Connect with us

Notizie

AvosLocker: un ransomware che disattiva l’antivirus

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il ransomware AvosLocker è in grado di disabilitare il software antivirus per eludere il rilevamento, secondo Trend Micro.

In un post sul blog, i ricercatori di Trend Micro Christopher Ordonez e Alvin Nieto hanno dettagliato la tecnica relativamente nuova che ha sfruttato un rootkit legittimo nell’offerta antivirus di Avast. Non solo gli operatori dietro AvosLocker hanno bypassato le caratteristiche di sicurezza, ma hanno anche scansionato gli endpoint vulnerabili di Log4Shell per trasferire il server di callback al server di comando e controllo del gruppo.

In entrambi i casi, gli aggressori hanno approfittato delle vulnerabilità precedentemente divulgate, una preoccupazione ricorrente per le imprese.

AvosLocker è relativamente nuovo nel panorama delle minacce ransomware. Trend Micro, così come Palo Alto Networks, ha notato la sua comparsa l’anno scorso potrebbe aver riempito un vuoto lasciato dalla chiusura di REvil. Anche se le tattiche osservate si sono allineate con la precedente attività di AvosLocker, un aspetto significativo dell’attacco ha segnato una prima volta per i ricercatori di Trend Micro.

Questo è il primo campione che abbiamo osservato dagli Stati Uniti con la capacità di disabilitare una soluzione di difesa utilizzando un file legittimo Avast Anti-Rootkit Driver (asWarPot.sys)“, hanno scritto Ordonez e Nieto nel blog e sospettano l’exploit di Zoho ManageEngine Active Directory SelfService Plus come vettore di attacco iniziale, sulla base delle indicazioni che gli attori hanno sfruttato la vulnerabilità nota soprannominata CVE-2021-40539. Il bug di esecuzione di codice remoto è stato inizialmente rivelato l’anno scorso dal fornitore di sicurezza Synacktiv.

Accedendo all’AD, gli attori della minaccia sono stati in grado di creare un nuovo account utente per ottenere l’accesso amministrativo all’interno del sistema infetto. Hanno usato uno script PowerShell per scaricare gli strumenti necessari come AnyDesk, che consente l’accesso remoto. Da lì, i ricercatori hanno osservato lo script PowerShell disabilitare i prodotti di sicurezza sfruttando il legittimo driver Avast Anti-Rootkit. Il driver è stato parte integrante nel terminare qualsiasi processo dei prodotti di sicurezza che ha scoperto.

Una volta all’interno, la tendenza continua di abusare di strumenti e funzioni legittime per mascherare le attività dannose e la presenza degli attori cresce in sofisticazione. In questo caso, gli aggressori sono stati in grado di studiare e utilizzare il driver di Avast come parte del loro arsenale per disattivare i prodotti di sicurezza di altri fornitori“, hanno scritto Ordonez e Nieto.

Trend Micro sostiene che ha notificato Avast, che ha confermato la vulnerabilità è stata trovata in una “vecchia versione del suo driver aswArpot.sys” che è stato fissato nel giugno 2021.

Abbiamo anche lavorato a stretto contatto con Microsoft, così hanno rilasciato un blocco nel sistema operativo Windows (10 e 11), quindi la vecchia versione del driver Avast non può essere caricata in memoria“, ha detto il post sul blog. “L’aggiornamento di Microsoft per il sistema operativo Windows è stato pubblicato a febbraio come aggiornamento opzionale, e nel rilascio di sicurezza di Microsoft in aprile, quindi le macchine completamente aggiornate che eseguono Windows 10 e 11 non sono vulnerabili a questo tipo di attacco“.

Purtroppo, le imprese lottano per tenere il passo con gli aggiornamenti, come evidenziato nel rapporto e nei recenti avvisi del governo. Ad esempio, le forze dell’ordine di cinque paesi tra cui gli Stati Uniti hanno emesso un avviso il mese scorso sui bug più comunemente sfruttati del 2021. Sia Log4Shell che CVE-2021-40539 sono stati elencati in quanto continuano a rappresentare un rischio per la sicurezza; e gli attori delle minacce stanno prendendo nota.

Leggi notizie su Log4Shell

“Analogamente ai gruppi di malware e ransomware precedentemente documentati, AvosLocker sfrutta le diverse vulnerabilità che devono ancora essere patchate per entrare nelle reti delle organizzazioni”,

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

Il dark web preoccupa le aziende ma si fa poco per risolvere il problema

Condividi questo contenuto

Tempo di lettura: 2 minuti. Un nuovo rapporto rivela che le aziende sono preoccupate per le minacce provenienti dal dark web, ma fanno poco per affrontarle

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un recente rapporto di Searchlight Cyber evidenzia come gli addetti all’intelligence siano preoccupati per le numerose minacce che si verificano nel dark web e come le aziende, pur essendo consapevoli del problema, non stiano facendo abbastanza per risolverlo.

