Tags Posts tagged with "Check Point"

Check Point

0 112

Negli ultimi anni Google ha svolto un’intensa attività per migliorare la sicurezza del suo app store Google Play. Perché? Perché milioni di utenti hanno inavvertitamente scaricato migliaia di app dannose dallo store che hanno compromesso i loro dati, tra cui SMS, credenziali, foto, calendari, appuntamenti ed e-mail. Ad esempio, nel marzo 2019, l’adware “SimBad” è stato trovato in oltre 200 app sullo store, con un conteggio di download combinato di quasi 150 milioni.

Dalla costituzione formale dell’alleanza, sono state effettuate oltre 5,2 milioni di installazioni di app dannose, che hanno riguardato decine di campagne di quattro diversi tipi di malware. Queste famiglie di malware hanno una serie di capacità: dalla possibilità di rubare tutte le informazioni dal dispositivo, alla possibilità di prenderne il controllo facendo apparire pubblicità o sovrapposizione di finestre come una forma di attacco phishing. Queste applicazioni utilizzano anche una varietà di tecniche per evitare il rilevamento da parte dei team di sicurezza dell’alleanza, tra cui l’offuscamento del codice e il download ritardato di payload dannosi.

Una di queste campagne è stata scoperta dai ricercatori di Check Point Software. La famiglia di malware Haken è stata installata su oltre 50.000 dispositivi Android da otto diverse applicazioni dannose mascherate da utility per la fotocamera e giochi per bambini, tutti apparentemente innocui.

Il malware è classificato come “clicker” per la sua capacità di prendere il controllo del dispositivo dell’utente e di cliccare su qualsiasi cosa possa apparire sullo schermo. È importante notare che il malware può accedere a qualsiasi tipo di dati, quindi tutto ciò che è visibile sullo schermo è un potenziale bersaglio (ad esempio e-mail di lavoro), così come qualsiasi dato memorizzato localmente (come conversazioni di lavoro su un’applicazione di messaggistica).

L’impatto sugli utenti è duplice: il malware può attivare servizi in abbonamento premium senza che l’utente se ne renda conto, facendo guadagnare denaro illegalmente alle persone che stanno dietro l’app, e può estrarre dati sensibili direttamente dal dispositivo. La buona notizia è che queste app corrotte sono state tutte rimosse da Google Play.

Tuttavia, ciò evidenzia che, nonostante i continui sforzi per proteggere il Google Play Store dalle app dannose, eliminare completamente il rischio che gli utenti scarichino un’app pericolosa dallo store non avverrà in tempi brevi. Ci sono quasi 3 milioni di app disponibili in Play Store, con centinaia di nuove app caricate ogni giorno – il che rende difficile controllare che ognuan di esse sia sicura.

Alcuni sviluppatori di app hanno escogitato metodi ingegnosi per nascondere il vero intento delle loro app all’esame di Google. Insieme a un ecosistema Android frammentato, in cui un gran numero di produttori di dispositivi offre raramente aggiornamenti strategici del sistema operativo, gli utenti non possono contare solo sulle misure di sicurezza di Google Play per garantire la protezione dei loro dispositivi.

È necessario implementare un software di sicurezza per scongiurare malware e altre minacce e proteggere i dati aziendali e personali su questi dispositivi. La soluzione di sicurezza deve veramente comprendere i comportamenti dannosi, il che significa che deve utilizzare numerose tecniche avanzate che vanno oltre le semplici firme o l’apprendimento automatico basato su indicatori statici.

Se si sospetta che il proprio dispositivo sia stato infettato da una di queste app, ecco i passaggi da seguire:

  1. Disinstallare l’app infetta dal proprio dispositivo
  2. Controllare le fatture del cellulare e della carta di credito per verificare se si sia stati registrati per eventuali abbonamenti e, se possibile, cancellarli.
  3. Installare una soluzione di sicurezza per prevenire futuri attacchi

0 179

La notizia del giorno in tema di cybersecurity è l’hackeraggio dello smartphone di Bezos tramite Whatsapp.

Oded Vanunu, Head of Products Vulnerabilities di Check Point Software Technologies, azienda leader nella cybersecurity, commenta così.

“L‘uso delle più popolari app social per infettare le persone con malware è una tendenza che Check Point ha previsto oltre un anno fa. Come abbiamo dimostrato nella nostra ricerca su WhatsApp del dicembre 2019 e nella nostra ricerca sull’app dell’agosto 2018 – i link dannosi avrebbero potuto essere inviati attraverso alcune vulnerabilità che esistevano sulla piattaforma (fino a quando non sono state corrette in seguito alla nostra collaborazione con Facebook) e la manipolazione dei contenuti era possibile.

Riteniamo che questo modo di operare sia estremamente comune soprattutto con attacchi mirati contro specifiche persone che utilizzano queste app. 

I prezzi che i criminali sono disposti a pagare per sfruttare le vulnerabilità in tali piattaforme popolari (che contengono dati di miliardi di persone in tutto il mondo) sono in aumento, e gli exploit di questi bug possono servire come un’arma cibernetica molto efficace.

La sicurezza informatica globale richiede soluzioni designate per tutte le piattaforme digitali attuali e future, e quanto più comuni e diffuse diventano, tanto più sofisticato e impegnativo è questo compito”

0 223

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha individuato diverse falle all’interno dell’infrastruttura di TikTok, dimostrando come anche l’app popolare tra i giovani sia vulnerabile agli hacker. I ricercatori hanno utilizzato il sistema SMS di TikTok per dimostrare come queste vulnerabilità possano essere facilmente diffuse e sfruttate.

Negli ultimi mesi, i ricercatori di Check Point hanno trovato molteplici vulnerabilità in TikTok e nel suo backend,dimostrando che una delle app in maggiore crescita al mondo non fosse impermeabile allo sfruttamento da parte degli hacker.

Alcuni giorni fa l’esercito americano ne ha vietato l’uso ai propri soldati, reputandola una cyber-minaccia. Check Point Research ha rivelato che il sistema SMS di TikTok potrebbe essere utilizzato per distribuire e innescare facilmente queste vulnerabilità, che includono:

  1. Caricamento di video non autorizzati e cancellazione di video
  2. Cambio della privacy dei video di un utente, da privati a pubblici
  3. Estrazione di dati personali sensibili, come nome e cognome, indirizzo e-mail e data di nascita

Come è stato possibile?

Per scaricare TikTok, i nuovi utenti ricevono un link di download via SMS dopo aver inserito il proprio numero di cellulare sul sito. Un hacker potrebbe potenzialmente manipolare e inviare messaggi a qualunque numero di cellulare, fingendosi TikTok – inviando ed eseguendo codici maligni per mettere in atto operazioni indesiderate come la cancellazione di video, il caricamento non autorizzato di video, e il cambiamento delle impostazioni di privacy dei video da privato a pubblico.

Inoltre, i ricercatori di Check Point sono venuti a conoscenza del fatto che un hacker possa spostare forzatamente un utente TikTok su un server controllato, abilitandosi all’invio di richieste indesiderate da parte dell’utente. L’hacker potrebbe utilizzare la medesima tecnica per dirottare la propria vittima su un sito web pericoloso sotto le sembianze di Tiktok.com. Il dirottamento apre alla possibilità di compiere attacchi di Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), and Sensitive Data Exposure, senza il consenso dell’utente.

Comunicazione Responsabile

Check Point Research ha informato ByteDance, lo sviluppatore di TikTok, di queste vulnerabilità a fine novembre 2019 e una soluzione è stata implementata in meno di un mese per garantire che gli utenti TikTok potessero continuare ad utilizzare l’app in modo sicuro.

0 278

WhatsApp in crash a causa delle chat di gruppo

I ricercatori di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, hanno rilevato una vulnerabilità critica presente in WhatsApp, l’app di messaggistica di proprietà di Facebook e utilizzata da oltre 1,5 miliardi di persone al mondo. La falla consentirebbe a un singolo malintenzionato di recapitare, in una chat di gruppo, un messaggio distruttivo che produce un rapido e completo crash dell’intera app per tutti i membri.

Il crash dell’app sarebbe così grave che gli utenti sarebbero costretti a disinstallarla e reinstallarla, al fine di ottenere nuovamente un uso corretto di WhatsApp. Inoltre, l’utente non sarebbe più in grado di rientrare nella chat di gruppo, il che porterebbe alla perdita di tutta la cronologia. La chat di gruppo non sarebbe quindi in grado di essere ripristinata dopo il crash e dovrà essere eliminata per interrompere il crash continuo.

Crash continuo e distruttivo di WhatsApp

Un malintenzionato potrebbe sfruttare questa falla di WhatsApp per creare un crash continuo e distruttivo dell’app. L’ordine delle operazioni dell’hacker è il seguente:

  1. Innanzitutto, ottiene l’accesso al gruppo WhatsApp che sarà obiettivo dell’attacco e si finge un membro della chat (WhatsApp consente fino a 256 utenti per gruppo);
  2. Modifica alcuni parametri specifici del messaggio e invia al gruppo messaggi malevoli modificati, sfruttando WhatsApp Web e uno strumento di debug del browser Web;
  3. Infine, mette in atto un crash continuo e inarrestabile a danno di tutti i membri della chat di gruppo, negando agli utenti l’accesso a tutte le funzionalità di WhatsApp.

Cosa ha fatto Check Point

Queste informazioni si basano su una precedente ricerca di Check Point pubblicata all’inizio del 2019, in cui i ricercatori hanno dimostrato come un aggressore possa intercettare e modificare i messaggi di WhatsApp a proprio vantaggio. In questa particolare ricerca, tuttavia, Check Point Research ha scoperto il difetto esaminando le comunicazioni tra WhatsApp e WhatsApp Web, la versione web dell’app. In genere, quando un utente invia un messaggio alla chat di gruppo, l’app esamina il “parametro partecipante”, che contiene il numero di telefono dell’utente, per identificare chi abbia inviato il messaggio. I ricercatori Check Point sono stati in grado di avere visibilità sul “parametro partecipante” usato nelle comunicazioni WhatsApp e di manipolarlo.

Comunicazione responsabile

Check Point Research ha rivelato in modo responsabile i risultati della propria indagine al programma di bounty bug WhatsApp, lo scorso 28 agosto 2019. WhatsApp ha riconosciuto i risultati e ha sviluppato una correzione per risolvere il problema, disponibile nella versione 2.19.58 dell’applicazione. WhatsApp ha distribuito la versione a metà settembre e ha aggiunto nuovi controlli per impedire che le persone vengano aggiunte a gruppi indesiderati, al fine di evitare completamente la comunicazione con utenti non attendibili.

Check Point esorta tutti gli utenti di WhatsApp ad aggiornare immediatamente l’app all’ultima versione disponibile. Oded Vanunu, Head of Product Vulnerability Research di Check Point, ha dichiarato: “Poiché WhatsApp è uno dei canali di comunicazione leader a livello mondiale per consumatori, aziende e agenzie governative, la possibilità di impedire alle persone di utilizzarlo e di eliminare informazioni preziose dalle chat di gruppo è un’arma potente nelle mani degli hacker. Tutti gli utenti WhatsApp devono aggiornare l’app all’ultima versione per proteggersi da questo possibile attacco.”

0 328

Il Singles Day di Alibaba ha segnato l’inizio della stagione di shopping più lunga dell’anno che parte a novembre con Thanksgiving, Black Friday e Cyber Monday e arriva fino a Natale!

Tutto il mondo partecipa a questa mania degli acquisti, con un numero sempre crescente di consumatori che sceglie di acquistare online piuttosto che in un negozio fisico, talvolta invogliato da sconti così importanti a cui è impossibile resistere.

Infatti gli acquisti online sono diventati così diffusi che, ad esempio, il Singles’ Day è cresciuto in modo esponenziale anno dopo anno e attualmente rappresenta il più grande giorno di shopping del mondo, durante il quale siti asiatici come Alibaba e JD.com sono leader nel mercato online del giorno.

Ma con tutto questo shopping online, c’è un grande rischio. Gli hacker aspettano con impazienza di approfittare di acquirenti frettolosi e poco accorti, freneticamente alla ricerca di buoni affari. Tentano di rubare le loro informazioni finanziarie in qualsiasi modo possibile, e i trucchi diventano sempre più sofisticati anno dopo anno. Questo processo è chiamato ‘phishing’, perché come il pescatore gettano l’amo in attesa che un pesce abbocchi.

Qui ci sono i primi 6 segnali per riconoscere una truffa durante la stagione degli acquisti online di novembre:

  1. Sconti troppo belli per essere veri.

Proprio come ogni tentativo di pesca inizia con un’esca, così è il caso del phishing. L’esca è spesso sotto forma di un’offerta civetta. Un consumatore vede un prezzo irresistibile su un prodotto che ha sempre desiderato, recapitato via e-mail o in un annuncio pubblicato sui social media, clicca sull’affare e gli viene chiesto di compilare i propri dati personali, come nome e indirizzo, oltre ai dati bancari. Così facendo si inviano queste informazioni direttamente al truffatore. In alternativa, possono creare un sito falso sul quale “finire il lavoro” se alcuni consumatori sono scettici sull’offerta iniziale.

  1. Siti falsi

I siti falsi che imitano i siti di shopping popolari durante la stagione dello shopping online, come Alibaba e Amazon, sono preparati con largo anticipo per il grande giorno.

I ricercatori di Check Point hanno notato qualcosa di sorprendente: gli URL di phishing per lo shopping online sono più che raddoppiati dal 2018. In effetti, il numero è aumentato del 233%. Più di 1.700 domini che sembrano simili al dominio amazon.com sono stati registrati negli ultimi sei mesi.

I ricercatori di Check Point hanno tracciato una campagna di minaccia che coinvolge il popolare marchio di occhiali da sole Ray Ban. La campagna è iniziata il 7 novembre 2019 ed è stata inviata a migliaia di potenziali vittime. Il lookalike domain https://rbs.xwrbs[.]com/ è stato usato come motivo ricorrente in questa campagna di truffa. Il sito truffa accetta pagamenti solo tramite PayPal. La seguente e-mail, bloccata dai nostri sistemi questa settimana, ha offerto ai destinatari uno speciale affare Black-Friday fino all’80% di sconto sugli occhiali da sole Ray Ban!

L’email conduceva a questo sito

Queste pagine incoraggiano il login per iniziare, cosa che può sembrare normale alla maggior parte dei clienti. Tuttavia, non appena vengono inserite le credenziali, come e-mail/nome utente e password, queste informazioni vengono inviate agli hacker, che potranno accedere al vostro account e rubare qualsiasi informazione personale in esso contenuta.

  1. Strane forme di pagamento

Spesso, i truffatori incoraggeranno l’uso di metodi di pagamento bizzarri, come vaglia, bonifici bancari o carte e buoni prepagati. Questi metodi non solo rendono più difficile individuare il destinatario, ma rendono quasi impossibile recuperare i soldi indietro.

  1. False Restituzioni

Gli acquisti non sono l’unico modo che i truffatori usano per sabotare le loro vittime. False procedure di reso sono diventate diffuse nel gioco della truffa dell’e-commerce, per cui gli utenti che tentano di effettuare una restituzione compilano le informazioni su un modulo falso che li conduce a un sito web copia del sito su cui hanno effettuato l’acquisto, come ad esempio Amazon, e vengono indirizzati a un falso “centro resi” per compilare maggiori dettagli che i truffatori utilizzeranno e sfrutteranno.

  1. Politica di non restituzione

Oltre alle restituzioni false, può anche mancare del tutto una politica di restituzione, il che è insolito per un sito di shopping. Inoltre, la mancanza di una politica sulla privacy, i termini e le condizioni e i dettagli per la risoluzione delle controversie dovrebbero far scattare una bandiera rossa, poiché spesso indicano un sito di phishing.

  1. Informazioni sul venditore sconosciute

Anche i siti falsi che non forniscono adeguati dati di contatto del venditore dovrebbero destare preoccupazione.

9 modi per evitare di essere truffati in questa stagione delle vendite:

  1. Evitare reti Wi-Fi non protette

Come quelle presenti negli aeroporti e in altri luoghi pubblici

  1. Ricerca di simboli di sicurezza

Cercare un certificato SSL che consenta la crittografia, contrassegnando il sito come sicuro.

  1. Controllare la validità del sito cercando in un database di siti falsi

Per il Black Friday vengono spesso creati siti speciali come blackfridayscom.tld e black-fridaywalmart.tld per fornire ai clienti un luogo per verificare che i siti che si navigano siano legittimi.

  1. Utilizzare solo metodi di pagamento sicuri

Assicurati che il sito web contenga delle vere e proprie icone di convalida nella sezione pagamenti. Queste icone devono essere cliccabili e non solo immagini.

  1. Utilizzare una carta di credito o un conto PayPal per gli acquisti

Sarà più facile recuperare i soldi e o mettere i soldi in un conto deposito (come con PayPal) fino all’arrivo dell’articolo. Non effettuare un bonifico bancario diretto o acquistare una carta prepagata.

  1. Non effettuate acquisti impulsivi

Prendetevi il vostro tempo e valutate il sito web per i segni di phishing che abbiamo esaminato in questo articolo.

  1. Identificare il venditore

Chiediti: a chi invieresti un’e-mail o una chiamata in caso di problemi? È consigliabile provare una ricerca su Google per verificare la validità dei dati di contatto. Siti come WHOIS possono fornire informazioni sul proprietario del sito e sulla durata di esistenza del dominio. Se il dominio non esiste da troppo tempo, questo potrebbe indicare che il sito è stato costruito solo di recente ed è probabilmente falso. Se non esistono dati di contatto, non procedere all’acquisto.

  1. Cercare sempre una politica di restituzione

Se non è evidente, è un buon segno che il sito è falso, in quanto è una parte standard di un sito di e-commerce.

  1. Utilizzare un software di sicurezza che include una funzione anti-phishing, come Extreme Security di ZoneAlarm.

ZoneAlarm Exteme Security include l’estensione Web-Secure Anti-phishing Chrome. Questa estensione Web-Secure Anti-Phishing Chrome protegge le informazioni più sensibili in tempo reale dagli hacker creativi e dai loro siti dannosi, consentendoti di fare acquisti in tutta sicurezza senza preoccupazioni. Esaminerà ed esaminerà accuratamente ogni campo delle pagine visitate, inclusi l’URL del sito, il titolo, il layout della pagina, il modulo, la firma, il testo visibile e i link per potenziali minacce ingannevoli, in quanto blocca gli spazi per l’inserimento delle credenziali. Se un sito è valutato come falso, la pagina verrà bloccata verrà sventato il tentativo di phishing.

In questo periodo di ricerca della migliore offerta, è utile fermarsi, analizzare in modo critico il sito sul quale si sta per effettuare l’acquisto e ricercare se vedete alcuni dei segnali d’allarme presentati in questo articolo. Questa veloce analisi vi farà risparmiare più soldi di qualsiasi offerta imperdibile!

Check Point Research scopre che alcune applicazioni di alto profilo presentano delle vulnerabilità sul Play Store di Google, in particolare:

  • È impossibile eseguire gli update e installare correttamente le patch
  • Gli hacker riescono ad acquisire i dati di localizzazione da Instagram, modificare i post su Facebook e leggere i messaggi su WeChat
  • I ricercatori affermano che la mancanza di azione di Google è un problema

È impossibili eseguire gli update

Comunemente si pensa aggiornando costantemente un’applicazione alla versione più recente, sarà possibile rendersi immuni agli attacchi degli hacker. Non è vero. I ricercatori di Check Point hanno dimostrato che le patch di alcune importanti applicazioni di alto profilo – Facebook, Instagram, WeChat – non erano presenti nel Play Store di Google. In uno studio della durata di un mese, i ricercatori di Check Point hanno analizzato le ultime versioni di alcune delle più famose applicazioni mobili per verificare l’esistenza di vulnerabilità precedentemente note. I risultati sono allarmanti.

Controllo amministrativo di Facebook, Instagram e WeChat da parte degli hacker

La ricerca dimostra che gli attori della minaccia possono ancora eseguire codice sulle ultime versioni delle applicazioni mobili presenti su Play Store, nonostante gli aggiornamenti. In breve, questi sono in grado di ottenere il controllo amministrativo delle applicazioni mobili studiate da Check Point Research. Teoricamente, gli attori della minaccia possono impossessarsi e modificare i post su Facebook, estrarre i dati di localizzazione da Instagram e leggere i messaggi SMS in WeChat.

Il processo di ricerca

In particolare, Check Point Research ha riesaminato le ultime versioni di queste app mobile di alto profilo in cerca di tre vulnerabilità note per l’esecuzione del controllo da remoto (RCE) risalenti al 2014, 2015 e 2016. Ad ogni vulnerabilità sono state assegnate due firme. Poi, Check Point Research ha utilizzato il proprio motore statico per esaminare centinaia di applicazioni mobili nel Play Store di Google per vedere se il vecchio codice vulnerabile era ancora presente nell’ultima versione dell’applicazione. Check Point Research ha trovato alcuni codici vulnerabili nelle ultime versioni di applicazioni mobili popolari, nonostante fosse stato affermato il contrario.

La staticità di Google è un problema

Questa ricerca fa sorgere un’altra domanda: perché Google non controlla gli aggiornamenti degli sviluppatori delle applicazioni? Oggi, Google offre semplicemente agli sviluppatori la possibilità di aggiornare le applicazioni. Per noi, questo è estremamente pericoloso e fuorviante per il grande pubblico. Riteniamo che Google dovrebbe obbligare gli sviluppatori di applicazioni mobili ad aggiornare le loro applicazioni, codice di terze parti incluso. In fondo, Google è parzialmente responsabile del monitoraggio dei malware e dei codici vulnerabile.

Divulgazione responsabile

Check Point Research ha informato sia le aziende delle applicazioni che Google delle vulnerabilità riscontrate.

Instagram ha notificato di aver confusamente creato due diverse patch per una delle vulnerabilità. È importante notare che la nostra ricerca si è concentrata sullo stato della sicurezza delle applicazioni presenti nel Play Store di Google e non su specifiche vulnerabilità di specifiche applicazioni.

Cosa dovrebbero fare gli utenti

Per ora, Check Point invita le persone a installare un’applicazione antivirus per monitorare le applicazioni vulnerabili presenti sul telefono. La speranza è che la nostra ricerca modifichi il processo e le procedure di rilevamento di Google.

Finora, il “Secure World” di Qualcomm è stato ritenuto come qualcosa di impenetrabile. Di conseguenza, tutte le informazioni sulle nostre carte di credito/debito, insieme ad altre informazioni sensibili e personali, conservate sui nostri smartphone vengono salvate direttamente nel cosiddetto “Secure World”. Dopo uno studio della durata di 4 mesi, Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha smontato la convinzione che “Secure World” di Qualcomm, definito dagli esperti del settore come il comparto più sicuro dei nostri smartphone, sia a prova di violazione da parte degli hacker. La ricerca di Check Point rivela l’esistenza di una falla che consente unicamente agli hacker di rubare le nostre informazioni relative ai pagamenti mobile.

Quasi la metà degli smartphone a livello globale si affida Qualcomm
È risaputo che le soluzioni software “pure” hanno dei limiti di sicurezza. I sistemi di archiviazione protetta basati su meccanismi software puri mancano, infatti, di importanti specifiche di sicurezza hardware e, pertanto, espongono i dati a una gamma più ampia di minacce. Il software Android di per sé ha le stesse limitazioni di sicurezza, che Qualcomm affronta attraverso caratteristiche basate su hardware. Per superare questo limite, il runtime di Android deve essere protetto sia dagli aggressori che dagli utenti. Questo viene generalmente ottenuto spostando il software di storage protetto in un TEE (Trusted Execution Environment) supportato dall’hardware.

I sistemi operativi mobile, come Android, offrono un Rich Execution Environment (REE), che fornisce un ambiente runtime estremamente esteso e versatile. Pur apportando flessibilità e capacità, il REE rende i dispositivi vulnerabili a un’ampia gamma di minacce alla sicurezza. Il TEE è progettato per risiedere accanto al REE e fornire un’area sicura sul dispositivo per proteggere le risorse ed eseguire codice sicuro.

Il TEE di Qualcomm è basato sulla tecnologia ARM TrustZone. TrustZone è un insieme di estensioni di sicurezza su processori con architettura ARM che forniscono un processore virtuale sicuro supportato da un controllo degli accessi basato su hardware. Questo processore virtuale sicuro è spesso indicato come il “Secure World”, rispetto al “non-secure world”, dove risiede il REE. Nel 2018, è stato documentato che Qualcomm ha guidato il mercato dei processori con una quota del 45%.

Check Point ha scoperto la falla aperta
In un progetto di ricerca della durata di 4 mesi, i ricercatori di Check Point hanno tentato e sono riusciti a fare ingegneria inversa del sistema operativo “Secure World” di Qualcomm. I ricercatori hanno sfruttato la tecnica del “fuzzing” per esporre la falla. Il fuzzing (o fuzz testing) è una tecnica usata per individuare errori di codifica e falle di sicurezza nel software, nei sistemi operativi o nelle reti. Si tratta di inviare enormi quantità di dati casuali, chiamati fuzz, al sistema oggetto del test allo scopo di causarne il crash.

Disclosure responsabile
Check Point Research
ha divulgato responsabilmente i propri risultati. Qualcomm ha riconosciuto i risultati dello studio e ha corretto la vulnerabilità (CVE-2019-10574).

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), azienda leader nel settore della sicurezza informatica a livello globale, ha rivelato le previsioni sugli attacchi informatici per l’anno 2020 contenenti i principali problemi informatici e gli sviluppi tecnici che i ricercatori di Check Point hanno identificato e che impatteranno maggiormente sulle nostre società e aziende nel corso del prossimo anno. Check Point indica anche le Security Strategy che aiuteranno sia i governi che le organizzazioni private a prevenire questi incidenti in grado di causare danni e disagi diffusi.

Le previsioni di Check Point riguardanti la cyber-security globale per il 2020 sono le seguenti:

  1. La nuova “guerra fredda” cibernetica si intensificherà – Ci sarà una nuova guerra fredda, e avrà luogo in rete, mentre le potenze occidentali e orientali divideranno sempre più le loro tecnologie e intelligence. La guerra commerciale in corso tra Stati Uniti e Cina e il crescente divario tra le due super economie è un chiaro indicatore di questa tendenza. I cyber-attacchi saranno sempre più frequentemente utilizzati come guerre per procura, esattamente come accade in caso di conflitti tra Paesi minori, ma in realtà finanziati e consentiti da grandi nazioni “protettrici” che cercano di rafforzare ed estendere le loro sfere di influenza, come si è potuto osservare nelle recenti operazioni informatiche contro l’Iran, a seguito degli attacchi alle strutture petrolifere dell’Arabia Saudita.
  2. Fake news 2.0 alle elezioni statunitensi del 2020 – Le elezioni americane del 2016 hanno visto l’inizio della diffusione di fake news basate sull’intelligenza artificiale. Gli avversari politici hanno fatto enormi progressi creando squadre ad hoc che creassero e diffondessero storie fittizie per minare il sostegno agli avversari. I candidati statunitensi prevedono che i movimenti politici oltreoceano stiano già attuando strategie per influenzare le elezioni del 2020.
  3. Gli attacchi informatici ai servizi pubblici essenziali e alle infrastrutture strategiche continueranno a crescere – I servizi essenziali continuano ad essere oggetto di attacchi informatici, come si è potuto constatare quest’anno dagli attacchi alle società di servizi pubblici statunitensi e sudafricane. In molti casi, le infrastrutture che si sono rivelate più sensibili sono quelle per la distribuzione di energia e acqua, dato che utilizzano una tecnologia più arretrata che si è rivelata vulnerabile alle minacce a distanza perché l’aggiornamento avrebbe potuto provocare l’interruzione dei servizi. Gli stati dovranno cercare di rafforzare notevolmente le protezioni informatiche per le loro infrastrutture.

Le previsioni tecniche di Check Point per la sicurezza informatica nel 2020:

  1. Gli attacchi mirati di ransomware sono in aumento – nel 2019 i ransomware sono stati sempre più mirati a specifiche aziende, amministrazioni locali e organizzazioni sanitarie. Gli hacker trascorrono molto tempo a raccogliere informazioni personali sulle loro vittime per garantire che il danno arrecato sia cospicuo e che i riscatti siano di conseguenza molto più alti. Gli attacchi sono diventati così impattanti che l’FBI ha ammorbidito la sua posizione sul pagamento dei riscatti: ora riconosce che, in alcuni casi, le aziende necessitano di esaminare tutte le possibili soluzioni per tutelare i propri azionisti, dipendenti e clienti. Questo porterà in futuro a un aumento delle organizzazioni che stipulano polizze assicurative a fronte del ransomware, il che comporterà a sua volta un maggior numero di richieste di riscatto da parte degli aggressori.
  2. Gli attacchi di phishing vanno oltre la posta elettronica – Mentre la posta elettronica rimane il principale vettore di attacco, i criminali informatici ricorrono anche ad una varietà di altri canali di attacco per indurre le vittime a cedere informazioni personali, credenziali di accesso o addirittura a inviare denaro. Il phishing prevede sempre più spesso attacchi via SMS sui cellulari o l’utilizzo di messaggi diretti sui social media e sulle piattaforme di gioco.
  3. Gli attacchi di malware su dispositivi mobili si sono intensificati – Nella prima metà del 2019 si è registrato un aumento del 50% degli attacchi di malware verso il mobile banking rispetto al 2018. I malware sono in grado di sottrarre dati di pagamento, credenziali e fondi dai conti bancari delle vittime, sono disponibili nuove varianti che possono essere diffuse su larga scala da chiunque sia disposto a finanziare gli sviluppatori del malware. Anche gli attacchi di phishing diventeranno più complessi ed efficaci, tentando di convincere gli utenti mobili a cliccare su weblink dannosi.

Gil Shwed, fondatore e CEO di Check Point, ha dichiarato: “Poiché le nostre società si avvalgono sempre più frequentemente di una connessione continua, i criminali e i geni della truffa hanno sempre più opportunità di condizionare gli esiti degli sviluppi politici o di provocare disagi e disordini che possono mettere in pericolo migliaia di vite umane.  Gli attacchi sono in costante crescita: nell’ultimo anno, il nostro ThreatCloud ha ostacolato quasi 90 miliardi di tentativi di violazione al giorno, a fronte di circa sei miliardi di ricerche quotidiane stimate su Google.”

Shwed ha successivamente aggiunto: “Non possiamo più difenderci affidandoci ai tradizionali modelli di sicurezza basati sul rilevamento: nel momento la minaccia viene identificata, il danno è già stato arrecato. È necessario bloccare automaticamente questi nuovi avanzati attacchi Gen V e impedire che danneggino i sistemi di cui ci avvaliamo, mediante il sistema di sicurezza Gen V che combina la prevenzione delle minacce in tempo reale, l’utilizzo dell’intelligenza condivisa e le misure di protezione più avanzate su tutte le reti, cloud e installazioni mobili.”

 

I ricercatori di Check Point hanno scoperto una botnet che sfrutta le caselle di posta elettronica più diffuse per inviare 30.000 e-mail all’ora per estorsione a sfondo sessuale (Sextortion), senza che i proprietari se ne accorgano.

Inviate inconsapevolmente e-mail di estorsione a sfondo sessuale a 27 milioni di persone

Chiunque potrebbe essere utilizzato come vettore della minaccia

– La Botnet aggira GMail, Outlook o tutto ciò che lascia tracce

– Le password intercettate vengono utilizzate, insieme agli indirizzi e-mail, per intimidire destinatari innocenti

– Per incassare il denaro estorto vengono utilizzati Bitcoin wallet

I ricercatori di Check Point, leader mondiale nella sicurezza informatica, hanno scoperto come vengono diffuse campagne di Sextortion.

Una sextortion è quando si riceve un’e-mail con una richiesta di pagamento di una somma di denaro per evitare la diffusione di contenuti sessuali acquisiti, solitamente, tramite la webcam. Attraverso un progetto di ricerca della durata di cinque mesi, i ricercatori di Check Point hanno scoperto un malware molto grande e “normale” che utilizza le vittime infette per inviare inconsapevolmente e-mail di sextortion in modo massiccio, in modo simile a una macchina. La velocità e il volume delle e-mail generate è sbalorditivo!

Il malware in questione si chiama Phorpiex. Attivo da circa un decennio, Phorpiex ha infettato oltre 450.000 host – e questo numero sta crescendo rapidamente. In passato, Phorpiex ha monetizzato soprattutto distribuendo varie altre famiglie di malware e ha utilizzato i suoi host per estrarre valuta criptata, ma recentemente abbiamo visto che Phorpiex ha aggiunto una nuova forma di generazione di reddito alle proprie capacità: un bot spam utilizzato per gestire le più grandi campagne di sextortion su larga scala che abbiamo mai visto.

Come?

Phorpiex utilizza un bot spam che scarica un database di indirizzi e-mail da un server C&C. Quello che succede dopo è che un indirizzo e-mail viene selezionato casualmente dal database scaricato e viene composto un messaggio utilizzando diverse stringhe hardcoded. Il bot spam può produrre una quantità astronomicamente grande di e-mail di sextortion: il bot spam crea un totale di 15.000 thread per inviare messaggi spam da un database. Ogni thread prende una stringa casuale dal file scaricato. Il file di database successivo viene scaricato quando tutti i thread di spam finiscono. Se consideriamo i ritardi, possiamo stimare che il bot è in grado di inviare circa 30.000 e-mail in un’ora. E, ogni singola campagna di sextortion può coprire fino a 27 milioni di potenziali vittime.

Phorpiex utilizza database con password intercettate o trapelate in combinazione con indirizzi e-mail. La password di una vittima viene solitamente inclusa in un messaggio e-mail per renderlo più persuasivo, dimostrando che la sua password è nota all’hacker. Le e-mail in questo attacco iniziano con la password per colpire la vittima. Di seguito, un esempio che abbiamo visto:

Per inviare e-mail, Phorpiex utilizza una semplice implementazione del protocollo SMTP. L’indirizzo del server SMTP deriva dal nome di dominio di un indirizzo e-mail. Dopo aver stabilito una connessione al server SMTP e aver ricevuto un messaggio di invito, il bot spam invia un messaggio con il proprio indirizzo IP esterno.

