L’Italia è il terzo paese al mondo per vittime da attacchi ransomware; Il governo indonesiano paralizzato da attacco ransomware; Ransomware: attacchi in aumento nel secondo trimestre 2024.
Sono solo alcuni dei tanti titoli che si leggono ultimamente suoi quotidiani e che mostrano come la minaccia ransomware stia aumentando vertiginosamente negli ultimi anni. Una tipologia di attacco che ha dimostrato, sin da subito, quanto vulnerabili possano essere anche i sistemi e le infrastrutture più avanzate.
In tale scenario, di recente, è nata una piattaforma che promette di aiutare a proteggersi grazie semplicemente a una dashboard. Si chiama ransomfeed.it ed è un esempio di servizio online che risponde alla necessità di aumentare la sicurezza fornendo delle informazioni che aumentano la consapevolezza. Monitorando, in altri termini, le minacce e diffondendo dati importanti per aiutare le aziende e gli utenti a gestire e mitigare i rischi associati. Vediamo di cosa si tratta e come funziona.

Il cuore del servizio di Ransomfeed è un feed RSS permanente, che offre un aggiornamento continuo e immediato delle informazioni sugli attacchi ransomware a livello globale.

COS’È RANSOMFEED?

Partiamo dal principio. Ransomfeed è un servizio che si caratterizza per la sua capacità di raccogliere, analizzare e fornire informazioni dettagliate sui gruppi ransomware e sulle loro attività in tutto il mondo. Utilizzando tecnologie di data scraping e analisi dei dati, estrae informazioni da una varietà di fonti online, inclusi forum, Darkweb e altri canali specializzati e pubblici, per rilevare e documentare le minacce emergenti.
Il servizio è gratuito e rappresenta una risorsa per chiunque desideri tenere sotto controllo le attività dei gruppi di ransomware e migliorare la propria strategia di difesa contro attacchi informatici sempre più sofisticati. La pagina Web è organizzata con un menu laterale che comprende una dashboard, una sezione Notizie, una sezione adibita ai Reports e una sezione che contiene dei documenti riassuntivi mensili. Sempre dal menu laterale si accede a delle statistiche tra cui quelle per paese e per gruppo. È anche possibile filtrare i dati per anno o vedere solo quelli che riguardano l’Italia.

IL MONITORAGGIO

Il servizio di monitoraggio offerto da Ransomfeed è progettato per fornire una panoramica dettagliata e aggiornata degli attacchi ransomware a livello globale. Questo servizio è completamente gratuito e si basa su un processo sofisticato di raccolta e analisi dei dati.
Ransomfeed utilizza una combinazione di tecnologie avanzate e metodologie di monitoraggio per aggregare informazioni da una vasta gamma di fonti, tra cui il Darkweb, forum specializzati, e altre piattaforme in cui i gruppi di ransomware comunicano e operano. Il sistema di monitoraggio automatizzato di Ransomfeed è in grado di identificare e raccogliere dati rilevanti riguardanti nuovi gruppi di ransomware, varianti di malware, tecniche di attacco, e le vittime recenti. Le principali caratteristiche del servizio includono:
• Raccolta dati continua: Ransomfeed esegue una raccolta dati incessante per garantire che le informazioni siano sempre aggiornate. Questo approccio permette di avere una visione in tempo reale delle attività dei gruppi di ransomware e delle minacce emergenti.
• Analisi e aggregazione: i dati raccolti vengono elaborati e analizzati per estrarre informazioni chiave e tendenze. Questo processo include la verifica delle fonti e la correlazione delle informazioni per garantire accuratezza e rilevanza.
• Feed RSS aggiornati: I risultati dell’analisi vengono poi resi disponibili attraverso un feed RSS permanente. Questo feed fornisce aggiornamenti regolari e tempestivi sui nuovi attacchi ransomware e sugli sviluppi significativi nel panorama delle minacce. Gli utenti possono iscriversi a questo feed per ricevere notifiche direttamente nei loro lettori RSS, mantenendo così un flusso costante di informazioni.
• Accesso Libero e Senza Costi: la piattaforma è accessibile a tutti senza alcun costo, riflettendo l’impegno di Ransomfeed nel fornire uno strumento di monitoraggio delle minacce che può essere utilizzato da chiunque, da professionisti della sicurezza informatica a semplici utenti preoccupati per la loro sicurezza online.

La dashboard contiene una tabella che consente di visualizzare le principali informazioni di un attacco: il nome della vittima, il nome del gruppo ransomware, la data di pubblicazione e il paese.

UTILITÀ DELLE INFO

La domanda su chi possa beneficiare delle informazioni fornite da Ransomfeed è più che legittima. Sono tante le categorie di utenti che possono trarne vantaggio.
In primo luogo vi sono i professionisti della sicurezza Informatica: gli esperti di cybersecurity possono utilizzare le informazioni di Ransomfeed per rafforzare le difese delle loro organizzazioni.
Per le piccole e medie imprese (PMI), che spesso non dispongono di risorse dedicate alla sicurezza informatica, avere accesso a dati aggiornati sugli attacchi ransomware può fare la differenza nella prevenzione degli incidenti quanto meno migliorando le conoscenze e aumentando la consapevolezza. Le grandi aziende, che gestiscono volumi significativi di dati e operazioni complesse, possono integrare queste informazioni nelle loro strategie di sicurezza. Gli enti governativi e le Agenzie di Sicurezza: le istituzioni governative e le agenzie di sicurezza possono utilizzare i dati di Ransomfeed per valutare l’impatto degli attacchi ransomware a livello nazionale e sviluppare politiche e misure di risposta più efficaci. Le informazioni dettagliate su come e dove si verificano gli attacchi possono aiutare a indirizzare le risorse e le iniziative di prevenzione.
I ricercatori e gli analisti di gicurezza: i ricercatori e gli analisti di sicurezza informatica possono sfruttare le informazioni di Ransomfeed per studiare le tendenze e i modelli degli attacchi ransomware. Questo può contribuire allo sviluppo di nuovi strumenti di difesa e metodologie di risposta agli attacchi, migliorando la sicurezza complessiva del cyberspazio.
Il pubblico e gli utenti privati: anche gli utenti privati e le organizzazioni non specializzate possono beneficiare di queste informazioni. Essere informati sui rischi e sulle minacce emergenti può aiutare a migliorare le proprie abitudini di sicurezza informatica, come l’adozione di password più sicure e la consapevolezza dei tentativi di phishing.
Avere una visione chiara e tempestiva dell’entità e dell’evoluzione degli attacchi ransomware consente a tutti questi gruppi di adottare misure preventive più efficaci. L’accesso a dati aggiornati aiuta a anticipare le minacce, pianificare risposte più informate e implementare strategie di mitigazione più robuste. In un contesto di attacchi informatici sempre più sofisticati e frequenti, l’abilità di reagire e con precisione può significativamente ridurre il rischio di danni e interruzioni operativi.
In Italia, le piccole e medie imprese (PMI) sono particolarmente vulnerabili a tali attacchi. Spesso queste organizzazioni non dispongono delle risorse e delle competenze necessarie per implementare adeguate misure di sicurezza informatica, rendendole bersagli facili per i gruppi ransomware. L’incapacità di proteggere efficacemente i propri dati e sistemi può portare a gravi interruzioni operative e danni economici considerevoli a danno dell’azienda in questione ma, più in generale, del tessuto sociale di cui fa parte. Le statistiche fornite da Ransomfeed rivelano che i settori più colpiti in Italia includono la sanità, i servizi finanziari e il commercio al dettaglio, settori in cui i dati sensibili e le operazioni critiche sono particolarmente vulnerabili. Inoltre, i dati suggeriscono una crescente sofisticazione degli attacchi, con i gruppi ransomware che evolvono continuamente le loro tecniche per eludere le difese e massimizzare i profitti.

Nella sezione Reports sono pubblicati i report quadrimestrali sulle attività ransomware analizzate dal gruppo di ransomfeed, in lingua italiana e inglese.

SIAMO VULNERABILI?

La lettura delle statistiche evidenzia l’urgenza di rafforzare le misure di sicurezza informatica a livello nazionale e la necessità di un’azione coordinata tra governo, aziende e istituzioni per migliorare la resilienza contro le minacce ransomware. Le organizzazioni pubbliche e private devono investire di più in formazione del personale (tecnico e non), ma anche in strumenti di sicurezza avanzati e strategie di risposta agli incidenti per proteggere efficacemente i propri dati e le proprie operazioni.
La crescente frequenza e sofisticazione degli attacchi ransomware indica che è essenziale rimanere aggiornati sulle ultime minacce e vulnerabilità.
Utilizzare risorse capaci di monitorare l’andamento degli attacchi e comprendere le tendenze emergenti può aiutare ad adottare misure preventive e a prepararsi meglio per rispondere a potenziali incidenti. La vulnerabilità dell’Italia di fronte a minacce informatiche è considerevole e radicata in diversi fattori. La sicurezza informatica, o cybersecurity, è ancora una disciplina giovane e spesso trascurata. La mancanza di cultura e consapevolezza sulla materia contribuisce a creare un ambiente digitale pericoloso, dove la sicurezza viene frequentemente messa in secondo piano per motivi di costi o semplicemente perchè non compresa. Le aziende e gli utenti, sia privati che pubblici, non sempre adottano pratiche di sicurezza adeguate, lasciando così ampie superfici di attacco ai criminali informatici. Inoltre, molti servizi e infrastrutture digitali non sono progettati adeguatamente e non sono resilienti. Tuttavia, spesso i servizi online e le infrastrutture tecnologiche non sono dotati di meccanismi di difesa robusti e strategie di risposta agli incidenti ben definite.
Questo significa che, in caso di attacco, i danni possono essere gravi e la ripresa può richiedere molto tempo e risorse. Quindi, meglio organizzarsi in tempo!

Lo stato maggiormente colpito risulta essere gli USA che da inizio anno ha registrato 1273 attacchi ransomware, davanti a UK (156), Canada (141) e Germania (93), L’Italia risulta essere al quinto posto con 80 attacchi, davanti alla Francia (71), Brasile e Spagna (62), Australia (44) e India (39).

La Polizia di Stato e la Cyber Security Italy Foundation hanno firmato un protocollo d’intesa con l’obiettivo di promuovere l’educazione digitale continua e lo sviluppo di competenze trasversali per un apprendimento critico e consapevole delle tecnologie informatiche. Questo accordo consolida una collaborazione già esistente tra la Fondazione e la Polizia Postale e delle Comunicazioni, rafforzando gli sforzi congiunti nelle scuole italiane.

GLI OBIETTIVI

In particolare, le iniziative congiunte mirano a formare e sensibilizzare i giovani sui temi della sicurezza digitale, oltre a promuovere e valorizzare le professionalità legate al mondo del digitale e della cybersicurezza. La Polizia di Stato, attraverso il lavoro della Polizia Postale, gioca un ruolo cruciale a livello nazionale e internazionale nella prevenzione e contrasto dei crimini informatici, grazie alle sue prerogative esclusive. Il protocollo d’intesa rappresenta un passo significativo verso la creazione di una cultura della sicurezza informatica più diffusa e consapevole. Attraverso questa collaborazione, si punta a equipaggiare le nuove generazioni con le competenze necessarie per navigare in un mondo digitale in continua evoluzione, promuovendo un uso responsabile e sicuro delle tecnologie. La firma di oggi sottolinea l’impegno delle istituzioni italiane nel fronteggiare le sfide della cybersicurezza e nel garantire una formazione adeguata ai cittadini di domani.

LA PAROLA AI RESPONSABILI

L’accordo è stato siglato dal Direttore della Polizia Postale Ivano Gabrielli e dal Presidente della Cyber Security Italy Foundation Marco Gabriele Proietti. “In un contesto globale che vede la dimensione online protagonista delle vite dei cittadini, delle aziende e delle istituzioni, è necessario puntare alla formazione dei giovani, non solo per una sempre più diffusa e strutturata conoscenza e consapevolezza dei rischi legati al territorio digitale ma anche per stimolare una riflessione sulle possibili proiezioni di carriera legate alla sicurezza cibernetica. Professionalità di elevatissima competenza tecnica e specialistica, necessarie e sempre più richieste, proprio per la strategicità della materia” ha detto Ivano Gabrielli, Direttore della Polizia Postale.

