Cybertech FIERA

Tag sarà presente al Cybertech Europe 2017

Anche quest’anno, dopo l’enorme successo dell’anno scorso, si terrà nella nostra bella capitale il grande evento.

Il Cybertech Europe 2017 è una fiera caratterizzata da esposizioni e conferenze focalizzate sulle ultime novità del campo informatico, con ospiti di rilievo nazionali ed internazionali.

Dall’Europa ad Israele, avrete l’occasione di ascoltare alcuni tra i massimi esperti del settore parlare delle principali innovazioni del campo virtuale.

Anche Tag ci sarà, con uno stand dedicato alla cyber security!

Vi aspettiamo il 26-27 settembre al Booth 48! Non potete mancare.

fireball-chinese-adware-virus

“Fire Ball”, il malware che minaccia le sue vittime con tonnellate di pubblicità

Sembra quasi che sia un richiamo a questa estate bollente il nuovo malware arrivato dalla Cina. Si chiama infatti “Fire Ball” la nuova cyber threat distribuita dall’agenzia di web marketing Rafotech, che ha infettato oltre 250 milioni di computer a livello globale.

È stata l’azienda israeliana Check Point, leader nel settore cyber security, a scoprire l’adware.

Come agisce Fire Ball?

Viene installato all’interno di software gratuiti e una volta entrato nel computer prende possesso del browser, cambiando motore di ricerca e modificando le ricerche effettuate (solitamente si parla di Google e Yahoo!). Facendo questo genera profitti grazie alla visualizzazione di Ad pubblicitari.

Inoltre può, nel caso, scaricare qualsiasi tipo di codice o file infetto, installare plug- in malevoli (sempre per aumentare le pubblicità) e perfino, per non lasciare nulla al caso, rubare le credenziali degli utenti.

Fire Ball è subito parso come estremamente sofisticato, con funzionalità anti-rilevazione che rendono complicato scovarlo.

In certi casi, hanno scoperto, Fireball inserisce il dispositivo in una botnet (una rete di malware) da cui è molto semplice eseguire gli attacchi.

Tra i paesi colpiti ci sono India, Messico, Brasile e Indonesia, ma anche il nostro Bel Paese ha subito attacchi da questo adware (i dati riportati da Check Point parlano del 22,84% di aziende italiane colpite).

L’azienda che l’ha creato, la Rafotech, non ammette il fine criminoso, ma sostiene con orgoglio di essere un’agenzia di marketing di successo, con oltre 300 milioni di utenti nel mondo. Il numero, ironicamente, è simile a quello stimato delle infezioni. Una coincidenza fin troppo curiosa, a nostro parere.

Ma il punto dolente è questo: gli adware, che sono software che spesso inconsapevolmente vengono installati sui dispositivi, non sono totalmente considerati maligni. O almeno non lo sono come i malware. Questo perché hanno dei certificati di legittimità che ne permettono l’esistenza.

Rafotech lavora quindi in una zona grigia tra ciò che è legale e ciò che non lo è, poiché se l’utente effettua l’installazione di un programma e delle sue features, spesso accetta inconsapevolmente anche “l’infezione” dell’adware.

Il passo dalla legalità all’illegalità è però breve: viene infatti da chiedersi se l’azienda ha raccolto dati sensibili e, nel caso l’abbia fatto, come intenderà usarli. Non è difficile pensare al peggio, anzi in certi casi è consigliato.

Come capire se sei stato infettato?

Il primo indizio sicuramente lo puoi avere dal browser: la pagina iniziale è quella che hai scelto?

Se non lo è, è molto probabile tu sia stato infettato. Ma se si vuole avere la prova definitiva basta lanciare un adware scanner.

Come Eliminarlo?

 

Questa ennesima minaccia si mette in coda a tutte quelle che ogni giorno attaccano i nostri dispositivi.

È importante fare costantemente attenzione nell’uso dei PC, soprattutto quando si tratta di dispositivi aziendali.

Per maggiori informazioni sul tema cyber security contatta Tag, il tuo consulente informatico.

maxresdefault

Ennesimo attacco ransomware: dopo Wannacry arriva “Petya”, dalla Russia con furore

Non è mai bello dire “te l’avevo detto”, soprattutto se il contesto a cui ci si riferisce è così negativo. Ma, in questo caos, tutti l’avevano detto.

Un nuovo ransomware partito dalla Russia si sta diffondendo su scala globale. Le modalità sono simili a Wannacry, ma a differenza di questo, “Petya” (come è stato chiamato) infetta i dispositivi tramite una mail. Il malware blocca i dispositivi, chiedendo un riscatto per poterli sbloccare.

Anche in questo caso non si tratta però di una novità ma di una variante ad un vecchio malware. Petya si sviluppa grazie all’exploit della NSA EternalBlue, che come ricorderanno i ben informati è lo stesso che usava Wannacry. A differenza di quest’ultimo però, dove EternalBlue agiva setacciando la rete per trovare delle falle nei sistemi operativi, qui viene applicato alle mail.

Da tenere in considerazione quindi che i patch applicati al sistema operativo che impedivano a Wannacry di attaccare un dispositivo non sono sufficienti a bloccare Petya (o come è stato definito da altre fonti NotPetya o GoldenEye a seconda di alcune caratteristiche), poiché l’attivazione avviene grazie all’apertura di una mail.

Le notizie ad ora riportano attacchi anche alla centrale di Chernobyl (dove ha messo fuori uso sistemi di monitoraggio radioattivo) e a delle aziende in Francia, ma i territori colpiti sono molti di più.

Danimarca, Russia, Gran Bretagna e Usa compaiono tra le vittime, ma è in Ucraina che sono stati creati i maggiori disagi: computer di alti funzionari infettati, come anche la Banca Nazionale, compagnie importanti, la catena di negozi Auchan, la metropolitana della capitale e l’aeroporto Borispol di Kiev.

Il caso è scoppiato grazie all’azienda petrolifera Rosneft, che ha denunciato su Twitter di un attacco hacker ai suoi sistemi.

Il riscatto in bitcoin si aggira intorno ai 300 dollari a dispositivo per il rilascio dei dati.

La situazione di tensione si è manifestata immediatamente a livello politico con le accuse del governo ucraino alla Russia. Un attacco anche ideologico dicono, poiché il 28 giugno è il giorno della Costituzione in Ucraina (adottata proprio il 28 giugno del 1996).

Che si tratti di un attacco mirato non possiamo dirlo, ma non sorprenderebbe più di tanto considerato che le nuove frontiere belliche sono destinate ad avere impronte digitali oltre che materiali. Di certo non sembrano meno spaventose quando pensi che, magari, questi individui possono ottenere il controllo in remoto di dispositivi e armi di intere nazioni.

Ma le implicazioni politiche sono al di fuori del nostro controllo, noi ci possiamo limitare ad osservare la situazione in generale. Gli exploits che gli hackers di Shadowbrokers hanno sottratto alla National Security Agency stanno continuando ad essere sfruttati, senza troppe remore, per creare sempre nuovi worm. Quando nel giro di pochi mesi emergono così tanti ransomware forse si può cominciare a parlare di situazione critica, ma l’incitamento al terrore non è la soluzione giusta.

Gli avvertimenti ci sono stati dati dopo il fenomeno Wannacry, quindi perché continuiamo a leggere di attacchi di questo tipo? La spiegazione è molto semplice: come si evolvono i sistemi di difesa, si evolvono le minacce.

Per questo sarà una lotta dura da vincere, quella contro la cyber criminalità.

Ci troviamo di fronte prima di tutto a persone, quindi ad esseri emotivi, magari testardi. Non si lasciano scoraggiare e questo li rende pericolosissimi.

La cosa più importante in questo caso è prevenire. Non sei stato attaccato? Puoi esserlo in futuro. Quindi aggiorna costantemente i sistemi, esegui i back up, procurati sistemi di sicurezza efficaci e usa la massima discrezione quando esegui ogni operazione sulla rete. Non pensare solo al tuo dispositivo ma ad ogni tuo contatto, perché queste minacce si diffondono a macchia d’olio e tornare alla situazione d’essere precedente è quasi impossibile.