I risultati del sondaggio di Searchlight Cyber

Searchlight Cyber, un’azienda leader nell’intelligence sul dark web, ha condotto un sondaggio su circa 1000 addetti all’intelligence di grandi aziende, scoprendo che il 93% di loro è preoccupato per i pericoli provenienti dal dark web, mentre il 72% ritiene che una soluzione fondamentale sia acquisire informazioni sui cybercriminali per proteggere le aziende.

Cosa fanno realmente le aziende?

Le aziende si stanno concentrando sulla raccolta di informazioni relative a strumenti e reti legati al dark web, ma non stanno facendo abbastanza per affrontare il problema. Secondo gli esperti, il 71% degli addetti all’intelligence vorrebbe vedere i fornitori colpiti sul dark web, ma in realtà il 32% delle persone che utilizzano i dati di intelligence provenienti dal dark web li impiega per pianificare e attuare attacchi alla catena di fornitura.

La posizione di Ben Jones, capo di Searchlight Cyber

Ben Jones sostiene che le aziende non stiano facendo abbastanza e che abbiano un percorso difficile davanti a loro. Egli osserva un modello distinto tra la raccolta di molte informazioni sulle minacce e i dati provenienti dal dark web, utilizzati per ottenere una buona postura di sicurezza. Raccogliendo più informazioni, le aziende potranno familiarizzare con il modo in cui i criminali operano e aumentare le possibilità di identificare gli attacchi.

Differenze tra settori nell’affrontare le minacce del dark web

Le ricerche mostrano che le aziende di vari settori rispondono in modo diverso alle minacce provenienti dal dark web. Il settore finanziario è quello più attivo nella raccolta di dati, con l’85% delle aziende che estraggono informazioni da questa parte del web. Al secondo posto si trova il settore sanitario, con il 57%, mentre il settore petrolifero e del gas potrebbe migliorare, dato che solo il 66% dei CISO raccoglie dati dal dark web.

Prosegui la lettura

Notizie

Google: utilizzato spyware prodotto in Spagna per colpire utenti negli Emirati Arabi Uniti

Condividi questo contenuto

Tempo di lettura: 2 minuti. Gli utenti di Samsung Android browser negli Emirati Arabi Uniti sono stati presi di mira da un gruppo di hacker che utilizza il software spia Variston.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Google ha recentemente rivelato che gli hacker stanno usando il software spia Variston per colpire utenti negli Emirati Arabi Uniti.

Il software spia Variston e il suo utilizzo negli Emirati Arabi Uniti

Il Gruppo di Analisi delle Minacce (TAG) di Google ha scoperto che gli hacker stavano prendendo di mira le persone negli Emirati Arabi Uniti che utilizzavano il browser Android nativo di Samsung, una versione personalizzata di Chromium. Gli attaccanti hanno utilizzato una serie di vulnerabilità concatenate insieme e inviate tramite link web monouso inviati ai bersagli tramite messaggi di testo. Tra le quattro vulnerabilità nella catena, due erano zero-day al momento dell’attacco, il che significa che non erano state segnalate al produttore del software ed erano sconosciute fino a quel momento.

Campagna di hacking e vittime potenziali

Non è chiaro chi sia dietro la campagna di hacking o chi siano le vittime. Un portavoce di Google ha dichiarato a TechCrunch che il TAG ha osservato circa 10 link web dannosi in natura. Alcuni dei link reindirizzavano a StackOverflow dopo lo sfruttamento e potrebbero essere stati i dispositivi di test dell’attaccante, ha detto Google.

Variston e i suoi fondatori

Ralf Wegener e Ramanan Jayaraman sono i fondatori di Variston, secondo Intelligence Online, una pubblicazione di notizie online che copre l’industria della sorveglianza. La società ha sede a Barcellona, in Spagna, e nel 2018 ha acquisito l’azienda italiana di ricerca sulle vulnerabilità zero-day Truel.

La scoperta di altre campagne di hacking

Google ha anche annunciato di aver scoperto hacker che sfruttano un bug zero-day di iOS, corretto a novembre, per piantare a distanza spyware sui dispositivi degli utenti. I ricercatori hanno osservato gli aggressori che abusano del difetto di sicurezza come parte di una catena di exploit che prende di mira i proprietari di iPhone con iOS 15.1 e versioni precedenti in Italia, Malesia e Kazakistan.

