Tag: ransomware

Consulenza, Database, Sicurezza informatica

Il Ransomware eCh0raix colpisce ancora

NAS di QNAP sono nuovamente il bersaglio di un attacco Ransomware, come hanno confermato diversi utenti e i dati statistici del servizio ID Ransomware. Il malware in questione è una vecchia conoscenza, ovvero eCh0raix. I dispositivi di QNAP sono stati colpiti da altri due ransomware nel corso dell’anno che hanno sfruttato le vulnerabilità presenti nel sistema operativo QTS.

Il ritorno di eCh0raix

I NAS più a rischio sono quelli con password deboli e sistema operativo non aggiornato. Non è noto il vettore di attacco, ma il risultato finale è la creazione di un nuovo utente con privilegi di amministratore ed installazione del Ransomware che applica la crittografia a tutti i file.

In un file di testo con estensione sbagliata (.txtt), l’hacker indica l’indirizzo di un sito Tor, sul quale sono pubblicate le istruzioni da seguire per pagare il riscatto. Se l’utente ha creato un backup dei file può semplicemente effettuare la re inizializzazione del NAS. In caso contrario ci sono due opzioni: pagare il riscatto e sperare di ricevere il “decryptor” oppure perdere tutti i dati.

QNAP suggerisce di utilizzare password più robuste per gli account amministratori, attivare la protezione degli accessi, cambiare il numero di porta, aggiornare il sistema operativo QTS e tutte le app installate.

NAS preferiti dai cybercriminali

NAS venduti da QNAP sembrano diventare il target preferito dei cybercriminali.

Non si conosce la cifra chiesta oggi, ma un portavoce di QNAP ha confermato che sui dispositivi compromessi è installata una vecchia versione del firmware. È quindi fortemente consigliato installare le ultime versioni di QTS o QuTS Hero e aggiornare tutte le applicazioni installate.

QNAP suggerisce inoltre di non connettere il NAS direttamente ad Internet tramite port forwarding, DMZ o IP pubblico. È possibile utilizzare una VPN.

Azioni per proteggere il NAS

Il malware può entrare nel NAS connesso ad Internet se l’utente sceglie password troppo deboli.

La sua presenza si nota subito perché il consumo di RAM e CPU cresce in maniera eccessiva.

Dieci suggerimenti per ridurre il rischio di infezione:

  • Aggiornare QTS all’ultima versione
  • Installare l’ultima versione di Malware Remover
  • Installare Security Counselor ed eseguirlo con la policy di sicurezza intermedia
  • Attivare Network Access Protection (NAP) per proteggere gli account da attacchi brute force
  • Installare un firewall
  • Usare password robuste per gli amministratori
  • Usare password robuste per gli amministratori dei database
  • Disattivare i servizi SSH e Telnet, se non usati
  • Disattivare app e servizi non usati
  • Evitare l’uso delle porte predefinite (80, 443, 8080 e 8081)

QNAP ha promesso l’arrivo di un tool per la rimozione di Dovecat dai NAS già infettati.

Clicca qui sotto per acquistare un NAS di ottima qualità.

NAS 1NAS 2

contattaci
jbs sotto attacco ransomware
Formazione, Sicurezza informatica

JBS sotto attacco ransomware

Mercoledì la società statunitense controllata dalla multinazionale brasiliana JBS, la prima al mondo nel settore della lavorazione della carne, ha fatto sapere di aver pagato 11 milioni di dollari (9 milioni di euro) come riscatto per un attacco informatico “ransomware” subìto la scorsa settimana. L’amministratore delegato di JBS USA, Andre Nogueira, ha detto che l’attacco ha impedito il funzionamento dei macelli negli stabilimenti degli Stati Uniti e dell’Australia per un giorno.

Come l’attacco informatico dello scorso 7 maggio a danno dei sistemi della Colonial Pipeline, uno dei più grandi e importanti oleodotti degli Stati Uniti. Anche questo compiuto con un “ransomware”, ovvero un software malevolo installato dagli hacker che blocca alcuni dati, sbloccati solo con il pagamento di un riscatto (in inglese ransom). Secondo le indagini preliminari, nell’attacco non sarebbero stati sottratti dati aziendali né dati relativi ai dipendenti. Reuters ha scritto che secondo una persona coinvolta nelle indagini, l’attacco è opera di un gruppo di hacker che ha legami con la Russia. Questi ultimi avrebbero utilizzato il ransomware REvil, o Sodinokibi. Il colosso della carne ha versato una somma pari a 11 milioni di dollari per evitare qualsiasi potenziale interruzione dell’attività.

