Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Month: September 2021

Google Alert: il cyber crime può rendere il malware non rilevabile su Windows

Google avvisa: una nuova tecnica può rendere il malware non rilevabile su Windows. I ricercatori hanno rivelato una nuova tecnica per eludere deliberatamente il rilevamento del malware, tramite l’aiuto di firme digitali non valide dei payload di malware. L’analisi del certificato viene quindi interrotta per evitare il rilevamento. La nuova tecnica è attualamente utilizzata dal cyber crime a proprio beneficio. Inoltre, gli aggressori in grado di nascondere la propria identità nelle firme senza comprometterne l’integrità, possono evitare il rilevamento più a lungo, e prolungare la durata dei certificati di firma del codice per infettare più sistemi.

“Gli aggressori hanno creato firme di codice non valide che sono considerate valide da Windows ma non possono essere decodificate o verificate dal codice OpenSSL, che viene utilizzato in numerosi prodotti di scansione di sicurezza”

Neel Mehta di Google Threat Analysis Group

Il team ha osservato che il nuovo meccanismo è stato sfruttato da una famigerata famiglia di software indesiderato noto come OpenSUpdater, utilizzato per scaricare e installare altri programmi sospetti su sistemi compromessi. La maggior parte degli obiettivi della campagna sono gli utenti residenti negli Stati Uniti che sono inclini a scaricare versioni craccate di giochi e altri software.

I gruppi di campioni OpenSUpdater sono spesso firmati con lo stesso certificato di firma del codice, ottenuto da un’autorità di certificazione legittima. Da metà agosto, i campioni OpenSUpdater hanno una firma non valida e ulteriori indagini hanno dimostrato che si trattava di un tentativo deliberato di eludere il rilevamento. In questi nuovi campioni, la firma è stata modificata in modo tale che un marcatore End of Content (EOC) ha sostituito un tag NULL per l’elemento ‘parameters’ del SignatureAlgorithm che firma il certificato Leaf X.509.

I prodotti che utilizzano OpenSSL per estrarre le informazioni sulla firma rifiuteranno questa codifica in quanto non valida. Tuttavia, per un parser che consente queste codifiche, la firma digitale del binario apparirà altrimenti legittima e valida.

Firma digitale

Leggi anche: Telegram è la nuova dark web per i criminali informatici

Telegram è la nuova dark web per i criminali informatici

Telegram, l’app del pietroburgese Pavel Durov – secondo una ricerca – sembra che stia emergendo come nuovo dark web per i criminali informatici. La ricerca è della società di sicuerezza Cyberint – insieme al Financial Times – che ha scoperto canali con decine di migliaia di abbonati.

L’esplosione dnell’utilizzo di Telegram è stata provocata, secondo lo studio, dai recenti cambiamenti in uno dei suoi concorrenti: WhatsApp, ora proprietà di Facebook.

Mentre Telegram e WhatsApp sono entrambe destinazioni popolari per coloro che cercano maggiore privacy nelle loro comunicazioni digitali – le due piattaforme offrono una qualche forma di crittografia end-to-end – la nuova politica sulla privacy di quest’ultima, anche se assediata, ha reso la piattaforma meno attraente per i criminali informatici.

Tal Samra, analista delle minacce informatiche di Cyberint ha affremato: “Di recente abbiamo assistito a un aumento del 100% dell’utilizzo di Telegram da parte dei criminali informatici”

“Il suo servizio di messaggistica crittografata è sempre più popolare tra gli attori delle minacce che conducono attività fraudolente e vendono dati rubati . . . in quanto è più comodo da usare rispetto al dark web.”

Tal Samra

In passato, i dump di dati e i data leak che ora vengono scambiati tramite l’app – di facile utilizzo – erano infatti in gran parte dominio del cosiddetto “dark web”, a cui è possibile accedere solo utilizzando browser e login speciali.

Gli hacker trovano attraente il dark web perché vive in un angolo del deep web – vale a dire, la parte di Internet che non appare nei motori di ricerca – che è ancora più bloccato contro gli osservatori esterni e le intrusioni.

Tutte queste barriere – quelle della dark web – hanno un prezzo, ovviamente: non tutti possono accedervi. È qui che Telegram entra in scena. È facile scaricare l’app e creare un account. Le chat “segrete” del servizio utilizzano la crittografia end-to-end, per una maggiore privacy. E mentre le chat di gruppo non hanno la stessa protezione, hai comunque bisogno di un link o di un invito per entrare. Inoltre Telegram consente anche enormi chat di gruppo fino a 200.000 utenti.

La notizia giunge anche nel momento in cui molti in Russia definiscono “un momento spartiacque” la sospensione dell’accesso alle raccomandazioni di voto anti-governativo diffuse dal team di Aleksej Navalyj in occasione delle parlamentari. Dopo Google e Apple è stata la volta dell’applicazione di messaggistica istantanea Telegram che ha annunciato che avrebbe bloccato tutti i servizi associati alla campagna elettorale, incluso il “Bot” del Voto intelligente: il canale automatizzato che raccomandava il nome da votare in base al seggio.

Leggi la ricerca del Finacial Times

VPN Fortinet: un leak password colpisce 500.000 account

VPN Fortinet: un leak password ha colpito 500.000 account: gli hacker avrebbero prelevato le credenziali di accesso da dispositivi non protetti, quindi le hanno scaricate su un forum del dark web. Anche se la vulnerabilità di Fortinet smebra sia stata corretta molte credenziali VPN sono ancora valide. L’attore delle minacce, un certo “Orange” ha fatto trapelare password e nomi utente, ma nulla in vendita, la grande quantità di informazioni era disponbile gratuitamente.

Il comunicato stampa di Fortinet:

The security of our customers is our first priority. Fortinet is aware that a malicious actor has disclosed SSL-VPN credentials to access FortiGate SSL-VPN devices. The credentials were obtained from systems that have not yet implemented the patch update provided in May 2019.  Since May 2019, Fortinet has continuously communicated with customers urging the implementation of mitigations, including corporate blog posts in August 2019July 2020April 2021 and June 2021 For more information, please refer to our latest blog. We will be issuing another advisory strongly recommending that customers implement both the patch upgrade and password reset as soon as possible.” (Fortinet)

Si ritiene che gli account siano stati compromessi tramite una vulnerabilità scoperta in precedenza nel prodotto. Ad aprile, le agenzie federali avevano avvertito di molteplici falle di sicurezza nella VPN di Fortinet che avrebbero potuto consentire l’accesso agli hacker. Da allora alla società sono state rilasciate patch per tali falle di sicurezza, anche se apparentemente ciò non ha impedito a molti utenti di compromettere le informazioni sugli account.

VPN Fortinet leak: i collegamenti con la banda ransonmware Groove

Secondo una ricerca della società di sicurezza Advanced Intel, si pensa che Orange sia un membro della banda di ransomware “Groove”. Si dice che abbiano anche lavorato in precedenza per Babuk, un’importante banda di ransomware che ha tentato di estorcere milioni di dollari al dipartimento di polizia di Washington D.C. all’inizio di quest’anno.

Gizmodo.com

Groove ha recentemente lanciato un nuovo forum sulla criminalità informatica chiamato RAMP e i ricercatori hanno teorizzato che la banda potrebbe aver divulgato gli account VPN per attirare l’attenzione sulla loro nuova impresa commerciale.

I Cyber Partisans in Bierlorussia affermano di aver violato i database ufficiali

I cyber partisans in Bierlorussia – Belarus Cyber ​​Partisans – affermano di avere violato i database ufficiali e di avere accesso a dati estremamente sensibili.

I Berlarus Cyber Partisans hanno rivendicato così una serie di attacchi informatici – a fine agosto 2021 – ai database del governo e della polizia in Bielorussia, compresi quelli del Ministero degli Interni. La notizia è riportata da DW a cui un hacker avrebbe detto che l’idea era di fornire alla popolazione informazioni importanti.

Il 17 agosto, il sovrano bielorusso Alexander Lukashenko ha indirettamente confermato la perdita di dati sensibili. “Se non puoi proteggere le informazioni nei tuoi computer, allora scrivi le cose a mano e mettile nei cassetti”, ha detto ai ministri in una riunione.

Di recente il gruppo avrebbe affermato di avere accesso ai dettagli del passaporto di tutti i bielorussi, nonché ai piani di sicurezza interna, e dati riguardo alle intercettazioni. Secondo quanto riferito, l’elenco include funzionari della sicurezza, aziende statali e aziende private. I Cyber Partisans affermano di avere centinaia di migliaia di ore di registrazioni, affermando anche che elaboreranno le informazioni e le rilasceranno gradualmente. 

Per fare ciò, i cyber partisans della Bierlorussia hanno creato un canale Telegram che ha già 77.000 abbonati. L’app di messaggistica crittografata è spesso utilizzata dai sostenitori dell’opposizione in Bielorussia perché rende più facile aggirare i censori. È stata una delle maggiori fonti di informazione durante le proteste antigovernative nel 2020.

I Cyber partisans sono un collettivo di attivisti/hacktivisti anonimo decentralizzato bielorusso emerso nel settembre 2020 – dopo le presidenziali del 2020 – noto per i suoi vari attacchi informatici contro il governo bielorusso, istituzioni governative e agenzie governative.

Wikipedia

Secondo i Cyber Partisans, il ministero dell’Interno bielorusso ha creato un database intitolato Street Riots, in cui sono state registrate quasi 39.000 persone solo lo scorso anno, principalmente perché avevano partecipato alle proteste dopo le contestate elezioni presidenziali. Il database apparentemente contiene informazioni sui passaporti di questi manifestanti, nonché dettagli relativi agli arresti e al successivo esito. DW – la Deutsche Welle, emittente internazionale tedesca e uno dei media internazionali di maggior successo e di rilievo – afferma di avere visto gli screenshot e confermano.

Leggi anche: Hacking e abuso di privacy: la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno