Connect with us

segnalaci un sito truffa

Notizie

Europol: nel 2021 crescono frodi e attacchi ransomware

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

L’Europol ha presentato il rapporto sulla criminalità informatica e le organizzazioni criminali nei vari ambiti dell’universo digitale. Il risultato dell’anno trascorso è impietoso sotto molti punti di vista, ma la Giustizia congiunta dei paesi europei non ha perso il suo smalto, anzi, sono tante le azioni di polizia che hanno portato agli arresti di diverse organizzazioni criminali smantellando delle parti di settori criminali redditizi. Quello che però non sorprende, è il tenore dei contenuti esposti dall’organizzazione europea che garantisce la sicurezza sul territorio perché rappresentano attività oramai consolidate nel settore della cronaca tecnologica.

Cosa è l’Europol?

Inutile fornirvi una descrizione autoprodotta perché quella contenuta in Wikipedia è la migliore per sintesi e concetti da acquisire. L’ufficio europeo di polizia (anche Europol, contrazione da European Police Office) è un’agenzia dell’Unione Europea finalizzata alla lotta al crimine nel territorio degli Stati membri dell’Unione europea, divenuta operativa il 1º luglio 1999. La sede dell’organismo è all’Aia ed il suo obiettivo è migliorare l’efficienza dei servizi competenti degli Stati membri e la loro cooperazione in settori sempre più numerosi:

  • la prevenzione e la lotta contro il terrorismo;
  • il traffico illecito di stupefacenti;
  • la tratta di esseri umani;
  • le reti d’immigrazione clandestina;
  • il traffico illecito di materie radioattive e nucleari;
  • il traffico illecito di autoveicoli;
  • la lotta contro la falsificazione dell’euro;
  • il riciclaggio dei proventi di attività criminali internazionali.

Ed ha le seguenti funzioni prioritarie:

  • agevolare lo scambio di informazioni fra gli Stati membri;
  • raccogliere e analizzare le informazioni e le segnalazioni;
  • comunicare ai servizi competenti degli Stati membri le informazioni che li riguardano e informarli immediatamente dei collegamenti constatati fra fatti delittuosi;
  • facilitare le indagini negli Stati membri;
  • gestire raccolte informatizzate di informazioni.

Il rapporto IOCTA

Ogni anno l’Europol stila un rapporto sul crimine organizzato che risponde alla sigla IOCTA. Quest’anno il report è molto più ristretto di quello precedente, sono in tutto 45 pagine, ed ha cambiato anche stile editoriale proponendo al lettore più grafici e meno testi. Lo studio, che non è altro che il sunto del monitoraggio costante della rete Internet e dei crimini connessi ad essa nel quotidiano, è suddiviso in pochi ma brevi capitoli che interessano: la criminalità trasversale, Crimine strettamente informatico, Materiale di abusi sui minori, Frodi Online e Dark Web.

Ransomware: un business per tutti

Aumentano gli strumenti di attacco e l’intensità degli stessi. Il caso dei Ransomware è lampante perché oramai esiste una vasta gamma di prodotti che esistono sul mercato e la maggiore difficoltà degli inquirenti sta proprio nel servizio che oramai viene offerto ai criminali in erba. Non solo gruppi che rendono inutilizzabili le reti informatiche delle multinazionali per chiedere dei riscatti milionari o bloccano i servizi digitali essenziali di interi paesi per conto di stati canaglia, ma cresce il numero dei pesci piccoli che acquistano i servizi RAAS (Ransomware as a service) da cui scaturiscono attacchi con riscatto su larga scala indipendentemente dalla dimensione delle attività che vengono colpite, sia professionali sia produttive che statali. Una dispersione del reato che scaturisce dalla accessibilità a chiunque sia munito di buona volontà con una somma da investire e voglia di svolgere attività criminali in proprio. In base alle denunce giunte presso l’Europol in materia, i ransomware più utilizzati sono in ordine Sodinokibi, Pysa, Ryuk e Conti. Le strategie più diffuse invece sono miste, nel senso che oltre all’infezione vera e propria dei dispositivi in uso nelle aziende, precede sempre una attività di monitoraggio dei dipendenti che vengono contattati informalmente e a cui vengono chieste informazioni riservate tramite tecniche di ingegneria sociale, ma è anche vero che la strategia preferita è quella di esercitare una pressione sui media e sui mercati, soprattutto nel caso delle aziende quotate in borsa, per ottenere il riscatto utile allo sblocco delle attività compromesse dall’attacco. Cresce il fenomeno della doppia estorsione dove oltre allo sblocco dell’attività si pretende altro denaro per non diffondere i dati esfiltrati durante l’attacco, qui è spiegato meglio il procedimento.

