Attacchi DDoS e Botnet

Gli attacchi verso software mobile sono quasi raddoppiati nel 2018
Kaspersky Labs ha rilasciato un interessante report dal titolo "Mobile malware evolution 2018", disponibile a questo indirizzo, che fa il punto sulla diffusione dei malware su dispositivi mobile nell'anno passato, offrendo uno strumento utile per provare a capire il trend futuro e a reagire ad esso.

Tra i risultati evidenziati dal report, che è stato condotto sulla base dei dati raccolti dai dispositivi con installate applicazioni di Kaspersky, il più importante riguarda il numero di attacchi registrati: dai 66,4 milioni del 2017 ai 116,5 del 2018; in compenso è diminuito il numero di pacchetti di installazione compromessi (5,321,142 nel 2018, quasi 500mila in meno dell'anno precedente).
Le app compromesse includono droppers (trojan-dropper che bypassano i controlli e "sganciano" il pacchetto malevolo vero e proprio), adware (pubblicità invasiva), risktool (app che possono creare danni fisici) e spyware, incluso quello a sistemi di homebanking, stante il loro uso sempre più diffuso.

StealthWorker sfrutta Windows e Linux per bucare siti
I ricercatori Fortiner hanno individuato una botnet che sfrutta StealthWorker, un malware scoperto qualche settimana prima da Malwarebytes.
Rispetto alla prima versione che si concentrava solo su Windows, questa versione del malware ha come obiettivo Linux, diventando quindi una minaccia multipiattaforma; non solo: analizzando le open directory disponibili sui server C2 (Command&Control) indicati nel report di Malwarebytes, sono state trovate prove che anche le architetture Mips e ARM -quindi device dell'IoT- sono coinvolte. In entrambi i casi viene schedulata un'esecuzione automatica per sopravvivere ai riavvii che sgancia il payload del malware. Ciascuna macchina infetta viene usata per attaccare installazioni di CMS come Joomla, Magento, Drupal e WordPress con tentativi di login brute force, e se l'attacco ha successo non solo vengono spedite al server C2 le credenziali trovate, ma l'host compromesso diviene a sua volta zombie, creando una vera e propria botnet.

 

 Ransomware

Disponibili nuovi strumenti di decifrazione per diversi ransomware
Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito. L’instancabile Michael Gillespie continua a lavorare e ora il suo servizio di identificazione ID-Ransomware ransomware copre più di 700 famiglie di ransomware, F-Secure ha rilasciato un tool per Mira, Emsisoft per PewDiePie, aurora, BigBobRoss (anche Avast ha rilasciato uno strumento per questo ransomware) e Planetary, Bitdefender ha creato uno strumento per GandCrab (versioni 1, 4 e 5).
La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo.

 

Vulnerabilità

Clourborne è una vulnerabilità che installa backdoor in ambienti Cloud
I ricercatori Eclypsium hanno identificato una tipologia di vulnerabilità rinominata Cloudborne che consente di installare backdoor direttamente sui server fisici utilizzati per gestire server virtuali in ambienti Cloud; al momento solo la tecnologia SoftLayer di IBM è oggetto di studio, criticità analoghe per altri Cloud provider non sono ancora state analizzate.
La struttura sottostante la parte virtuale di un Cloud è naturalmente composta da server fisici, i quali hanno dei sistemi detti BMC (Baseboard Management Control) -basati su IPMI- che consentono la gestione remota del server stesso per le fasi iniziali di installazione e deployment; una vulnerabilità che intacca BMC sopravvive ai reboot e ovviamente avrà effetto sui clienti (anche i nuovi) assegnati al server. 
Gli attacchi ottenibili includono DoS permanenti, danneggiamento del server, furto di dati, creazione ransomware.
IBM ha rilasciato una nota in cui parla della vulnerabilità e suggerisce un reset manuale del firmware prima di assegnare il server ad un altro cliente, per quanto sia poco pratico fare ciò su larga scala.

Patchate vulnerabilità in router serie RV di Cisco e WebEx
Cisco ha rilasciato una patch per vulnerabilità dei router RV110W, RV130W e RV215W.
Le vulnerabilità hanno grado Critical dal momento che consento ad utenti non autenticati di eseguire da remoto comandi su questi router; il responsabile di ciò è un’errata gestione dei buffer di memoria; gli aggiornamenti sono disponibili nel Software Center di cisco.com.

WebEx è il sistema di conferencing di Cisco; i ricercatori SecureAuth hanno scoperto una vulnerabilità che coinvolge Webex e consente ad un attaccante locale (ma in ambienti Active Directory l’attacco può essere remoto sfruttando gli strumenti di gestione remota) senza privilegi di elevare privilegi e lanciare comandi arbitrari sfruttando una libreria DLL particolare.
Cisco ha rilasciato delle versioni aggiornate dell’app desktop che correggono questo problema.

I rischi dell’IoT in campo medicale secondo Check Point
I ricercatori Check Point hanno pubblicato un interessante report circa i rischi dell’IoT in campo medicale: non solo i nuovi dispositivi associati all’attuale boom dell’IoT, ma anche macchine tradizionali collegate in rete. Il report si chiama “UltraHack: The Security Risks of Medical IoT”.
I rischi sono più che attuali e coinvolgono una sfera particolarmente sensibile come quella della sanità. Ad esempio nel report viene citato una macchina ad ultrasuoni che gira su Windows 2000, che da più di un decennio senza supporto; e naturalmente è vulnerabile a attacchi che consentono di leggere e modificare i risultati delle analisi o infettarla con un ransomware.
I comportamenti suggeriti includono una politica di aggiornamento efficace e una corretta politica di segmentazione della rete e dell’accesso.

News dai vendor

Tuesday Patch di Microsoft

Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update. Tra i 64 problemi sistemati (di cui 15 segnati come critici) in 12 diversi prodotti, citiamo quelli relativi a Office, Edge, Internet Explorer, Office e Office Services and Web Apps, ChakraCore, Adobe Flash Player, .NET Framework, ASP.NET, Skype for Business e Visual Studio. In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.
Questo post del blog GFI riassume bene gli aggiornamenti contenuti nel Patch Tuesday.
È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1