Attacchi DDoS e botnet
Botnet Mirai lancia attacco DDoS verso università USA
A fine febbraio è stato rilevato dai ricercatori Incapsula un attacco DDoS (Distributed Denial of Service) verso un’università USA.
L’attacco è durato 54 ore ininterrotte e ha generato una media di 30.000 richieste per secondo (RPS), con punte di 37.000 e un totale di 2.8 miliardi di richieste; un numero sufficiente per mandare KO gran parte degli apparati connessi in rete.
Meno di un giorno dopo il primo attacco, se ne è verificato un secondo, ma questa volta con un impatto minore: la durata è stata di poco più di un’ora e mezzo e le RPS sono state in media 15.000.
L’attacco mostra una probabile nuova versione della botnet, come mostrano le dimensioni dell’attacco stesso e degli user agent utilizzati, diversi da quelli finora conosciuti; l’attacco ha avuto impatto a livello applicativo piuttosto che di rete (network layer).
Gli indirizzi IP coinvolti, 9.793 distribuiti in gran parte tra USA, Israele, Taiwan, India, Turchia, Russia e anche Italia, risalgono in gran parte a dispositivi dell’Internet of Things come telecamere CCTV, router e videoregistratori digitali; in particolare, il 56% dei dispositivi coinvolti appartiene a DVR di un singolo produttore (che non è stato reso noto).
Radware scopre BrickerBot, la botnet DoS che mette KO i dispositivi IoT
Radware annuncia la scoperta di BricketBot la scoperta di BricketBot, una botnet in grado di lanciare attacchi che agiscono sullo storage e i parametri del kernel dei dispositivi dell’Internet of Things (IoT) mettendoli fuorigioco definitivamente richiedendo la reinstallazione del sistema o addirittura il cambio dell’intera unità. Questo tipo di attacco viene definito Permanent Denial-of-Service (PDoS), o anche phlashing.
Sono stati rilevati due attacchi, entrambi iniziati il 20 marzo e uno (BrickerBot.1) concluso dopo 4 giorni, l’altro (BrickerBot.2) tutt’ora in corso, sono diretti a dispositivi Linux/BusyBox.
In particolare BrickerBot.1 parte da indirizzi IP assegnati ad access point e router Ubiquiti che usano una versione obsoleta del client SSH Dropbear, mentre BrickerBot.2 sfrutta i nodi TOR in uscita, rendendo difficile l’identificazione delle sorgenti.
Similmente a Mirai, anche BrickerBot sfrutta un attacco di tipo brute-force tramite Telnet per accedere al sistema; una volta entrato esegue comandi Linux che corrompono lo storage, riducono drasticamente la connettività ad Internet, danneggiano il kernel e cancellano tutti i dati.
Radware consiglia di mettere in sicurezza i dispositivi tramite questi semplici passaggi:
- Cambiare le credenziali di accesso di default.
- Disabilitare l’accesso Telnet.
- Adottare strumenti di sicurezza basati su Network Behavioral Analysis User/Entity behavioral analysis (UEBA) per rilevare anomalie nel traffico di rete e bloccare in tempo gli attacchi.
- Assicurarsi che il sistema Intrusion Protection Systems (IPS) blocchi le connessioni Telnet.
Aggiunto temporaneamente modulo per minare Bitcoin a Mirai
I ricercatori IBM rendono noto che è stata rilevata una variante del malware Mirai, che si ba
IBM X-FORCE ha rilevato la presenza del modulo per un breve periodo, circa una settimana a fine marzo, che è poi stato tolto dal momento che i dispositivi infettati, tutti appartenenti all’IoT (telecamere IP, DVR, router, access point, etc..), non hanno abbastanza risorse computazionali per il mining di bitcoin, attività che richiede processi ad alto consumo CPU e GPU.
La presenza, seppur sperimentale, di un tale modulo sicuramente lancia qualche spunto di riflessione sulla futura evoluzione delle botnet e del malware Mirai: si limiterà a portare a termine attacchi DDoS? O si evolverà includendo la possibilità di fare mining di Bitcoin, sfuttando la potenza di calcolo complessiva della rete di dispositivi infetti? Visto che i dispositivi IoT sono facili da bucare, quali sono le reali potenzialità delle botnet?
Ransomware
Il ransomware Cerber sfugge al Machine Learning
Il ransomware Cerber adotta una nuova tecnica che permette di evitare al rilevamento da parte di soluzioni basate su tecnologie di Machine Learning, diventando ben più difficile da identificare.
Come spiegato dai ricercatori di TrendLabs (TrendMicro), il ransomware utilizza un loader che permette di sfuggire ai controlli basati su apprendimento automatico nascondendosi in processi di sistema regolari.