L’ultima, importantissima, cosa ci teniamo a riferire proviene dagli esperti del settore, che concordano su un aspetto riguardante la minaccia Petya: la rimozione dei privilegi amministrativi basta a fermare il ransomware.

Non sempre utilizzata dalle aziende perché prevede la limitazione di molte funzionalità e applicazioni agli utenti (che quindi si dimostrano infelici di tale soluzione), è stato provato però che la rimozione dei privilegi amministrativi limita notevolmente i rischi di incorrere nelle cyber threats.

Secondo un report di Avecto, una società che ha sviluppato un sistema di protezione che si basa su questo concetto, “sono state rilevate 530 vulnerabilità di Microsoft nel 2016, il 36% delle quali con indice di gravità critica. Di queste, il 94% poteva essere mitigato rimuovendo i privilegi amministrativi”.

Statistiche non indifferenti per una sola, relativamente semplice, funzione.

Lo statement di Avecto continua dicendo che “Gli user con account configurato per avere meno privilegi amministrativi saranno meno vulnerabili ad attacchi rispetto a quegli utenti che li hanno”.

Non ci stancheremo mai di dirlo: prevenire è meglio che curare, soprattutto se quello che cerchi di curare è probabilmente perso per sempre.

 

Tag collabora con Avecto da anni, poiché crede fermamente nel suo prodotto, uno dei migliori sul mercato.

Pensa alla tua sicurezza prima di tutto. Per ulteriori informazioni contattaci.

 

WANNACRY AVECTO

Avecto: la soluzione a Wannacry

Nelle settimane scorse noi di TAG abbiamo osservato attentamente il decorso di Wannacry, il Ransomware che ha colpito più di 200mila computer a livello globale. Un processo che si è evoluto giorno dopo giorno.

Abbiamo anche tentato di capire come mai un fenomeno del genere abbia avuto tanta risonanza, considerato che attacchi di questo tipo sono all’ordine del giorno. La risposta è, ovviamente, che Wannacry ha attaccato contemporaneamente un bacino enorme di individui.

Siamo forse entrati in una nuova era di attacchi informatici su scala globale?

Forse. La cosa che è parsa chiara grazie a questo specifico attacco è la sbalorditiva ingenuità globale in ambito di cyber security. Tutto il mondo ai piedi di un “virus” che poteva facilmente essere bloccato.

Una consapevolezza che ci spaventa non poco.

Quello che possiamo fare, mentre osserviamo svolgersi questo spettacolo (gli ultimi attacchi di Wannacry prevedono anche un manuale d’istruzioni su come pagare i ricattatori, annesso probabilmente dato che il pagamento in bitcoin non era facile a tutti) è aiutare i nostri clienti a proteggersi nel miglior modo possibile da minacce di questo tipo.

Il nostro lavoro è rendere più semplice a te svolgere il tuo.

Perché non possiamo illuderci che Wannacry e Adylkuzz siano le uniche minacce là fuori, nel vasto mondo informatico.

D’altronde gli exploits Eternalblue e DoublePulsar rubati alla NSA e usati per creare i due ransomware sono ancora in circolazione, quindi possono essere liberamente sfruttati.

Ma non possiamo fermarci di fronte alle intimidazioni: dobbiamo tirare fuori gli artigli e dimostrare ai cyber bulli che non ci piegheremo di fronte a nulla.

Per questo vogliamo parlare di nuovo di Avecto Defendpoint.                                                                                          

Questa è la soluzione di TAG a tutte quelle vulnerabilità che possono causare infiltrazioni malware.                                         

Avecto agisce in maniera diversa dai classici antivirus, impedendo in primo luogo alle minacce di venire a contatto coi tuoi dispositivi.

Non si tratta solo di eliminazione di virus, poiché questo significa che il malware è riuscito ad accedere alla tua rete, ma di un vero e proprio scudo, che non permette a soggetti malevoli di attaccarti.

