News
In anteprima il Rapporto Clusit 2024
Nel 2023, in Italia, l’analisi del Clusit ha evidenziato un aumento del +65% nei gravi cyber attacchi rispetto al 2022, superiore al +12% registrato a livello mondiale
È stato presentato in anteprima alla stampa il Rapporto Clusit 2024, redatto dai ricercatori dell’Associazione Italiana per la Sicurezza Informatica (Clusit), che fornisce un’analisi indipendente sull’evoluzione del cybercrime sia a livello globale che italiano. Ricordiamo che il Rapporto Clusit 2024 sarà presentato al pubblico il prossimo 19 marzo, in apertura di Security Summit, la tre giorni dedicata alla cybersecurity organizzata a Milano da Clusit con Astrea, Agenzia di Comunicazione ed Eventi specializzata nel settore della Sicurezza Informatica.
Da questo rapport si evince che il 2023 ha visto un’inequivocabile escalation degli attacchi informatici a livello globale, con 2.779 incidenti gravi analizzati da Clusit, rappresentando un chiaro deterioramento rispetto all’anno precedente. Questa tendenza continua a mostrare una crescita costante, registrando un aumento del +12% rispetto al 2022. Mensilmente, si è riscontrata una media di 232 attacchi, con un picco massimo di 270 nel mese di aprile, che rappresenta anche il valore massimo registrato negli anni. L’81% degli attacchi è stato classificato come di gravità elevata o critica, secondo la scala di “severity” adottata dai ricercatori di Clusit, basata sulla tipologia di attacco e sui relativi impatti. In questo scenario, l’Italia si trova sempre più nel mirino dei cybercriminali: l’anno scorso, nel nostro Paese è stato colpito l’11% degli attacchi gravi globali monitorati da Clusit (rispetto al 7,6% del 2022), per un totale di 310 attacchi, segnando un aumento del 65% rispetto all’anno precedente. Più della metà di questi attacchi, il 56%, ha avuto conseguenze di gravità critica o elevata. Analizzando gli ultimi cinque anni, emerge che oltre il 47% di tutti gli attacchi registrati in Italia dal 2019 si è verificato nel corso del 2023.
Come consueto, nel presentare i dati, i ricercatori di Clusit hanno sottolineato che si tratta di una rappresentazione delle tendenze del fenomeno, ma che essa rappresenta solo la superficie visibile, considerando che molte vittime continuano a mantenere riservate le informazioni sugli attacchi subiti e che in alcune regioni del mondo l’accesso alle informazioni è estremamente limitato. Analizzando l’andamento del crimine informatico degli ultimi cinque anni, gli autori del Rapporto Clusit hanno evidenziato un’evoluzione e picchi sia in termini quantitativi che qualitativi: dal 2018 al 2023, gli attacchi sono aumentati complessivamente del 79%, con una media mensile che è passata da 130 a 232. Vediamo in dettaglio i dati del report.
Gli obiettivi degli attacchi nel mondo e in Italia
L’analisi dei cyber attacchi noti nel 2023 da parte dei ricercatori di Clusit evidenzia la netta prevalenza di attacchi con finalità di cybercrime – ovvero con l’obiettivo di estorcere denaro – che sono stati oltre 2.316 a livello globale, oltre l’83% del totale, in crescita del 13% rispetto al 2022. Questo andamento, commentano gli autori del Rapporto Clusit, sostanzia le indicazioni degli analisti che vedono una commistione tra criminalità “off-line” e criminalità “on-line” volta a reinvestire i proventi delle attività malevole, producendo così maggiori risorse a disposizione di chi attacca, in una sorta di circolo vizioso. Nel mondo sono quasi triplicati a livello globale gli attacchi con matrice di hacktivism, nel 2023 pari all’8,6% degli attacchi complessivi (erano il 3% nel 2022), con una variazione percentuale rispetto al totale anno su anno del 184%. In significativa diminuzione, invece, i fenomeni di espionage (6,4%, 11% nel 2022) e information warfare (1,7%, 4% nel 2022).
Tuttavia, rilevano gli autori del Rapporto Clusit, per quanto riguarda espionage e information warfare gli attacchi con impatto critico sono aumentati considerevolmente, da valori prossimi al 50% nel 2022 a valori intorno al 70% lo scorso anno. Questo andamento si può con alta probabilità spiegare con riferimento ai conflitti Russo-Ucraino ed Israelo-Palestinese che, almeno sul piano della cyber security, vedono coinvolti molti Paesi.
Per le azioni di hacktivism è stata invece rilevata a livello mondiale una significativa riduzione percentuale degli attacchi critici (poco più del 10% sul totale nel 2023, rispetto al 50% del 2022), un andamento costante di quelli ad alto impatto ed un aumento di quelli ad impatto medio. Il fenomeno si spiega, secondo gli autori del Rapporto Clusit, con il consistente aumento degli attacchi afferenti a questa categoria a seguito dell’aggravarsi dello scenario geopolitico, nonché alla natura dimostrativa dei possibili effetti, la cui gravità, in confronto agli obiettivi perseguiti dai criminali informatici verso il mondo pubblico o privato, è spesso intrinsecamente più limitata.
In Italia, nel 2023 gli attacchi perpetrati con finalità di cybercrime sono stati pari al 64%; segue un significativo 36% di attacchi con finalità di hacktivism, in netta crescita rispetto al 2022 (che aveva fatto registrare il 6,9%), con una variazione percentuale anno su anno del +761%. Il 47% circa del totale degli attacchi con finalità “hacktivism” a livello mondiale e che rientrano nel campione rilevato – notano gli esperti di Clusit – è avvenuto ai danni di organizzazioni italiane.
La crescita di attacchi con matrice di hacktivism nel nostro Paese dimostra la forte attenzione di gruppi di propaganda che hanno l’obiettivo di colpire la reputazione delle organizzazioni. Questa tipologia di eventi – perlomeno quelli avvenuti nei primi nove mesi dell’anno, secondo i ricercatori di Clusit – si riferisce per la maggior parte al conflitto in Ucraina, nei quali gruppi di attivisti agiscono mediante campagne dimostrative rivolte tanto al nostro Paese che alle altre nazioni del blocco filo-ucraino. “Questo tipo di operazioni a sfondo politico e sociale sembrano essere state a livello globale predominanti rispetto a quelle militari o di intelligence, almeno per quanto riguarda la porzione divenuta di pubblico dominio e considerando quanto questo contesto tenda ad emergere difficilmente”, commenta Sofia Scozzari, del Comitato Direttivo Clusit.
Chi viene attaccato, nel mondo e in Italia
A livello mondiale le principali vittime si confermano appartenere alla categoria degli obiettivi multipli (19%), che subiscono campagne di attacco non mirate ma dagli effetti consistenti. Segue il settore della sanità (14%) che, come fanno notare i ricercatori Clusit, ha visto un incremento del 30% rispetto allo scorso anno. Gli incidenti in questo settore hanno inoltre visto un aumento della gravità dell’impatto, critico nel 40% dei casi (era il 20% nel 2022). Una parte consistente degli attacchi è stata rivolta anche al settore governativo e delle pubbliche amministrazioni (12%). Pur con un andamento lineare, il settore pubblico è stato interessato da un incremento del 50% degli incidenti negli ultimi cinque anni, rilevano gli esperti di Clusit. Questo è spiegabile con l’incremento delle attività dimostrative, di disturbo e di fiancheggiamento legate ai conflitti in corso, le quali hanno come obiettivi di elezione soggetti legati alle sfere governative e della difesa di quei Paesi considerati avversari. Segue il settore finanza e assicurazioni (11%). Gli attacchi in questo settore sono cresciuti percentualmente del 62% rispetto all’anno precedente e hanno avuto un impatto critico nel 50% dei casi (era il 40% nel 2022). In percentuale, sono cresciuti in maniera rilevante anche gli attacchi ai settori dei trasporti e della logistica (+41%), del manifatturiero (+25%) e del retail (26%), probabilmente – come già evidenziato dagli esperti di Clusit lo scorso anno – a causa della crescente diffusione dell’IoT e dalla tendenza verso l’interconnessione di sistemi, ampiamente impiegati in questi settori e tuttavia spesso non sufficientemente protetti. In crescita anche la percentuale degli attacchi registrata nel settore scolastico (+20%) e del tempo libero (+10%); calano invece sensibilmente (-49%) gli attacchi verso il settore dei media e multimedia. Il settore più attaccato in Italia nel 2023 è stato invece quello governativo/ militare, con il 19% degli attacchi, che ha subito un incremento del 50% rispetto al 2022, seguìto dal manifatturiero, con il 13%, cresciuto del 17% rispetto ai dodici mesi precedenti. Come evidenziato dagli autori del Rapporto Clusit, è interessante notare che un quarto del totale degli attacchi rivolti al manufacturing a livello globale riguarda realtà manifatturiere italiane. Colpito dal 12% degli attacchi, il settore dei trasporti/logistica in Italia, ha visto invece un incremento percentuale anno su anno sul totale degli attacchi del 620%; analogamente, il settore della finanza e delle assicurazioni, verso cui è stato perpetrato il 9% degli attacchi nel 2023, ha visto una variazione percentuale sul totale del +286% rispetto allo scorso anno.