Cerber viene distribuito via email con un link per il download di un file Dropbox, che una volta scaricato si auto-estrae (uno script Visual Basic, una libreria DLL e un file binario contenente loader e configurazione) e inizia le sue attività di infezione.
Il loader controlla se il sistema gira in una VM (macchina virtuale), in una sand-box o se determinati strumenti di analisi sono in funzione (Msconfig, Sandboxes, Regedit, Task Manager, Virtual Machines, Wireshark, 360, AVG, Bitdefender, Dr. Web, Kaspersky, Norton, Trend Micro): se viene soddisfatta una di queste condizioni, il malware ferma le sue operazioni e inietta il payload -ossia i binari di Cerber- direttamente in un processo di sistema, risultando trasparente ai normali strumenti di analisi.
La pericolosità di questa versione risiede nel fatto che sfrutta file autoestraenti, normali librerie DLL e codice binario, ossia elementi che risultano sostanzialmente trasparenti a sistemi basati su tecniche statiche di apprendimento automatico, cioè che verificano il tipo di dati e non il contenuto.
Tuttavia Cerber risulta tuttora rilevabile da soluzioni che si basano su varie tecniche di controllo incrociato e non sfruttano solo Machine Learning.
Il progetto No More Ransom si arricchisce con nuove collaborazioni
No More Ransom è il progetto nato nell’estate del 2016 dall’unione delle forze di Europol, polizia dei Paesi Bassi, Kaspersky Labs ed Intel Security; l’intento dichiarato è di combattere il fenomeno dei ransomware.
Il progetto si arricchisce di nuove e importanti collaborazioni: Avast, CERT Polska e Eleven Paths – Telefonica Cyber Security Unit portano il totale dei partner associati a 7, mentre altri 30 partner portano a 76 il numero di partner che collaborano, tra i quali si segnalano i reparti di polizia di Australia, Belgio, Interpol, Israele, Corea del Sud, Russia e Ucraina.
Da segnalare anche la traduzione del materiale disponibile in ulteriori lingue (14), comprese tedesco, spagnolo e giapponese; sono previste ulteriori traduzioni per poter offrire aiuto a tutti i cittadini del mondo.
14 nuovi strumenti di decrittografiasi sommano ai 26 già presenti.
Avast offre 6 nuovi strumenti di decrittografia
Avast ha messo a disposizione 6 nuovi strumenti per la decrittografia di file e dati cifrati in seguito ad un attacco ransomware.
Il primo tool è per FindZip è per FindZip, un ransomware che è diretto al sistema operativo macOS di Apple; la procedura è semplice ma il tool è un eseguibile che su Mac e Linux ha bisogno di un ambiente di emulazione come Wine o CrossOver, mentre su Windows gira nativamente.
Il secondo tool, fornito in collaborazione con i ricercatori di CERT.PL, è per il ransomware CryptoMix, diffuso anche tramite le varianti CryptFile2, Zeta e CryptoShield.
Gli altri tre strumenti sono dedicati ai ransomware HiddenTear, Jigsaw e Stampado/Philadelphia.
La lista completa dei tool di decrittografia messi a disposizione da Avast è consultabile a questo indirizzo.
Ricordiamo che Avast è diventata recentemente associate partner del progetto No More Ransom.
Vulnerabilità
Cisco invita a disabilitare Telnet causa vulnerabilità nel sistema operativo IOS
A seguito della divulgazione da parte di Wikileaks di documenti riservati (“Vault 7”) in cui vengono illustrate tecniche usate dalla CIA per l’hacking di sistemi informatici, Cisco ha rilevato delle parti che possono compromettere i suoi prodotti e invita i clienti a disabilitare Telnet sui suoi prodotti.
La vulnerabilità sfrutta il codice di CMP (Cluster Management Protocol) presente in Cisco IOS, il sistema operativo dei prodotti Cisco, e in Cisco IOS XE Software, che permette ai membri di un cluster di scambiarsi informazioni via SSH e Telnet.
Se sfruttata, la vulnerabilità permette ad un utente remoto e non autenticato di accedere al dispositivo e causarne il riavvio o l’esecuzione di codice dannoso.
Il bug è il risultato di due cause: la prima è che CMP non distingue tra connessioni Telnet provenienti dall’interno o da remoto, e la seconda è dovuta all’errata elaborazione di comandi Telnet specifici per CMP malfatti. Cisco invita a disabilitare Telnet in favore di SSH; non è presenta una patch al momento. La lista completa dei dispositivi coinvolti, anche di fascia business, è disponibile a questo indirizzo.
Identificato malware pre-installato su 36 dispositivi Android distribuiti da due società
I ricercatori Check Point rendono nota una lista di dispositivi Android che sono risultati infetti ai malware delle famiglie Loki e SLocker. I dispositivi sono distribuiti da due società ben precise, la cui identità però non è stata counicata. Loki guadagna privilegi di root per sfruttare le sue caratteristiche di spyware, quindi rubando dati sensibili come cronologia browser, lista contatti, storico chiamate e dati su geolocalizzazione; inoltre visualizza pubblicità illegalmente. SLocker è un ransomware che infetta i dispositivi mobile.
Il malware ovviamente non è presente sul sistema operativo così come viene fornito dagli sviluppatori Android o come installato direttamente dai produttori, che anzi subiscono un grave danno d'immagine oltre che economico, viene iniettato in un momento preciso della filiera da terze parti; la pericolosità deriva sia dalla presenza del malware che da un rapporto di fiducia tra acquirente e venditore che, nel caso di venditori non del tutto affidabili, viene a mancare.
Il che pone dei seri interrogativi sulla sicurezza dei dispositivi venduti: potrebbero contenere backdoor o aver subito il processo di "rooting" senza il consenso dell'utente e senza la possibilità che questi possa apprezzare delle differenze tra un prima ed un dopo relativo alla presenza di malware, dal momento che il dispositivo lo contiene già.
Gli utenti devono quindi rivolgersi esclusivamente ai canali convenzionali sia per l'acquisto di dispositivi che di app.
La lista completa di dispositivi coinvolti, APK e SHA1 è disponibile qui.
News dai vendor
iOS 10.3 corregge vulnerabilità in Safari che permette infezioni scareware
Apple ha rilasciato un aggiornamento per il suo sistema operativo per dispositivi mobile iOS 10.3 che corregge una vulnerabilità di Safari che è stata sfruttata per veicolare scareware tramite JavaScript. Uno scareware, così come un ransomware, chiede soldi all’utente per sbloccare una situazione di blocco ma, a differenza dei ransomware, non viene cifrato alcun contenuto: viene sfruttata lo spavento e la paura (in inglese, scare) dell’utente per spingerlo a pagare.
Alcune campagne, come spiega l’azienda di sicurezza mobile Lookout, sfruttavano una debolezza di Safari che permetteva a JavaScript di continuare ad aprire popup, di fatto rendendo l’uso del browser impossibile (a meno di pulire la cache, operazioni però sconosciuta al pubblico coinvolto). Un avviso che imitava caratteri istituzionali infine intimidiva l’utente a pagare una certa somma per sbloccare il telefono. La versione 10.3 di iOS corregge questa vulnerabilità.
News dai vendor
GoDaddy acquisisce Sucuri
GoDaddy, il maggior annuncia l’acquisizione di Sucuri, la popolare azienda di soluzioni di sicurezza per siti Web. Sucuri continuerà ad operare normalmente, GoDaddy integrerà i suoi servizi nelle offerte per i clienti.
I prodotti di Sucuri includono un WAF (web application firewall), un IPS (intrusion prevention system), un CDN (content distribution network) e servizi di monitoraggio, mitigazione attacchi DDoS e backup in Cloud. “La maggior parte dei nostri clienti non è esperta nella sicurezza dei siti Web”, afferma Kevin Doerr, Senior Vice President e General Manager of Security di GoDaddy. “L’unione di Sucuri e GoDaddy risulterà in una maggior sicurezza digitale per i nostri clienti, rendendola semplice, a buon mercato ed efficace”.
“Continueremo a lavorare come sempre. Quel che ci si può aspettare sono miglioramenti nei nostri processi e più risorse da investire in team, clienti e prodotti. Non cambierà nulla per i cliente Sucuri, che rimarranno tali. Anzi, è lecito aspettarsi miglioramenti nel supporto e nell’offerta grazie agli investimenti che verranno fatti”, commenta il team di Sucuri in un post sul loro blog.
Microsoft termina il supporto a Windows Vista
L’11 Aprile 2017 terminerà il supporto Extended a Windows Vista, il sistema operativo di Microsoft introdotto nel 2007.
Il supporto Extended estende la durata del supporto Mainstream, che ha durata 5 anni, di 5 ulteriori anni, allungando così la vita del prodotto. Una volta terminato il periodo, il sistema operativo non viene più aggiornato e mantenuto, è da considerarsi obsoleto e bisognerebbe procedere al suo upgrade (Windows 7, Windows 8.1 o Windows 10), in modo da garantire un supporto almeno fino al 2020 (fine del supporto Extended per Windows 7).