Per incassare il denaro estorto vengono utilizzati Bitcoin wallet

Check Point ha registrato trasferimenti di oltre 11 BTC ai portafogli di Phorpiex durante i cinque mesi di osservazione e ricerca. Il numero di entrate effettive raccolte è probabilmente più significativo, dal momento che non abbiamo monitorato le campagne di sextortion negli anni precedenti.

 

Pochi giorni fa è stata pubblicata la notizia “Checkm8, il nuovo jailbreak rilasciato per tutti i dispositivi iOS con chip da A5 a A11”. Dopo aver esaminato la pubblicazione e il codice Check Point Software Technologies, il principale fornitore di soluzioni di cybersecurity a livello globale, vuole chiarire la questione e spiegarne i risultati.

Quello che è stato effettivamente pubblicato è stato un exploit nel bootrom, ovvero lo sfruttamento di una falla di sicurezza nel codice iniziale che i dispositivi iOS caricano quando si avviano. Poiché si tratta di ROM (read-only memory), non può essere sovrascritto o modificato da Apple attraverso un aggiornamento software, quindi è qualcosa di permanente. È il primo exploit a livello di bootrom rilasciato pubblicamente per un dispositivo iOS dai tempi dell’iPhone 4, di quasi un decennio fa. Tutti i dispositivi, dall’iPhone 4S all’iPhone X sono stati colpiti.

Tuttavia, ci sono alcune limitazioni:

  1. L’exploit non funziona sui nuovi chip A12. Cioè, i modelli più recenti non sono vulnerabili: iPhone XS / XR e 11 / 11 Pro.
  2. L’exploit è “legato”, cioè richiede l’accesso fisico al dispositivo e il collegamento di un cavo USB.
  3. L’exploit non è persistente e il telefono deve essere ricollegato al cavo durante il riavvio.
  4. L’exploit non è garantito e potrebbe richiedere diversi tentativi.
  5. Non compromette Secure Enclave. È impossibile estrarre dati protetti da PIN/Touch ID.
  6. Nessun jailbreak reale è ancora disponibile.

Per concludere Pierluigi Torriani, Security Engineering Manager di Check Point Italia, afferma:

A causa delle limitazioni di cui sopra e del fatto che non esiste ancora nessun vero e proprio jailbreak, non c’è motivo di preoccuparsi al momento. Però è da considerarsi una forte preoccupazione per il futuro, in quanto questo exploit inattaccabile avrà sicuramente un impatto duraturo, e lascia uno spiraglio sia ai team di ricerca, ma soprattutto agli hacker. Vale a dire, molte più vulnerabilità e attacchi iOS per i prossimi due anni.

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, scopre una falla di sicurezza in Samsung, Huawei, LG, Sony e in altri smartphone Android che rende gli utenti vulnerabili ai più evoluti attacchi di phishing.

I cellulari Android affetti utilizzano il provisioning over-the-air (OTA), attraverso il quale gli operatori di rete possono impostare specifiche di rete per un nuovo telefono che entra a far parte del loro network. Tuttavia, Check Point Research ha svelato che lo standard industriale per il provisioning OTA, l’Open Mobile Alliance Client Provisioning (OMA CP), contiene metodi di autenticazione limitata. I malintenzionati possono sfruttarlo per apparire sotto forma di operatori di rete e inviare messaggi OMA CP ingannevoli agli utenti. Il messaggio li induce ad accettare impostazioni dannose che, ad esempio, indirizzano il loro traffico Internet attraverso un server proxy di proprietà dell’hacker.

I ricercatori hanno stabilito che alcuni cellulari Samsung sono i più vulnerabili a questa forma di attacco phishing perché non hanno un controllo di autenticità per i mittenti di messaggi OMA CP. L’utente deve solo accettare il CP e il software dannoso sarà installato senza che il mittente debba dimostrare la propria identità.

I cellulari Huawei, LG e Sony, invece, hanno una forma di autenticazione, ma gli hacker hanno bisogno solo dell’International Mobile Subscriber Identity (IMSI) del destinatario per “confermare” la propria identità. Gli hacker possono ottenere l’IMSI di una vittima in vari modi, inclusa la creazione di un’app Android malevola che legge l’IMSI di un telefono, una volta installata. L’hacker può anche aggirare la necessità di un IMSI inviando all’utente un messaggio di testo come se fosse un operatore di rete chiedendogli di accettare un messaggio OMA CP protetto da PIN. Se l’utente inserisce il numero PIN fornito e accetta il messaggio OMA CP, il CP può essere installato senza IMSI.

Data la diffusione dei dispositivi Android, questa vulnerabilità è davvero critica e deve essere affrontata”, ha dichiarato Slava Makkaveev, Security Researcher di Check Point Software Technologies. “Senza una forma di autenticazione più forte, è facile per un hacker lanciare un attacco phishing attraverso il provisioning over-the-air. Quando l’utente riceve un messaggio OMA CP, non è in grado di capire se proviene da una fonte affidabile. Facendo clic su ‘accetta’, potrebbe benissimo far entrare un criminale informatico nel proprio telefono.

I ricercatori hanno trasmesso quanto emerso ai diretti interessati lo scorso mese di marzo. Samsung ha aggiunto una patch per risolvere questo problema nella propria Security Maintenance Release di maggio (SVE-2019-14073), LG ha rilasciato la patch a luglio (LVE-SMP-190006), e Huawei sta progettando di includere le correzioni dell’interfaccia utente per OMA CP nella prossima generazione di smartphone della serie Mate o della serie P. Sony ha rifiutato, invece, di riconoscere la vulnerabilità, affermando che i loro dispositivi seguono le specifiche OMA CP.

Check Point SandBlast Mobile previene gli attacchi Man-in-the-Middle e phishing ed è in grado di proteggere i dispositivi dai messaggi OMA CP dannosi. Per maggiori informazioni: https://www.checkpoint.com/products/mobile-security/

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha introdotto un nuovo motore di rilevamento malware basato sull’intelligenza artificiale nella sua soluzione di prevenzione delle minacce SandBlast Network, per consentire una prevenzione ancora più rapida e precisa. Il nuovo motore Malware DNA classifica le nuove forme di malware sulla base delle informazioni disponibili sulle famiglie già note, accelerando così la capacità di identificare e bloccare le minacce zero-day prima che possano causare danni.

Malware DNA analizza ogni variante di malware che passa attraverso la sandbox SandBlast Network per trovare modelli di codice e similitudini comportamentali, che corrispondono a famiglie di malware esistenti e conosciute. Poiché la maggior parte delle minacce informatiche viene costruita utilizzando blocchi di codice malevoli già disponibili, Malware DNA accelera l’identificazione delle minacce informatiche sconosciute e riduce i tempi di risposta per rafforzare ulteriormente la sicurezza delle organizzazioni.

L’intelligenza artificiale e il machine learning di Malware DNA sono supportati dall’osservazione di milioni di campioni di malware già rilevati da ThreatCloud di Check Point, la più grande risorsa al mondo di intelligence sulle minacce. Il nuovo motore aumenta le capacità di rilevamento, controllo e consegna sicura dei contenuti di SandBlast Network per fornire una protezione completa contro gli attacchi mirati più pericolosi e zero-day sulle reti aziendali.

Per gli hacker, riutilizzare il codice esistente che ha già dimostrato di funzionare, si traduce in un risparmio di tempo e fatica, quindi la stragrande maggioranza dei malware viene creato in questo modo. Le linee di codice che compongono il malware sono il DNA delle minacce informatiche, e il nuovo motore Malware DNA consente di abbinare rapidamente il codice utilizzato nel malware, anche se nuovo di zecca, alle famiglie di minacce esistenti”, ha detto Maya Horowitz, Head of Threat Intelligence Research di Check Point. “Rintracciando rapidamente l’origine di nuove minacce zero-day, i tempi di risposta sono ulteriormente accelerati, riducendo drasticamente i rischi per le organizzazioni. Malware DNA è un ottimo esempio dell’incessante attenzione di Check Point nello sviluppo e nella fornitura delle più avanzate tecnologie di prevenzione delle minacce.”

SandBlast Network è una soluzione completa per la prevenzione delle minacce della rete. Rileva le minacce informatiche resistenti all’evasione per mantenere le reti delle organizzazioni libere da minacce, e garantisce che il contenuto condiviso sia sicuro da utilizzare in tutta l’organizzazione, massimizzando la produttività degli utenti. SandBlast Network è parte integrante dell’architettura di sicurezza informatica completamente consolidata di Check Point, Infinity, che protegge tutti gli aspetti dell’IT moderno, inclusi reti, endpoint, cloud e mobile. Utilizza le informazioni in tempo reale sulle minacce provenienti dal database di conoscenze ThreatCloud per monitorare continuamente le minacce su tutte le piattaforme attraverso un’unica dashboard.

NSS Labs, una fonte di fiducia e riconosciuta a livello mondiale per i test di sicurezza informatica indipendenti e basati sui fatti, ha classificato come Consigliata la soluzione SandBlast di Check Point per il rilevamento del 100% delle minacce e-mail e http, e il 100% del malware utilizzando sofisticate tecniche di evasione, senza falsi positivi. Check Point ha ricevuto il 18° premio Raccomandato da quando NSS Labs ha iniziato a testare le sue soluzioni nel 2010, confermando ulteriormente la capacità di Check Point di proteggere le organizzazioni anche dai più avanzati attacchi informatici.

Nella celeberrima trilogia di Matrix, Agent Smith descrive la razza umana come una specie che si moltiplica fino a consumare ogni risorsa. Nella realtà, “Agent Smith” è un vero e proprio malware mobile che si sta diffondendo a ritmi allarmanti.

Check Point Research ha recentemente scoperto una nuova variante del malware mobile che ha già infettato circa 25 milioni di dispositivi, mentre l’utente rimane completamente ignaro. Camuffata come un’applicazione collegata a Google, la parte centrale del malware sfrutta varie vulnerabilità Android già note e sostituisce automaticamente le applicazioni installate sul dispositivo con versioni dannose senza che l’utente faccia nulla.

Soprannominato Agent Smith, il malware attualmente utilizza il suo ampio accesso alle risorse del dispositivo per mostrare annunci a scopo di lucro, naturalmente falsi. Questa attività assomiglia a precedenti campagne malware quali GooliganHummingbad e CopyCat e può infettare tutti gli smartphone aggiornati anche oltre Android v.7.

Tuttavia, potrebbe essere facilmente utilizzato per scopi molto più delicati e dannosi, come il furto delle credenziali bancarie e le intercettazioni. Infatti, grazie alla sua capacità di nascondersi e di impersonare le app più popolari, ci sono infinite possibilità che questo tipo di malware danneggi il dispositivo di un utente.

Nel panorama delle minacce mobile, la migliore protezione contro gli attacchi invasivi di malware mobile come Agent Smith consiste nell’utilizzare tecnologie avanzate di threat prevention, basate su informazioni avanzate sulle minacce, combinate con un approccio hygiene first per proteggere le risorse digitali.

Per rimuovere le app dannose, probabilmente colpite da Agent Smith, Check Point consiglia di seguire i seguenti passaggi:

Per Android:

  • Menù Impostazioni
  • Cliccare su App o Application Manager
  • Spostarsi sull’app sospetta e disinstallarla
  • Se non si trova, rimuovere tutte le applicazioni installate di recente

Per iPhone:

  • Menù Impostazioni
  • Scorrere fino a Safari
  • Nell’elenco delle opzioni, assicurarsi che sia selezionato “Block Pop-ups”
  • Poi proseguire su Avanzate -> Dati del sito web
  • Per tutti i siti elencati non riconosciuti, effettuare la cancellazione

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, si è recentemente imbattuta in una campagna malevola su larga scala che, per anni, ha sfruttato alcune pagine Facebook per diffondere un malware in ambienti mobile e desktop, con un solo obiettivo: la Libia!

Quella che è stata definita Operazione Tripoli ha portato alla rimozione di 30 pagine Facebook e all’infezione di 50mila utenti.

Sembra che la difficile situazione politica in Libia sia utile agli hacker per attirare le vittime e indurle a cliccare sui link e far scaricare loro dei file che dovrebbero contenere informazioni sull’ultimo attacco aereo nel paese, o sulla cattura dei terroristi, ma che invece contengono malware.

L’Operazione Tripoli è iniziata quando Check Point ha notato che una pagina Facebook apparteneva al comandante dell’esercito nazionale libico, Khalifa Haftar. Oltre ad essere “maresciallo di campo”, Haftar è una figura di spicco nell’arena politica libica e ha avuto un ruolo importante come leader militare nella guerra civile in corso nel paese.

Attraverso questa pagina Facebook, Check Point ha individuato questa attività dannosa risalendo fino al responsabile, scoprendo come gli hacker avessero sfruttato per anni la piattaforma di social networking, compromettendo siti web legittimi per ospitare malware e, alla fine, raggiungere decine di migliaia di vittime basati principalmente in Libia, ma anche in Europa, Stati Uniti e Canada.

Sulla base di queste informazioni condivise, Facebook ha bloccato le pagine e gli account (oltre 30) che hanno distribuito gli attacchi dannosi legati a questa operazione.

Da sottolineare come, sebbene l’insieme di strumenti utilizzati dall’hacker non sia né avanzato né impressionante di per sé, l’uso di contenuti su misura, siti web legittimi e pagine altamente attive con molti follower ha reso molto più facile l’infezione potenziale di migliaia di vittime. Per esempio, il materiale sensibile condiviso sul profilo “Dexter Ly” implica che l’hacker è riuscito a infettare anche funzionari di alto profilo.

In conclusione, nonostante l’hacker non appoggi un partito politico o una delle parti in conflitto in Libia, le sue azioni sembrano essere spinte da motivi politici. Questo può essere deducibile dalla partecipazione ad operazioni come OpSyria di alcuni anni fa, così come dalla volontà di rivelare documenti segreti e informazioni personali rubate al governo libico. Questo si oppone al costante bersaglio delle vittime libiche, ma potrebbe significare che l’hacker è alla ricerca di alcuni individui all’interno di una folla più numerosa.

Nelle ultime ore WhatsApp ha comunicato di essere stata attaccata da hacker che sono stati in grado di installare, da remoto, un software di controllo su telefoni e altri dispositivi utilizzando una grande vulnerabilità nell’app di messaggistica.

Di seguito puoi trovare il commento di Oded Vanunu, Head Of Products Vulnerability Research di Check Point Software Technologies:

La vulnerabilità identificata come CVE-2019-3568 può essere sfruttata con successo per installare uno spyware e rubare dati da uno smartphone semplicemente effettuando una chiamata WhatsApp, anche nel caso in cui la chiamata non riceva una risposta. Inoltre, la vittima non sarebbe in grado di venire a conoscenza dell’intrusione in atto, poiché lo spyware cancella le informazioni sulle chiamate in arrivo dai log per operare in modo furtivo. Per riuscire ad evadere dalla sandbox si suppone che siano stati utilizzati più attacchi ZeroDay.

Al momento sono a rischio tutti gli utenti che utilizzano l’app WhatsApp (iOS/Android), soprattutto se questo tipo di exploit arriva nelle mani sbagliate.

Riteniamo però che per ora sia stato utilizzato solo dalle forze dell’ordine, quindi potrebbe avere avuto solo un impatto minimo.

Questo episodio sottolinea ancora una volta come le nostre app quotidiane siano più spesso prese di mira da malintenzionati per ottenere l’accesso ai nostri dati privati e sensibili, o addirittura per ottenere il pieno controllo sul nostro dispositivo. Tale metodo continuerà ad essere utilizzato dagli aggressori a causa dell’uso continuativo e quotidiano di queste app. Le vulnerabilità sulla piattaforma mobile valgono molti soldi, per esempio nel listino prezzi “Zerodium” si è disposti a pagare fino a 1 milione di dollari per la vulnerabilità di WhatsApp che permette l’esecuzione di codice remoto. Noi chiamiamo questo tipo di attacchi Gen V, perché di larga scala, multi-vettore e in rapida evoluzione.

0 743

Il termine “phishing” è apparso per la prima volta nel 1996, pochi giorni dopo la nascita del Web. Quindi, perché questo metodo di frode online vecchio più di 20 anni è ancora tra noi?

Per una ragione molto semplice: funziona ancora in modo molto efficace. Si tratta, infatti, di uno dei metodi più affidabili che un hacker può utilizzare per accedere a conti digitali personali o aziendali. L’FBI ha calcolato che le perdite totali derivanti dalle e-mail aziendali hanno superato i 12 miliardi di dollari a livello globale se si considera il periodo ottobre 2013 – maggio 2018

Il phishing è diventato un processo avanzato e dettagliato. Si stima che quasi un’e-mail su 2.000 sia di phishing, e che ogni mese vengano creati oltre un milione di siti web falsi per cercare di ingannare gli utenti, e indurli così a distribuire informazioni sensibili. Uno studio recente ha dimostrato che il 25% delle e-mail di phishing bypassa la sicurezza di Microsoft Office 365. Per i criminali, è un gioco semplice: devono solo distribuire una quantità ingente di e-mail e link falsi, e aspettare che le persone cadano nelle loro trappole. Dato che sempre più transazioni vengono effettuate tramite dispositivi mobile, gli utenti sono sempre più nel mirino – con un crescente successo degli attacchi.