Le vittime appartenenti alla categoria degli “obiettivi multipli” sono state colpite nel nostro Paese dall’11% degli attacchi, segno di una maggior focalizzazione dei cyber criminali verso settori specifici negli ultimi mesi.
La geografia delle vittime: i continenti più colpiti
La distribuzione geografica percentuale delle vittime segna, secondo i ricercatori di Clusit, la variazione della digitalizzazione nel mondo, riflettendo verosimilmente uno spaccato sulle regioni mondiali che hanno adottato le migliori azioni di difesa. Nel 2023 si confermano, come nel 2022, più numerosi gli attacchi alle Americhe, che rappresentano il 44% del totale. Gli attacchi rivolti all’Europa hanno rappresentato nel 2023 il 23% degli attacchi globali, scendendo di un punto percentuale rispetto all’anno precedente ma in crescita percentuale sul 2022 del 7,5%. Crescono invece di un punto percentuale rispetto al 2022 gli attacchi in Asia – il 9% del totale – e rimangono sostanzialmente stabili quelli in Oceania e in Africa, rispettivamente il 2% e l’1% del totale. Circa un quinto degli attacchi (21%) è avvenuto parallelamente verso località multiple, con una riduzione di 6 punti percentuali sul totale degli attacchi rispetto al 2022.
Le tecniche d’attacco, nel mondo e in Italia
Il malware rappresenta nel 2023 ancora la tecnica principale con cui viene sferrato il 36% degli attacchi globali, percentualmente in crescita sul totale del 10% rispetto al 2022. In questa categoria, che comprende diverse tipologie di codici malevoli, il ransomware è in assoluto quella principale e maggiormente utilizzata grazie anche all’elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione. Segue lo sfruttamento di vulnerabilità – note o meno – nel 18% dei casi, in crescita percentuale del 76% sul totale rispetto al 2022. Phishing e social engineering sono la tecnica con cui è stato sferrato nel mondo l’8% degli attacchi, come gli attacchi DDoS, che segnano però una variazione percentuale annua del +98%. In Italia per la prima volta da diversi anni, la categoria prevalente non è più il malware, bensì gli attacchi per mezzo di DDoS, che rappresentano il 36% del totale degli incidenti registrati nel 2023, un valore che supera di 28 punti percentuali il dato globale e che segna una variazione percentuale annua sul totale del 1486%. La forte crescita è probabilmente dovuta, come indicano gli autori del Rapporto Clusit, all’aumento di incidenti causati da campagne di hacktivism: molto spesso la tecnica di attacco utilizzata in questo caso è proprio il DDoS, poiché si punta a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima. La percentuale di incidenti basati su tecniche sconosciute è 17%, sostanzialmente in linea con il resto del mondo.
Leggermente superiore l’impatto nel nostro Paese rispetto al resto del mondo gli attacchi di phishing e di ingegneria sociale, pari all’9%, che tuttavia in crescita dell’87% in valore assoluto, dimostrando l’efficacia duratura di questa tecnica. “Il fattore umano, evidentemente in Italia ancora più che nel resto del mondo, continua a rappresentare un punto debole facilmente sfruttabile dagli attaccanti: rimane quindi fondamentale focalizzare l’attenzione sul tema della consapevolezza, poiché i dati ci dicono che quanto fatto fino ad oggi non è ancora sufficiente”, afferma Luca Bechelli, del Comitato Scientifico Clusit.
Leggi anche: “Security Summit 2024 dal 19 al 21 Marzo”
News
CrowdStrike Threat Hunting Report 2024
Stando all’ultimo report annuale di CrowdStrike, le minacce provenienti da insider nordcoreani prendono di mira le società tecnologiche statunitensi; continuano gli attacchi ai servizi cloud e cross-domain, nonché l’abuso di credenziali e l’utilizzo di strumenti di monitoraggio e gestione remota (RMM)
É stato appena pubblicato da parte di CrowdStrike (NASDAQ: CRWD) il Threat Hunting Report 2024. Si tratta dell’atteso rapporto annuale che mette in luce le ultime tendenze, nonché le campagne e le tattiche adottate dagli avversari, rilevate sulla base dell’intelligence fornita dagli specialisti in threat hunting e dagli analisti dell’intelligence di CrowdStrike. Il rapporto 2024 rivela un aumento degli avversari, sia di stati-nazione che di eCrime, che sfruttano credenziali e identità legittime per evitare il rilevamento e bypassare i controlli di sicurezza tradizionali.
Inoltre, è stato registrato un incremento delle intrusioni hands-on-keyboard, degli attacchi cross-domain e degli attacchi al cloud control plane.
Alcuni dati emersi dal rapporto
Avversari nordcoreani si spacciano per dipendenti statunitensi legittimi
FAMOUS CHOLLIMA si è insinuato in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.
Aumento del 55% delle intrusioni hands-on-keyboard
Un numero crescente di avversari si impegna in attività hands-on-keyboard spacciandosi per utenti legittimi e bypassando i controlli di sicurezza tradizionali. L’86% di tutte le intrusioni manuali è eseguito da soggetti che operano nell’ambito della criminalità informatica in cerca di guadagni finanziari. Questi attacchi sono aumentati del 75% nel settore sanitario e del 60% in quello tecnologico, che rimane il settore più colpito per il settimo anno consecutivo.
Crescita del 70% nell’abuso di strumenti di Remote Monitoring and Management (RMM)
Avversari come CHEF SPIDER (eCrime) e STATIC KITTEN (Iran-nexus) utilizzano strumenti legittimi di monitoraggio e gestione remota (RMM) come ConnectWise ScreenConnect per l’utilizzo malevolo degli endpoint. L’abuso degli strumenti RMM ha rappresentato il 27% di tutte le intrusioni hands-on-keyboard.
Persistenza degli attacchi cross-domain
Gli attori delle minacce stanno sempre più sfruttando credenziali valide per violare ambienti cloud e utilizzare successivamente quell’accesso per penetrare nei dispositivi endpoint. Questi attacchi lasciano tracce minime in ciascuno di questi domini, rendendo più difficile il rilevamento.
Gli avversari focalizzati sul cloud puntano al Control Plane
Avversari specializzati nello sfruttare il cloud, come SCATTERED SPIDER (eCrime), stanno usando le tecniche di ingegneria sociale, le modifiche alle policy e l’accesso ai gestori di password per infiltrarsi negli ambienti cloud. Utilizzano le connessioni tra il Cloud Control Plane ed i dispositivi endpoint per spostarsi lateralmente, mantenere la persistenza ed esfiltrare dati.
“Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione,” ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere un passo avanti rispetto alle minacce in continua evoluzione e continuare a fornire le soluzioni di cybersecurity più efficaci del settore”.
Ecco alcune risorse utili per chi desidera approfondire i risultati dell’analisi:
- Scarica il 2024 CrowdStrike Threat Hunting Report
- Visita l’Adversary Universe di CrowdStrike per accedere a una fonte autorevole di informazioni sugli avversari.
- Ascolta l’Adversary Universe podcast per un approfondimento sui threat-actors e alcune raccomandazioni per migliorare le pratiche di sicurezza.
Leggi anche: “CrowdStrike Threat Hunting Report 2023“
News
Windows sotto attacco!
Le vulnerabilità dei driver di Windows possono essere sfruttate per una vasta gamma di attacchi, tra cui ransomware e Advanced Persistent Threats (APT)
Secondo Kaspersky, gli attacchi che sfruttano driver vulnerabili su sistemi Windows, noti come BYOVD (Bring Your Own Vulnerable Driver), sono in forte aumento. Nel secondo trimestre del 2024, questi attacchi sono cresciuti del 23% rispetto al trimestre precedente. Le vulnerabilità dei driver permettono ai criminali informatici di disabilitare le soluzioni di sicurezza e ottenere privilegi elevati, facilitando attacchi come ransomware e Advanced Persistent Threats (APT). Questa tecnica, che ha guadagnato slancio nel 2023, rappresenta una minaccia crescente sia per gli utenti singoli che per le organizzazioni.
“Anche se i driver sono legittimi, possono contenere vulnerabilità sfruttabili per scopi dannosi. Gli aggressori utilizzano vari strumenti e metodi per installare un driver vulnerabile sul sistema. Una volta caricato dal sistema operativo, il driver può essere sfruttato per aggirare le protezioni di sicurezza del kernel del sistema operativo” ha spiegato Vladimir Kuskov, Head of Anti-Malware Research di Kaspersky.
Per ulteriori informazioni sul panorama delle vulnerabilità e degli exploit nel secondo trimestre del 2024, è possibile consultare la pagina Securelist.
*illustrazione articolo progettata da Securelist
News
Il malware più presente in Italia
FakeUpdates si conferma al primo posto mentre avanza una campagna di malware Remcos per Windows che sfrutta un recente aggiornamento del software di sicurezza
Check Point® Software Technologies Ltd. ha pubblicato il suo Indice delle minacce globali per luglio 2024. LockBit, nonostante un calo a giugno, è tornato a essere il secondo ransomware più diffuso, mentre RansomHub ha mantenuto il primo posto. Inoltre, sono state identificate nuove campagne di distribuzione di malware come Remcos e tattiche aggiornate di FakeUpdates, che è risultato il malware più diffuso a livello globale.
In Italia, le minacce principali di luglio sono rimaste invariate rispetto a giugno. FakeUpdates è la minaccia più significativa con un impatto del 7,67%, seguita da Androxgh0st (6,8%) e Formbook (4,41%). Tutte queste minacce hanno un impatto superiore rispetto alla media globale.
I ricercatori hanno identificato nuove tattiche legate a FakeUpdates, che rimane al primo posto tra i malware più diffusi. Gli utenti che visitavano siti web compromessi ricevevano falsi messaggi di aggiornamento del browser, che installavano Trojan ad accesso remoto (RAT) come AsyncRAT, attualmente nono nell’indice di Check Point. È preoccupante che i criminali informatici abbiano iniziato a sfruttare BOINC, una piattaforma per il volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.
Vediamo in dettaglio le minacce più diffuse (anche per dispositivi mobile) e le vulnerabilità sfruttate.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è stato il malware più diffuso il mese scorso con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 3%.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
- ↔ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
Le vulnerabilità maggiormente sfruttate
- ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.
Principali malware per dispositivi mobili
Invariate le prime posizioni tra le minacce informatiche mobili più diffuse: Joker si conferma al primo posto seguito da Anubis e AhMyth.
- ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
- ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
- ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
I settori più attaccati a livello globale
Il mese scorso il settore dell’istruzione/ricerca è rimasto al primo posto tra i settori attaccati a livello globale, seguito da quello governativo/militare e dalle comunicazione.
- Istruzione/Ricerca
- Governo/Militare
- Comunicazione
I gruppi di ransomware maggiormente rilevati
I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell’11% degli attacchi pubblicati, seguito da Lockbit3 con l’8% e Akira con il 6%.
- RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
- LockBit è un ransomware che opera in modalità RaaS. Segnalato per la prima volta nel settembre 2019, LockBit prende di mira le grandi imprese e gli enti governativi di vari Paesi e non prende di mira gli individui in Russia o nella Comunità degli Stati Indipendenti.
- Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “.akira” ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.