Per rassicurare i suoi clienti, Avecto ha rilasciato uno statement riguardo al fenomeno Wannacry:

Ciao a tutti,

Sono sicuro che tutti voi abbiate guardato lo svolgersi di Wannacry nei giorni scorsi. In risposta a questo attacco ci siamo assicurati di massimizzare i nostri sforzi nel commentare sulla questione e allineare i sistemi Avecto con gli attacchi.

Il nostro messaggio è semplice. Ancora una volta abbiamo visto come minacce significative possono essere eliminate implementando misure di sicurezza proattive. Privilege Management, Whitelisting e Patching applicati devono essere alla base delle strategie di sicurezza per tutte le organizzazioni. La nostra politica è focalizzata sull’educazione ed il rinforzo di questo messaggio.

Importante- Il nostro team ha analizzato esempi del ransomware Wannacry e ha scoperto che se l’user inizialmente infettato non ha pieni diritti amministrativi di server, il malware sarà espulso senza infettare il dispositivo.

 Andrew Avanessian mostra gli insight sull’attacco: GUARDA IL VIDEO.

Grazie mille  

Sam

 

Secondo quanto affermato da Avecto, l’attacco Wannacry aveva obiettivo distruttivo prima che di ricatto vero e proprio. Le cifre richieste sono esigue rispetto a quelle richieste da altri ransomware, questo considerata la posizione di vantaggio ottenuta. Da notare che una delle vittime è stato il sistema sanitario inglese, un ente assistenziale ed essenziale. L’attacco era chiaramente mirato a creare disagi enormi.

Le origini sono ad oggi ancora sconosciute, ma quello che Avecto può assicurare è che Defendpoint è in grado di bloccare minacce anche sconosciute grazie alle sue funzioni:

Whitelisting applicato, una funzione che permette l’accesso ai dispositivi solo a fonti sicure, eliminando alla radice qualsiasi tipo di malware.

Patching applicato, ovvero una funzione che aggiorna sistemi e mette una “toppa” (“patch” in inglese) su eventuali falle da cui potrebbero entrare malware.

– Limitazioni dei privilegi di admin (Privilege Management). È stato provato che Wannacry ha avuto la possibilità di installarsi esclusivamente su dispositivi con questi privilegi. Questa funzione è quindi fondamentale per eliminare le minacce.

Usiamo questo grafico del Wall Street Journal che mostra Wannacry all’opera per mostrare come Avecto si muove di fronte a questi malware:

WANNACRY AVECTO

  • Privilege Management il ransomware non riesce ad infettare il dispositivo perché necessita dei privilegi amministrativi che Avecto concede a pochissimi utenti. La minaccia viene quindi già ostacolata al primo livello.
  • Whitelisting questa viene isolata dai dati sicuri e, riconosciuta come malevola. 
  • Sandboxing ovvero la collocazione in una zona separata dai dati sicuri.

Avecto quindi non permette alla minaccia di superare la sua barriera, bloccandolo a monte del problema.

Nessuno ha tutte le risposte ai problemi di cyber security, questo perché è un campo in continuo e costante sviluppo, ma l’approccio che Avecto ha applicato al problema è stato riconosciuto come il più effettivo.

Wannacry è solo uno dei tantissimi esempi che ti ricordano l’importanza di avere basi di sicurezza solide per i dispositivi endpoint.

Se ancora non l’hai fatto CONTATTA TAG per avere maggiori informazioni. Pensiamo noi alla tua sicurezza informatica!

 

Wannacry tekapp

Wannacry 2.0: se non sei stato ancora attaccato corri ai ripari, la nuova versione sarà letale!

Wannacry, “voglio piangere”. Nome azzeccato per il peggiore attacco hacker mai visto prima.

La minaccia che, da venerdì, ha colpito il sistema sanitario inglese, l’azienda automobilistica francese Renault, La Portugal Telecom, La Detsche Bahn, FedEx e molti altri, ha ricevuto ora un upgrade.

La prima versione ha colpito più di 200mila computer in tantissimi paesi tra cui appunto Inghilterra e Francia, ma anche Spagna, Portogallo, Russia, Cina e Italia. Le testate giornalistiche riportano numeri vari (i paesi colpiti sono partiti da 99, per poi arrivare a 105 e addirittura 150) ma in realtà non possiamo essere certi del numero esatto, solo della vastità e della gravità dell’evento.

Un attacco ransomware, una tipologia di malware che blocca completamente l’accesso al dispositivo e cripta i dati in maniera indecifrabile fino a che non viene pagato un riscatto (ransom in inglese). Così’ ha proceduto anche Wannacry (originariamente WanaCrypt0r, perché i dati criptati presentavano l’estensione .WCRY), bloccando i computer di enti assistenziali che hanno intimato la popolazione a non recarsi al pronto soccorso se non in condizioni gravi (perché non riuscivano ad ammettere nessuno) e di aziende che hanno bloccato la produzione.

La richiesta di pagamento, che prevede somme dai 300 ai 500 dollari in bitcoin (moneta elettronica), presenta anche un countdown. Al termine del tempo concesso, i dati saranno persi.

 

 Scontato dire che i disagi sono stati enormi.

Gli attacchi sono stati possibili grazie al gruppo di hacker The Shadow Brokers che ha trafugato un exploit denominato EternalBlue alla NSA (la National Security Agency), diffondendolo online ad aprile di quest’anno.

Ma come ha fatto a penetrare in così tanti devices? Tramite una falla nel sistema operativo che la stessa Microsoft aveva risolto con un patch rilasciato il 14 marzo chiamato MS17-010, creato appositamente per difendere il sistema dopo che la NSA ha divulgato la notizia del furto dell’exploit.

Molti attacchi si sarebbero forse facilmente evitati aggiornando il sistema operativo quando era stato consigliato. Una lacuna sconsiderata i cui sviluppi sono stati devastanti.

Ma il problema più grave è un altro: questi enti usano software di difesa completamente inadeguati.

Questo attacco non era forse prevedibile, ma era sicuramente evitabile per molti se solo si fossero affidati a sistemi di cyber security migliori.

Sulla diffusione di Wannacry si possono trovare diverse interpretazioni, alcune che fanno capo a mail maligne (quindi ad un caso estremo di phishing), altre alle vulnerabilità del sistema Windows. Osservando il fenomeno è improbabile che la fonte d’infezione primaria siano le email, dato che ne sono state trovate poche riconducibili al fenomeno, ma non è da sottovalutare anche questo fattore.

Nonostante pare che la situazione si sia stabilizzata nelle ultime ore in Europa, la Cina continua ad essere nel mirino.

Non possiamo accertare che il pericolo sia scampato quindi e anzi, gli esperti si aspettano altri attacchi da parte della versione 2.0 del virus, che è stata rilasciata nelle ultime ore.

Più letale della prima infatti, quest’ultima versione non ha il “kill switch”, ovvero il pulsante presente all’interno della prima che ha reso possibile il suo momentaneo contenimento.

La minaccia Wannacry rimane e non possiamo prevedere se si troveranno soluzioni definitive. Quello che si consiglia è muoversi il prima possibile per arginare il rischio di infezione.

In Italia tra le vittime ad oggi ci sono alcune università (accertata la Bicocca di Milano) mentre nessun servizio pubblico ha subito  danni.

Identificare i responsabili prevederà la collaborazione internazionale, riferisce il direttore esecutivo dell’Europol Rob Wainwright, che in uno statement afferma:

“Non abbiamo mai visto nulla di simile”.

Ecco quello che devi fare per difenderti da Wannacry:

  • Eseguire il backup dei dati su dispositivi esterni, così che in caso di attacco questi non vadano persi
  • Aggiornare il sistema operativo Microsoft Windows per installare il patch MS17-010
  • Non aprire mail sospette
  • Disabilitare se possibile i servizi SMB (Server Message Block) e RDP (Remote Desktop Protocol)
  • Procurarsi un sistema di difesa adeguato.

In questo Tag ti può aiutare. Grazie ad Avecto Defendpoint siamo in grado di fornirti la migliore difesa informatica sul mercato.

I nostri clienti che utilizzano Avecto hanno già comunicato che il software è riuscito a bloccare Wannacry prima che infettasse i loro sistemi.

centerity_iot

IoT Conference – 30 Marzo 2017, Torino

Dopo il successo dell’edizione 2016 a Milano con più di 550 iscritti, l’evento convegnistico Internet of Things prosegue nel 2017 con quattro nuove tappe sul territorio nazionale a Torino, Bologna, Padova e Milano.

