Articolo pubblicato su Agi.it il 23 gennaio 2018 I ricercatori del CSE Cybsec hanno individuato una campagna di malvertising che avrebbe compromesso già 35 mila siti Wordpress, anche italiani. A scoprire il malware sono stati gli esperti del laboratorio di analisi malware Zlab, che fa parte del CSE Cybsec. Il malvertising è un tipo di pubblicità online usata per diffondere contenuti dannosi o fraudolenti e la nuova minaccia, che ha raggiunto il picco a cavallo tra il 2017 e il nuovo anno, è stata chiamata ‘Operation EvilTraffic’. La campagna sfrutta la vulnerabilità dei siti basati su WordPress per ridirigere gli utenti verso siti con contenuti pubblicitari e fraudolenti all’insaputa degli utenti stessi. Chi si collega al sito compromesso, tramite il suo browser, e clicca sulla pagina ‘infettata’, viene dirottato su siti che invitano a installare software ed estensioni per il browser, o che tentano tramite tecniche di phishing di rubare dati personali, anche quelli bancari. Una rete di grandi dimensioni “Ci troviamo di fronte ad una rete di grandi dimensioni - ha spiegato  Antonio Pirozzi, direttore di Zlab - durante le nostre prime analisi, i siti web compromessi erano circa 35 mila, attualmente invece ne contiamo poco più di 18 mila, questo perché molti sysadmin hanno scoperto il breach e sono corsi ai ripari. Molti dei siti compromessi sono recentissimi, stiamo parlando di pochi giorni fa dalla pubblicazione del nostro report. La campagna sembra essere iniziata ad ottobre 2017 raggiungendo il picco tra dicembre e gennaio”. Tutti i siti coinvolti nella campagna di malvertising sono basati su versioni di Wordpress vulnerabili. Più visitatori accedono a queste pagine, maggiori sono gli introiti dei malfattori, che in questo modo dispongono di decine di migliaia di siti per veicolare traffico verso domini con contenuti pubblicitari.  Uno solo dei siti che funge da perno dell’operazione, hitcpm.com, registra 1,183,500 visitatori unici al giorno con un guadagno giornaliero di 4 mila dollari. ...

Articolo pubblicato su fidelityhouse.eu il 23 gennaio 2018   Ultimamente, i virus per i sistemi informatici stanno diventando sempre più pericolosi, grazie alla capacità di contagiare un numero sempre più ampio di dispositivi, usando la Rete come canale per diffondersi, i browser per penetrare nei computer che, in ultima istanza, vengono depredati di dati personali, costretti a cliccare su pubblicità non gradite, o a minare criptovaluta a beneficio altrui: le più recenti aggressioni informatiche, sotto questo punto di vista, stanno offrendo un campionario piuttosto esaustivo. Okiru, pericolo per i processori ARC Qualche giorno fa, alcuni ricercatori del team “Malware Must Die” hanno scovato degli esempi di codice malevolo, prontamente ribattezzato “Okiru”, che ricorda da vicino il malware che, nel 2016, infettando oltre 100 mila dispositivi IoT, e creando la botnet Mirai, attaccò i server dell’azienda DynDNS, rendendo diversi siti e servizi internet irraggiungibili in varie parti del mondo: nel caso specifico, il nuovo virus aggredisce tutti i gadget animati da processori ARC, come fotocamere, televisori smart, automobili intelligenti, connessi ad internet e controllabili da remoto. Questo, fanno sapere gli esperti, può essere pericoloso sia per la tipologia di dati trattati dai device in oggetto, che per il numero di gadget coinvolti, circa 1.5 miliardi: le prime analisi condotte su sample di Okiru, rinvenuti in diversi paesi e da varie fonti, lasciano supporre – secondo la società di security intelligence Exabeam – che si stesse preparando un qualche attacco a un particolare ambiente Linux. Malverstising per 18 mila siti compromessi Non meno inquietante è stata la  campagna di malvertising(pubblicità malevola) scoperta dallo Zlab, laboratorio anti malware, della security house italiana “CSE Cybsec”: nel corso di tale attacco hacker, ribattezzato “Operation EvilTraffic”, iniziato ad Ottobre 2017 con un clou tra Dicembre e Gennaio (35 mila siti compromessi), grazie ad una vulnerabilità della piattaforma di CMS “WordPress”, diversi siti (poi ridottisi a 18 mila in seguito all’installazione dei fix) dirotterebbero gli internauti verso pagine pubblicitarie che, o tramite l’installazione di software ad hoc, o tramite meccanismi di phishing, otterrebbero dati personali e, in particolare, di tipo bancario. La portata di tale attacco, spiegano presso CSE Cybsec, dipende dal numero di utenti che visita un sito compromesso: più è alto tale numero, maggiori sono i guadagli per gli hacker (ad esempio, nel caso di itcpm.com, che annovera 1.183.500 visitatori univoci al giorno, gli hacker guadagnano quotidianamente 4.284.28 dollari). Ancora