*illustrazione articolo progettata da Freepik
News
IA come nuovo membro della società
La maggior parte degli italiani è disposta a usare l’IA per gestire la propria vita quotidiana in modo più efficiente
Un recente studio condotto dagli esperti di Kaspersky (dal titolo: “Entusiasmo, superstizione e grande insicurezza – Come gli utenti di tutto il mondo si confrontano con l’universo digitale”) rivela che l’Intelligenza Artificiale (IA) sta diventando un elemento sempre più integrato nella società, con molte persone che riconoscono il suo potenziale in vari settori. In Italia, il 23% degli intervistati ritiene che l’IA possa essere un leader migliore degli esseri umani per la sua imparzialità, mentre il 58% è disposto a usarla per gestire la vita quotidiana. Il 24% la utilizzerebbe per trovare un partner su un’app di incontri. L’IA è vista sia come un valido collaboratore che come un possibile manager, e molti ritengono che possa anche influenzare positivamente l’istruzione e la creatività. Tuttavia, il 40% teme che l’IA possa cambiare significativamente le relazioni umane.
“Stiamo assistendo alla crescente adozione dell’IA come strumento prezioso in grado di supportare le persone in diversi ambiti. Oltre alle applicazioni tradizionali, come l’elaborazione e l’analisi dei dati, all’IA vengono affidati compiti personali più complessi, che spaziano dal romanticismo, all’istruzione e al lavoro. Con la continua evoluzione delle tecnologie AI, il loro potenziale per innovare e migliorare le esperienze umane diventa ancora più rilevante. Tuttavia, questi progressi comportano anche alcuni rischi inaspettati e minacce sofisticate, come l’eccessiva fiducia nei consigli dell’IA, il phishing, i deepfakes e i furti di identità generati dall’IA. Queste sono le sfide che dobbiamo affrontare su più fronti”, ha commentato Vladislav Tushkanov, Research Development Group Manager di Kaspersky.
Il report completo di Kaspersky “Entusiasmo, superstizione e grande insicurezza – Come gli utenti di tutto il mondo si confrontano con l’universo digitale” è disponibile a questo link.
Leggi anche: “Intelligenza artificiale per tutti“
News
Approvata la legge sulla Cybersicurezza
Crittografia al centro del progetto, nuove figure umane, nuove strutture e strumenti più adeguati
La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, dopo una lunga discussione, è stata finalmente approvata dal nostro parlamento ed è stata pubblicata in Gazzetta Ufficiale, per cui si appresta a diventare a tutti gli effetti una Legge dello Stato Italiano.
Il provvedimento in pillole
La legge prevede un discreto numero di misure (praticamente tutti i primi 15 articoli) che riguardano il rafforzamento della cybersecurity delle pubbliche amministrazioni, comprese anche le società di trasporto pubblico e le ASL, che da adesso avranno l’obbligo di segnalare ogni incidente informatico all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dalla scoperta. L’ACN dopo aver ricevuto la segnalazione provvederà a indicare delle misure correttive che dovranno essere implementate dall’amministrazione pubblica segnalante entro il termine di 15 giorni, scaduti i quali potranno essere erogate sanzioni fino a 125.000 euro. Oltre alla sanzione, in caso di inadempienza alle indicazioni dell’ACN, i dirigenti dovranno assumersi anche la responsabilità disciplinare e contabile dell’accaduto. Le stesse sanzioni si applicano in caso di mancata adozione degli interventi risolutivi.
Nuove figure organizzative
Per quanto riguarda la composizione della struttura organizzativa, dalla legge si evince come al Nucleo per la cybersicurezza possano partecipare anche rappresentanti della Direzione Nazionale Antimafia e della Banca d’Italia, mentre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR) partecipano anche il Ministro dell’Agricoltura, il Ministro delle Infrastrutture e dei Trasporti e il Ministro dell’Università e della Ricerca. Le pubbliche amministrazioni, a loro volta, dovranno istituire una struttura dedicata alla sicurezza e nominare un responsabile che si occupi della gestione della cybersicurezza.
La crittografia, uno dei cardini della Legge
La crittografia dovrà essere uno dei protagonisti della sicurezza informatica futura, e a questo proposito verrà istituito il Centro Nazionale di Crittografia, che tra le sue funzioni ha quella di assumere iniziative idonee a valorizzare la crittografia come strumento di sicurezza. Particolare importanza avranno le strutture preposte alle attività di prevenzione nelle pubbliche amministrazioni, che tra i loro compiti avranno anche quello di verificare costantemente che le applicazioni rispettino le linee guida sulla crittografia adottate dall’ACN e dall’Autorità garante per la protezione dei dati personali.