Il convegno Internet of Things ha l’obiettivo di illustrare e approfondire diverse tematiche come ad esempio in che modo le soluzioni cloud possono abilitare l’investimento iniziale di un progetto IoT, la valutazione del rischio dell’IoT e i vari aspetti relativi alla tutela della privacy e della proprietà intellettuale nell’internet delle cose.

Veniteci a trovare al nostro stand il 30 Marzo 2017 a Torino:

BOOTH 6, Vi aspettiamo!

cyber security

2017, un anno di grande aspettative per la cybersecurity

L’anno è già iniziato da 47 giorni, e come un orologio svizzero il tempo scorre in maniera inequivocabile. Alla stessa maniera, anche le nuove minacce aumentano, mutano e colpiscono. Che si parli di dispositivi desktop o mobile, i casi di attacchi informatici sono all’ordine dell’ora, non più del giorno.

Stiamo assistendo ad un aumento degli attacchi ai sistemi di pagamento digitali e mobili. Questi ultimi stanno diventando sempre più di “moda” come ad esempio il Near Field Communication (NFC) o l’identificazione a radiofrequenza (RFID) , passando dai sistemi Apple Pay e Android Pay. Sono convinto che è solo una questione di tempo prima di vedere che questi sistemi diventino bersagli sempre più grandi e redditizi. Soffermiamoci un attimo sui numeri:

  • 87% dei dispositivi Android sono non sicuri.
  • 5.8 milioni di malware installati sui dispositivi mobile , solo nel 2016
  • Android Malware viene distribuito attraverso il Google Play Store
  • 36% del target finanziario ha dispositivi Android.

Numeri molto importanti, ma non si pensi che Apple sia messa meglio, diciamo solo che è più difficile violare il suo sistema proprietario rispetto ad un Android. Mi aspetto di vedere aziende leader nel settore creare e proporre nuovi sistemi di protezione già dalle prossime settimane.

Un altro dato che è emerso nel 2016, e quindi da prestare molto attenzione in questo anno, è stato il numero di aziende che hanno rivelato di essere state violate perchè hanno dato poca o in vari casi, nessuna, mancanza di attenzione e investimenti in sistemi di sicurezza validi (scusate se mi ripeto sempre nei miei articoli, ma il backup non è un sistema di cybersecurity!). Ricordiamoci che la migliore protezione è la prevenzione, non l’attuazione.

Gli utenti sono l’anello più debole della catena nella sicurezza

I cyber criminali continuano a espandere l’uso di ingegneria sociale (l’arte di hackerare le persone attraverso varie tecniche tra cui phising, l’uso dei social, o la curiosità delle persone nel pensare di aver vinto il viaggio della vita e quindi cliccare sul link , etc) come arma per il furto dei dati. E’ notoriamente impossibile tentare di chiudere i “bug” nell’uomo, è molto più facile convincerlo a compiere azioni senza il suo consenso. L’ E-mail continuerà ad essere l’obiettivo primario per attacchi di phishing tuttavia possiamo aspettarci di vedere una gamma più ampia di campagne di phishing utilizzando applicazioni di messaggistica, social media o la mail personale degli utenti per superare i filtri aziendali. Sappiamo tutti che gli utenti sono l’anello più debole della catena nella sicurezza, ed è facile capire che si possono ottenere dati sensibili dalla persona piuttosto che dal sistema di sicurezza che li protegge.

Il ransomware si diversificherà ulteriormente nel 2017, passando oltre al desktop attaccando così siti web vulnerabili, blog ma anche database e backup. I dispositivi IOT saranno attaccati perchè permettono di tenere in mano l’azienda (pensiamo al controllo delle luci o del riscaldamento, o come è successo ad un albergo in Austria alle porte delle stanze) e quindi richiedere riscatti alti ma anche veloci.