Aumentano le frodi online

La pandemia ha collegato per maggior tempo le persone ad Internet ed è cresciuto il fenomeno delle truffe in rete. Il vettore principale delle frodi restano il phishing, con il smishing via sms, e l’ingegneria sociale che intercettano dati sensibli e personali di utenti connessi che abboccano alle tante trappole che vengono architettate con strategie di marketing efficaci. Anche il fenomeno degli investimenti in rete si dimostra un fattore di rischio come spiegato nell’approfondimento domenicale sul mondo del trading e delle criptovalute. Anche il settore delle consegne sta subendo una trasformazione criminale volta al mercato della ricettazione. Aumentano, infatti, i casi di persone che non ricevono i prodotti acquistati tramite le piattaforme di e-commerce che, nel caso non si tratti di truffa in fase di acquisto, c’è chi fa “sparire” i pacchi e li reimmette sul mercato attraverso canali paralleli. Aumenta il fenomeno delle truffe via mail nel campo del business con le BEC che sollecitano pagamenti fraudolenti tra una azienda ed i criminali informatici che si appropriano delle credenziali dei propri fornitori. Anche l’espansione dei RAT che si appropriano del controllo delle macchine, aiuta a far crescere il mercato delle informazioni sensibili e aziendali.

Commenti da Facebook

Notizie

I Malware Linux crescono del 35% nel 2021

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Il numero di infezioni da malware che prendono di mira i dispositivi Linux è aumentato del 35% nel 2021, solitamente a danno di dispositivi IoT con attacchi DDoS (Distributed Denial of Service).

Gli IoT, come dispositivi smart, eseguono in genere varie distribuzioni Linux e sono limitati a funzionalità specifiche. Tuttavia, quando le loro risorse vengono combinate in grandi gruppi, possono fornire massicci attacchi DDoS anche a infrastrutture ben protette.

Oltre a DDoS, i dispositivi IoT Linux vengono reclutati anche per altre attività come minare criptovaluta, facilitare campagne di posta spam, fungere da relè, agire come server di comando e controllo o persino fungere da punti di ingresso nelle reti aziendali. Insomma un piccolo esercito al servizio di chi ha le competenze e capacità di attivarli.

Un rapporto di Crowdstrike esamina i dati sugli attacchi del 2021, li possiamo riassumere così:

  • Nel 2021, rispetto al 2020, si è registrato un aumento del 35% del malware rivolto ai sistemi Linux;
  • XorDDoS, Mirai e Mozi sono state le tipologie di attacco più diffuse, rappresentando il 22% di tutti gli attacchi malware mirati a Linux;
  • Mozi, in particolare, ha avuto una crescita esplosiva della sua attività, con dieci volte più attacchi nel 2021 rispetto al 2020;
  • XorDDoS ha avuto un notevole aumento anno su anno del 123%.

Panoramica dei malware utilizzati

XorDDoS è un trojan Linux versatile che funziona in più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacca i dispositivi IoT, XorDDoS forza i dispositivi vulnerabili tramite SSH. Sulle macchine Linux, utilizza la porta 2375 per ottenere l’accesso root all’host senza password.

Un caso degno di nota della distribuzione del malware è stato individuato nel 2021, l’autore in quel caso era Winnti ed ha distribuito oltre al malware anche altri botnet.

Vale la pena ricordare il nostro approfondimento specifico sui botnet:

Mozi è una botnet P2P che si basa sul sistema di ricerca DHT (Distributed Hash Table) per nascondere le comunicazioni C2 sospette alle soluzioni di monitoraggio del traffico di rete. Questo botnet è in circolazione da un po’, sfrutta continuamente nuove vulnerabilità ed espande sempre di più i suoi target.

Mirai è un famigerato botnet che ha generato numerosi casi critici grazie al suo codice sorgente pubblicamente disponibile e continua ad affliggere soprattutto il mondo IoT.

I vari derivati ​​implementano diversi protocolli di comunicazione C2, ma in genere sfruttano le credenziali deboli per attacchi di forza bruta sui vari dispositivi. Nel 2021 sono state avvistate diverse varianti di Mirai come Dark Mirai, che si concentra sui router domestici e Moobot, che prende di mira le telecamere.

Mihai Maganu, ricercatore di Crowdstrike, nel report specifico afferma: “Alcune delle varianti più diffuse monitorate dai ricercatori di Crowdstrike coinvolgono Sora, IZIH9 e Rekai…Rispetto al 2020, il numero di campioni identificati per tutte e tre le varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021”.

La tendenza continuerà nel 2022

I risultati di Crowdstrike non sono sorprendenti in quanto confermano una tendenza già emersa negli anni scorsi. Ad esempio un rapporto Intezer, che analizza le statistiche del 2020, ha rilevato che le famiglie di malware Linux sono aumentate del 40% nel 2020 rispetto all’anno precedente.

Nei primi sei mesi del 2020 è stato registrato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware stavano cercando modi per far funzionare il loro codice su più piattaforme.

Purtroppo l’utilizzo di Golang è già stato confermato in alcuni casi di inizio 2022 ed è probabile che questa tendenza continui.

Continueremo il monitoraggio sui malware Linux anche durante il 2022 per capire le novità e tendenze per i mesi futuri.