Pene più pesanti
La cybersicurezza può comportare un notevole coinvolgimento della sfera privata, che naturalmente necessita di una protezione ottimale della propria privacy. Per “incoraggiare” gli attori coinvolti in questo compito, la legge approvata prevede una serie di modifiche al codice penale, tra cui l’inasprimento delle pene e l’introduzione di nuovi reati correlati alla cybersicurezza. Ad esempio, se un aggressore dovesse ottenere importanti dati aziendali o personali e richiedesse il pagamento di una somma di denaro per non diffondere questi dati, tale condotta verrebbe inquadrata come estorsione.
Tutto bene? Mica tanto
Nuovi organismi, nuove figure da inquadrare nell’organico. E i fondi per farlo? Zero! La legge è stata realizzata senza prevedere in alcun modo la possibilità che le amministrazioni pubbliche vengano caricate di ulteriori oneri. Le pubbliche amministrazioni dovranno, infatti, rispettare tutti gli obblighi previsti dalla legge facendo di necessità virtù con proprie risorse. Ci riusciranno? Maggiori approfondimenti su questo sito.
Cybersecurity
Rubate 10 miliardi di password
Il nutrito elenco è stato incluso in un file di testo dal nome rockyou2024.txt al cui interno si trovano password già sottratte in passato e altre completamente nuove.
Un utente noto come “ObamaCare” ha diffuso un file chiamato “rockyou2024.txt” contenente password precedentemente pubblicate insieme a circa 1,5 miliardi di nuove password. Secondo i ricercatori di Cybernews, questo aumenta notevolmente la possibilità di intensificarsi degli attacchi di tipo Credential Stuffing, in cui le credenziali rubate vengono testate automaticamente sui siti più diffusi.
Chi desidera verificare se la propria password è al sicuro può utilizzare il servizio offerto da Cybernews a questo indirizzo.
I ricercartori di Cybernews hanno scoperto, inoltre, un bucket Amazon S3 (si tratta di un contenitore di file online) contenente oltre 89.000 file caricati sulle piattaforme PDF Pro e Help PDF accessibile a chiunque. Questi file contengono, tra le altre cose, anche carte d’identità, patenti e altri documenti con dati privati e sensibili, che potrebbero finire agevolmente in mani non certo amiche.
*illustrazione articolo progettata da Freepik
Cybersecurity
I documenti PDF ci attaccano
Il noto formato Adobe può nascondere un pericoloso script in grado di compromettere la sicurezza del sistema. Le regole per difendersi
Come capire se un file .pdf può danneggiare il PC? Beh, una delle peculiarità consiste nel fatto che possono contenere collegamenti, pulsanti, campi modulo, audio, video e altre funzionalità. Possono essere firmati elettronicamente ed essere visualizzati su diversi dispositivi, mantenendo teoricamente la stessa formattazione, indipendentemente da sistema operativo o browser. Ciò li rende “perfetti” per la realizzazione di attacchi PDF Exploit. Vediamo di capirne di più.
PDF EXPLOIT?
Veniamo subito al punto. Quando si parla di PDF exploit ci si riferisce a un metodo utilizzato per condurre attacchi usando file pdf all’interno dei quali è stato inserito uno script malevolo. Questo può essere un virus, uno spyware o anche un ransomware. Come abbiamo anticipato, infatti, i file PDF possono contenere del codice e “accogliere” degli oggetti di vario genere, tra cui altri file (per esempio documenti di Word con al loro interno anche delle macro!). Questo genere di attacco, generalmente, sfrutta delle vulnerabilità dei lettori PDF, siano essi dei programmi per la lettura o gli stessi browser.
L’impatto sui sistemi può essere vario e, a seconda della tipologia di malware impiegato, si potrebbe trattare di un DoS o di furto di dati, fino alla completa compromissione del sistema. Per renderci conto di quante vulnerabilità correlate coi file PDF vi siano, possiamo fare una veloce ricerca su MITRE inserendo il termine PDF come chiave: troverete una lista di quasi 3000 vulnerabilità!
COME PROTEGGERSI?
