Sophos: ransomware Snatch bypassa antivirus riavviando Windows

Sophos, leader globale nella sicurezza degli endpoint e della rete, ha pubblicato un report investigativo dal titolo "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" realizzato dai SophosLabs e Sophos Managed Threat Response. Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode (modalità provvisoria) per aggirare le protezioni basate sull'analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.

Nuovo metodo scam Facebook diffuso con plug-in malware browser

In queste ore è attiva su Facebook una truffa relativa alla presunta visualizzazione di un video nel quale si vedrebbe Marika Fruscio con un seno scoperto e che viene poi inviata sulla bakeka a tutti i contatti dell'utente che è caduto nello scam. Qualche utente lamenta il problema nonostante abbia eliminato tutte le applicazioni dal proprio profilo. Fino ad ora gli scammer per questa tipologia di truffe hanno sfruttato il noto metodo del clickjacking, adesso invece hanno sviluppato un nuovo approccio per loro la diffusione su Facebook. Invece di usare, per esempio, gli aggiornamenti di stato come un richiamo, l'ultima generazione di truffa Facebook tenta di ingannare l'utente con l'installazione di estensioni maligne sul browser. I plug-in sono presumibilmente necessari per visualizzare inesistente video clip apparentemente inviato da una vittima in precedenza.

Infatti, Websense ® ThreatSeeker ® Network ha recentemente individuato alcune truffe su Facebook che ora utilizzano la potenza delle estensioni del browser per diffondersi sui profili di altri utenti. Le truffe tipicamente utilizzano pagine di trucchi di social engineering - come la diffusione di video seducenti o le offerte per un buono gratuito. "Ora per di più, abbiamo scoperto che alle vittime viene anche chiesto di installare un plugin per il browser. Il plugin è una parte integrante di come la truffa viene diffusa. Una volta installato, il plugin si collega a uno script che utilizza le API di Facebook e poi i messaggi della truffa alle pagine di amici della vittima", scrive Websense nel suo rapporto. 

Uno dei vantaggi di usare un plugin è la capacità di persistenza nel browser della vittima e la propagazione ad altri profili - che è simile alle app scam viste in precedenza su Facebook. Gli esperti di Websense hanno rilevato che vengono utilizzati plugin malevoli solo su Chrome e Firefox. Ecco come una pagina esempio di scam appare con Chrome e Firefox, rispettivamente:

Plug-in su Chrome

Plug-in su Firefox

Il codice verifica quale browser è installato e serve il plugin dannoso compatibile. I file del plugin Chrome terminano con un'estensione del file CRX e i plugin per Firefox dei file terminano con l'estensione del file XPI. I file dei plugin di Chrome e di Firefox sono in forma compressa. Guardando all'interno di questi plugin viene rivelato un codice maligno che carica uno script da altri siti. Questo codice è in definitiva caricato dal browser che si connette a Facebook. Il codice dei post a nome della vittima viene diffuso sulle pagine degli amici della vittima, che si traduce in una ulteriormente diffusione della truffa, spam, e possibilmente malware.

Per vedere il codice dietro il plug-in della truffa mostrata sopra, Websense ha diffuso delle immagini dopo aver decompresso il file zip che contiene le estensioni maligne:

Per risolvere il problema bisogna dunque rimuovere i plug-in malevoli installati nel browser. Per far ciò su Chrome andate sulla chiave inglese nell'angolo in alto a destra del browser. Cliccate su Opzioni e in corrispondenza dell'estensione sconosciuta cliccate su Rimuovi.

Se utilizzate Firefox cliccate su Firefox in alto a sinistra del browser e dal menu a discesa che si aprirà scegliete Componenti aggiuntivi e da Estensioni cliccate su Rimuovi per eliminare l'estensione malevola. Completate l'operazione riavviando Firefox.