Check Point Software Technologies sottolinea che i principali vettori di phishing sono i seguenti tre:

  • Lo spear phishing via e-mail: I tentativi di e-mail phishing possono rivolgersi sia ai consumatori che agli utenti aziendali. Gli attacchi di spear phishing ai consumatori di solito comportano il furto di nomi, numeri di telefono e account per creare messaggi molto mirati e convincenti. Gli attacchi contro gli utenti aziendali implicano la creazione di un profilo da siti web aziendali e profili LinkedIn, Facebook e Twitter, e quindi la creazione di e-mail mirate da parte di un dirigente senior, richiedendo un pagamento o servizio urgente e indirizzando l’obiettivo di effettuare una transazione legittima, ma fraudolenta. In alternativa, questi attacchi possono sembrare provenire dal team IT aziendale, indirizzando gli utenti agli URL per raccogliere le password e le credenziali VPN.
  • SMS phishing – il cosiddetto “smishing”: è un vettore sempre più comune per fornire URL dannosi agli utenti. Anche in questo caso, si tratta di diverse varietà, dagli attacchi su larga scala simili agli attacchi e-mail, che incorporano espedienti come la reimpostazione delle password o gli aggiornamenti di sicurezza degli account, fino ad attacchi molto più mirati e personalizzati.
  • L’app phishing: le app mobile sono diventate un canale molto proficuo per gli hacker e dagli smartphone se ne possono scaricare sempre alcune dannose; con oltre 3,8 milioni di app su Google Play, e oltre 2 milioni sull’Apple Store e oltre 1,5 milioni di applicazioni su altri Store di terze parti, queste sono grandi opportunità per diffondere contenuti pericolosi.

La protezione dal phishing non prevede solo la presenza di un rilevamento delle e-mail potenzialmente dannose, ma deve comportare l’attuazione di tre ulteriori fasi: protezione dell’URL da mobile, profilazione della sicurezza dei dispositivi mobile e -soprattutto- formazione degli utenti.

Combinando tecnologie di sicurezza e formazione degli utenti, le organizzazioni saranno in una buona posizione per garantire che i loro dipendenti non cadranno facilmente nel phishing.

Check Point Software Technologies ha raccolto tutti i malware MacOS noti. È la prima volta che un vendor di cybersecurity classifica tutti i malware MacOS in un’unica libreria per spiegare il funzionamento di ogni malware!!

Molte persone credono che usando MacOS siano al sicuro da attacchi hacker e non si preoccupano di essere infettati. Anche se i malware MacOS sono meno evoluti rispetto i malware Windows per quanto riguarda complessità, numero di infezioni e altro ancora, col passare del tempo gli attacchi stanno diventando sempre più sofisticati.

Dato che il gran numero di utenti Mac è un grande incentivo per gli hacker che cercano di ampliare il loro terreno di attacco, nei prossimi anni vedremo per MacOS lo stesso andamento che abbiamo visto per Windows.

Per questo motivo un vendor come Check Point Software Technologies ha ritenuto valido classificarli. Tra i vari malware presenti nella libreria, Pierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies, ne individua due tra i più interessanti e pericolosi, che possono già aver colpito molti utenti:

  • CreativeUpdate: si tratta di un Cryptominer ufficialmente segnalato per la prima volta il 1° febbraio 2018. Un utente che naviga sul sito MacUpdate può trovare software interessante e scaricarlo regolarmente. Peccato però che fra i software infetti vi potrebbero essere anche Firefox, OnyX e Deeper. È stato scoperto, infatti, che il link di download sul sito MacUpdate era stato modificato, in modo da puntare ad un URL controllato da un hacker che forniva il malware. La falsa applicazione di Firefox è stata distribuita da download-installer.cdn-mozilla.net. Il dominio termina in cdn-mozilla.net, che non è sicuramente lo stesso di mozilla.net; questo è un tipico trucco che porta l’utente a pensare che provenga dal sito legittimo. Pertanto, invece della legittima applicazione di Firefox, una versione trojan veniva fornita all’utente con tanto di firma dello sviluppatore e certificato originale dell’applicazione legittima di Firefox. Analizzandola ulteriormente si conferma che la firma digitale è legittima e risulta proprio firmata da Mozilla. In sostanza, il malware eseguiva l’applicazione legittima di Firefox affinché l’utente non sospettasse di nessuna operazione malevola. Quello che fa riflettere è la modalità utilizzata, ingannando l’utente, sfruttando un’applicazione legittima e piuttosto popolare con inserito del codice malevolo. Inoltre, non è la complessità dell’operazione, e nemmeno l’insidiosità del malware, ma l’utilizzo di un sito come MacUpdate come vettore d’infezione significa puntare ad infettare un gran numero di utenti. Qual era l’obiettivo del malware? Semplicemente generare criptovalute e connettersi al sito minergate.com, il che conferma il trend in atto delle infezioni da criptominer.
  • Flashback: per la prima volta scoperto nel 2011, fa parte delle categorie trojan/backdoor. Si tratta di uno dei malware più interessanti per MacOS, a causa del gran numero di infezioni e delle tecniche che utilizza. Flashback è probabilmente il primo malware ad ampia diffusione su MacOS, con oltre 500mila infezioni. Il malware si diffonde, camuffandosi sotto un aggiornamento Adobe Flash o come un’applet firmata java, che utilizza un exploit per installare automaticamente il malware senza che l’utente ne sia a conoscenza. Una delle cose più interessanti di questo malware è che si offusca da solo dopo l’infezione, quindi l’eseguibile non verrà eseguito correttamente su un’altra macchina eccetto quella su cui è stato iniettato in precedenza. Ciò avviene crittografando la struttura dei dati con l’UUID della macchina ed algoritmo di cifratura RC4. Il malware utilizza anche DGA, un algoritmo di generazione del dominio, basato sulla data per rendere più difficile l’identificazione dei suoi server C&C. In questo modo, il malware genera quotidianamente diversi indirizzi di comunicazione remoti. Un’altra cosa interessante di questo malware è che utilizza Twitter come metodo per inviare comandi al malware da parte dall’attaccante.

L’intera libreria realizzata da Check Point è consultabile al seguente link: https://research.checkpoint.com/macos-malware-pedia/

0 771

I cellulari sono di solito dotati di app preinstallate, alcune delle quali molto utili, altre mai utilizzate. Quello che l’utente finale non si aspetta è che proprio un’app preinstallata possa essere veicolo di infezione.

Il team di ricerca di Check Point Software Technologies, Check Point Research, ha recentemente scoperto una vulnerabilità all’interno di una delle app preinstallate presenti nei cellulari di Xiaomi, il quarto venditore di cellulari al mondo con una quota di mercato di quasi l’8%. Può sembrare uno scherzo, ma in realtà l’app che conteneva la vulnerabilità era l’app di sicurezza, “Guard Provider” (com.miui.guardprovider), che invece di proteggere il telefono, esponeva l’utente a un potenziale attacco di tipo Man-in-the-Middle (MiTM).

A causa della natura non protetta del traffico di rete da e verso Guard Provider, un malintenzionato avrebbe potuto connettersi alla stessa rete Wi-Fi della vittima e attuare un attacco Man-in-the-Middle (MiTM). In seguito, come parte di un aggiornamento SDK di terze parti, il criminale avrebbe potuto disabilitare le protezioni contro i malware e iniettare qualsiasi codice malevolo all’interno del cellulare per sottrarre dati, installare un ransomware o qualsiasi altro tipo di malware.

NOTA BENE: Check Point Software Technologies ha informato subito Xiaomi, che ha rilasciato immediatamente una patch di aggiornamento per i propri device

Il Check Point Research, il team di Threat Intelligence di Check Point Software Technologies ha fatto de nuove scoperte.

Queste scoperte hanno un minimo comune denominatore: in entrambi i casi gli hacker scelgono le librerie di terze parti o i componenti open source che compongono un’applicazione per fornire malware agli ignari utenti delle app. Da un punto di vista criminale, colpire una società infettando uno dei componenti della catena di fornitura è molto allettante e molto più facile che colpire direttamente l’organizzazione stessa.

Recentemente Check Point Software Technologies ha individuato una massiccia campagna di adware per dispositivi mobili che ha già generato quasi 150 milioni di download di 206 app infette presenti sul Google Play Store.

Soprannominata “SimBad” – dato che la maggior parte delle app infette sono giochi di simulazione – questa campagna adware è in grado di rendere fastidioso l’uso del telefonino. L’utente, infatti, riceve numerosi annunci pubblicitari al di fuori dell’applicazione ed è impossibilitato a disinstallare le app incriminanti.

Tutte le app infette utilizzano un SDK (Software Development Kit) malevolo per eseguire le loro operazioni. Sebbene siano disponibili altri SDK per la monetizzazione delle app, gli sviluppatori di giochi hanno scelto di utilizzare un SDK a loro vantaggio, visualizzando un numero molto più elevato di annunci per aumentare i loro profitti.

Il comportamento malevolo delle app include quindi:

  1. mostrare annunci al di fuori dell’applicazione, ad esempio quando l’utente sblocca il proprio telefono o utilizza altre app;
  2. apertura costante di Google Play o 9Apps Store e reindirizzamento a un’altra particolare applicazione, in modo che lo sviluppatore possa trarre vantaggio da installazioni aggiuntive;
  3. nascondere la relativa icona dal programma di avvio per impedire la disinstallazione;
  4. apertura di un browser Web con collegamenti forniti dallo sviluppatore dell’app;
  5. download di file APK (Android Package) e richiesta all’utente di installarli;
  6. ricerca di una parola fornita dall’app in Google Play.

Un’altra recente scoperta realizzata dal team di ricerca di Check Point Software Technologies riguarda un gruppo di applicazioni Android che nascondono malware all’interno del SDK di monetizzazione, denominato SWAnalyticsche è stato inserito in applicazioni Android apparentemente innocue e pubblicate nei principali app store cinesi di terze parti. Una volta installata l’app, SWAnalytics segnala alle vittime l’apertura di un’applicazione infetta o riavvia i loro telefoni, appropriandosi in modo silenzioso dell’elenco dei contatti che vengono inviati a un server remoto.

Check Point Software Technologies rileva che al momento le applicazioni infette sono 12, la maggior parte delle quali sono app di utilità di sistema, e che sono già state scaricate ben 111 milioni di volte. Questo significa che il malintenzionato potrebbe aver già raccolto i contatti e i numeri di un terzo dell’intera popolazione cinese!!

Tali dati potrebbero essere già presenti nei mercati del “dark web” per ulteriori exploit, come casi di marketing illecito, truffe telefoniche mirate o abuso di programmi di referral.

Joomla! è uno dei Content Management System più famosi ed è utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo.

Nel corso degli anni, il CMS è stato al centro di molte vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer (CVE-2017-7985) e l’esecuzione di comandi remoti di Joomla Object Injection (CVE-2015-8562).

Recentemente Check Point Research, il team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi a opera di un noto attore di minacce informatiche che sta sfruttando ovviamente a scopo di lucro una vulnerabilità presente in JMail, il servizio email di Joomla!.

JMail è il servizio di posta di Joomla, che consente all’utente di inviare posta attraverso la piattaforma. In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente.

Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua. Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala.

L’annuncio della campagna di phishing che sta interessando Joomla! è stato comunicato dall’azienda durante il RSA Trade Show di San Francisco che si sta svolgendo in questi giorni.

WinRAR è uno dei programmi shareware di compressione e archiviazione di dati più diffusi al mondo oggi, utilizzato da oltre 500 milioni di persone, sia per scopo personale sia professionale.

Il team di ricerca di Check Point Software Technologies ha realizzato una scoperta sensazionale: utilizzando il fuzz testing WinAFL, il team di ricerca ha individuato un bug all’interno di WinRAR che esiste da circa 19 anni!

La scoperta è il risultato di una ricerca che è iniziata qualche mese fa con la creazione di un laboratorio di fuzzing multiprocessore. Dopo aver ottenuto buoni risultati con Adobe Research, il team ha deciso di eseguire fuzz testing all’interno di WinRAR.

Uno dei crash prodotti dal fuzzer ha portato il team di ricerca a trovare una DDL (dynamic-link library) realizzata nel 2006 senza un meccanismo di protezione (come ASLR, DEP, ecc.) e utilizzata da WinRAR.

Dopo avere eseguito altri crash test, i ricercatori hanno individuato un bug in grado di avviare l’esecuzione di un codice da remoto che potrebbe potenzialmente infettare milioni e milioni di persone.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il terzo capitolo del proprio Security Report 2019, sottolineando come gli attori delle minacce stiano puntando sempre più spesso ai punti più deboli e meno protetti dell’infrastruttura IT di un’organizzazione, cioè il loro cloud pubblico e le loro applicazioni mobile.

Il terzo capitolo rivela le principali tendenze in termini di attacco utilizzate dai criminali per colpire il cloud aziendale e i dispositivi mobile nel corso del 2018 e le maggiori preoccupazioni che hanno coinvolto i team IT e di sicurezza. Tra i dati più significativi:

  • il 18% delle organizzazioni mondiali ha subìto un attacco ai propri sistemi cloud nell’ultimo anno: gli episodi più comuni sono stati le fughe di dati/violazioni, i furti di account e le infezioni tramite i malware.
  • le quattro principali minacce alla sicurezza del cloud pubblico: il 62% dei professionisti IT hanno valutato l’errata configurazione delle piattaforme cloud che ha portato alla perdita di dati o alle violazioni come la minaccia maggiore; seguita dall’accesso non autorizzato alle risorse cloud (55%); dalle interfacce e API non sicure (50%) e dal furto di account o traffico dati (47%).
  • il 30% dei professionisti IT ritiene ancora che la sicurezza sia responsabilità del cloud service provider: questa convinzione non è in linea con il principio secondo cui la sicurezza in-cloud dovrebbe seguire il modello di responsabilità reciproca, in cui la sicurezza è condivisa sia dal fornitore di servizi in-cloud sia dal cliente.
  • Il 59% dei professionisti IT non utilizza difese contro le minacce che colpiscono i dispositivi mobile: la maggior parte delle organizzazioni non ha implementato soluzioni di sicurezza mobile in grado di rilevare le minacce principali, tra cui i malware mobile, le app false o dannose, gli attacchi man-in-the-middle e le vulnerabilità del sistema.
  • SOLO il 9% dei professionisti IT considera le minacce mobile un rischio significativo per la sicurezza: tuttavia, il malware può propagarsi dai dispositivi mobile non protetti alle reti in-cloud o on-premise, sfruttando questo anello debole per far breccia nelle difese di sicurezza aziendali.

Il terzo capitolo del nostro Security Report 2019 mostra quanto le organizzazioni siano vulnerabili agli attacchi contro le loro proprietà in-cloud e mobile, perché mancano di consapevolezza nell’affrontare e nel placare le minacce informatiche. Dato che, nell’ultimo anno, quasi il 20% delle organizzazioni ha subito un episodio di cloud security, è chiaro che i criminali stiano cercando di sfruttare queste lacune di sicurezza”, ha dichiarato Zohar Alon, Head of Cloud Product Line di Check Point Software Technologies. “Grazie a questo report, le organizzazioni possiedono uno strumento in più per avere una migliore comprensione delle minacce che affrontano, e di come possono prevenire il loro impatto sull’attività aziendale.

Tutti i dati del Security Report 2019 di Check Point provengono dal sistema di intelligence dell’azienda, ThreatCloud, la più grande rete che interviene contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce; dalle indagini e le ricerche di Check Point degli ultimi 12 mesi; e da un nuovo sondaggio tra professionisti IT e dirigenti C-level che valuta il loro grado di preparazione nei confronti delle minacce odierne. Il report esamina le ultime minacce emergenti verso vari settori industriali e fornisce un resoconto completo delle tendenze osservate nel panorama dei malware, nei vettori di violazione dati e negli attacchi informatici negli stati nazionali. Infine, include anche l’analisi degli esperti di Check Point, per aiutare le organizzazioni a comprendere e per prepararle alle minacce complesse di oggi e del futuro.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha annunciato la pubblicazione della prima parte del Security Report 2019.

Di seguito i fenomeni più importanti che vale la pena sottolineare:

  • dominio dei cryptominer: quattro cryptominer sono stati tra i malware più diffusi, occupando i primi posti della classifica e colpendo il 37% delle organizzazioni a livello globale. Nonostante un calo del valore di tutte le cryptovalute, il 20% delle aziende continua a essere colpito da attacchi cryptomining ogni settimana. Di recente, i cryptominer si sono evoluti per sfruttare vulnerabilità di alto profilo e per eludere sandbox e prodotti di sicurezza, al fine di espandere i loro tassi di contagio.
  • i dispositivi mobile sono sotto attacco: nel 2018, il 33% delle organizzazioni in tutto il mondo è stato colpito da malware mobile, di cui i principali tre colpiscono il sistema operativo Android. Inoltre, si sono verificati diversi casi in cui il malware mobile è stato preinstallato sui dispositivi e nelle app disponibili negli app store.
  • uso massiccio delle botnet per lanciare gli attacchi: i bot sono stati nel 2018 il terzo tipo di malware più comune, con il 18% delle organizzazioni colpite da bot che vengono utilizzate per lanciare attacchi DDoS e diffondere altri malware. Le infezioni bot sono state determinanti in quasi la metà (49%) delle organizzazioni che hanno subito un attacco DDoS nel 2018.
  • attacchi ransomware in calo: nel 2018 l’utilizzo di ransomware è diminuito drasticamente, con un impatto su appena il 4% delle organizzazioni a livello globale.

Dall’aumento vertiginoso degli attacchi cryptomining, alle massicce violazioni dei dati, agli attacchi DDoS, nell’ultimo anno ci sono stati molti disagi informatici per le organizzazioni globali. I cybercriminali hanno a disposizione un’ampia gamma di opzioni per indirizzare ed estrarre ricavi dalle organizzazioni di qualsiasi settore, e la prima parte del Security Report 2019 evidenzia gli approcci che stanno utilizzando, sempre più furtivamente”, ha dichiarato Peter Alexander, Chief Marketing Officer di Check Point Software Technologies.  “Questi attacchi di quinta generazione multi-vettoriali, veloci e su larga scala stanno diventando sempre più frequenti, e le organizzazioni devono adottare una strategia di sicurezza informatica su più livelli che impedisca a questi attacchi di impossessarsi delle loro reti e dei loro dati. Il Security Report 2019 mette a disposizione conoscenze, approfondimenti e raccomandazioni su come prevenire questi attacchi.

“La tecnologia è una cosa strana. Ti porta grandi doni con una mano, e con l’altra ti pugnala alle spalle”, scrisse lo scrittore e scienziato C. P. Snow sul New York Times, nel 1971. Suona ancora vero oggi. Ogni nuovo strumento o tecnologia che usiamo introduce nuove vulnerabilità, dando ai criminali informatici opportunità di guadagno economico, e ai gruppi con sfondo politico nuove occasioni per spiare gli individui o causare disagi e danni agli avversari.

In questa continua corsa agli armamenti di sicurezza, quali saranno le prossime vulnerabilità delle nostre reti e dei nostri dispositivi? Ecco le previsioni per il 2019 di Check Point® Software Technologies Ltd., principale fornitore di soluzioni di cybersecurity a livello globale.

Ransomware e malware si moltiplicano

Il ransomware è stato una gallina dalle uova d’oro per i criminali, oltre che un diversivo per scopi più distruttivi: ad esempio, Petya sembrava un ransomware ma causava danni bloccando i dati. Tutti i tipi di utenti, dai consumatori alle aziende, sono diventati preda dei ransomware, creando il ragionevole sospetto che questi continueranno a crescere. Possiamo aspettarci di vedere attacchi su larga scala e ben orchestrati in tutto il mondo sulla falsariga dell’attacco di WannaCry che si è verificato a maggio del 2017. Possiamo anche aspettarci di vedere i criminali diventare creativi nelle loro tattiche di estorsione, come ad esempio “se contagi due contatti, ti restituiremo i dati a un costo inferiore”.

Nel complesso, dal momento che i sistemi operativi rafforzano la loro sicurezza, prevediamo un calo nell’uso degli exploit per colpire le vulnerabilità, a favore di un aumento nell’uso di tecniche di hacking di base basate sull’errore umano. Tuttavia, stanno emergendo attacchi mirati che utilizzano sofisticati strumenti sponsorizzati da alcune nazioni, e il tasso di attacco probabilmente continuerà a salire.

Preoccupazioni per il cloud

L’utilizzo del server-less computing e del data storage nel cloud sta diventando sempre più diffuso nel mondo degli affari. Tuttavia, vale la pena ricordare che la tecnologia cloud e l’infrastruttura che la supporta è relativamente nuova e in continua evoluzione e che esistono ancora gravi problemi di sicurezza che forniscono una backdoor agli hacker per accedere ai sistemi aziendali e diffondersi rapidamente attraverso le reti. Idee sbagliate circa le responsabilità e il livello di sicurezza necessario per operare in sicurezza all’interno di un ambiente cloud sono comuni, così come le errate configurazioni che lasciano la porta aperta alle violazioni.

Durante il 2017, oltre il 50% delle violazioni alla sicurezza gestite dal team di risposta agli incidenti di Check Point era correlato al cloud e oltre il 50% riguardavano la violazione di account di app SaaS o server hosted. Con l’aumento dell’utilizzo di servizi di condivisione di file basati su cloud, le perdite di dati continueranno a essere una delle principali preoccupazioni per le organizzazioni che si spostano verso il cloud. Questo si è visto anche di recente quando una violazione della società di consulenza Deloitte ha permesso agli hacker di accedere ai dati riservati di diversi clienti.

La crescente adozione di email basate su SaaS, come Office 365 e la G-Suite di Google, è un obiettivo attraente per i cybercriminali.

Incidenti mobile

I dispositivi mobile fanno parte del tessuto IT aziendale ovunque, eppure continuano a essere raramente, se non mai, protetti in modo appropriato, nonostante il rischio che presentano. Continueremo a scoprire difetti nei sistemi operativi mobile che evidenziano la necessità per le organizzazioni di adottare un approccio più serio alla protezione della loro infrastruttura mobile e dei dispositivi endpoint contro malware, spyware e altri attacchi informatici.

I malware mobile continueranno a proliferare, in particolare i malware per il mobile banking, dato che l’industria del Malware as a Service (MaaS) continua a crescere. Il MaaS consente, infatti, agli autori delle minacce di ridurre gli ostacoli tecnici necessari per lanciare un attacco. I cryptominer sono saliti alla ribalta nel 2017 e possiamo aspettarci di vedere altri malware crittografici rilasciati su dispositivi mobile per il mining di criptovalute nel prossimo futuro.

Infrastrutture critiche

Quasi tutte le infrastrutture sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici e, per questo motivo, anche i più semplici principi di sicurezza informatica non sono stati presi in considerazione all’interno dei progetti. Indipendentemente dal fatto che l’obiettivo coinvolga reti telefoniche/mobile, reti elettriche, centrali elettriche o impianti di trattamento delle acque, la nostra fortuna è che non ci sia stato un attacco su vasta scala e di successo su infrastrutture critiche che impattano su milioni di persone… ancora. L’attacco DDoS contro il servizio di domain directory di DynDNS nel 2016, che ha causato un’interruzione di Internet e che ha colpito utenti di grandi aziende del Web come Netflix e Amazon, offre un’idea di ciò che è possibile fare con un attacco informatico a un’infrastruttura critica. Un attacco di questo tipo e scala avverrà, e non sarebbe sorprendente vederlo accadere nei prossimi 12 mesi.

Internet delle cose (insicure)

Dal momento che sempre più dispositivi smart vengono integrati nel tessuto delle reti aziendali, le organizzazioni dovranno iniziare a utilizzare migliori pratiche di sicurezza per le proprie reti e i dispositivi stessi. La potenziale superficie di attacco si espande con la crescita dell’utilizzo dei dispositivi IoT e gli attacchi ai dispositivi IoT compromessi continueranno a crescere. Vedremo nuove varianti degli attacchi Mirai e BlueBorne nel 2018. Migliori pratiche di sicurezza nell’IoT saranno fondamentali per prevenire attacchi su larga scala e potrebbero persino essere imposte da normative internazionali.

Per ogni opportunità di business creata dal nostro mondo iperconnesso, quella stessa iperconnettività crea opportunità per i cybercriminali. Ogni ambiente è un potenziale obiettivo: reti aziendali, cloud, dispositivi mobile e IoT. La difesa di queste reti richiede proattività ovvero bloccare preventivamente le minacce prima che possano infettare e danneggiare. Utilizzando l’intelligence delle minacce per potenziare le misure di sicurezza unificate e consolidate, le aziende possono automaticamente proteggere, da nuovi ed emergenti tipi di attacco, tutti gli ambienti. La proattività unita all’innovazione segna la strada per vincere la corsa agli armamenti della sicurezza informatica.

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index di novembre rivelando l’entrata della botnet Emotet nella Top 10 dei malware più diffusi, sia italiana sia mondiale.

La botnet Emotet, che era già apparsa in altre campagne, è stata la protagonista della campagna hacker che ha colpito duramente il Giorno del Ringraziamento. La campagna si è caratterizzata per l’invio di email spam contenenti malware che si presentavano sotto forma di biglietti di ringraziamento e che avevano come oggetto “Thanksgiving day wishes”, “Thanksgiving wishes” e “the Thanksgiving day congratulation!”. Le email si presentano con allegati malevoli, spesso con nomi di file relativi al Giorno del Ringraziamento, per diffondere la botnet e distribuire altri malware. Di conseguenza, l’impatto globale della botnet Emotet è aumentato del 25% rispetto a ottobre.

Ma il mese di novembre è stato anche il primo anniversario del cryptominer Coinhive, che guida il Global Threat Index dallo scorso dicembre. Negli ultimi 12 mesi, Coinhive da solo ha avuto un impatto sul 24% delle organizzazioni in tutto il mondo, mentre i malware cryptomining, in generale, hanno avuto un impatto globale del 38%. La stessa situazione riguarda l’Italia che vede Coinhive stabile al primo posto in classifica da dicembre 2017.

Durante il mese di novembre, abbiamo registrato un aumento significativo degli sforzi per contrastare la botnet Emotet, che si è diffusa tramite messaggi legati a una particolare ricorrenza per attrarre un maggior numero di click”, ha dichiarato Maya Horowitz, Director Threat Intelligence and Research di Check Point. “I dipendenti e le aziende ormai si aspettano di ricevere messaggi di questo tipo. Questi messaggi sono utilizzati per diffondere la botnet Emotet. Si tratta di una tecnica di social engineering capace di ingannare le potenziali vittime e far aprire loro email malevole. Data questa potenzialità, insieme alla sua persistenza e all’uso di tecniche evasive per evitare il rilevamento, Emotet ha avuto quindi un grande successo nel mese di novembre.

Mentre Coinhive è rimasto per un anno il malware più prolifico, si è verificato l’aumento di un malware che può essere utilizzato per distribuire payload aggiuntivi alle macchine infette. Questi moduli possono massimizzare i ritorni economici degli aggressori grazie alla loro natura multiuso.

I tre malware più diffusi a novembre 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ? Cryptolootmalware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  3. ? Andromedabot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Per quanto riguarda, invece, la classifica dei malware mobile, Triada, malware modulare per Android, mantiene il primo posto, seguito da Hiddad che è tornato a occupare il secondo posto, e da Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è invece sceso al terzo gradino di questa speciale classifica.

I tre malware per dispositivi mobili più diffusi a novembre 2018:

  1. Triada malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  2. Hiddad malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  3. Lokibot trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Ancora una volta, CVE-2017-7269 rimane solida al primo posto, con un impatto globale del 48%. Al secondo posto invece, OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 44%, seguito da CVE-2016-6309, una vulnerabilità della funzione tls_get_get_message_body di OpenSSL, che ha colpito il 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di novembre sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. ? OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) – una vulnerabilità use-after-free è stata riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noti i dati del Global Threat Index di ottobre, rivelando che un trojan ad accesso remoto è entrato nella top 10 per la prima volta; mentre i malware criptomining continuano a dominare questa speciale classifica.

Durante il mese di ottobre, i ricercatori di Check Point hanno scoperto una campagna malware che ha dato ampio spazio a un trojan ad accesso remoto (RAT), chiamato “FlawedAmmy”, che permette agli hacker di impossessarsi dei computer e dei dati delle vittime. Attraverso una serie imponente di attacchi, la campagna malware del RAT FlawedAmmy è stata la più estesa degli ultimi mesi. Il trojan consente agli aggressori di accedere completamente alla videocamera e al microfono dell’apparecchio, raccogliere screenshot, rubare credenziali, file sensibili e monitorare in modo indiscreto le vittime.

Di conseguenza, FlawedAmmy è il primo RAT a classificarsi tra i primi 10 malware del Global Threat Index.

Nel frattempo, i malware cryptomining continuano a guidare la classifica di Check Point: con Coinhive, il malware più diffuso con un impatto globale del 18% e con Cryptoloot, che è salito al secondo posto, con un impatto globale dell’8%. Mentre in Italia, domina la scena il solito Coinhive, ma dietro di lui si posiziona Conficker, un worm informatico che sfrutta le vulnerabilità del sistema operativo Windows e utilizza dei dictionary attack sulle password degli admin per consentirne la diffusione durante la formazione di una botnet.

Questo mese, abbiamo visto un RAT entrare per la prima volta nella top 10”, ha detto Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Negli ultimi mesi abbiamo rilevato diverse campagne del RAT FlawedAmmy, ma l’ultima è stata la più grande e diffusa in termini di impatto. Anche se i cryptominer rimangono la minaccia dominante, questo può indicare che dati come le credenziali di accesso, i file sensibili, le informazioni bancarie e di pagamento, non hanno perso il loro appeal a scopo di lucro per i criminali informatici.

I tre malware più diffusi a ottobre 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ? Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  3. ? Dorkbot – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto.

Questo mese, Triada, malware modulare per Android, è salito al primo posto tra i migliori malware mobile; sostituisce Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è sceso al secondo posto. Mentre Hiddad è tornato ad occupare il terzo tra i malware mobile più diffusi di questo mese.

I tre malware per dispositivi mobili più diffusi a ottobre 2018:

  1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  2. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.

La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Ancora una volta, CVE-2017-7269 rimane solida al primo posto, con un impatto globale del 48%. Al secondo posto invece, OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 46%, seguito da Web servers PHPMyAdmin Misconfiguration Code Injection, che ha coinvolto del 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di ottobre sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ? OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. ? Web servers PHPMyAdmin Misconfiguration Code Injection – la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

 

0 696

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, e DJI, leader mondiale nel settore dei droni civili e della tecnologia di imaging aerea, hanno reso noto i dettagli di una potenziale vulnerabilità che, se sfruttata, avrebbe potuto compromettere l’infrastruttura di DJI.

In un report elaborato conformemente al Bug Bounty Program di DJI, il team di ricerca di Check Point ha spiegato come un criminale informatico avrebbe potuto ottenere accesso agli account degli utenti, attraverso una vulnerabilità scoperta all’interno del processo di identificazione necessario per accedere al Forum DJI, il forum dedicato ai prodotti dell’azienda. I ricercatori di Check Point hanno, infatti, scoperto che le piattaforme DJI utilizzano un token per identificare gli utenti registrati in diversi momenti della customer experience, che avrebbe potuto essere utilizzato dagli hacker in cerca di modi per accedere agli account.

Sia gli utenti dei droni DJI che hanno sincronizzato i loro dati di volo, inclusi foto, video e giornali di bordo con i server cloud di DJI, sia gli utenti aziendali DJI utilizzatori del software DJI FlightHub, che include una telecamera, l’audio e la visualizzazione delle mappe, sarebbero potuti diventare dei potenziali bersagli. La falla è stata risolta e non ci sono prove che sia mai stata sfruttata.

Siamo soddisfatti della competenza dimostrata dal team di ricerca di Check Point riguardo la scoperta di una vulnerabilità potenzialmente così critica”, ha affermato Mario Rebello, Vice Presidente e Country Manager, di DJI North America. “Questo è esattamente il motivo per cui DJI ha istituito il Bug Bounty Program. Tutte le aziende tecnologiche devono capire che consolidare la sicurezza informatica deve essere un processo regolare. Proteggere l’integrità delle informazioni degli utenti è una priorità assoluta per DJI e noi ci impegniamo a collaborare costantemente con gli attori della sicurezza, come Check Point.

Data la popolarità dei droni DJI, è importante che le vulnerabilità potenzialmente critiche come questa siano affrontate in modo rapido ed efficace, e ci congratuliamo con DJI per aver agito così velocemente”, ha dichiarato Oded Vanunu, Head of Products Vulnerability Research di Check Point. “Questa scoperta ci insegna quanto sia importante che le organizzazioni capiscano che le informazioni sensibili possono essere utilizzate tramite più piattaforme e, se esposte su una di queste, possono compromettere l’integrità di dell’intera infrastruttura globale.

Gli ingegneri di DJI hanno esaminato il report presentato da Check Point e, in conformità con la , lo hanno classificato come ad alto rischio/bassa probabilità. Ciò è dovuto a una serie di prerequisiti che devono essere soddisfatti prima che un potenziale attaccante possa sfruttarlo. I clienti DJI dovrebbero sempre utilizzare la versione più recente delle applicazioni pilota DJI GO o GO 4.

Check Point e DJI consigliano a tutti gli utenti di rimanere vigili quando condividono informazioni in formato digitale; inoltre, suggeriscono di adottare abitudini informatiche sicure in caso di interazioni online con gli altri utenti e di mettere in discussione la legittimità dei link alle informazioni visualizzate sui forum e sui siti web.

 

0 885

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index di settembre, rivelando un aumento di quasi il 400% di malware criptomining contro gli iPhone, utilizzando il malware Coinhive, che continua a occupare la prima posizione di questa speciale classifica dal dicembre 2017.