JBS ha pagato la somma chiesta in bitcoin

La conferma di quanto avvenuto giunge oggi direttamente dal sito ufficiale, con un comunicato che mette nero su bianco la cifra versata. Non è dato sapere il nome della gang, ma secondo FBI si tratta di una delle più pericolose, con un modus operandi sofisticato. Riportiamo di seguito le parole attribuite a Andre Nogueira, CEO di JBS USA.

JBS sotto attacco ransomware

È stata una decisione molto difficile da prendere per la nostra azienda e per me personalmente. Ciò nonostante, abbiamo ritenuto la scelta fosse necessaria al fine di prevenire qualsiasi potenziale rischio per i nostri clienti.

A rendere la vicenda di particolare interesse non è tanto la cifra pagata (oltre il doppio rispetto al riscatto di Colonial Pipeline, ora in parte recuperato), quanto il fatto che il passaggio della valuta sia avvenuto senza uno stop dell’infrastruttura vero e proprio: i sistemi informatici di JBS non si sono mai fermati se non in minima parte, grazie ai protocolli di sicurezza integrati e alla possibilità di contare su solidi sistemi di backup. Potrebbe dunque essere questa la nuova frontiera degli attacchi ransomware? Estorcere denaro non in seguito alla messa offline dei network colpiti, ma a fronte della minaccia di farlo.

contattaci
attacco ransomware bose
Formazione, Internet, Sicurezza informatica

Bose: attacco ransomware confermato

La prima metà dell’anno che si appresta ad avviarsi verso la conclusione, vede la presenza massiccia, dal punto di vista della cybersecurity, di una serie di violazioni attribuibili ai ransomware e tra le vittime spicca anche Bose, il celebre produttore statunitense di apparecchi e sistemi audio, che conferma l’ attacco avvenuto nel mese di marzo.

Un rappresentante del produttore di apparecchiature audio Bose Corporation ha confermato una violazione dei dati. Infrazione questa, confermata come derivante da un attacco ransomware che ha compromesso i sistemi informatici dell’azienda un paio di mesi fa. Il rappresentante ha presentato una notifica di incidenti di sicurezza all’ufficio del procuratore generale del New Hampshire in conformità con la legge locale. L’azienda sta già collaborando con specialisti della sicurezza informatica per completare il processo di ripristino dei sistemi interessati. Collaborano anche con un team forense digitale per determinare se i responsabili delle minacce sono riusciti ad accedere a informazioni sensibili.

Nella notifica inviata al New Hampshire’s Office of the Attorney General, la società rende noto che il trafugamento riguarda i dati appartenenti ai propri dipendenti. Fortunatamente, non ve n’è traccia sulle bacheche del Dark Web, almeno per il momento.

Trafugati i dati di alcuni collaboratori

bose colpita da ransomware

L’incidente è avvenuto il 7 marzo o almeno è quella la data in cui i tecnici Bose si sono resi conto della violazione, mettendosi subito al lavoro per minimizzarne l’impatto e arrivando poi (non è dato a sapere in quanto tempo) al pieno ripristino dei sistemi intaccati.

Il 29 aprile, grazie alle indagini condotte, l’azienda ha scoperto che gli autori dell’attacco sono riusciti ad accedere ad alcuni file contenenti nomi, cognomi, numeri di previdenza sociale e dettagli sui compensi percepiti da alcuni collaboratori, attuali e passati.

D’altra parte Joanne Berthiaume, direttore delle pubbliche relazioni di Bose, afferma che la società non pagherà alcun riscatto: “Stiamo recuperando le informazioni impegnate a fornire consulenza a specialisti della sicurezza informatica con una vasta esperienza in casi come questo”, afferma Berthiaume.

In un aggiornamento successivo, Bose ha confermato che alcune

informazioni sui dipendenti potrebbero essere essere state interessate: “Abbiamo identificato la compromissione delle informazioni di un piccolo gruppo di persone. Quindi il nostro team legale fornirà consulenza alle persone interessate. Continueremo a concentrarci per fornire ai nostri clienti e dipendenti la migliore esperienza possibile”.

L’indagine di Bose ha identificato il vettore di attacco utilizzato dagli hacker. Ha aggiunto inoltre che “L’analisi forense ha stabilito che l’incidente si è verificato alla fine di aprile, quando gli aggressori hanno avuto accesso a un piccolo numero di fogli di calcolo con le informazioni amministrative dell’ultima coppia di anni. Questi file memorizzavano le informazioni dei dipendenti vecchi e attuali di Bose”. 