Prestate sempre la massima attenzione ai post che vi vengono condivisi dagli amici e alle operazioni che vi vengono proposte per la visualizzazione di presunti "filmati imperdibili". Per quanto queste offerte appaiono allettanti se, come in questo caso, vi viene chiesto di installare plug-in al fine di ottenere offerte o guardare un video, ricordare che potrebbe trattarsi di un trucco per diffondere truffe, spam e malware.

AVG Technologies, guida alla protezione dispositivi durante i viaggi

AVG Technologies, consolidata società produttrice di software per la sicurezza Internet e mobile, ha annunciato la pubblicazione di The Common Sense Guide to Working on the Move, un decalogo sulla sicurezza riservato ai professionisti delle piccole e medie imprese (ma valido anche per gli utenti mobili) che svolgono la propria attività grazie al mobile working. Questo manuale, frutto delle conoscenze ed esperienze dei professionisti AVG, nasce dall’approfondita indagine di scenario SMB Market Landscape report*: l’analisi condotta dall’azienda sull’incremento dell’utilizzo, da parte delle PMI, di dispositivi mobile per scopi lavorativi.

Queste linee guida rappresentano il continuo impegno di AVG volto ad accompagnare le imprese nella transizione tecnologica verso il lavoro in mobilità, aiutandole a difendersi da gravi perdite o da furti di dati. Oggi è sempre più frequente accedere alle proprie e-mail e ad altri dati personali da più di un dispositivo. Questo fenomeno dà luogo a due effetti contrapposti: i contenuti sono sempre più concepiti per un utilizzo in mobilità e le applicazioni veicolate tramite cloud server; mentre i criteri per mettere i dati in sicurezza aumentano a vista d’occhio, creando confusione tra gli utenti. A questo proposito, si rileva come la maggior parte degli utenti abbiano familiarità con l’uso dei software anti-virus.

Tuttavia per la maggior parte delle persone risulta ancora difficile riconoscere gli attacchi di phishing o di altri file malware. Infatti, i criminali informatici, spesso indisturbati, accedono a segreti commerciali, piani di lancio, letterature operative, strategie di mercato e dati riservati. Appare evidente altresì che anche chi dovrebbe conoscere meglio questi rischi smarrisce documenti, computer portatili e dossier in luoghi pubblici. In questo modo, i cyber criminali tengono saldamente sotto controllo le PMI entrando in possesso di elementi di valore come roadmap dei prodotti, dati sui prezzi, informazioni aziendali o su conti bancari.

La guida assume particolare importanza proprio in vista delle imminenti vacanze natalizie, periodo nel quale notoriamente aumentano i flussi di informazione e l’uso di dati sensibili. Questa tendenza è stata anche riscontrata da AVG Technologies attraverso “Lost in Transit” un’indagine, su un campione di 5.620 intervistati, che rivela come ben il 35 per cento dei dispositivi portatili e il 38 per cento dei telefoni cellulari vengano persi o rubati durante i viaggi e che, in maniera allarmante, l'82 per cento di essi siano destinati a non essere mai recuperati.

"Sempre più persone svolgono il proprio lavoro attraverso il mobile working", ha affermato Robert Gorby, global head of small business propositions di AVG Technologies. "Questo indica che le PMI devono dotare i propri dipendenti di strumenti adeguati per la sicurezza informatica, perché è sufficiente lasciare aperta una piccola breccia per mettere in pericolo l’intero sistema. La nostra guida The Common Sense Guide to Working on the Move racchiude 20 anni di storia in tema di sicurezza Internet e fornisce alle PMI diversi consigli per mantenere le informazioni al sicuro, anche in mobilità."