Coinhive ha colpito il 19% delle organizzazioni di tutto il mondo, mentre in Italia ha interessato il 17% delle organizzazioni, con un aumento del 4% rispetto al mese precedente. I ricercatori di Check Point hanno inoltre osservato un significativo aumento di questa tipologia di attacco contro PC e dispositivi che utilizzano Safari, browser principale utilizzato dai dispositivi Apple. Cryptoloot invece è salito al terzo posto del Global Threat Index, diventando il secondo cryptominer più diffuso; inoltre, mira al primato di Coinhive chiedendo ai siti web una percentuale di ricavo inferiore rispetto a Coinhive.

Il criptomining continua a essere la minaccia dominante a livello globale che le organizzazioni devono affrontare ogni giorno,” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “La cosa più interessante è l’aumento quadruplo degli attacchi contro iPhone e i dispositivi che utilizzano il browser Safari, durante le ultime due settimane di settembre. Questi attacchi contro i dispositivi Apple non utilizzano nuove funzionalità, quindi continueremo a indagare le possibili ragioni di questo sviluppo.”

Horowitz ha poi aggiunto: “Nel frattempo, attacchi come questi servono a ricordare che i dispositivi mobile sono un elemento spesso trascurato nella linea di difesa di un’organizzazione, quindi è fondamentale che questi siano protetti con una soluzione completa di prevenzione dalle minacce, per evitare che diventino il punto debole delle difese di sicurezza aziendale.

Nel mese di settembre, Dorkbot, il un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service, è rimasto al secondo posto con un impatto globale del 7%.

I tre malware più diffusi a settembre 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ↔ Dorkbot IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto.
  3. ? Cryptolootmalware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.

Ancora una volta, Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware più utilizzato per attaccare le proprietà mobile delle organizzazioni, seguito da Lotoor e Triada.

I tre malware per dispositivi mobili più diffusi a settembre 2018:

  1. Lokibot trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati
  3. Triada malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Al primo posto si è classificata CVE-2017-7269, con un impatto globale del 48%. Al secondo posto si è classificata CVE-2017-5638 con un impatto del 43%, seguita da vicino dai server Web PHPMyAdmin Misconfiguration Code Injection che ha interessato il 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di settembre sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ? OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) – una vulnerabilità use-after-free è stata riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema.
  3. ? Web servers PHPMyAdmin Misconfiguration Code Injection – la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

0 802

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, annuncia i prossimi eventi “CPX – Check Point Experience” che si terranno rispettivamente il 30 ottobre a Milano – Officine del Volo – e il 21 novembre a Roma – Spazio Novecento.

Divenuti ormai appuntamenti di riferimento per il mercato della cybersecurity, le edizioni locali della CPX hanno l’obiettivo di aiutare i clienti e i prospect di tutte le dimensioni a sviluppare strategie per affrontare gli attacchi informatici di quinta generazione, che sono in grado di aggirare la tradizionale protezione adottata dalla maggior parte delle aziende per le proprie reti, i dispositivi mobile, il cloud e l’IoT.

Gli eventi, coordinati dal top management italiano di Check Point Softare Technologies, saranno moderati da Enrico Pagliarini, giornalista e conduttore di Radio24. Inoltre, è prevista la partecipazione di speaker internazionali dell’azienda, tra cui Oded Vanunu, Head Of Products Vulnerability Research Check Point, che attraverso una demo mostrerà le tecniche di hacking utilizzate per sfruttare le vulnerabilità di WhatsApp, Facebook, Win10, alcuni media streamer, LG Smart Home e delle piattaforme di sviluppo Android, scoperte da Check Point nei mesi scorsi. I due appuntamenti della CPX Italia conteranno anche sulla presenza di Matteo Flora, hacker, TEDx speaker, esperto di reputazione digitale e fondatore di The Fool, e su panel discussion con alcuni dei principali clienti di Check Point.

Tutti i settori stanno affrontando attacchi di quinta generazione, che si caratterizzano per la portata su larga scala e la rapidità di diffusione. Questi attacchi così sofisticati, che coinvolgono i dispositivi mobili, i sistemi cloud e le reti aziendali, aggirano facilmente le tradizionali protezioni basate sul rilevamento statico attualmente utilizzate dalla maggior parte delle organizzazioni,” ha dichiarato Marco Urciuoli Country Manager Italia di Check Point. “Partecipando alla nostra Check Point Experience, le aziende potranno comprendere il valore della prevenzione e l’importanza di adottare una sicurezza informatica di quinta generazione che combina: prevenzione delle minacce in tempo reale, intelligenza condivisa e un livello di sicurezza più avanzato su reti, cloud e dispositivi mobili.”

Gli eventi CPX sono resi possibili grazie alla collaborazione degli sponsor Arrow, V-Valley, HPE Aurba, Extreme Networks, VMware, Intsight, Axians, Consys, DGS, Dimension Data Italy, Etaeria, Lantech Solution/Longwave, IKS, Lutech/Sinergy, Maticmind, Mediasecure, Project Informatica, Cyber Bee (R1) e VEM Sistemi.

 

0 821

L’intelligenza artificiale è sempre più presente nelle nostre vite, e continua a influenzarle.

Ma può essere utilizzata efficacemente per combattere gli attacchi informatici?

Check Point Software Technologies ha già esplorato il mondo dell’AI nella sicurezza informatica, utilizzando tre strumenti per la prevenzione delle minacce, chiamati: Campaign Hunting, Huntress e Context-Aware Detection (CADET).

Campaign Hunting

Senza l’intelligenza artificiale, un analista che studia le componenti malevoli, è in grado di individuare l’origine di tali elementi e identificare casi simili, come i domini registrati dalla stessa persona nello stesso momento, con la stessa terminologia.

Grazie alle tecnologie AI per emulare – e meccanizzare – l’intuizione umana, gli algoritmi di Check Point sono in grado di analizzare milioni di indicatori già noti e cercarne altri simili. Di conseguenza, sono in grado di produrre un ulteriore feed di informazioni sulle minacce. Più del 10% degli attacchi vengono bloccati esclusivamente dalla tecnologia di Campaign Hunting.

Huntress

Questo motore è alla ricerca di file eseguibili malevoli, uno dei problemi più difficili da risolvere nella cybersecurity. Per sua natura, un file eseguibile può fare qualsiasi cosa quando è in esecuzione, perché non sta violando alcun limite: questo rende difficile capire se sta cercando di fare qualcosa di malevolo.

Una volta raccolti centinaia di parametri runtime, questi vengono forniti al motore AI-based, precedentemente istruito attraverso milioni di eseguibili non validi già noti, per poi classificarli.

Huntress è in grado di rilevare eseguibili malevoli al di là di ciò che l’antivirus e l’analisi statica potrebbero trovare. Il 13% degli eseguibili maligni rilevati vengono trovati esclusivamente da questo motore.

CADET

Anziché analizzare elementi isolati, questo strumento permette di esaminare un intero contesto e chiedere, ad esempio, se il link è stato inviato in una e-mail, chi lo ha inviato, quando il dominio è stato registrato e chi lo ha registrato. Utilizzando il motore AI di CADET, è possibile raggiungere un verdetto univoco, accurato e contestualizzato.

Secondo Check Point Software Technologies, al momento, le tecnologie AI non sono ancora abbastanza mature per essere utilizzate da sole e c’è ancora bisogno di una grande quantità di input umani perché siano efficaci. Tuttavia, quando l’intelligenza artificiale verrà utilizzata come extra, aggiunta a un mix di motori esperti progettati per coprire l’intero panorama degli attacchi, la cybersecurity sarà ancora più all’avanguardia.

 

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index del mese di agosto, che ha rivelato una significativa presenza del trojan bancario Ramnit. Protagonista di una campagna su larga scala, il trojan ha raddoppiato il proprio impatto globale negli ultimi mesi, trasformando i computer delle vittime in server proxy malevoli.

Durante il mese di agosto, Ramnit, giunto al sesto posto nel Threat Index, è diventato così il trojan bancario più diffuso, ripetendo il trend di giugno, mese che aveva visto raddoppiare questa tipologia di attacchi.

Questa è stata la seconda estate in cui abbiamo registrato un uso massiccio dei trojan bancari da parte dei criminali con lo scopo di ottenere un rapido profitto”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Non dobbiamo ignorare questi trend che ci fanno vedere come le abitudini di navigazione nel web degli utenti, durante i mesi estivi, li rendano più esposti ai trojan bancari: gli hacker, infatti, sanno bene quali sono i vettori d’attacco che hanno più probabilità di successo in un momento preciso. Questo fenomeno dimostra come i criminali siano sofisticati e tenaci nell’estorcere denaro.

Horowitz ha poi aggiunto: “Per impedire il diffondersi dei trojan bancari e di altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello, che protegga sia da famiglie di malware già note, sia dalle nuove minacce”.

Per tutto agosto, Coinhive è rimasto il malware più diffuso, colpendo il 17% delle organizzazioni a livello globale. Dorkbot e Andromeda sono al secondo e terzo posto, ciascuno con un impatto globale del 6%.

Anche in Italia, Conhive si mantiene al primo posto per l’ottavo mese consecutivo con un impatto di quasi il 14% sulle imprese locali, seguito da Conficker e Cryptoloot.

I tre malware più diffusi ad agosto 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ?Dorkbot – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
  3. ? Andromeda – bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lotoor e Triada.

I tre malware per dispositivi mobili più diffusi ad agosto 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati
  3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.

I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%. Al secondo posto troviamo OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%; mentre al terzo posto si posiziona, invece, la vulnerabilità CVE-2017-5638 che ha interessato il 36% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di agosto 2018 sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ? OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – si tratta di una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.
  3. ? D-Link DSL-2750B Remote Command Execution – Una vulnerabilità legata all’esecuzione remota di un codice, segnalata nei router D-Link DSL-2750B. Lo sfruttamento di questa falla porterebbe all’esecuzione di un codice illegittimo sul dispositivo.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

 

Check Point Software Technologies, uno dei principali fornitori mondiali di soluzioni di cybersecurity, ha scoperto una nuova falla di WhatsApp che permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all’interno dei gruppi di discussione o delle chat private. Gli hacker potrebbero sfruttare questa vulnerabilità non solo dirottando la conversazione a loro vantaggio, ma anche creando e diffondendo fake news, assumendo così un potere immenso.

Questa vulnerabilità potrebbe causare tre possibili azioni criminali:

  1. sostituire la vera risposta di un utente con un’altra puramente inventata.
  2. citare un messaggio mentre si risponde in un gruppo così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo.
  3. inviare un messaggio a un membro di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario. Il messaggio di risposta arriverà, invece, all’intero gruppo.

La demo video qui di seguito mostra come questi attacchi potrebbero apparire davvero reali:

Nel primo caso, il malintenzionato manipola il testo di una risposta così da fornire una risposta che potrebbe essere di grande beneficio per lui.

Nel secondo caso, i criminali informatici potrebbero diffondere informazioni errate su un determinato prodotto e causare così gravi danni anche d’immagine a un’azienda.

Nel terzo caso, invece, gli hacker potrebbero trarre in inganno le persone che potrebbero svelare segreti a loro insaputa.

Attualmente, WhatsApp conta più di 1,5 miliardi di utenti, oltre un miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno. Inoltre, l’app di messaggistica, ora di proprietà di Facebook, prevede di aggiungere funzionalità business per supportare le aziende nella vendita dei loro prodotti e nella gestione del servizio di customer care attraverso l’app.  È facilmente intuibile come una falla di questo tipo, se sfruttata, potrebbe causare danni a un’azienda dal valore non quantificabile.

Per la sua caratteristica di essere uno strumento di comunicazione facile e veloce, WhatsApp è già stato al centro di numerosissimi fatti di cronaca. Dai finti premi del supermercato o delle compagnie aeree alle manipolazioni delle elezioni, gli hacker trovano sempre nuovi modi per utilizzare in modo illecito questo mezzo di comunicazione.

Addirittura, le tecniche avanzate di social engineering sono già state utilizzate su larga scala anche quando c’era in gioco le vite delle persone. In Brasile, per esempio, sono state diffuse su WhatsApp indiscrezioni che sottolineavano quanto fosse rischioso un vaccino contro la febbre gialla – la verità era che quello stesso vaccino avrebbe potuto fermare un’epidemia che ha infettato 1.500 persone e ne ha uccise quasi 500, nel 2016.

WhatsApp, inoltre, assume un ruolo sempre più centrale in periodo di elezioni, soprattutto nei paesi in via di sviluppo. All’inizio di quest’anno, in India, WhatsApp è stato utilizzato per inviare messaggi, alcuni dei quali erano completamente falsi.

Tramite le tecniche di social engineering, l’hacker riesce a importunare l’utente inducendolo a compiere azioni di cui poi si pentirà. Grazie alla possibilità di manipolare le risposte, inventare dichiarazioni o inviare messaggi privati sotto forma di messaggi di gruppo, i criminali hanno maggiori possibilità di successo e un’altra arma da utilizzare.

È bene quindi applicare sempre le regole del buon senso, incluso quella di non credere a notizie che appaiono da subito abbastanza insolite e quella di controllare i fatti, verificando che la storia che si legge sui social sia presente anche nel web.

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha annunciato il lancio di nuove funzionalità di SandBlast Mobile, la soluzione MTD (mobile threat defense) leader di mercato. SandBlast Mobile 3.0 diventa così l’unica soluzione capace di offrire la tecnologia di threat prevention alle aziende, permettendo ai dipendenti di svolgere le proprie attività sui dispositivi mobile in modo sicuro.

I dispositivi mobile sono una parte fondamentale dell’ecosistema IT delle aziende a livello globale. Tuttavia, nella maggior parte delle organizzazioni, questi dispositivi non godono del livello di protezione che dovrebbero avere, tenendo anche conto che archiviano ed elaborano dati aziendali di grande valore“, ha affermato Itai Greenberg, VP of Product Management di Check Point Software Technologies.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha rivelato a giugno un aumento considerevole dei trojan bancari che hanno registrato un impatto globale del 50%.

In particolare, Dorkbot, un trojan bancario che ruba informazioni sensibili e lancia attacchi DoS (denial-of-service), ha colpito il 7% delle aziende di tutto il mondo, salendo nella classifica dei Top Malware dalla posizione numero 8 alla posizione numero 3. Inoltre, è emerso Emotet, un trojan bancario che ruba le credenziali dei conti bancari delle vittime e utilizza la macchina infetta per diffondersi. Questa variante, che si è diffusa rapidamente negli ultimi due mesi, è salita nel classifica dei Top Malware (Threat Index) dalla posizione 50 alla posizione 11. Anche il trojan bancario Ramnit, che ruba credenziali bancarie e password FTP, è entrato nella Top 10 dei malware più diffusi.

Maya Horowitz, Threat Intelligence Group Manager di Check Point ha così commentato: “abbiamo registrato un’ondata simile di attacchi che utilizzano i trojan bancari durante l’estate del 2017. Probabilmente, in questo periodo, i criminali informatici prendono di mira i turisti, meno attenti in vacanza alle misure di sicurezza, che potenzialmente accedono all’home banking attraverso dispositivi di accesso condiviso e connessioni meno sicure. Questo trend, che si ripete anno dopo anno, sottolinea come gli hacker siano tenaci e sofisticati nei loro tentativi di sottrarre denaro”.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il “Cyber Attack Trends: 2018 Mid-Year Report”.

Il report offre una panoramica dettagliata dei trend delle minacce informatiche nelle principali categorie di malware: crypbtominer, ransomware, banking e mobile. Questi risultati si basano sui dati tratti dalla ThreatCloud intelligence di Check Point, tra gennaio e giugno 2018, evidenziando le tattiche chiave utilizzate dai criminali informatici per attaccare le aziende.

Il primo semestre di quest’anno ha visto i criminali riprendere il trend osservato alla fine del 2017 e sfruttare al massimo i malware di cryptomining per massimizzare i guadagni,” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Abbiamo inoltre assistito ad attacchi sempre più sofisticati contro le infrastrutture cloud e gli ambienti multipiattaforma. Questi attacchi di quinta generazione, che vengono sferrati su larga scala, da più vettori e che si diffondono molto rapidamente, stanno diventando sempre più frequenti e le organizzazioni devono adottare una strategia di sicurezza informatica multilivello che impedisca a questi attacchi di impadronirsi delle proprie reti e dei propri dati.”

Qualche giorno fa, le agenzie di sicurezza israeliane hanno reso noto che l’organizzazione terrorista di Hamas aveva installato spyware sugli smartphone dei soldati israeliani come ennesimo tentativo per estorcere informazioni da questo storico nemico. Un centinaio di persone è stato vittima di un attacco che è arrivato sotto forma di app fake di dating o legate ai Mondiali 2018, presenti su Google Play Store, l’app store ufficiale di Google.