Bose promette di fortificare le proprie difese informatiche sia a livello client sia a livello server; e sta ancora conducendo un’analisi forense approfondita sui suoi server. I file che hanno causato l’attacco sono stati bloccati, e tutti gli account interni dovranno inevitabilmente cambiare password.

contattaci
Sicurezza informatica

Qlocker: il ransomware che sta attaccando i NAS

Dopo gli attacchi ai danni di aziende e istituzioni, arriva ora un problema serio che colpisce non solo piccole e medie imprese, ma anche gli utenti. Il ransomware Qlocker sta attaccando i NAS Qnap: sfrutta due vulnerabilità di Qnap e comprime tutti i file presenti sul disco in formato 7zip protetto da password, cancella i file originali e lascia solo un file di testo con le indicazioni per recuperare il tutto. Qnap sta rilasciando due patch per proteggere i suoi Nas.

A partire dal 19 di aprile, un attacco ransomware su scala mondiale sta colpendo i NAS Qnap che sono esposti sulla rete pubblica. I server infettati sarebbero già migliaia.

ransomware qlocker nas

Un bel problema, anche perché il NAS viene visto come la soluzione di backup o di storage dei dati più importanti. Nei mesi scorsi, quando abbiamo pubblicato articoli sui riscatti e sugli attacchi ransomware, molte persone hanno detto di sentirsi al sicuro perché tanto i loro dati sono al sicuro su un NAS.

Quindi, se anche il computer venisse attaccato e criptato, si potrebbe ripristinare tutto. In questo caso è il NAS a diventare la vittima del qlocker, ed essendo la cassaforte di foto, documenti e anche file di lavoro avere i dati sul NAS “ostaggio” di un criminale non è affatto piacevole.

Il ransomware Qlocker sta attaccando i NAS Qnap

Le prime segnalazioni relative all’attacco del qlocker sono arrivate quattro giorni fa. Qlocker sfrutta le vulnerabilità CVE-2020-36195 e CVE-2021-28799 per attaccare i NAS, spostare i file in un archivio 7-zip protetto da password e quindi chiedere agli utenti il pagamento di un riscatto di 0,01 Bitcoin (circa 410 euro al cambio attuale).

Le istruzioni sono indicate in un file di testo. È necessario utilizzare il Tor browser per accedere al sito in cui deve essere inserita la “client key” per il login. Dopo aver inserito l’identificatore della transazione che dimostra l’avvenuto pagamento, sulla pagina viene mostrata la password per l’archivio 7-zip.

La risposta di Qnap all’attacco del ransomware

QNAP ha rilasciato una serie di patch per proteggere i suoi NAS dal ransomware Qlocker che viene installato sfruttando due vulnerabilità presenti nel sistema operativo QTS e ora risolte dall’azienda taiwanese. È necessario quindi procedere all’aggiornamento dei vari componenti interessati dal problema. Al più presto verrà fornita una soluzione per rimuovere il malware.

patch qlocker

QNAP ha pubblicato un avviso che spiega i passi da seguire per la patch. Innanzitutto è necessario effettuare una scansione con la versione aggiornata del Malware Remover. Quindi è consigliabile cambiare la password e installare le ultime versioni di Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync.

È preferibile anche cambiare la porta di rete predefinita (8080) per l’accesso all’interfaccia web. Se i dati sono stati già cifrati, il NAS non deve essere spento.

contattaci
Sicurezza informatica

Arriva il virus made in Italy: Kernsomware

Èstato ribattezzato Kernsomware il nuovo ransomware sviluppato in Italia che, sebbene ancora in fase di test, ha tutte le carte in regola per arrecare notevoli danni ad aziende e privati nel nostro Paese (e non solo) con la solita tecnica del limitare l’accesso al dispositivo infetto mediante la cifratura dei file e delle cartelle archiviate nell’hard disk, richiedendo poi il pagamento di un riscatto (ransom in inglese) per fornire alla vittima la chiave di decodifica necessaria a rimuovere la limitazione.

Kernsomware è dunque il terzo ransomware sviluppato in Italia dopo FuckUnicorn (che si è diffuso nel mese di giugno 2020 camuffato da app Immuni) e Ransomware2.0, il malware razzista contro i napoletani, isolato lo scorso mese di febbraio: ciò a conferma del fatto che anche in Italia i malware writer sono particolarmente attivi in questo periodo.

Tutti i dettagli del ransomware Kernsomware

Dall’analisi del sample di Kernsomware isolato dai ricercatori risulta evidente che il ransomware si trova ancora in una fase di sviluppo, anche se tutte le sue funzioni malevoli sono pronte per essere attivate in qualsiasi momento.