Tanto per cominciare diciamo subito che i normali antivirus in linea di massima non si accorgono della presenza del file Word all’interno del PDF, per cui non sono idonei a contrastare questo tipo di attacco. Diverso è il discorso per le sandbox. Ne esistono online, come per esempio hybrid analysis o stand alone, come per esempio Dangerzone. Quest’ultima soluzione utilizza diverse sandbox per elaborare il file potenzialmente dannoso che viene inizialmente convertito in PDF, quindi in Raw (costituito da soli pixel, dati di immagine non compressi e non elaborati), infine impiega una nuova sandbox per riconvertire i dati immagine in pdf, questa volta innocuo.
Esistono poi altri strumenti come i Web Application Firewall (WAF) che in linea teorica potrebbero essere in grado di individuare il contenuto dannoso anche all’interno di file PDF, ma spesso non sono settati per effettuare certi tipi di controlli per evitare l’introduzione di ritardi nell’esperienza utente. D’altra parte, esistono anche WAF che lavorando in parallelo sul traffico ricevuto non introducono ritardi. WAF basati solo sul controllo delle firme dei malware non sono però utili, meglio WAF basati su Machine Learning.
È possibile usare anche strumenti come OLEVBA, uno script per analizzare i file OLE (Object Linking and Embedding) e OpenXML (eXtensible Markup Language) come i documenti MS Office (Word, Excel ecc.), per rilevare le macro VBA (Visual Basic for Applications), estrarre il loro codice sorgente in testo in chiaro e individuare nel testo possibili rischi per la sicurezza come macro auto-eseguibili, parole chiave VBA sospette usate da malware, tecniche di anti-sandboxing e anti-virtualizzazione, e potenziali indicatori di compromissione (IOCs – Indicators of Compromise), come indirizzi IP, URL, nomi di file eseguibili ecc. OLEVBA è capace anche di rilevare diversi metodi di offuscamento, inclusi la codifica Hex, StrReverse, Base64, Dridex (trojan bancario), espressioni VBA e può estrarre indicatori di compromissione dalle stringhe decodificate. OLEVBA può essere utilizzato sia come strumento da riga di comando, sia come modulo Python dalle proprie applicazioni.
Un caso reale di tecnica di offuscamento
A fine 2023 due ricercatori del CERT giapponese JPCERT/CC, Yuma Masubuchi e Kota Kino, hanno posto l’attenzione su una nuova tecnica di evasione antivirus che consiste esattamente nell’inserire un documento Word contenente una VBS macro all’interno di un pdf. Il file così ottenuto si chiama “poliglotta”. È un file valido contemporaneamente in più formati. Naturalmente, il comportamento mostrato sarà differente quando viene interpretato da diversi programmi. Facciamo un esempio per capire meglio. Un file può essere contemporaneamente un PDF valido e un documento Word. Quando lo si apre in un lettore, esso si comporterà come un normale PDF. Ma quando verrà aperto in Word, mostrerà le proprietà di un documento Word. Gli attaccanti hanno sfruttato questa caratteristica per aggirare i filtri di sicurezza che cercano un tipo specifico di file dannoso. Se un sistema si aspetta un PDF, il documento poliglotta Word/PDF sembrerà innocuo. Ma quando aperto in Word, potrà eseguire il malware che contiene. La vera natura del file è nascosta finché non viene interpretato dal programma giusto. Questa sofisticata tecnica di offuscamento consente agli attaccanti di bypassare i sistemi di rilevamento di malware basati su firme statiche che si affidano all’uso di numeri magici dei file e formattazioni prevedibili.
Interoperabilità: la visione di John Warnock
Co-fondatore della Adobe Systems Incorporated, è stato una figura emblematica nel mondo della tecnologia, noto soprattutto per il suo ruolo nello sviluppo di PostScript, il linguaggio di descrizione di pagina che ha rivoluzionato il modo in cui i testi e le immagini vengono stampati su carta. Sotto la sua guida, Adobe ha lanciato il formato PDF, che è diventato rapidamente lo standard de facto per la distribuzione e lo scambio di documenti digitali. La visione di Warnock di un documento che appare uguale su qualsiasi piattaforma ha profondamente influenzato l’interoperabilità digitale.
-
News3 anni ago
Hacker Journal 279
-
News7 anni ago
Abbonati ad Hacker Journal!
-
Articoli2 anni ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli3 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli6 anni ago
Superare i firewall
-
News5 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli5 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News7 anni ago
Accademia Hacker Journal