. La privacy e la sicurezza sono compromesse perché viene creato un log dei clic e raccolte numerose informazioni, tra cui indirizzo IP, nome e versione del browser, sistema operativo, data di nascita e indirizzo email.

Secondo Avast, probabilmente le estensioni non nascondevano codice infetto al momento della pubblicazione. Gli autori hanno atteso l’aumento di popolarità (sono state scaricate oltre tre milioni di volte) prima di distribuire un aggiornamento con malware incluso. Il consiglio è ovviamente quello di rimuovere subito le estensioni elencate sul sito di Avast ed effettuare una scansione con un antivirus aggiornato.

Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Networking

Adrozek, malware spara-pubblicità che infetta i browser Web

Alfonso Maruccia | 14 Dicembre 2020

Advertising Browser Web Malware Sicurezza

Microsoft ha lanciato l’allarme su Adrozek, una campagna malevola in circolazione da mesi e capace di iniettare messaggi pubblicitari indesiderati nelle ricerche Web degli utenti.

Adrozek è una famiglia di malware in continua evoluzione, una minaccia specializzata nella modifica del comportamento dei browser Web che ha preso di mira i principali protagonisti del settore con discreto successo. Le potenziali vittime del malware includono gli utenti di Mozilla Firefox, Google Chrome, Microsoft Edge e il browser russo Yandex (Chromium).

Stando a quanto scoperto dagli ingegneri di Microsoft, Adrozek è in circolazione da almeno lo scorso maggio 2020. L’obiettivo principale del malware consiste nel compromettere il browser tramite l’impiego di estensioni malevole, la modifica di specifiche DLL e la modifica delle impostazioni per iniettare advertising non richiesto all’interno delle ricerche Web dell’utente.

Adrozek, attacco ai browser

Com’è ovvio, la crew che gestisce Adrozek guadagna dall’advertising aggiuntivo tramite un programma di affiliazione, mentre l’utente rischia di visitare link potenzialmente insicuri o in grado di compromettere ulteriormente la sicurezza del sistema con nuovi malware e attacchi. Le zone del pianeta più colpite dall’infezione sono Europa, Asia Meridionale e sudest asiatico.

In totale, dice ancora Microsoft, nei cinque mesi di analisi (da maggio a settembre 2020) Adrozek ha distribuito “centinaia di migliaia” di sample malevoli con un codice in continua evoluzione. I cyber-criminali hanno utilizzato 159 domini unici per ospitare 17.300 URL, da cui sono stati distribuiti in media più di 15.300 sample malevoli (per ogni URL).

L’infezione da Adrozek dovrebbe in ogni caso essere piuttosto facile da debellare: basta reinstallare il browser Web e poi seguire una serie di regole di opsec basilari per evitare altri spiacevoli incontri in futuro.

Leonardo

Security

Leonardo, il furto dei dati è un lavoro da insider

Alfonso Maruccia | 7 Dicembre 2020

Leonardo Malware Sicurezza

Il contractor italiano Leonardo S.p.A. è stato vittima di un’intrusione informatica della durata di due anni. Rubati gigabyte di dati, anche se l’azienda rassicura sulla sicurezza dei progetti classificati.

Per quasi due anni, tra il 2015 e il 2017, i sistemi informatici di Leonardo S.p.A. sono stati sistematicamente violati da un attacco dagli effetti potenzialmente devastanti. Il cyber-criminale ora arrestato, Arturo D’Elia, ha agito dall’interno con la complicità di un dipendente e forse di altri, rubando una quantità enorme di informazioni altamente riservate.

Nella veste di responsabile della sicurezza di Leonardo, D’Elia ha avuto gioco facile nel mettere in atto il suo piano: usando una chiavetta USB e un malware creato per lo scopo e sconosciuto ai software antivirali, il criminale ha infettato 94 postazioni informatiche – 33 delle quali nello stabilimento di Pomigliano D’Arco – e sottratto 10 gigabyte di dati, circa 100.000 file in totale.

I file sono stati spediti a un server esterno, ora sottoposto a sequestro dalla Polizia di Stato, e includevano informazioni di tipo amministrativo-contabile, sulla gestione delle risorse umane, l’approvvigionamento, la distribuzione dei beni strumentali. Violate anche le credenziali di accesso e i dati sensibili dei dipendenti, così come i progetti di componenti per veivoli civili e militari.

Leonardo attacco

Leonardo è una delle aziende europee più importanti attive nel settore della difesa e dell’aerospazio, un colosso controllato (per circa il 30% delle azioni) dal Ministero dell’Economia e delle Finanze, con un fatturato da quasi 14 miliardi di euro e clienti militari sparsi in tutto il mondo.

La breccia nei sistemi di Leonardo è insomma potenzialmente devastante, perché D’Elia ha potuto agire indisturbato carpendo informazioni dall’enorme valore economico ma anche strategico. L’azienda si è accorta della breccia sostanzialmente per caso, nel 2017, individuando nel gennaio di quell’anno un flusso di traffico anomalo.

L’indagine ha portato all’arresto di D’Elia, e Leonardo dice di aver collaborato fin da subito con le autorità giudiziarie per fare chiarezza sulla vicenda. Dal quartier generale romano della multinazionale rassicurano altresì sui potenziali effetti della breccia sui segreti militari italiani: i dati classificati e di valore strategico vengono trattati in aree segregate e non accessibili dall’esterno, dice l’azienda.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.