È sufficiente, infatti, che i malware writer rivedano il codice sorgente generalizzando i path assoluti delle singole variabili utilizzate per testare, in particolare, proprio il processo di cifratura di Kernsomware.

La prima azione che la versione beta del ransomware Kernsomware esegue appena attivo sulla macchina target è quella di cercare e poi terminare i processi taskmgr e cmd. Subito dopo, fa partire un conto alla rovescia di due ore e avvia contestualmente la cifratura di un file di esempio c:UserszannrDesktopcriptami.txt.

L’algoritmo crittografico è robusto, ma la chiave è in chiaro

Analizzando il codice malevolo, i ricercatori hanno scoperto che il ransomware KeRnSoMwArE utilizza una crittografia AES256 con un vettore di inizializzazione (IV) e chiavi casuali per cifrare i file della vittima designata, mentre per la chiave di decodifica viene utilizzato un algoritmo RSA.

contattaci
Formazione

Crescono le richieste di riscatto per file sottratti o criptati

Tra gli ultimi attacchi degli hacker spiccano quello che ha colpito Luxottica e l’Università di Tor Vergata. Attacchi che sono solo la punta dell’iceberg e confermano la permeabilità delle infrastrutture digitali. «Cresce la sofisticatezza degli attacchi, con tecniche che rendono sempre più complessa l’identificazione dei cybercriminali e che mettono in pericolo anche gli utenti più esperti» spiega Carlo Mauceli, National Digital Officer di Microsoft Italia. La multinazionale ha presentato il «Digital defense report 2020» che analizza le principali minacce informatiche a livello globale riscontrate nel corso dell’ultimo anno.

Il report evidenzia una chiara preferenza per determinate tecniche di attacco, con un significativo aumento di interesse verso il furto di credenziali e i ransomware, oltre a un crescente focus sull’IoT (Internet of Things) e a uno sfruttamento dell’emergenza Covid-19 sia per colpire organizzazioni sanitarie, sia in termini più trasversali per far leva sui “remote workers” e accedere ai patrimoni informativi aziendali.

Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili

Nel 2019 Microsoft ha bloccato oltre 13 miliardi di e-mail nocive e sospette, un miliardo delle quali conteneva Url appositamente creati per lanciare attacchi di phishing volti al furto di credenziali. «Una tendenza sempre più diffusa anche in Italia, dove cresce il phishing, approfittando della curiosità umana e del bisogno d’informazione.

Ransomware explained: How it works and how to remove it | CSO Online

Secondo il Rapporto Clusit 2020, nel nostro Paese il “phishing/social engineering” è cresciuto nel 2019 del +81,9% rispetto al 2018.
I cybercriminali cavalcano spesso la notizia e lo hanno fatto anche in materia Covid-19, sviluppando attacchi di social engineering con un picco proprio a marzo, facendo leva sull’ansia collettiva e sull’affollamento di informazioni che rende più facile cliccare erroneamente link nocivi»-

Anche in Italia le richieste di riscatto per file criptati o sottratti sono in crescita e rappresentano una delle principali paure degli executive. Purtroppo, si tratta di criminali che sanno quando muoversi e approfittano di festività e vacanze o di fasi delicate nella vita delle aziende che le rendono più inclini a pagare, per esempio per non interrompere i cicli contabili. E anche in questo caso abbiamo riscontrato uno sfruttamento dell’emergenza sanitaria, che ha fatto presupporre che ci fosse più disponibilità a pagare rapidamente per non complicare situazioni già difficili. Spesso i criminali si sono mossi con una rapidità disarmante, arrivando a ricattare interi network aziendali nel giro di 45 minuti.

Occorre sempre più una strategia chiara accompagnata da investimenti in cultura, formazione e risorse economiche, altrimenti, difficilmente, si riuscirà ad uscire da questo quadro.

Il personale di Enjoy System è formato per prevenire queste problematiche.
Per qualsiasi dubbio o chiarimento, contattaci.

Sicurezza informatica

Attacchi informatici: con Covid +250% in secondo trimestre 2020

Nel secondo trimestre del 2020 i crimini informatici in Italia sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno. Il mese di giugno vasta lo spiacevole primato con picchi di attacchi, incidenti e violazioni della privacy a danno di aziende, privati e pubblica amministrazione.
L’incremento dello smart working, una maggiore connessione ai social network durante l’emergenza e la riapertura delle aziende subito dopo il lockdown sono state le cause principali dell’aumento degli attacchi hacker.