Commenti da Facebook
Prosegui la lettura

Notizie

Non solo Log4J: WordPress sotto costante attacco. Attenti ai Plugin malevoli

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Nella prima metà di settembre 2021, una dozzina di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore, sono stati sottoposti a backdoor con codice dannoso al fine di infettare altri siti. La backdoor ha fornito agli aggressori il pieno controllo amministrativo sui siti Web che utilizzavano 40 temi e 53 plug-in appartenenti ad AccessPress Themes, una società con sede in Nepal che vanta non meno di 360.000 installazioni di siti Web attive.

Le estensioni infette contenevano un dropper per una shell web che offre agli aggressori il pieno accesso ai siti infetti“,

hanno affermato in un rapporto pubblicato questa settimana i ricercatori di sicurezza di JetPack, sviluppatore di plugin per WordPress. “Le stesse estensioni andavano bene se scaricate o installate direttamente dalla directory di WordPress[.]org.” Alla vulnerabilità è stato assegnato l’identificatore CVE-2021-24867. La piattaforma di sicurezza dei siti Web Sucuri, in un’analisi separata, ha affermato che alcuni dei siti Web infetti trovati utilizzando questa backdoor avevano payload di spam risalenti a quasi tre anni fa, il che implica che gli attori dietro l’operazione stavano vendendo l’accesso ai siti agli operatori di altre campagne di spam. All’inizio di questo mese, la società di sicurezza informatica eSentire ha rivelato come i siti Web WordPress compromessi appartenenti ad aziende legittime vengano utilizzati come focolaio per la distribuzione di malware, servendo utenti ignari alla ricerca di accordi postmatrimoniali o di proprietà intellettuale su motori di ricerca come Google con un malware chiamato GootLoader.

E’ stato consigliato, quindi, ai proprietari di siti che hanno installato i plug-in direttamente dal sito Web di AccessPress Themes di aggiornare immediatamente a una versione sicura o di sostituirla con l’ultima versione di WordPress[.]org.

Inoltre, è necessario che venga implementata una versione pulita di WordPress per ripristinare le modifiche apportate durante l’installazione della backdoor. I risultati arrivano anche quando la società di sicurezza di WordPress Wordfence ha divulgato i dettagli di una vulnerabilità di cross-site scripting (XSS) ora patchata che ha un impatto su un plug-in chiamato “WordPress Email Template Designer – WP HTML Mail” installato su oltre 20.000 siti Web.

Secondo le statistiche pubblicate da Risk Based Security questo mese, sono stati scoperti e segnalati ben 2.240 difetti di sicurezza nei plugin di WordPress di terze parti verso la fine del 2021, con un aumento del 142% rispetto al 2020, quando sono state rivelate quasi 1.000 vulnerabilità. Ad oggi, sono state scoperte un totale di 10.359 vulnerabilità dei plugin di WordPress.

Commenti da Facebook
Prosegui la lettura

Notizie

Dietro gli attacchi informatici in Ucraina si nasconde l’APT Sandworm?

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

L’ultima analisi sul malware che ha preso di mira dozzine di agenzie ucraine all’inizio di questo mese ha rivelatosomiglianze strategiche” con il malware NotPetya che è stato scatenato contro l’infrastruttura del paese e altrove nel 2017.

L’attuale attacco, soprannominato WhisperGate, è stato scoperto da Microsoft la scorsa settimana, che ha affermato di aver analizzato la campagna informatica che ha preso di mira enti governativi, senza scopo di lucro e informatici nella nazione”.

Sebbene WhisperGate abbia alcune somiglianze strategiche con il famigerato NotPetya che ha attaccato le entità ucraine nel 2017, tra cui mascherarsi da ransomware e prendere di mira e distruggere il master boot record (MBR) invece di crittografarlo, in particolare ha più componenti progettati per infliggere danni aggiuntiviCisco Talos ha dichiarato in un rapporto che descrive in dettaglio i suoi sforzi di risposta.

Affermando che le credenziali rubate sono state probabilmente utilizzate nell’attacco, la società di sicurezza informatica ha anche sottolineato che l’attore della minaccia aveva accesso ad alcune delle reti delle vittime con mesi di anticipo prima che si verificassero le azioni distruttive: un classico segno di sofisticati attacchi APT.


Non Petya e WhisperGate

La catena di infezione di WhisperGate è modellata come un processo a più fasi che scarica un payload che cancella il record di avvio principale (MBR), quindi scarica un file DLL dannoso ospitato su un server Discord, che rilascia ed esegue un altro payload del wiper che distrugge irrevocabilmente i file tramite sovrascrivendo il loro contenuto con dati fissi sugli host infetti.

I risultati arrivano una settimana dopo che circa 80 siti web di agenzie governative ucraine sono stati deturpati, con le agenzie di intelligence ucraine che hanno confermato che gli incidenti gemelli fanno parte di un’ondata di attività dannose mirate alla sua infrastruttura critica, osservando anche che gli attacchi hanno sfruttato il Log4j recentemente divulgato vulnerabilità per accedere ad alcuni dei sistemi compromessi.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza