G Data: phishing travestito da foglio Excel condiviso su Windows Live

Il ransomware Locky ha infettato migliaia di computer al giorno in tutto il mondo e ha causato caos su Internet grazie alla sua notevole capacità di mutare e di creare nuove varianti. Un ransomware, spiegano gli esperti di sicurezza informatica di G DATA, è un malware che crittografa i contenuti memorizzati sul proprio PC e richiede un riscatto in cambio del recupero delle informazioni rapite. Locky, che raggiunge le sue vittime nelle e-mail, è anche in grado di muoversi per la rete e cifrare tutto sul suo cammino, inclusi i file condivisi e backup. L’espansione dei ransomware ha avuto un aumento negli ultimi tre anni, quando molti programmi malevoli hanno adottato algoritmi di cifratura più robusti.

Allarme sicurezza, G Data rivela: ogni 8,6 secondi un nuovo malware

Gli esperti dei G DATA SecurityLabs hanno scoperto ben 1,8 milioni di nuovi attacchi malware per computer nella prima metà del 2014. Questo significa in pratica che ogni 8.6 secondi viene scoperto un nuovo malware. Gli esperti di G DATA hanno rilevato un aumento in due categorie che offrono elevati riscontri finanziari – il malware focalizzato sulle frodi all’online banking e l’adware. Lo sviluppo mondiale nel settore dei Trojan bancari è osservato con preoccupazione dagli esperti che si aspettano un ulteriore aumento in questa categoria di malware entro la fine dell’anno.

G Data scopre rootkit Uroburos, un nuovo software spia dalla Russia

Funzionari di intelligence occidentali ritengono che il malware, noto come Turla, è collegato allo stesso software utilizzato per lanciare una grande violazione contro l'esercito americano scoperta 6 anni fa. Gli esperti di sicurezza di G DATA hanno scoperto e analizzato una minaccia altamente sofisticata e complessa, il cui obiettivo è quello di rubare informazioni estremamente sensibili e segrete da reti ad alto potenziale, come agenzie governative, agenzie di intelligence o di rilevanti dimensioni. Il rootkit denominato "Uroburos" opera autonomamente e si diffonde ad altri computer di reti infetti. Anche i computer che non dipendono direttamente da Internet vengono attaccati da questo parassita.

eCrime 2014/ G Data: Coppa del Mondo, Smart TV e Cloud nel mirino

Dal punto di vista del crimine informatico il 2013 è stato un anno segnato da un drammatico incremento del malware per Android, da una grande quantità di pericolosi malware per computer e da sofisticate campagne di eCrime. Per il prossimo anno G Data si aspetta che questo trend continui e prevede che il totale dei nuovi programmi malware per computer continuerà a aumentare. Secondo gli esperti di G Data uno dei più importanti eventi segnato in rosso sul calendario dei cyber criminali è l’attesa Coppa del Mondo di Calcio in Brasile.

G Data: giocatori online nel mirino dei cyber criminali, come difendersi‏

G Data in occasione della GameScom, la grande fiera del videogioco che si è svolta a Colonia, ha messo in evidenza i rischi principali per i giocatori online e fornito una serie di utili suggerimenti per giocare in tutta sicurezza su Internet. Il gioco online è più popolare che mai. Per il 2016 gli analisti di Digi-Capital prevedono un giro d’affari di 48 miliardi di dollari per l’online e il mobile gaming in tutto il mondo.

Khobe: nessun allarme reale dietro la tecnica che renderebbe inutili gli antivirus

Da diversi giorni si discute in rete di un presunto attacco malware che sarebbe in grado di superare i meccanismi di protezione di tutti i più importanti antivirus. KHOBE, acronimo di Kernel HOok Bypassing Engine, è la presunta nuova tipologia di attacco definita dal gruppo di ricerca indipendente Matousec che permetterebbe di bypassare qualsiasi sistema antivirus presente sulla macchina e procedere all’esecuzione di codice malevolo. Secondo i ricercatori sarebbe possibile superare i programmi antivirus sfruttando il driver che li lega profondamente al sistema operativo. 

Il metodo funzionerebbe inviando all'antivirus un sample di codice benigno che supererebbe i controlli di sicurezza. In seguito, in una finestra ridotta di tempo, questo codice verrebbe rimpiazzato con uno di tipo maligno in grado di funzionare senza destare sospetti. Nell'attacco avrebbe un peso la tempistica. Nei sistemi multi-core, dato che spesso uno dei thread è incapace di tenere traccia degli altri thread che funzionano simultaneamente, il metodo dovrebbe essere efficace. Tutto questo sistema richiede che il software antivirus usi SSDT (System Service Descriptor Table), collegato per modificare parti di kernel OS. 