“Oggi è un giorno importante per la Cyber Security Italy Foundation- ha spiegato il Presidente e Fondatore Marco Gabriele Proietti- che certifica ufficialmente la collaborazione strategica con la Polizia Postale, un’istituzione di eccellenza e un presidio fondamentale per la sicurezza digitale del nostro Paese, che sin dall’avvio delle attività e dei progetti della Fondazione ci ha affiancato e sostenuto. Desidero, dunque, esprimere un sentito ringraziamento alla Polizia Postale per il costante impegno nel contrastare le minacce della Rete, proteggendo cittadini, aziende e istituzioni. Questo protocollo rappresenta un passo decisivo nella costruzione di un fronte comune contro le sfide del dominio cibernetico. Al centro della nostra intesa c’è la convinzione che la formazione e la sensibilizzazione, partendo anche dalle scuole, rappresentino gli strumenti più efficaci per prevenire e affrontare le insidie del cyberspazio. La prevenzione è la nostra arma più potente per costruire un futuro digitale sicuro e resiliente”.

Leggi anche: “Maxi operazione contro lo streaming online“

Lo scorso febbraio, Roma ha ospitato la prima edizione di SAIBORG, una competizione d’élite in stile Cyberpunk dedicata all’hacking. Più di 50 hacker provenienti da tutta Italia hanno partecipato all’evento, sfidandosi nel craccare, sfruttare e aggirare firewall, IDS, IPS, WAF e antivirus all’interno di una rete militare simulata. I partecipanti hanno cercato di scalare la classifica mantenendo un basso profilo, immersi in un’atmosfera caratterizzata da kit “Boosting”, musica Cyberpunk, luci al neon e un’ambientazione cupa in perfetto stile Gibsoniano.
La seconda edizione è alle porte. In attesa di conoscere la data dell’evento è stato appena lanciato il video preview per l’edizione #2 di SAIBORG che potete vedere qui in anteprima.

Un utente noto come “ObamaCare” ha diffuso un file chiamato “rockyou2024.txt” contenente password precedentemente pubblicate insieme a circa 1,5 miliardi di nuove password. Secondo i ricercatori di Cybernews, questo aumenta notevolmente la possibilità di intensificarsi degli attacchi di tipo Credential Stuffing, in cui le credenziali rubate vengono testate automaticamente sui siti più diffusi.

Chi desidera verificare se la propria password è al sicuro può utilizzare il servizio offerto da Cybernews a questo indirizzo.

I ricercartori di Cybernews hanno scoperto, inoltre, un bucket Amazon S3 (si tratta di un contenitore di file online) contenente oltre 89.000 file caricati sulle piattaforme PDF Pro e Help PDF accessibile a chiunque. Questi file contengono, tra le altre cose, anche carte d’identità, patenti e altri documenti con dati privati e sensibili, che potrebbero finire agevolmente in mani non certo amiche.

*illustrazione articolo progettata da  Freepik

Come capire se un file .pdf può danneggiare il PC? Beh, una delle peculiarità consiste nel fatto che possono contenere collegamenti, pulsanti, campi modulo, audio, video e altre funzionalità. Possono essere firmati elettronicamente ed essere visualizzati su diversi dispositivi, mantenendo teoricamente la stessa formattazione, indipendentemente da sistema operativo o browser. Ciò li rende “perfetti” per la realizzazione di attacchi PDF Exploit. Vediamo di capirne di più.

PDF EXPLOIT?

Veniamo subito al punto. Quando si parla di PDF exploit ci si riferisce a un metodo utilizzato per condurre attacchi usando file pdf all’interno dei quali è stato inserito uno script malevolo. Questo può essere un virus, uno spyware o anche un ransomware. Come abbiamo anticipato, infatti, i file PDF possono contenere del codice e “accogliere” degli oggetti di vario genere, tra cui altri file (per esempio documenti di Word con al loro interno anche delle macro!). Questo genere di attacco, generalmente, sfrutta delle vulnerabilità dei lettori PDF, siano essi dei programmi per la lettura o gli stessi browser.

L’impatto sui sistemi può essere vario e, a seconda della tipologia di malware impiegato, si potrebbe trattare di un DoS o di furto di dati, fino alla completa compromissione del sistema. Per renderci conto di quante vulnerabilità correlate coi file PDF vi siano, possiamo fare una veloce ricerca su MITRE inserendo il termine PDF come chiave: troverete una lista di quasi 3000 vulnerabilità!

COME PROTEGGERSI?

Tanto per cominciare diciamo subito che i normali antivirus in linea di massima non si accorgono della presenza del file Word all’interno del PDF, per cui non sono idonei a contrastare questo tipo di attacco. Diverso è il discorso per le sandbox. Ne esistono online, come per esempio hybrid analysis o stand alone, come per esempio Dangerzone. Quest’ultima soluzione utilizza diverse sandbox per elaborare il file potenzialmente dannoso che viene inizialmente convertito in PDF, quindi in Raw (costituito da soli pixel, dati di immagine non compressi e non elaborati), infine impiega una nuova sandbox per riconvertire i dati immagine in pdf, questa volta innocuo.

Esistono poi altri strumenti come i Web Application Firewall (WAF) che in linea teorica potrebbero essere in grado di individuare il contenuto dannoso anche all’interno di file PDF, ma spesso non sono settati per effettuare certi tipi di controlli per evitare l’introduzione di ritardi nell’esperienza utente. D’altra parte, esistono anche WAF che lavorando in parallelo sul traffico ricevuto non introducono ritardi. WAF basati solo sul controllo delle firme dei malware non sono però utili, meglio WAF basati su Machine Learning.

È possibile usare anche strumenti come OLEVBA, uno script per analizzare i file OLE (Object Linking and Embedding) e OpenXML (eXtensible Markup Language) come i documenti MS Office (Word, Excel ecc.), per rilevare le macro VBA (Visual Basic for Applications), estrarre il loro codice sorgente in testo in chiaro e individuare nel testo possibili rischi per la sicurezza come macro auto-eseguibili, parole chiave VBA sospette usate da malware, tecniche di anti-sandboxing e anti-virtualizzazione, e potenziali indicatori di compromissione (IOCs – Indicators of Compromise), come indirizzi IP, URL, nomi di file eseguibili ecc. OLEVBA è capace anche di rilevare diversi metodi di offuscamento, inclusi la codifica Hex, StrReverse, Base64, Dridex (trojan bancario), espressioni VBA e può estrarre indicatori di compromissione dalle stringhe decodificate. OLEVBA può essere utilizzato sia come strumento da riga di comando, sia come modulo Python dalle proprie applicazioni.

Un caso reale di tecnica di offuscamento

A fine 2023 due ricercatori del CERT giapponese JPCERT/CC, Yuma Masubuchi e Kota Kino, hanno posto l’attenzione su una nuova tecnica di evasione antivirus che consiste esattamente nell’inserire un documento Word contenente una VBS macro all’interno di un pdf. Il file così ottenuto si chiama “poliglotta”. È un file valido contemporaneamente in più formati. Naturalmente, il comportamento mostrato sarà differente quando viene interpretato da diversi programmi. Facciamo un esempio per capire meglio. Un file può essere contemporaneamente un PDF valido e un documento Word. Quando lo si apre in un lettore, esso si comporterà come un normale PDF. Ma quando verrà aperto in Word, mostrerà le proprietà di un documento Word. Gli attaccanti hanno sfruttato questa caratteristica per aggirare i filtri di sicurezza che cercano un tipo specifico di file dannoso. Se un sistema si aspetta un PDF, il documento poliglotta Word/PDF sembrerà innocuo. Ma quando aperto in Word, potrà eseguire il malware che contiene. La vera natura del file è nascosta finché non viene interpretato dal programma giusto. Questa sofisticata tecnica di offuscamento consente agli attaccanti di bypassare i sistemi di rilevamento di malware basati su firme statiche che si affidano all’uso di numeri magici dei file e formattazioni prevedibili.

Interoperabilità: la visione di John Warnock

Co-fondatore della Adobe Systems Incorporated, è stato una figura emblematica nel mondo della tecnologia, noto soprattutto per il suo ruolo nello sviluppo di PostScript, il linguaggio di descrizione di pagina che ha rivoluzionato il modo in cui i testi e le immagini vengono stampati su carta. Sotto la sua guida, Adobe ha lanciato il formato PDF, che è diventato rapidamente lo standard de facto per la distribuzione e lo scambio di documenti digitali. La visione di Warnock di un documento che appare uguale su qualsiasi piattaforma ha profondamente influenzato l’interoperabilità digitale.

È anche l’ideatore dell’algoritmo di Warnock, un algoritmo per la determinazione della superficie nascosta che è spesso utilizzato nel campo della computer grafica.