Una volta che l’utente, ignaro del pericolo, installava le app sul proprio cellulare, il malware profondamente invasivo svolgeva una serie di attività dannose tra cui:

  • registrare le chiamate telefoniche dell’utente;
  • fare uno screenshot quando l’utente riceveva una chiamata;
  • rubare i contatti dell’utente;
  • rubare i messaggi SMS dell’utente;
  • rubare tutte le immagini e i video memorizzati sul dispositivo mobile e le informazioni su dove erano state scattate;
  • identificare la posizione GPS dell’utente;
  • effettuare registrazioni casuali dei dintorni dell’utente;
  • rubare file e foto dalla memoria del dispositivo mobile.

Questo attacco, che ha visto il malware aggirare le protezioni di Google Play, costituisce un buon esempio di come gli hacker si nascondano all’interno di app legate a eventi di fama mondiale e ne approfittino per attirare potenziali vittime.

Tuttavia, non è la prima volta che questa tattica viene utilizzata, sia contro questo obiettivo specifico sia contro agenzie governative in tutto il mondo. All’inizio del 2017, per esempio lo spyware Viperat ha attaccato i soldati israeliani operanti nella striscia di Gaza, sottraendo dai loro smartphone, tramite tecniche di ingegneria sociale, foto e file audio. Nel marzo 2016SmeshApp, un’applicazione Android per chiamate e messaggi, sarebbe stata utilizzata dal Pakistan per spiare il personale militare indiano e ancora nel 2016, il gruppo di hacker russo APT è stato sospettato di utilizzare uno spyware Android per monitorare un’unità di artiglieria da campo di stampo ucraino.

Tutti questi casi dimostrano come le minacce informatiche si stiano evolvendo e continuino a utilizzare gli smartphone come vettori di attacco. Inoltre, se queste minacce provengono da hacker non statali o da bande criminali informatiche, spesso questi usano tecniche sofisticate e malware per aggirare i controlli tradizionali e raggiungere il loro obiettivo.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha identificato una campagna di phishing legata ai Mondiali di Calcio Russia 2018 in cui i cybercriminali attirano le potenziali vittime con il download dei tabelloni e il tracker dei risultati.

Nel momento in cui viene aperto, l’allegato utilizza una variante di malware chiamata “DownloaderGuide”, un noto downloader di programmi potenzialmente indesiderati (PUP) che viene comunemente utilizzato come programma di installazione per applicazioni, quali barre degli strumenti, adware e ottimizzatori di sistema. Il team di ricerca di Check Point ha scoperto che questo sistema di phishing include diversi file eseguibili, tutti inseriti in un’email utilizzando l’oggetto: “World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager.

Gli eventi che suscitano un grandissimo interesse da parte delle persone sono visti dai cybercriminali come un’occasione d’oro per lanciare nuove campagne”, ha dichiarato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Con tutta l’attesa creatasi attorno ai Mondiali di Calcio, i criminali informatici cercano di colpire quei dipendenti meno attenti nell’aprire e-mail e allegati non richiesti. Tuttavia, è fondamentale che le organizzazioni prendano provvedimenti per ricordare ai dipendenti le best practice di sicurezza ideali per prevenire con successo questi tipi di attacchi.

0 1140

Secondo i dati del Global Threat Index di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, a maggio il malware di cryptominer Conhive ha attaccato il 22% delle aziende a livello internazionale, con un aumento di quasi il 50% rispetto al mese di aprile.

A livello internazionale, il mese di maggio è stato il quinto mese consecutivo che ha visto il predominio dei malware di cryptomining nelle classifiche mensili dei top ten malware di Check Point. Conhive mantiene così il primato di malware più diffuso insieme a Cryptoloot, un altro malware di cryptomining, presente sempre al secondo posto nella classifica mondiale con un tasso d’impatto del 11%. Per il secondo mese consecutivo, si registra ancora al terzo posto la presenza di Roughted, malwaremalvertising che ha colpito quasi l’8% delle aziende a livello mondiale.

In Italia la classifica si mantiene invariata rispetto al mese precedente, con Coinhive e Cryptoloot che occupano le prime due posizioni, seguiti da Conficker, warm che punta ai sistemi operativi Windows.

I criminali informatici, che puntano a sviluppare nuovi vettori d’attacco, tendono a utilizzare vulnerabilità già conosciute, sicuri che le organizzazioni non abbiano ancora adottato misure per affrontarle. Gli hacker sono sempre alla ricerca del modo più semplice per entrare in una rete”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Per questo motivo, è preoccupante notare come così tante organizzazioni continuino a subire queste vulnerabilità, nonostante le patch siano disponibili da tempo. Questo fatto sottolinea che gli elementi base della sicurezza, tra cui le patch, sono fondamentali per garantire che le reti rimangano sicure”.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato i dati di aprile del Global Threat Index evidenziando come i criminali informatici abbiano preso di mira le vulnerabilità dei server privi di patch per infettarli con malware di cryptomining.

Il mese di aprile è stato, infatti, il quarto mese consecutivo che ha visto i malware di cryptomining dominare il Top Ten Most Wanted Malware Index di Check Point: la variante Coinhive mantiene il primo posto come malware più diffuso con un impatto globale del 16%. Cryptoloot, altro malware per il mining di criptovalute, segue a poca distanza registrando un impatto del 14%, mentre il malware malvertising Roughted compare al terzo posto, con un impatto sulle organizzazioni mondiali dell’11%.

Lo stesso vale per l’Italia che ha registrato la presenza massiccia di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il cryptomining, seguito da Coinhive, script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero e Roughted, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Secondo quanto emerso dal Global Threat Index, l’impatto di Cryptoloot in Italia è stato quasi del 17%, superiore al tasso d’impatto che ha avuto il malware in tutto il mondo.

I ricercatori di Check Point hanno inoltre sottolineato la crescita significativa di un trend comparso all’inizio dell’anno, in cui i criminali informatici stanno prendendo di mira le vulnerabilità dei server privi di patch quali Microsoft Windows Server 2003 (CVE-2017-7269) e Oracle Web Logic (CVE-2017-10271) con lo scopo di estrarre illecitamente le criptovalute. A livello mondiale, il 46% delle organizzazioni è stato colpito dalla vulnerabilità di Microsoft Windows Server 2003, mentre la vulnerabilità di Oracle Web Logic, che si è posizionata appena dopo, ha interessato il 40% delle organizzazioni.

A causa del notevole aumento dei malware per il cryptomining, i criminali informatici stanno innovando le loro tecniche per scoprire nuovi modi di sfruttare le macchine delle vittime e aumentare i guadagni”, ha dichiarato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Poiché la loro intenzione è quella di intrufolarsi nelle reti utilizzando vulnerabilità di server privi di patch, ricordiamo ancora una volta a tutte le aziende che gli elementi base della sicurezza, tra cui le patch, sono fondamentali per garantire che le reti rimangano sicure”.

Horowitz ha poi proseguito: “È preoccupante notare come così tante organizzazioni siano state colpite da vulnerabilità già note, soprattutto considerando che le patch erano disponibili da almeno 6 mesi. Dato che più del 40% delle organizzazioni di tutto il mondo sono state interessate da questi attacchi, è ormai obbligatorio che le aziende adottino una strategia di sicurezza informatica multilivello che protegga sia da famiglie di malware già note, sia dalle nuove minacce”.

I tre malware più diffusi ad aprile 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
  1. ? Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
  2. ? Roughted – malvertising utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere utilizzato per attaccare qualsiasi tipo di piattaforma e sistema operativo e sfrutta le tecniche di bypassaggio degli adblock e di fingerprinting per essere certi di sferrare il più terribile degli attacchi.

Lokibot, trojan bancario che colpisce i sistemi Android e che concede privilegi amministrativi per il download di malware, è stato il malware mobile più diffuso e utilizzato per attaccare i dispositivi mobile delle organizzazioni, seguito da Triada e Hiddad.

I tre malware per dispositivi mobili più diffusi ad aprile 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
  3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.

I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 46%, mentre al secondo posto troviamo la vulnerabilità CVE-2017-10271 che ha interessato il 40% delle organizzazioni. Al terzo posto si posiziona, invece, SQL injection con un impatto del 16%.

Le tre vulnerabilità più diffuse nel marzo 2018 sono state:

  1. ? Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La patch è disponibile da marzo 2017.
  2. ? Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota. La patch è disponibile da ottobre 2017.
  3. ? SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.

L’elenco dimostra perfettamente come i criminali informatici utilizzino entrambe le tecniche moderne (due vulnerabilità pubblicate nel 2017) e i classici vettori di attacco come SQL injection.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

0 789

Segnaliamo una nuova scoperta a cura del team di ricerca di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica.

Il team di ricerca ha rilevato, infatti, due vulnerabilità che sono presenti nella tastiera predefinita di tutti gli smartphone LG. I test sono stati realizzati sui modelli di punta dell’azienda, LG G4, LG G5 e LG G6.

Check Point ha informato immediatamente LG che ha rilasciato una patch di aggiornamento, inclusa all’interno dell’aggiornamento di sicurezza di maggio.

Secondo il team di ricerca, la prima falla è legata a un meccanismo che consente la scrittura manuale sulle tastiere aziendali. È stato dimostrato che quando il dispositivo aggiorna la lingua in questa interfaccia, si connette a un server esterno e trasmette le informazioni utilizzando un collegamento non protetto, che lascia i dispositivi esposti a interferenze esterne. In questo modo, un hacker potrebbe approfittarne ed eseguire un attacco Man-in-the-Middle.

La seconda, invece, riguarda il file system dell’azienda: un hacker può penetrare nel sistema utilizzando la prima vulnerabilità, inserire ulteriori comandi sulla tastiera, modificando unicamente l’estensione del file.

La patch di aggiornamento è disponibile all’interno dell’aggiornamento di sicurezza inviato da LG questa settimana (la sera del 7 maggio) ed è classificato con un livello di importanza “alto”. Non è ancora chiaro tuttavia, se questo aggiornamento verrà scaricato automaticamente.

LG invita gli utenti ad aggiornare i propri sistemi operativi con particolare attenzione ai seguenti modelli: serie G (G5, G6), serie V (Q10, Q10, V8), serie X (X300, X400, X500).

0 949

In una ricerca pubblicata oggi sul sito corporateCheck Point Software Technologies, società israeliana specializzata in sicurezza informatica, sottolinea come Telegram, app di messaggistica mobile nata nel 2013 che ha registrato una fortissima diffusione negli ultimi anni,sia ormai il nuovo terreno fertile degli hacker per commettere attività illecite e sfuggire alle autorità.

Negli ultimi anni i tradizionali forum utilizzati dagli hacker erano diventati piuttosto prevedibili ed erano sotto il costante controllo da parte delle forze dell’ordine. Per questo motivo, gli hacker sono andati alla ricerca di nuovi spazi ed ecosistemi dove poter agire indisturbati e Telegram è diventata una delle “piazze” preferite dai criminali informatici per compiere i propri atti illeciti.

La chat, a differenza di WhatsApp, è caratterizzata da un livello di sicurezza più elevato, è più riservata e meno accessibile e questi elementi la rendono una valida alternativa ai forum segreti presenti nel Dark Web. Gli hacker riescono così a mantenere qui sopra la propria identità completamente nascosta perché possono godere di chat pubbliche e private crittografate end-to-end.

Per esempio i gruppi di chat ospitati da Telegram, i cosiddetti canali”, possono essere utilizzati per trasmettere messaggi a un numero illimitato di abbonati e, mentre è possibile visualizzare l’intera cronologia della messaggistica, qualsiasi risposta ai messaggi pubblici viene mantenuta privata. Questa funzione di Telegram viene quindi sfruttata dagli hacker che possono godere di chat private crittografate end-to-end per trasmettere i loro messaggi.

Tra i canali clandestini scoperti dal team di ricerca di Check Point Software Technologies, ci sono quelli denominati “Dark Jobs”, “Dark Work” e “Black Markets”. “Dark Job” può contenere offerte di lavoro illecite contrassegnate con un codice colore; ad esempio, “nero” se il lavoro offerto è pericoloso dal punto di vista legale, oppure “grigio” o “bianco” quando la pericolosità diminuisce.

Nei canali può inoltre verificarsi la vendita di strumenti di hacking e di documenti rubati, e persino la possibilità di falsificarli.

Esempio eclatante per quest’ultima attività è un messaggio di un utente che ha affermato di avere connessioni all’interno del Dipartimento di Polizia Stradale Russa e quindi di essere in grado di rilasciare o aggiornare patenti di guida di tutte le categorie.

Tramite Telegram, i criminali informatici possono anche sfruttare quei messaggi di ricerca personale di aziende o banche per ottenere informazioni private e dati sensibili così da condurre un attacco ai danni della medesima organizzazione.

I canali di Telegram offrono quindi numerose opportunità agli hacker di commettere attività illecite.

Facilità d’uso e maggior sicurezza nella comunicazione permettono poi a utenti inesperti di aiutare la community di hacker a colpire le aziende; quest’ultime devono anche proteggersi dai propri dipendenti, che possono tramite Telegram aiutare inconsapevolmente i criminali.

0 1167

Il team di ricerca di Check Point Software Technologies ha svolto un’indagine sull’antivSiliVaccineirus sviluppato in SiliVaccine, denominato SiliVaccineTra i numerosi fattori interessanti il fatto che una componente chiave del codice SiliVaccine è una copia di dieci anni di uno dei componenti software dell’azienda giapponese Trend Micro.

Dopo aver ricevuto un SiliVaccine di SiliVaccine da un giornalista freelance nordcoreano specializzato in tecnologia, di nome Martyn Williams, il team di ricerca di Check Point Software Technologies ha avviato un’analisi dettagliata dei file di SiliVaccine e ha trovato corrispondenze esatte tra il codice dell’antivirus e quella del motore di rilevamento malware di Trend Micro.

Questo codice era stato ben nascosto dagli autori di SiliVaccine.

Poiché Trend Micro è una società giapponese e Giappone e Corea del Nord sono ufficialmente Stati nemici, questa è una scoperta sorprendente.

Naturalmente, lo scopo di un antivirus è bloccare tutte i malware noti. Tuttavia, SiliVaccine non blocca una particolare firma di malware, che normalmente dovrebbe bloccare e che è bloccata dal motore di rilevamento di Trend Micro. Anche se non sia chiaro qual è effettivamente questa firma, è evidente invece che il regime nordcoreano non vuole avvisare i suoi utenti.

Per quanto riguarda il presunto file di aggiornamento della patch, si è scoperto che si trattava del malware JAKU, una botnet altamente resiliente responsabile di un malware che ha già contagiato circa 19.000 vittime, principalmente da condivisioni di file BitTorrent dannosi.

Questo non era necessariamente parte dell’antivirus, ma avrebbe potuto essere incluso nel file zip come un modo per raggiungere giornalisti come Mr. Williams.

Tutta l’analisi di Check Point Software Technologies e la risposta di Trend Micro è disponibile sul blog della società israeliana a questo link: https://blog.checkpoint.com/2018/05/01/silivaccine-special-report-north-koreas-anti-virus/

0 919

Il 97% delle organizzazioni è indietro di 10 anni rispetto alle minacce attuali e non è ancora pronto ad affrontare gli attacchi informatici Gen V!

Questo dato emerge dall’edizione 2018 del Security Report di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica.

Il report analizza i problemi di sicurezza informatica a livello mondiale in tutti i settori, e fornisce ai professionisti della cybersecurity e ai dirigenti C-Level informazioni utili per proteggere le organizzazioni di cui fanno parte dalle minacce informatiche di quinta generazione.

Tra gli altri dati pubblicati nel report, il fatto che oltre 300 app, presenti in store online sicuri e affidabili, sono infette da malware, mentre le minacce cloud, gli attacchi di cryptomining e le vulnerabilità dei dispositivi IoT aumentano di giorno in giorno.

Stiamo assistendo a una nuova generazione di attacchi informatici, basati su tecnologie finanziate dagli stati, che abbiamo denominato ‘Gen V’. Si tratta di attacchi di larga scala, multi-vettore e in rapida evoluzione“, ha affermato Peter Alexander, Chief Marketing Officer di Check Point Software Technologies. “Nonostante ciò, il 77% dei CISO (Chief Information Security Officer) ha espresso preoccupazione per il fatto che le loro organizzazioni non sono attrezzate per gestire questi attacchi moderni, e la stragrande maggioranza delle infrastrutture di sicurezza risulta essere di gran lunga arretrata. Il Security Report 2018 offre informazioni, approfondimenti, soluzioni e consigli su come prevenire questi attacchi.

L’aumento del valore delle criptovalute ha incentivato gli hacker a colpire le CPU delle loro vittime per attività di mining di criptovalute. Secondo i dati di febbraio di Check Point Software Technologies, questi attacchi di tipo criptojacking hanno raggiunto una quota impressionante.

In generale, la piaga del mining di criptovalute sta influenzando le aziende di tutto il mondo in tre modi:

  • consumo di preziose risorse del server
  • produttività dell’utente ridotta
  • impatto negativo sulla reputazione aziendale e sulla soddisfazione del cliente

Check Point Software Technologies, società israeliana specializzata nella sicurezza informatica, segnala quali sono le quattro fondamentali tecniche che le organizzazioni possono adottare per prevenire efficacemente gli attacchi di mining:

Aggiornamento di tutti i sistemi e le applicazioni

L’installazione di una patch è sempre una buona pratica e può aiutare a prevenire molti attacchi di mining e non solo. Se non lo si fa già, è necessario implementare processi di patching solidi e complete nell’ambiente IT.

