Epidemia di Petya (Petrwap)

Sulla scia dell’epidemia di un mese fa denominata WannaCry, dalla giornata di ieri una nuova minaccia ransomware sta mietendo vittime soprattutto in Europa.

petya-pc

Secondo diversi ricercatori il virus discende dal malware Petya, già noto dal 2016, ma ulteriormente elaborato e potenziato per sfruttare le stesse falle su cui faceva leva WannaCry, presenti in diverse versioni del sistema operativo Windows (per cui Microsoft ha già rilasciato la patch il 14 marzo scorso denominata MS17-010).

Tuttavia l’analisi del malware è ancora in corso e alcuni ricercatori indicano che potrebbero essere sfruttati anche altri metodi di diffusione che non si avvantaggiano delle vulnerabilità note ma tentano il collegamento con privilegi amministrativi ad altri PC nella rete (alle share admin$ e c$) utilizzando la stessa password dell’utente.

Sembra quindi che oltre alla modalità Ransomware il “nuovo Petya” (o NotPetya come è stato chiamato da alcuni produttori di Antivirus) sia anche un Credential Stealer ovvero in grado di estrarre lo username e la password dell’utente ed inviare questi dati ad un server remoto sotto il controllo degli attacanti oltre a sfruttare tali informazioni per accedere a sistemi locali.

Il virus si comporterebbe quindi come un worm ovvero autoreplicandosi nella rete aziendale ed infettando altri computer presenti con l’obbiettivo di cifrarne i file e rilasciando la chiave di decifratura solo a seguito del pagamento di un riscatto (attualmente circa 300$ in bitcoin).

La modalità di infezione iniziale resta sempre la mail: un excel in allegato scarica ed esegue in modalità nascosta un programma (una DLL, per la precisione) che oltre alla propria diffusione ed alla cifratura dei file imposta un riavvio del computer dopo circa un’ora dalla propria installazione. Al riavvio provvede alla cifratura di file e sezioni principali del disco fisso (Master Boot Record, e Master File Table) mentre mostra all’utente una schermata di verifica a cui l’utente potrebbe essere familiare.

fake-chkdsk.png

Avast dichiara che sono stati rilevati oltre 12.000 tentativi di attacco, in particolare sembra che il malware sia particolarmente diffuso in grosse aziende Europee tra cui centrali elettriche (anche i sistemi di controllo delle radiazioni della centrale di Chernoby), aziende di trasporti e pubblicità. Il wallet bitcoin legato al malware risulta aver ricevuto decine di pagamenti. L’indirizzo e-mail per contattare gli attaccanti, tuttavia, è stato disabilitato dal provider pertanto è assolutamente sconsigliato tentare di pagare il riscatto.

Mentre online circolano diverse soluzioni per evitare o minimizzare gli effetti di questa infezione, si possono raccomandare, in linea generale, comportamenti e modalità di protezione già viste in casi precedenti e che dovrebbero sempre attive, come:

  • mantenere aggiornati i proprio sistemi e software antivirus;
  • attivare regole di filtering della posta elettronica (antispam, antivirus, antiphishing);
  • evitare il normale utilizzo delle proprie postazioni di lavoro con privilegi amministrativi.

Ma soprattutto vanno formati ed informati gli utenti sul corretto utilizzo delle mail per evitare l’apertura di file allegati indesiderati.

Per chi volesse maggiori informazioni tecniche, sono disponibili qui

Cert-PA ed il CERT Nazionale hanno rilasciato annunci in merito a questa ondata di malware.

Contattaci

TeamViewer e le solite password

TeamViewer e le solite password

Non usate la stessa password per tutti gli account!

Quante volte i vostri tecnici hanno ripetuto queste parole? Le obiezioni sono spesso le più comuni, e tra tutte spicca il classico “cosa potrà mai succedere?”.
Oggi ne vediamo un esempio.

Cos’è successo

Il 1 giugno 2016 TeamViewer, il noto servizio di desktop remoto, ha subito un’attacco DoS alla sua infrastruttura DNS. In poche parole, qualcuno si è messo in mezzo tra loro e i vostri PC ed ha tentato la connessione per prendere il controllo delle singole macchine.
Tuttavia per controllare i singoli computer è necessario utilizzare le credenziali dell’utente. I recenti attacchi a LinkedIn, MySpace e Tumblr hanno reso disponibili alla comunità oltre 700 milioni di account utente in meno di due mesi.
Questo ha permesso agli attaccanti di tentare gli accessi con quelle password o similare, e in buona parte ha funzionato: ecco il mouse prendere vita autonomamente ed accedere ad home banking e PayPal per svuotare i conti delle vittime, accedere alla webmail ed effettuare ordini tramite Amazon ed Ebay.
TeamViewer sostiene che il problema non è legato ad una vulnerabilità dei loro sistemi, e nonostante il problema con i server DNS sia stato risolto, gli attacchi stanno continuando al ritmo di centinaia al giorno.

Come proteggersi

Le prime cose da fare sono:

1. Cambiare la password di TeamViewer. Usatene una dedicata, diversa da tutte le altre, e molto diversa dalla precedente.
2. Attivare l’autenticazione in due passaggi. Qui il tutorial su come fare.
3. Abilitare una lista di dispositivi sicuri per l’accesso: qui per maggiori informazioni.
4. Limitare le connessioni TeamViewer al necessario. Qui i dettagli.

Considerazioni

L’anello debole della catena di questo attacco è molto simile ad altri: stessi account, stesse password. Senza quegli accessi, gli attaccanti non sarebbero riusciti nel loro intento.
Creare e gestire password diverse e sempre nuove richiede uno sforzo, ma esistono anche software che possono aiutarci in questa gestione: i password manager.

Un altro elemento di debolezza è la pigrizia.
Spesso salviamo sessioni, utenti e password nei nostri browser, e questo permette a chiunque acceda ai nostri computer di poter utilizzare molti servizi in tutto e per tutto come se fossimo noi, visto che siamo già autenticati online. Effettuare logout / login è vista come una perdita di tempo non necessaria, ma che può fare la differenza.

L’ultima considerazione è che “da un grande potere derivano grandi responsabilità”, come insegna il compianto Zio Ben. TeamViewer è uno strumento estremamente potente, perché permette il controllo pressoché totale della macchina. Pertanto, dovrebbe essere uno strumento configurato ed utilizzato con estrema consapevolezza.

 

Fonti e risorse:
Post di Nick Bradley – Compromised Before My Very Eyes: How I Almost Got Hacked
Twitter
Reddit
Attivissimo
Tom’s Hardware

Gli hacker puntano al tuo conto in banca

Gli hacker puntano al tuo conto in banca

Il titolo può sembrare riduttivo, ma uno degli obbiettivi principali degli attacchi informatici sono le frodi finanziarie.
Kaspersky Lab, in collaborazione con B2B international, ha analizzato gli attacchi di frode finanziaria ai piccoli consumatori rilevando in questa ricerca dei dati allarmanti. Vediamoli molto in sintesi:

– il campione analizzato è di più di 12.355 utenti di cui 400 italiani;

– del campione analizzato, il 48% dei consumatori è vittima di email ingannevoli, e l’11% ci rimette del denaro;

– la metà delle vittime colpite non recupera i suoi soldi;

– Gli importi rubati sono in media di 283 dollari, ma possono arrivare fino a 1.000 dollari.

La ricerca è internazionale, ma se volessimo avere un quadro più complessivo della situazione italiana, ci viene in aiuto il recente convegno  “Cybercrime e Data Security” svoltosi ieri 11 maggio a Milano e organizzato dall’American Chamber of commerce in Italy e da Affinion International.
In Italia il danno causato dai crimini informatici è stimato attorno ai 9 miliardi di euro all’anno. L’aumento delle frodi bancarie in Italia è salito del 150% rispetto al 2015.

Le cause

Chiediamoci ora perché questo succede. Partendo da una breve analisi dei comportamenti possiamo trovare che:

Vengono utilizzate Wi-Fi pubbliche dal 13% degli utenti per accedere ai propri account, e dall’8% per fare acquisti online oppure transazioni bancarie. Questo è un po’ come dire che lascio le chiavi di casa in un bar, o anche la mia carta di credito dove tutti possono vederla.

L’88% degli utenti salva sui propri dispositivi informazioni personali, il 48% utente e password dei propri account ed il 28% dati finanziari (accessi all’home banking, numeri di conto corrente, ecc.). Praticamente stiamo lasciando i documenti, la carta d’identità e la chiave della cassaforte in auto, in strada, sotto casa.

Potrei proseguire, ma questi due primi dati ci dicono chiaramente quanto questi comportamenti mettano a rischio i nostri soldi.
Come difendersi? Tre consigli che non richiedono software da installare.

Per prima cosa sappiate che le banche e le poste non vi chiederanno mai di confermare i vostri dati tramite e-mail: non cliccate nei pulsanti o nei link presenti in quelle e-mail. Se avete un dubbio, chiamate in banca.

Non effettuate operazioni finanziarie dai dispositivi mobili (smartphone e tablet) quando siete connessi a reti Wi-Fi diverse dalla vostra linea di casa: non sapete quanto possa essere sicura la connessione.

Infine, non effettuate acquisti online in shop che non conoscete direttamente. Se è la prima volta che acquistate in quel sito, guardate le recensioni interne e fate una breve ricerca online per vedere se quello shop è stato citato in qualche articolo o forum per truffa.

Queste attenzioni vi faranno perdere qualche minuto in più, ma proteggeranno i vostri risparmi.

Information Security: nuovi trends

Information Security: nuovi trends

Il 2016 sta vedendo il crescere di nuove minacce sempre più sfruttate dalla criminalità organizzata digitale. Scopriamo alcune delle più interessanti e valutiamo alcuni interventi di base per non farsi trovare impreparati.

Internet of Things

Il problema de “internet delle cose” è garantire che quel comodo dispositivo funzioni solo per noi che l’abbiamo acquistato. Macchine del caffè, frigoriferi, auto, dispositivi indossabili e medicali, televisioni sono tutti connessi ad internet, raccolgono dati su di noi e sulle nostre abitudini e pertanto sono obbiettivi molto succulenti per la criminalità.

Carte di Credito

I nuovi sistemi di pagamento, come le carte di credito EMV oppure i vari Google Wallet o Apple Pay, stanno riducendo sensibilmente i rischi di truffa nel punto vendita, tuttavia stanno spingendo i cyber criminali a rubare e clonare sempre di più grossi volumi di carte di credito da e-commerce e servizi online che li raccolgono.

Estorsione

L’estorsione digitale è un modo di utilizzare i dati come arma. Un esempio frequente è questo: cyber criminali si impossessano di dati sanitari delle vittime e poi costringerle a pagare pena la pubblica diffusione di quelle informazioni, in particolare per patologie sensibili (HIV) che possono causare gravi danni alla vita sociale delle vittime. Questi tipi di attacchi sono stati robotizzati per permettere un gran numero di estorsioni ma estremamente personalizzate.

Criminal-As-A-Service

Perché compiere un reato se qualcuno di più motivato può farlo al mio posto (prendendosi i rischi)? E’ più conveniente fornire sofisticati strumenti a baby cyber criminali piuttosto che esporsi in prima persona. Perciò è possibile affittare tanto strumenti quanto mercenari, per compiere furti di profili pubblici o far compiere intere operazioni criminali.

Cloud

Gli attacchi alle piattaforme cloud aziendali si sono fatti più insistenti, in particolare quelli di ingegneria sociale: l’obbiettivo primario dei cyber criminali è ottenere con l’inganno le credenziali di accesso reali dagli stessi utenti per operare in completa trasparenza.

Piccoli bersagli

La convinzione comune che solo le grandi aziende siano vittime di attacco è ampiamente smentita dai fatti. Colpire le piccole organizzazioni è più facile, e permette di ottenere informazioni altrettanto preziose, che, combinate tra loro, valgono più di una singola grande fonte.

 

Che fare?

Le attività possibili sono diverse, e vanno profondamente calate nella realtà aziendale. E’ fondamentale utilizzare un approccio olistico, ovvero che sia multidisciplinare, che analizzi il comportamento dei sistemi (persone e macchine) e che tenga conto del feedback che i sistemi complessi danno. Ne propongo tre che a mio avviso sono buoni punti di partenza:

  1. Adottare modelli di governance che prevedano un’analisi dei rischi informatici e soprattutto una gestione degli stessi, sia in ottica di continuità dei servizi che in ottica di gestione finanziaria del danno economico che il rischio informatico può causare.
  2. Gli attacchi sociali (ormai quasi la metà) non possono essere fermati da un dispositivo o da un software, per quanto evoluto. Serve formazione di base a tutto il personale aziendale.
  3. Progettare i processi produttivi fin dall’inizio con un’ottica alla sicurezza (security by design) e alla privacy (privacy by design). Presto questo tipo di approccio sarà legalizzato con l’adozione di misure dedicate sempre più stringenti (v. il GDPR).

Qualunque cosa si faccia, però, parte sempre dalla coscienza che i dati aziendali hanno un valore oggettivo e sono costantemente minacciati.
Prima si prenderà coscienza di questo, prima si riuscirà a tutelare il nostro business.

 

Quest’articolo e le sue riflessioni sono state ispirate da quest’articolo sul Corriere e quest’altro su CSO.