In vista delle Olimpiadi di Parigi, Kaspersky ha analizzato la sicurezza delle reti Wi-Fi aperte a cui i visitatori potrebbero collegarsi. Su 47.891 segnali analizzati in luoghi frequentati e sedi olimpiche (le aree di analisi comprendono: Arco di Trionfo, Avenue des Champs-Élysées, Museo del Louvre, Torre Eiffel, Cattedrale di Notre Dame, Senna, Trocadéro, Stadio di Francia), sono stati identificati 24.766 punti di accesso Wi-Fi unici. Un quarto di queste reti presenta gravi carenze di sicurezza, come crittografia debole o inesistente, rendendole vulnerabili agli attacchi. Inoltre, quasi il 20% delle reti usa WPS, un algoritmo obsoleto e facilmente compromettibile. Solo il 6% delle reti adotta il protocollo di sicurezza WPA3.
I criminali informatici potrebbero sfruttare queste reti per rubare dati sensibili degli utenti. Kaspersky consiglia di utilizzare una VPN, come Kaspersky VPN Secure Connection per criptare la connessione e proteggere i dati personali e finanziari su reti Wi-Fi pubbliche.

Per avere maggiori informazioni sulla sicurezza della rete Wi-Fi di Parigi, consigliamo di visitare il sito Kaspersky Daily

Quando si utilizza il Wi-Fi pubblico, gli esperti consigliano sempre di seguire alcune regole comportamentali:

• Evitare le transazioni sensibili: non accedere a conti bancari o ad altri servizi sensibili quando si utilizza il Wi-Fi pubblico.
• Verificare la rete: assicurarsi che sia legittima verificando con la struttura che la mette a disposizione.
• Attivare i firewall: controllare che il firewall del dispositivo sia attivo per bloccare gli accessi non autorizzati.
• Utilizzare password forti: impostare sempre password efficaci e uniche e attivare l’autenticazione a due fattori per una maggiore protezione.
• Aggiornare i software: eseguire regolarmente l’aggiornamento del sistema operativo, delle applicazioni e del software antivirus per proteggersi dalle minacce più recenti.
• Disattivare la condivisione dei file: per evitare accessi non autorizzati, disabilitare la condivisione di file e AirDrop sul dispositivo.

leggi anche: “Fan dei gliochi olimpici truffati”

*illustrazione articolo progettata da  Freepik

La comunicazione e la sicurezza digitale sono cruciali nella società moderna, facilitando lo scambio di informazioni e proteggendo dati sensibili. La Cyber Security Italy Foundation e la Fondazione ITS Information and Communications Technology Academy (ICT Academy) hanno firmato un protocollo d’intesa per promuovere competenze avanzate nella comunicazione e sicurezza digitale. Questo accordo mira a diffondere conoscenze di cybersecurity tra giovani e professionisti, attraverso scuole e centri per l’impiego, per colmare il gap di competenze in Italia.

Il presidente dell’ITS ICT Academy, Fabrizio Rizzitelli, ha sottolineato l’importanza della diffusione delle competenze digitali per creare una forza lavoro qualificata e aumentare la consapevolezza delle minacce informatiche. Marco Gabriele Proietti, presidente della Cyber Security Italy Foundation, ha parlato del “Progetto scuole” per l’educazione alla cybersecurity, che verrà esteso a livello nazionale.

ITS ICT Academy integra istruzione, formazione e lavoro, aggiornando professionisti e realizzando percorsi formativi. La Cyber Security Italy Foundation promuove l’innovazione tecnologica e supporta il trasferimento di know-how alle Pubbliche Amministrazioni e alle imprese. Entrambe le fondazioni mirano a sensibilizzare e diffondere una cultura della sicurezza digitale tramite ricerche, convegni, corsi e progetti innovativi.

Il protocollo d’intesa, della durata di un anno, prevede attività congiunte di divulgazione tecnica e scientifica, stage, orientamento e formazione, con l’obiettivo di sviluppare competenze professionali nel campo della comunicazione e della cybersecurity. Inoltre, le fondazioni promuoveranno la ricerca e l’innovazione tecnologica, sensibilizzando studenti e cittadini sull’importanza della sicurezza informatica e partecipando a bandi di concorso per progetti comuni.

Leggi anche: “Percorsi di formazione per accrescere le competenze digitali“