A quanto pare, durante i test i software vulnerabili sarebbero stati 34, ma probabilmente solo perché le prove non hanno coinvolto più prodotti. Gli antivirus “aggirabili”, insomma, secondo Matousec potrebbero essere di più. La tecnica funzionerebbe anche quando si usa Windows con un account con privilegi limitati. L’attacco attualmente sarebbe possibile eseguirlo sui sistemi basati con Windows XP, che in questo momento ha una quota di mercato pari al 60%. 

G Data fà il punto della situazione e spiega perché, in concreto, non ci sia nessun allarme reale. Secondo quanto diffuso in rete  sarebbe stato scoperto, dunque, un nuovo metodo in grado di bypassare la protezione antivirus di tutti i più famosi software per la sicurezza. Il tutto sarebbe basato su un proof-of-concept (KHOBE) che consiste nell’inviare porzioni di codice benigno che il software antivirus riterrebbe innocuo per poi sfruttare questo passaggio di dati al fine di sostituire rapidamente il codice benigno con del malware. In altre parole si utilizzerebbe il codice benigno come esca o cavallo di troia per poi inviare al suo posto del malware. 

G Data ha esaminato il problema e ha scoperto che l’allarme è più fittizio che reale. «Sorprende la quantità di articoli pubblicati in rete su KHOBE, nonostante di tratti di un attacco puramente “accademico” e non realmente affidabile», spiega Ralf Benzmüller, Manager di G Data SecurityLabs. G Data è voluta così andare alla fonte di questa notizia e verificare davvero come stanno le cose. Per questo motivo G Data ha inviato una e-mail a questo gruppo di ricerca per comprendere quali sarebbero state le presunte vulnerabilità del proprio software. La risposta ricevuta non solo è stata anonima, ma ha presentato anche alcuni aspetti piuttosto strani:

• è stato genericamente detto che il software G Data presenteva solo “qualche” problema;
• i dettagli tecnici sarebbero stati meglio descritti in un documento ancora in fase di ultimazione e che poi sarebbe stato messo in vendita;
• è stato offerto il codice sorgente e un servizio di audit.

Ad un’ulteriore richiesta sul prezzo del documento, sulle tempistiche della sua disponibilità e sul perché la risposta è anonima è stato poi risposto che il prezzo è a quattro cifre (quindi qualche migliaio di dollari), ma se tutte le aziende produttrici di antivirus avessero sottoscritto il documento, la cifra sommata sarebbe stata nell’ordine delle sei cifre e che qualcuno avrebbe fornito assistenza una volta pagato quanto richiesto.

G Data tiene sempre in considerazione gli sforzi profusi per cercare e mettere in atto un nuovo attacco, ma considera innanzitutto esagerata la cifra richiesta. In secondo luogo G Data si domanda perché tale informazione sia stata comunicata e diffusa in rete senza documentazione a sostegno. Non si capisce, infine, perché ogni comunicazione debba sempre essere anonima. Risulta dunque piuttosto strano che, in una situazione del genere, dopo che tale notizia è diventata di dominio pubblico, non venga rivelata l’identità dell’interlocutore e, inoltre, sia stata richiesto del denaro per informazioni e documenti non ancora disponibili.

Il presunto exploit, tuttavia, avrebbe dei limiti: bisognerebbe caricare sul sistema che si vuole colpire un grande quantitativo di codice. Questa situazione renderebbe impraticabile attacchi shellcode o che dovrebbero essere, come già detto, veloci e furtivi. Inoltre, potrebbe essere eseguito solo quando un attacker è già in grado di far funzionare codice binario sul PC - obiettivo. I ricercatori di Matousec affermano che questa tecnica potrebbe essere combinata con un exploit di un altro software, una versione vulnerabile di Adobe Reader o Java Virtual Machine di Oracle, per installare malware senza destare il sospetto degli antivirus.

Ciò nonostante G Data ha già risolto il problema nei suoi prodotti quindi KHOBE non rappresenta una minaccia. Da un lato Matousec avrebbe dovuto rivelare la propria identità e usare un modo più responsabile per diffondere notizie riguardo nuovi attacchi. Dall’altro, chi ha ripreso e rilanciato la notizia in tutto il mondo avrebbe dovuto verificare e controllare la fonte prima di pubblicare notizie che possono essere interpretate e percepite come la fine di ogni software antivirus.