Entro maggio 2018 le aziende dovranno affrontare e avere a norma il GDPR, regolamento generale sulla protezione dei dati, promosso e richiesto dalla commissione europea. Saranno sempre più sotto pressione e dovranno affrontare le questioni di sicurezza informatica in quanto il decreto prevede di multare fino al 4% del loro fatturato globale in caso di violazione. Sarà molto importante nel 2017 porre le basi per garantire la sicurezza finanziaria.

GDPR, regolamento generale sulla protezione dei dati

Detto tutto cio, mentre le aziende produttrici di soluzioni di security cercheranno strategie sempre più efficaci per sconfiggere il malware, gli hacker si sposteranno ad approcci che utilizzano credenziali e software legittimi. Sicuramente sarà un anno ricco di attacchi ma anche di soluzioni.

Ricordatevi le 3 regole basi per la vostra protezione :

  1. Privilage Management: Eliminate gli admin rights , assegnate i privilegi direttamente alle applicazioni e proteggete gli endpoint dalle minacce interne.
  2. Application Control: Bloccate le applicazioni non autorizzate, lasciate comunque la flessibilità agli utenti (ma in un ambiente protetto) , difendevi con software validi dagli attacchi e dalle minaccie zero day.
  3. Content Isolation: perchè portare fuori su un altro server un file per analizzarlo quando lo posso fare sulla stessa postazione in un ambiente isolato ?

Se vi chiedete come fare ad avere tutto ciò, non esitate a contattarmi e vi mostrerò l’unica soluzione ad oggi funzionante che consiglio ed installo ai miei clienti!

a presto …

shamoon

Shamoon, il virus che distrugge il MBR

Cos’è un master boot record?

Il master boot record (MBR), in informatica ed elettronica, nell’ambito dell’architettura dei PC, è quel settore dell’hard disk di un computer, noto anche come settore di avvio principale, composto dai primi 512 byte, che contiene la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo, tipicamente il boot manager/boot leader del sistema.

Chi è Shamoon?

Shamoon, noto anche come Disttrack, è un virus informatico modulare scoperto da Seculert nel 2012, che mira recenti versioni basate su kernel NT di Microsoft Windows. Il virus è stato utilizzato per lo spionaggio informatico nel settore energetico. La sua scoperta è stata annunciata il 16 agosto 2012 da Symantec, Kaspersky Lab, e Seculert. E’ stato associato al famoso Flame, quel “bel” malware che corrode piccole porzioni di database lasciando l’attacco finale dopo mesi e rendendo così inutile il backup.

Nello specifico Shamoon distrugge e sovrascrive i boot record rendendoli così incapace di avviarsi. Nel 2012 ha danneggiato oltre 30.000 sistemi.

Nei giorni scorsi, l’Arabia Saudita ha messo in guardia le organizzazioni del proprio regno di rimanere in allerta per il virus informatico Shamoon, il quale è apparso nuovamente e si è reso più attivo colpendo le organizzazioni del Medio Oriente. Diverse aziende chimiche sono state attaccate. Se molti credono che questo sia solo l’inizio di una rinnovata campagna di attacchi informatici, in tanti si chiedono cosa si può fare per prevenire questa nuova minaccia.

Come funziona?

Come la maggior parte delle minacce avanzate, Shamoon è modulare ee è composto da tre componenti principali.

Shamoon Dropper – Questo è il punto iniziale di infezione ed è utilizzato dagli aggressori per stabilire un punto d’appoggio.

Shamoon Wiper – Questo infligge il danno con l’installazione di un driver malintenzionato a sovrascrivere i dati.

Shamoon Reporter  – Questo riporta indietro all’attaccante il dominio della propria macchina e il numero di file che sono stati sovrascritti.

Questo approccio modulare permette all’attaccante di ridurre il rischio di essere scoperto, dato che non tutto il codice dannoso viene consegnato in una sola volta ma a contagocce, un tipico attacco per eludere gli Antivirus o altre tecnologie di rilevamento.

Anche se ci sono pochi dettagli disponibili riguardo l’esatta consegna dell’attacco, le e-mail di phishing o credenziali rubate sono sicuramente la fonte più probabile.