Nel 60% dei casi si è trattato di furto di dati (+ 361% rispetto al primo trimestre). Il 17% degli attacchi è avvenuto tramite malware, software o programmi informatici malevoli, che hanno sfruttato il Coronavirus per attirare l’attenzione degli utenti. Tra questi, il programma “Corona Antivirus” o “Covid 9 Antivirus”, un malware che permette ai criminali informatici di connettersi al computer delle vittime e spiarne il contenuto, rubare informazioni o utilizzarlo come vettore per ulteriori attacchi.
“CovidLock”, inoltre, un ransomware (tipologia di malware che rende un sistema inutilizzabile esigendo il pagamento di un riscatto per ripristinarlo) che prende di mira gli smartphone Android quando si cerca di scaricare un’app di aggiornamenti sulla diffusione del Coronavirus.

Dal report si evince, infine, che nel secondo trimestre in Italia sono cresciuti del 700% gli attacchi di matrice ‘hacktivistica’, un fenomeno emergente spesso collegato a campagne internazionali su temi di grande attualità come “black-lives-matter” e “revenge-porn”.

Internet, Sicurezza informatica

Un ransomware sta circolando su macOS: come funziona e come proteggersi

Un ransomware sta circolando su macOS: come funziona e come proteggersi

EvilQuest sta minacciando i sistemi macOS. Si tratta di un ransomware che può essere installato dall’utente attraverso altri software contraffatti ad-hoc

Sta circolando una nuova variante di ransomware su macOS. Si chiama EvilQuest e si può insediare in ogni sistema attraverso l’installazione di software pirata manomessi ad-hoc. A rivelare la novità è stata la società di sicurezza Malwarebytes, che ha scritto di aver trovato il codice malevolo per la prima volta all’interno di una versione contraffatta di Little Snitch proposta da un forum russo.

Un occhio esperto può capire rapidamente che c’è qualcosa di insolito nella versione illecita del software, visto che viene installata attraverso un installer generico. Insieme all’applicazione questo inserisce nel sistema un file eseguibile chiamato “Patch” nella cartella “/Users/Shared” insieme a uno script post-install sviluppato per infettare il sistema. Nello specifico lo script sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, un processo macOS legittimo, mantenendolo nascosto in Activity Monitor. Da lì, il file Patch si installa in diversi punti sul Mac.

Cos’è un ransomware
Un ransomware è un software che blocca attraverso protezione crittografica le impostazioni e i file su un sistema usando una chiave di cifratura che è nota solo all’aggressore che pianifica l’attacco, e non all’utente che utilizza il sistema. Quando si tenta di accedere ai file “protetti” si riceve un avviso e serve la chiave di cifratura per sbloccarli, chiave che di norma viene ceduta dall’aggressore solo in seguito a un pagamento. Da qui il nome “ransomware”, da ransom che significa riscatto.

Il funzionamento di EvilQuest è analogo: blocca i file e le impostazioni sul Mac infetto, così come anche il Portachiavi causando un errore anche quando si tenta di accedere al Portachiavi iCloud. Anche il Finder non funziona correttamente dopo l’installazione e si presentano problemi con il dock e altre app installate sul sistema. Malwarebytes ha notato che, nel caso specifico del test eseguito, il ransomware ha avuto problemi nel proporre le istruzioni per il riscatto.

Indagando sul forum russo in cui è stato diffuso il software, però, ha scoperto che l’obiettivo del ransomware è quello di obbligare gli utenti a pagare 50$ per riottenere l’accesso ai propri file. Non è questa però la soluzione al problema, come spesso avviene con questo tipo di malware.

Come proteggersi
Chiunque abbia un sistema infetto da qualsiasi ransomware non dovrebbe pagare la commissione, perché non è detto che la procedura sia in grado di rimuovere del tutto il malware. In questo caso, inoltre, il ransomware può essere installato sul sistema insieme a un software keylogger capace di raccogliere tutte le sequenze di tasti. Malwarebytes suggerisce il proprio software per sistemi Mac per rimuovere il ransomware, che viene rilevato come Ransom.OSX.EvilQuest, ma la procedura non consente di recuperare i file crittografati (serve il ripristino da un backup).

Il problema deve essere evitato a priori, come spesso avviene con malware di questo tipo. Codici malevoli simili ad EvilQuest sono stati trovati anche in altri software pirata diffusi online, e gli utenti Mac possono evitarli mantenendosi a distanza da fonti inaffidabili e non ufficiali, installando le applicazioni sul proprio sistema attraverso il Mac App Store o i siti web ufficiali degli sviluppatori.