estensioni malevole per Chrome, e Firefox Anche le estensioni per i browser, spesso, sono fonti di attacchi informatici piuttosto seri. In tal senso, nei giorni scorsi sono state individuate dalla security house “Malwarebytes” alcune estensioni per Chrome e Firefox che, una volta installatesi, evitano di farsi rimuovere, sostituendo la sezione per la gestione degli add-on con una praticamente uguale in cui non sono visualizzate le opzioni di rimozione dei medesimi. Il contatto con tali estensioni malevole avverrebbe a causa di alcune pagine compromesse che inviterebbero, con insistenza, ad aggiornare “manualmente” i browser attraverso la riproposizione, in loop, di pop-up finalizzati ad accettare l’installazione in questione. Una volta riuscite nell’intento, tali estensioni monitorerebbero la navigazione dell’utente, reindirizzandola verso pagine e video YouTube, in modo da incrementare il traffico a favore dei criminali 2.0. Qualora si noti di essere incappato in un problema simile, in Firefox bisogna avviare il browser in modalità provvisoria (tasto Windows + R, e digitare “C:Program FilesMozilla Firefoxfirefox.exe -safe-mode”) per poi rimuovere normalmente l’estensione, mentre in Chrome – chiusa ogni istanza del browser dal Task Manager ed aperto l’Esplora Risorse – basta portarsi nella destinazione “UsersNOMEUTENTEAppDataLocalGoogleChromeUser DataDefaultExtensions” e, scovata l’estensione incriminata esaminando i file “manifest.json” nelle sotto-cartelle presenti (o rinominato il file javascript “1499654451774.js”) , è sufficiente trasferire in una posizione temporanea la cartella dell’estensione incriminata (o il file citato), concludendo il tutto con una cancellazione. In alternativa, si può usare l’antispyware “Malwarebytes” e procedere con una scansione del sistema. Virus per il furto di criptomonete Ethereum Infine, il furto di criptomonete. Di solito, i recenti malware mirano a trasformare i computer in minatori di criptomonete per conto terzi, ma la variante del virus “Satori”, scovata dai cinesi di “Netlab 360”, è differente e, dopo aver compromesso il software per la generazione di Ethereum (1400 dollari ad unità, al cambio) “Claymore Mining”, attraverso la porta 3333 (lasciata scoperta nelle impostazioni di default), indirizza le monete virtuali generate verso il portafoglio (wallet) dei criminali. Insomma, il computer faticherà per altri e, quando lo si avrà scoperto, si sarà consumata corrente elettrica per nulla. In questo frangente, si è calcolato che i sistemi coinvolti possano oscillare tra l’ordine delle decine e delle centinaia di unità....

Quali sono i fenomeni e gli eventi che caratterizzeranno il panorama della cyber security nei prossimi dodici mesi e quali saranno le ricadute in termini economici per le nostre imprese?   E’ la domanda alla quale risponde l’ultimo Report rilasciato da CybSec, il team di specialisti italiani della cybersecurity, redatto da Pierluigi Paganini – uno dei più qualificati esperti di Cybersecurity in Europa, CTO di CybSec, docente al Centro Italiano di Strategia e Intelligence dell’Università Tor Vergata di Roma e consulente dell’European Union Agency for Network and Information Security – report scaricabile gratuitamente da oggi sul sito csecybsec.com, pubblicato in occasione dell’inaugurazione della nuova sede della Direzione generale della società, nella zona Parioli di Roma.   Il GDPR: molte aziende non saranno conformi al nuovo Regolamento UE Nel 2018 verrà attuato il Regolamento generale per la protezione dei dati personali  “General Data Protection Regulation” (GDPR), la normativa di riforma UE in materia di protezione dei dati, che introdurrà cambiamenti in tutti i processi aziendali, con importanti sanzioni per gli inadempienti (il 4% del fatturato globale annuo, fino a 20.000.000 per sanzione). Dal Report CybSec si evince come ben il 54% delle aziende non abbia ancora avviato alcun tipo di attività per mettersi in regola, e che solo il 27% delle azienda abbia un’adeguata conoscenza di queste nuove normative. Ransomware: una minaccia pericolosa per l’impresa Il modello estorsivo continuerà a rappresentare un’opportunità per le organizzazioni di cyber criminali, e i ransomware - i malware che limitano l'accesso del dispositivo infettato, richiedendo un riscatto (ransom) da pagare per rimuovere la limitazione – cresceranno ancora: l’analisi dei dati relativi agli attacchi osservati negli ultimi 12 mesi rivela perdite per le aziende a livello globale per miliardi di dollari. Ad esempio, il gigante dei trasporti Maersk denuncia come solo nel secondo trimestre del 2017 si sono stimate perdite tra 200 e 300 milioni di dollari imputabili a importanti “interruzioni del business" a causa dell’infezione causata da ransomware. Considerando che la maggior parte delle vittime non denuncia l’accaduto, possiamo comprendere le dimensioni del fenomeno; il Report Cybsec allerta inoltre sul fatto che il numero di famiglie di “ransomware” è destinato ad aumentare, così come il numero di attacchi e il grado della loro complessità: saranno in grado di eludere gli attuali sistemi di difesa, e verrano rivolti sempre più verso i dispositivi Mobili.   