Prosegui la lettura

Notizie

Google elimina 17 milioni di annunci legati alla guerra in Ucraina e lancia il Centro per la trasparenza pubblicitaria

Condividi questo contenuto

Tempo di lettura: < 1 minuto. Un passo avanti nella lotta contro la disinformazione e per la sicurezza degli utenti

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Introduzione Google ha recentemente rimosso oltre 17 milioni di annunci pubblicitari legati alla guerra in Ucraina e ha lanciato il Centro per la trasparenza pubblicitaria, un’iniziativa volta a contrastare la disinformazione e a migliorare la sicurezza degli utenti online.

Blocco degli annunci legati alla guerra in Ucraina

Nel 2022, Google ha rimosso oltre 5,2 miliardi di annunci pubblicitari e sospeso 6,7 milioni di account di inserzionisti per violazioni delle sue norme di sicurezza. Tra questi, più di 17 milioni di annunci riguardavano la guerra in Ucraina, bloccati in base alla policy sugli eventi sensibili.

Lotta alla negazione del cambiamento climatico e tutela dei minori

Google ha anche introdotto una nuova norma specifica legata alla negazione del cambiamento climatico, bloccando la pubblicazione di annunci su oltre 300.000 pagine di editori. Inoltre, l’azienda ha rafforzato la protezione dei minori, vietando annunci che promuovono app di appuntamenti, concorsi e lotterie, nonché prodotti per la perdita di peso ai minori di 18 anni.

Contrasto alla disinformazione

Per contrastare la disinformazione durante le elezioni, Google ha adottato misure volte a fornire agli elettori informazioni affidabili sugli annunci elettorali online. Ha verificato oltre 5.900 nuovi account pubblicitari negli Stati Uniti e oltre 2.300 in Brasile.

Il Centro per la trasparenza pubblicitaria

Google ha lanciato il Centro per la trasparenza pubblicitaria, uno strumento online che permette agli utenti di trovare informazioni dettagliate sugli annunci visualizzati su Google, Ricerca, YouTube e Display, e di conoscere meglio gli inserzionisti prima di acquistare un prodotto.

Cinque consigli per proteggersi dalle truffe

Google offre cinque consigli per una navigazione sicura: segnalare annunci malevoli, utilizzare strumenti per saperne di più su annunci e inserzionisti, usare password sicure e uniche, attivare la verifica in due passaggi e lavorare verso un futuro senza password.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie5 ore fa

La guerra in Ucraina e la nuova geografia della guerra cibernetica

Tempo di lettura: < 1 minuto. L'autunno 2022 ha segnato una svolta nella cyberwar legata al conflitto ucraino, estendendosi in...

DeFi1 settimana fa

Hacker travestito da Zelensky intervista Lagarde sull’euro digitale?

Tempo di lettura: < 1 minuto. Verità o deep fake? Non è dato saperlo se si riflette

Notizie1 settimana fa

Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito

Tempo di lettura: 2 minuti. Condividi questo contenutoIntroduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli...

Notizie1 settimana fa

KillNet mira alle applicazioni sanitarie ospitate su Microsoft Azure

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn gruppo hacktivist affiliato alla Russia noto come KillNet è stato osservato...

Notizie1 settimana fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie1 settimana fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Notizie1 settimana fa

NoName057 mette in palio 1 milione di rubli per chi partecipa ai DDoS

Tempo di lettura: < 1 minuto. Condividi questo contenuto Il gruppo di attivisti NoName057, conosciuto in Italia per essere stato...

Notizie2 settimane fa

Microsoft: Usa e Polonia i paesi più spiati dai russi

Tempo di lettura: < 1 minuto. Condividi questo contenutoSecondo un nuovo rapporto di intelligence di Microsoft, la Russia ha intensificato...

Notizie2 settimane fa

Microsoft: come sarà il secondo anno di guerra cibernetica

Tempo di lettura: 3 minuti. "La collaborazione tra settore pubblico e privato è essenziale per la difesa cibernetica e per...

Notizie3 settimane fa

Guerra cibernetica: il Pentagono non è pronto per la terza guerra mondiale

Tempo di lettura: < 1 minuto. Competere con la Cina per non essere sopraffatti

Truffe recenti

Truffe online1 giorno fa

Truffa “wangiri”: donna perde tutto il credito telefonico richiamando numero misterioso

Tempo di lettura: < 1 minuto. La truffa dello squillo senza risposta continua a mietere vittime tra gli ignari utenti...

Truffe online2 giorni fa

Sim swap a Napoli, condannate Intesa Sanpaolo e Telecom Italia

Tempo di lettura: < 1 minuto. Le due aziende dovranno risarcire il 50% dei 29.000 euro rubati

Notizie3 giorni fa

Esperto di tecnologia smaschera la truffa del “numero sbagliato”

Tempo di lettura: 2 minuti. Un esperto di sicurezza informatica indaga a fondo una truffa sofisticata e rivela come funziona

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi4 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online5 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Tendenza