Una volta che l’attacco ha inizio, il malware incorpora rapidamente se stesso nel sistema di destinazione e utilizza alcuni trucchi per apparire in modo legittimo e mantenere la persistenza. Negli attacchi osservati, vediamo lo sfruttamento degli admin rights e non sono comunemente rilevati dalle soluzioni AntiVirus poiché utilizzano i nomi di file che sembrano legittimi per non destare sospetti.

Guardando oltre Shamoon

Molte organizzazioni sono preoccupate non solo per il ritorno di Shamoon, ma per quale sarà il prossimo attacco. Con un numero sempre più crescente di attacchi in continua evoluzione, gli approcci tradizionali delle tecnologie di rilevazione non possono stare al passo con le minacce. I comuni Antivirus, basandosi solo sulle impronte virali, oltre ad appesantire e quindi diminuire le prestazioni di una macchina, si concentrano solo sul conosciuto (il problema dello Zeroday è sempre più alto) e tantomeno non sono in grado di bloccare programmi che partono in maniera automatica sfruttando gli admin right.

In commercio esistono varie soluzioni di prevenzione, dal riconoscimento di un file che viene cryptato, alle “false” promosse di riconoscere un mail potenzialmente pericolosa.

” Il tecnico del blue Screen non è il vostro consulente Cyber “

In tutto queste mare di prodotti/soluzioni, la carta vincente come dico sempre non è quella di saper scegliere il prodotto, ma di affidarsi a personale qualificato e non il classico “tecnico del blue screen” ; l’esperto deve sapere consigliare, scegliere e configurare la giusta soluzione.

E’ obbligo del CEO far sedere al proprio fianco il suo IT Manager nella organizzazione dell’azienda, ed è obbligo per lo stesso IT Manager capire se le proprie skill sono pronte ad affrontare un futuro sempre più pieno di attacchi. In mancanza di quest’ultimo è compito del AD di ogni azienda capire che oggi è importante investire in security tanto quanto pagare la bolletta della luce, per non cadere nella rete del ragno, in questo caso di Shamoon.

testata-articolo-ativirus

Il futuro sempre più nero degli Antivirus

Il mercato

La Cybersecurity è uno dei settori in rapida crescita, ed è facile capirne il motivo quando si guardano i numeri. La spesa in sicurezza informatica nel 2015 è stata di 75 miliardi di dollari, e il mercato dovrebbe più che raddoppiare entro il 2020. Sicuramente una straordinaria cifra, ma soldi ben spesi per proteggere uno dei beni più preziosi nel mondo moderno, i dati aziendali. Non c’è da meravigliarsi se le aziende stanno cominciando a investire soldi per salvaguardare i propri dati importanti. Continue reading “Il futuro sempre più nero degli Antivirus”

pop_corn

Popcorn Time: il virus che chiede riscatto e non solo!

Questa volta scordatevi di associare al termine ‘popcorn’ un qualcosa di piacevole e sfizioso da mangiare davanti ad un film!
TUTT’ALTRO!
Sì, perché stavolta dietro al gustoso nome, si nasconde un nuovo e maligno malware. Stiamo infatti parlando di un potente virus in grado di bloccare il vostro computer e criptarne il disco rigido.
L’unico modo che hanno gli utenti ‘infetti’ di poter riprendere a gestire il proprio pc è quello di pagare un riscatto o infettare altri contatti.
Esatto proprio così; parliamo di un vero e proprio rapimento dati da parte del “Popcorn Time”.
Ma come si fa a pagare questo ‘amaro’ riscatto? Le opzioni sono due:
pagando 780 dollari in bitcoin;
oppure aiutando il virus ad allargare i propri orizzonti mediante condivisioni del link, sperando che, almeno due dei vostri contatti procedano con il pagamento.
Solo quando i computer degli amici contagiati, saranno considerati colpiti dal virus, il riscatto si potrà ritenere concluso.
Ma c’è una soluzione a tutto questo?
La risposta è assolutamente affermativa e per TAG ‘prevenire è meglio che curare’, attraverso vari sistemi di protezione come il servizio MailSecure di Cybonet o Avecto.

Contattaci per maggiori informazioni