Dispositivi Mobili sotto attacco Secondo CybSec, nel 2018, il numero di minacce per dispositivi mobili continuerà a crescere e il sistema operativo mobile Google Android sarà il principale bersaglio di criminali informatici. Continuerà il trend osservato nel corso del 2017 relativo alla diffusione di mobile malware attraverso false applicazioni pubblicate nello store ufficiale di Google, il Play Store. Nell’ “underground criminale” aumenterà in modo significativo l’offerta specifica per quanto concerne codici malevoli e servizi di Malware-as-a-Service, che saranno facilmente reperibili nei principali black-market, in particolare nell’ecosistema criminale cinese.   Cybercriminali: più vantaggioso il furto di Criptovalute che le rapine nel mondo reale Pur tenendo conto delle oscillazioni delle ultime settimane, i valori delle principali criptovalute come Bitcoin ed Ethereum continuano ad attrarre l’interesse dei gruppi criminali: il danno totale causato da attacchi contro sistemi di criptovalute ammonta a oltre 168 milioni di dollari. Il Report evidenzia come un attacco andato a buon fine contro una banca nel mondo reale, può fruttare in media solo $ 1,5 milioni, sicuramente inferiore al ritorno per furto di criptovalute. Altro fenomeno in preoccupante aumento è la compromissione di siti web legittimi per l’installazione di script in grado di sfruttare le macchine degli utenti per le attività di “mining” (ad esempio, la creazione da zero di un “Bit Coin” sfruttando la capacità di calcolo dei PC di ignari utenti “infettati”).   Sicurezza del Cloud: una priorità assoluta per le imprese Nel report di CybSec si sottolinea come nel 2018 un numero crescente di aziende utilizzerà servizi in i-Cloud, spesso senza avere alcuna consapevolezza dei rischi cui esse sono esposte. Secondo Forbes, nei prossimi 15 mesi, l'80% del budget IT delle aziende sarà destinato all’adozioni di soluzioni in cloud, tuttavia circa il 49% delle aziende sta ritardando il passaggio al cloud a causa di un importante mancanza di competenze in tema di cyber security: le infrastrutture cloud rappresentano un bersaglio privilegiato per differenti categorie di attaccanti, e purtroppo poche sono le aziende che adotteranno una strategia di sicurezza efficace che consenta di mitigare il rischio di esposizione alle minacce cibernetiche.   Dispositivi IoT: un obiettivo privilegiato degli hacker Il numero di attacchi informatici contro i dispositivi dell’Internet delle Cose è destinato ad aumentare in maniera significativa: mancata implementazione di requisiti minimi di sicurezza e configurazioni errate saranno nel 2018 le principali ragioni del successo degli attacchi, che verranno principalmente condotti per compromettere sistemi dell’Internet delle cose reclutandoli in grandi “botnet” - composte da decine di migliaia se non centinaia di migliaia di sistemi - utilizzati a quel punto dagli hacker per rendere inutilizzabili servizi particolarmente esposti online, come server DNS e piattaforme di eCommerce; il numero di attacchi di DDoS è raddoppiato nella prima metà del 2017 proprio a causa del coinvolgimento di dispositivi non protetti dell’Internet delle Cose, e – secondo gli esperti di CybSec – aumentera ulteriormente nel 2018.   “Siamo dinnanzi a scenari in cambiamento a velocità impressionante – ha dichiarato il Dott. Marco Castaldo, CEO di CybSec  - in quanto i software malevoli entreranno con sempre maggiore pervasività nella vita di tutti i giorni di qualunque cittadino. L’allarme è alto, ma la sensibilità delle aziende nell’adottare contromisure purtroppo non viaggia di pari passo”   Per media relation: media@csecybsec.com - cell. + 39 335 6785259 [section_tc][column_tc span='12'][alert_box_tc style='info' trigger_pt='0' duration='1000' delay='0'] Download in versione pdf [/alert_box_tc][/column_tc][/section_tc]...

Articolo pubblicato su AskANews il 23/01/2018

  Una campagna su larga scala di malvertising – un tipo di pubblicità online usata per diffondere contenuti dannosi o fraudolenti -, basata su una rete composta da 18mila siti web compromessi, è stata individuata dai ricercatori ddel laboratorio di analisi malware Zlab dell’azienda italiana CSE Cybsec.