Tra le altre informazioni, la guida The Common Sense Guide to Working on the Move da agli utenti 10 consigli pratici:

1. Contare il numero degli oggetti che portano con sé durante i viaggi.
2. Scegliere il luogo giusto dove sedersi per evitare occhi indiscreti sul proprio schermo.
3. Fare attenzione alle reti Wi-Fi libere, se non provengono da fonti conosciute.
4. Disattivare il Bluetooth in pubblico per evitare Bluejacking o Bluesnarfing.
5. Non accedere ai propri dati bancari, non fare acquisti o inserire informazioni personali tramite computer pubblici
6. Attivare i filtri e altre barriere di protezione per gli smartphone connessi a Internet.
7. Non lasciare in custodia a sconosciuti il proprio dispositivo.
8. Proteggere con password il proprio computer portatile e smartphone.
9. Conoscere il modo di bloccare il proprio telefonino in caso di furto o perdita.
10. Assicurarsi di avere installato un software antivirus aggiornato sui vari supporti.

La guida buonsenso a lavorare in movimento può essere scaricata dal Business Resource Center di AVG: http://www.avg.com/ww-en/business-guides. Scaricate il pieno AVG Market Landscape Report 2011  presso: http://download.avg.com/filedir/news/AVG_SMB_Market_Landscape_Report_2011.pdf * Indagine condotta da GfK su 1000 piccole e medie imprese Regno Unito e Stati Uniti nell'agosto 2011. Source: Naper Multimedia

Collaborazione tra Polizia Postale e PayPal, guida agli acquisti sicuri

Una guida con consigli pratici e suggerimenti per acquistare in internet: è quella nata dall'esperienza di PayPal nei pagamenti e nelle transazioni protette e della Polizia Postale a tutela dai rischi di truffe, sempre in agguato. "E' in costante aumento, soprattutto nel periodo estivo, il numero delle persone che prenotano ed acquistano in Rete viaggi e vacanze. Ma - avverte la Polizia - non sempre queste attività risultano immuni da rischi e talvolta si può cadere nella trappola di siti 'civetta' che pubblicizzano vacanze a prezzi scontatissimi, nascondendo vere e proprie truffe".

Rubati milioni di dati American Express, Visa, Disney e molti altri

Negli ultimi giorni molti clienti di grandi brand USA hanno ricevuto messaggi email sgraditi con l'avviso che il proprio indirizzo di posta elettronica era fra quelli coinvolti in quello che probabilmente appare come il più esteso furto di dati mai avvenuto: una falla di sicurezza ai danni di Epsilon, società statunitense specializzata in database marketing. L'elenco di società colpite da questo caso di intrusione è già affollato, ma pare destinato a crescere ancora.

GFI Labs, le dieci regole per accedere alla Rete in sicurezza nel 2011

Tom Kelchner, Communications e Research Analyst di GFI Software, produttrice di software di protezione Web e posta, servizi di rete e sicurezza, suggerisce le 10 regole per navigare sicuri nel corso del 2011. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza.

1. Limitare l'accesso alla rete alle persone che ne necessitano. Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
2. Serve una strategia per prevenire la perdita dei dati. Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone. 
3. Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce. Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete.
4. Eseguire regolarmente audit di rete è fondamentale. Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete. 
5. Verificare la sicurezza dei sistemi prima di connetterli alla rete. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti.
6. Rafforzare le policy di sicurezza. Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
7. Autenticare sempre chi effettua chiamate. Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing - che consiste in attacchi di social engineering mirati - è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing - che avvenga via email o telefonicamente.
8. È necessario eseguire i backup ma anche verificarli. Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
9. Cosa fare se il programma di disaster recovery non funziona. In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto? . Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
10. Chiedere aiuto se necessario. Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.

GFI Software offre un'unica fonte di software di protezione web e posta, archiviazione, back-up e fax, servizi di rete e sicurezza e soluzioni ospitate per piccole e medie imprese. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria concorrenziale e alla particolare attenzione rivolta ai requisiti specifici delle piccole e medie imprese (PMI), GFI soddisfa le esigenze informatiche delle PMI su scala mondiale. Inoltre, è un Microsoft Gold Certified Partner. Ulteriori informazioni all'indirizzo http://www.gfi-italia.com/.