Sfortunatamente però, raggiungere il 100% di patching e hardening in tempo reale di tutti i sistemi è irrealizzabile per la maggior parte delle organizzazioni. Inoltre, le patch non possono proteggere dagli attacchi che sfruttano vulnerabilità sconosciute o zero-day.

Implementare patch virtuali con un sistema di IPS

La tecnologia Intrusion Prevention Ssystem fornisce un livello di patch virtuale a tutti i sistemi, i server e gli endpoint aziendali. Un IPS efficace può prevenire la stragrande maggioranza degli attacchi di mining bloccando i tentativi di sfruttamento dei vostri sistemi, anche se non sono completamente protetti dalle patch.

Check Point Software Technologies ha potenziato il proprio IPS, leader di mercato, con delle specifiche protezioni nei confronti del mining di criptovalute. Queste difese forniscono una copertura completa contro le tecniche più diffuse utilizzate dagli attacchi di mining che colpiscono server e sistemi.

Sono state aggiunte anche protezioni IPS per tutelare gli utenti, bloccando le pagine web che contengono JavaScript di mining.

Utilizzo di protezioni avanzate contro gli attacchi zero-day

Un recente studio condotto da Check Point ha scoperto che un singolo hacker ha guadagnato 3 milioni di dollari, tramite il mining di Monero. Questi guadagni inattesi portano a utilizzare tecniche hacker sempre più sofisticate. In effetti, si può vedere un chiaro trend di questi attacchi, i quali diventano più difficili da rilevare e prevenire attraverso l’uso di protezioni convenzionali.

La prevenzione più forte si basa su tecnologie come il sandboxing, che non richiede firme e può identificare qualsiasi malware sconosciuto e zero-day, incluso il malware per il mining più evasivo.

La prevenzione contro gli attacchi zero-day è un’area di grande interesse per noi di Check Point. Abbiamo creato la nostra suite di prodotti SandBlast per proteggere i nostri clienti da tutte le forme di malware sofisticati ed evasivi. E siamo molto orgogliosi dell’alto punteggio di efficacia della sicurezza di SandBlast nel recente test BPS (Breach Prevention System) condotto da NSS Labs.

Proteggere gli asset cloud

Gli attacchi di mining potrebbero colpire anche i server cloud.

La capacità di auto-scaling del cloud si adegua perfettamente all’infinita sete di potenza della CPU dell’hacker. Dato che un malware di mining consuma tutta la potenza disponibile della CPU, la piattaforma cloud genererà automaticamente più istanze, consentendo all’infezione di ottenere un’enorme scalabilità a spese della vittima.

Tutte le protezioni sopra menzionate sono applicabili anche agli ambienti cloud. La soluzione Check Point in questo ambito è CloudGuard, che implementa tutte queste protezioni nell’ambiente cloud.

Il cloud apre ulteriori vettori di attacco: il recente attacco di mining ai server cloud di Uber è stato, infatti, ottenuto utilizzando un’acquisizione dell’account. I dati della ricerca di Check Point mostrano che il 54% delle violazioni del cloud iniziano in questo modo.

Attraverso questo tipo di attacco, gli account cloud vengono violati dagli hacker che ottengono o indovinano le credenziali di accesso. Una volta che un utente malintenzionato ha le credenziali del cloud, è facile per lui infettarlo con dei malware di mining (o qualsiasi altro).

Di recente Check Point Software Technologies ha introdotto una protezione unica, creata appositamente per proteggere gli asset cloud dall’acquisizione dell’account. Questa nuova protezione fa parte dell’offerta CloudGuard, e copre sia gli ambienti IaaS che SaaS. Impedisce agli hacker di accedere ai cloud anche se ottengono le credenziali di accesso.

Segnaliamo la nuova scoperta a cura del team di ricerca di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica.

I ricercatori hanno individuato una nuova famiglia di malware che ha già colpito quasi 5 milioni di dispositivi Android.

Secondo quanto riportato da Check Point Software Technologies, il malware, denominato RottenSys, ha iniziato a propagarsi a settembre 2016.

Al 12 marzo 2018, i dispositivi infettati (smartphone e tablet) erano precisamente 4,964,460. Tra i brand più colpiti Honor, Huawei e Xiaomi come si legge qui sul blog.

RottenSys è precisamente un adware, ossia un programma malevolo che raccoglie informazioni sulle operazioni effettuate dall’utente e visualizza periodicamente sul display del dispositivo del malcapitato messaggi pubblicitari ovviamente non richiesti e fraudolenti.

L’elemento più incredibile della vicenda è che il malware non è stato contratto dopo l’acquisto, ma è stato preinstallato sui dispositivi all’interno della catena di montaggio.

RottenSys è un malware che non viene rilevato con facilità. Infatti appare come un servizio innocuo ad un primo controllo, sotto forma di un servizio WiFi, ma di fatto non è legato a nessun servizio WiFi. Però, come molti malware, è capace di collegarsi al server principale installando in seguito componenti malevoli in grado di fare operazioni.

Il malware inizialmente era specializzato solamente nel mostrare pubblicità ingannevole sullo smartphone (e lo continua a fare tuttora, tanto che gli hacker guadagnano circa 100.000 euro ogni dieci giorni solo tramite gli annunci pubblicitari), ma con il tempo si è evoluto e offre la possibilità agli hacker di prendere il controllo dello smartphone da remoto e di installare applicazioni senza che l’utente se ne accorga.

0 1175

Eecondo il Global Threat Impact Index di febbraio, reso noto oggi da Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, continua il dominio dei malware per il cryptomining che ha colpito lo scorso mese ben il 42% delle organizzazioni in tutto il mondo.

Coinhive, lo script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero, è, infatti, il malware più diffuso sia in Italia sia nel resto del mondo.

In Italia, Coinhive è seguito da Necurs, tra le botnet più ampie attive ora nel web, utilizzata per distribuire alcuni delle varianti di malware più insidiose, inclusi trojan bancari e ransomware; e da JSEcoin, il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.

Negli ultimi quattro mesi, i malware per il cryptomining sono cresciuti esponenzialmente” ha dichiarato Maya Horowitz, Threat Intelligence Group Manager presso Check Point. “Questa minaccia costante non solo rallenta PC e server, ma una volta che le reti sono attaccate, questi malware possono anche essere utilizzati per provocare altri danni. Di conseguenza, è fondamentale per le aziende adottare una strategia di sicurezza informatica multilivello che protegga sia dalle famiglie di malware consolidate sia dalle nuove minacce”.

Check Point Software Technologies presenta i dati della classifica top malware relativa al mese di gennaio.

La società israeliana riconferma a gennaio una presenza massiccia dei malware per il mining di criptovalute: secondo i dati del Global Threat Impact Index, il 23% delle organizzazioni è stato colpito dalla variante di Coinhive (uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero) a livello mondiale.

Anche in Italia Conhive si è posizionato al primo posto nella classifica dei malware più diffusi, seguito da Fireball, il malware che prende il controllo dei browser, trasformandoli in zombie scoperto da Check Point lo scorso maggio e da Nivdort, una famiglia di trojan che colpisce la piattaforma Windows.

Nonostante questi dati, l’Italia si è comportata bene scivolando di oltre 35 posizioni nella classifica dei paesi più attaccati e fermandosi alla posizione 114 (a dicembre 2017 occupava la posizione numero 75)

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il report H2 2017 Global Threat Intelligence Trends, rivelando come i criminali informatici si stiano rivolgendo sempre più ai cryptominer per creare nuovi flussi illegali di guadagni, mentre ransomware e adware “malvertising” continuano ad avere un forte impatto sulle aziende di tutto il mondo.

Durante il periodo luglio/dicembre 2017, un’azienda su cinque è stata colpita da un malware per il mining di criptovalute, strumenti che consentono ai criminali informatici di utilizzare la potenza della CPU o della GPU della vittima e le altre risorse esistenti per il mining di criptovalute, utilizzando fino al 65% della potenza della CPU dell’utente finale.

Il report H2 2017 Threat Global Intelligence Trends, che si basa sui dati provenienti dall’intelligence ThreatCloud di Check Point relativi al periodo luglio/dicembre 2017, offre una panoramica dettagliata sulle minacce informatiche nelle principali categorie di malware (ransomware, banking e mobile) ed evidenzia le tattiche chiave utilizzate dagli hacker per colpire le aziende.

I trend chiave dei malware da luglio a dicembre 2017:

I ricercatori di Check Point hanno rilevato alcuni trend chiave relativi ai malware, tra cui:

  • Frenesia cryptominer – mentre i miner di criptovalute sono di solito utilizzati dagli utenti per minare le proprie criptovalute, la crescita dell’interesse da parte dell’opinione pubblica nei confronti delle valute virtuali ha rallentato il processo di estrazione, che dipende direttamente dal numero dei possessori delle valute. Questo rallentamento ha aumentato la potenza computazionale necessaria per minare le criptovalute e, di conseguenza, i criminali informatici hanno pensato a nuovi modi per sfruttare le risorse di calcolo di un pubblico ignaro di tutto.
  • Diminuzione degli exploit kit – fino a un anno fa, gli exploit kit erano il principale vettore di attacco. Nel corso del 2017, tuttavia, l’utilizzo degli Exploit Kit è diminuito in modo significativo man mano che le piattaforme sfruttate sono diventate più sicure. La rapida risposta da parte dei vendor e dei principali sviluppatori di browser alle nuove vulnerabilità, insieme al rilascio di aggiornamenti automatici alle versioni più recenti, hanno anche significativamente ridotto la vita dei nuovi exploit.
  • Aumento delle operazioni di truffa e di casi di Malspam (malware distribuiti tramite email) – durante il 2017, il rapporto tra infezioni basate su HTTP e STMP si è spostato a favore di quelle SMTP, passando dal 55% nella prima metà del 2017 al 62% nella seconda metà. L’aumento della popolarità di questi metodi di distribuzione ha attratto esperti attori delle minacce che hanno portato con sé una pratica avanzata che includeva vari exploit di vulnerabilità nei documenti, in particolare in Microsoft Office.
  • I malware mobile raggiungono il livello aziendale – nell’ultimo anno abbiamo assistito a numerosi attacchi rivolti ad aziende che provenivano da dispositivi mobile. Ciò include i dispositivi mobile che agiscono come proxy, attivati dal malware MilkyDoor e utilizzati per raccogliere dati interni dalla rete aziendale. Un altro tipo di malware mobile, è Switcher, che tenta di attaccare elementi di rete (come i router) per reindirizzare traffico di rete verso un server malevolo sotto il controllo dei malintenzionati.

Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato: “La seconda metà del 2017 ha visto i criptominer prendere d’assalto il mondo fino a diventare uno dei vettori di attacco preferito per generare introiti illegali. Anche se questo non è un tipo di malware completamente nuovo, la crescente popolarità e il valore della criptovaluta ha portato a un significativo aumento nella distribuzione dei malware per il mining di criptovalute. Inoltre, altri trend persistono, come i ransomware, che risalgono al 2016 e che sono ancora uno dei principali vettori di attacco, utilizzato sia per attacchi globali sia per attacchi mirati contro organizzazioni specifiche. Il 25% degli attacchi che abbiamo visto in questo periodo sfruttano le vulnerabilità scoperte oltre un decennio fa e meno del 20% usa quelle degli ultimi due anni. Quindi è chiaro che c’è ancora molto che le organizzazioni devono fare per proteggersi completamente dagli attacchi”.

I malware più diffusi nella seconda metà del 2017:

  1. RoughTed (15,3%) – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.
  2. Coinhive (8,3%) – un malware progettato per estrarre la criptovaluta Monero quando un utente visita una pagina Web, senza l’approvazione dell’utente. Coinhive installa un JavaScript, che utilizza alti livelli della CPU degli utenti finali, incidendo gravemente sulle prestazioni della macchina. Coinhive è emerso nel settembre 2017 e ha già infettato il 12% delle aziende a livello globale.
  3. Locky (7,9%)ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.

I ransomware più diffusi nella seconda metà del 2017:

  1. Locky (30%)ransomware che si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
  2. Globeimposter (26%) – viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.
  3. WannaCry (15%) – un ransomware che si è diffuso con un micidiale attacco nel mese di maggio 2017 utilizzando un exploit del sistema operativo Windows SMB chiamato EternalBlue per propagarsi all’interno e tra le reti.

I malware mobile più diffusi nella seconda metà del 2017:

  1. Hiddad (55%) malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
  2. Triada (8%)malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.
  3. Lotoor (8%) – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.

I malware bancari più diffusi nella seconda metà del 2017:

  1. Ramnit (34%) – un trojan bancario che ruba credenziali bancarie, le password FTP, i cookie della sessione e i dati personali.
  2. Zeus (22%) – un trojan che colpisce le piattaforme Windows e spesso le utilizza per rubare informazioni bancarie tramite attacchi man-in-the-browser di tipo keystroke logging e acquisizione dei moduli.
  3. Tinba (16%) – un trojan bancario che ruba le credenziali della vittima tramite web-injects, attivato quando l’utente tenta di accedere al proprio sito web bancario.

I dati di questo report, si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce, relativa al periodo luglio-dicembre 2017. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

In passato, i criminali informatici hanno preso di mira aziende, ospedali e governi; oggi, li abbiamo visti concentrarsi su giochi e app destinati ai bambini!

Il team di ricercatori di Check Point® Software Technologies Ltd, il più grande fornitore mondiale specializzato nel campo della sicurezza informatica, ha rilevato un nuovo e sgradevole codice malevole sul Google Play Store che si nasconde all’interno di circa 60 app di gaming, molte delle quali sono destinate ai bambini.

Secondo i dati di Google Play, le app sono state scaricate tra i 3 milioni e 7 milioni di volte.

Soprannominato “AdultSwine”, questo malware crea preoccupazione per tre diversi motivi:

  • Visualizza annunci pubblicitari dal Web che sono spesso altamente inappropriati e pornografici;
  • Tenta di indurre gli utenti a installare false “app di sicurezza”;
  • Induce gli utenti a registrarsi ai servizi premium a spese dell’utente.

Inoltre, il codice malevolo può essere utilizzato per aprire la porta ad altri attacchi come il furto di credenziali dell’utente.

I dati di novembre del Global Threat Impact Index di Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, rivelano che la botnet Necurs è ritornata nella classifica dei dieci malware più diffusi e che i criminali l’hanno utilizzata per distribuire una nuova ondata di ransomware. L’Italia, che ha scalato 10 posizioni nella classifica dei paesi più attaccati posizionandosi al 76esimo posto, ha subìto in primo luogo il dominio di Conficker, worm che colpisce i sistemi Windows, seguito dai malware Roughted e Rig ek. Questi stessi tre malware si ritrovano anche ai primi tre posti della classifica globale, seppur in ordine inverso.

Il team di ricerca di Check Point ha scoperto che gli hacker hanno utilizzato Necurs, la più grande botnet di spam del mondo per distribuire il ransomware Scarab, visto per la prima volta a giugno 2017. La botnet Necurs ha iniziato a diffondere Scarab durante la Festa del Ringraziamento, inviando più di 12 milioni di email in un’unica mattina. Necurs è stata precedentemente utilizzata per distribuire alcuni delle varianti di malware più insidiose che hanno colpito le reti aziendali negli ultimi 12 mesi, tra cui le famiglie Locky e Globeimposter.

Maya Horowitz, Threat Intelligence, Group Manager di Check Point ha dichiarato: “Il ritorno della botnet Necurs sottolinea come quei malware che sembrano scomparire in realtà non sempre svaniscono o diventano meno pericolosi. Nonostante Necurs sia ben nota alla community, gli hacker stanno ancora riscuotendo molto successo nella distribuzione di malware con questo veicolo di infezione che risulta ancora altamente efficace”.

Questo spinge il bisogno di avere a disposizione una tecnologia avanzata di threat prevention e una strategia multilivello di sicurezza informatica che protegga sia contro le famiglie di malware già scoperte in precedenza, sia contro le nuove minacce zero-day. Come è già successo a ottobre, RoughTed, una campagna di malvertising su larga scala, è rimasta la minaccia più diffusa, davanti all’exploit kit Rig ek e a Conficker, un worm che consente il download remoto di malware.

I tre malware più terribili a novembre 2017 sono stati:

? RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco più potente.

? Rig ekexploit kit scoperto per la prima volta nel 2014. Rig diffonde exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.

? Confickerworm che permette operazioni da remoto e il download di malware. La macchina infetta è controllata da una botnet che è in contatto con il server Command & Control per ricevere istruzioni.

I più diffusi malware usati per attaccare i dispositivi mobile delle aziende non sono cambiati, anche a novembre, Triada, una backdoor modulare per Android continua a crescere e occupa il primo posto in classifica.

I tre malware per dispositivi mobili più terribili a novembre 2017:

Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità.

Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore

LeakerLocker – un ransomware Android che legge le informazioni sensibili presenti nello smartphone degli utenti e che è in grado di renderle pubbliche a meno che non venga pagato un riscatto.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.