Bitcoin
  € 6.694,36 (+6,72%)
Ethereum
  € 150,96 (+13,84%)
XRP
  € 0,18 (+7,87%)
Tether
  € 0,93 (-0,01%)
Bitcoin Cash
  € 233,36 (+8,90%)
Bitcoin SV
  € 176,30 (+9,53%)
Litecoin
  € 40,85 (+9,27%)
EOS
  € 2,49 (+13,58%)
Binance Coin
  € 13,68 (+8,87%)
Tezos
  € 1,69 (+8,50%)
~
Bitcoin
  € 6.694,36 (+6,72%)
Ethereum
  € 150,96 (+13,84%)
XRP
  € 0,18 (+7,87%)
Tether
  € 0,93 (-0,01%)
Bitcoin Cash
  € 233,36 (+8,90%)
Bitcoin SV
  € 176,30 (+9,53%)
Litecoin
  € 40,85 (+9,27%)
EOS
  € 2,49 (+13,58%)
Binance Coin
  € 13,68 (+8,87%)
Tezos
  € 1,69 (+8,50%)

TG CRIME – 2/2020

23 Marzo 2020 -
TG CRIME – 2/2020

TG CRIME è l’appuntamento del lunedì con le news più rilevanti della settimana su Cyber Security, Crime e Investigation, selezionate da Crypto Avvocato.

SOMMARIO

CORONA MALWARE

La Polizia Postale lancia l’allarme

Investigation del C.R.A.M di TG Soft

Investigation del MalwareHunterTeam

CYBER RESILIENZA – Cos’è e come assicurarla al proprio business

CYBER SECURITY – Stato dell’arte delle certificazioni in Italia e Europa

CORONA MALWARE

La Polizia Postale lancia l’allarme

Il Coronavirus non ferma i criminali del web, che non si fanno scrupoli ad approfittare del rischio di epidemia in corso per architettare nuove ed insidiose frodi informatiche.

Ancora una volta il Centro Nazionale Protezione Infrastrutture Critiche CNAIPIC della Polizia Postale e delle Comunicazioni, è venuto a conoscenza di una nuova campagna mirata di phishing e malware  legata al tema dell’epidemia da Coronavirus (COVID-19).

In particolare è in atto un massivo invio di messaggi email e non solo, del malware infostealer AZORult.

Nella circostanza i criminali hanno spacciato la minaccia informatica per un’applicazione che mostra la mappa della diffusione del virus nel mondo: la GUI (Graphical User Interface) che risulta particolarmente verosimile a quella ospitata sui sistemi della Johns Hopkins University (ArcGIS).

Il virus AZORult, oltre a scaricare ulteriori minacce nelle macchine colpite, è in grado di raccogliere informazioni come nome, ID/password, numero della carta di pagamento, cryptovalute e altri dati sensibili presenti nei browser; alcune varianti consentono anche connessioni di tipo Remote Desktop Protocol (RDP).

L’invito della Polizia Postale è di diffidare da questi e da simili messaggi, evitando accuratamente di aprire gli allegati che essi contengono.

Per ogni utile informazione, la Polizia mette a disposizione il proprio “commissariato virtuale”, raggiungibile all’indirizzo www.commissariatodips.it.

Investigation del C.R.A.M. di TG Soft Cyber Security Specialist

Dopo la campagna Malspam del 2 marzo scorso, il Centro di Ricerca Anti Malware di TG Soft Cyber Security Specialist ha rilevato la diffusione di un Ransomware che è stato battezzato dai suoi autori proprio con il nome di CoronaVirus.

Viene distribuito attraverso un falso sito web che annuncia la necessità di scaricare un software di protezione dalle minacce cyber. L’utente, indotto in inganno, scarica invece due malware:

  • PSWStealer KPot;
  • ed il nuovo Ransomware.

Il CoronaRansomware:

  • cancella le shadow copy;
  • cifra i dati modificando il nome dei file e aggiungendo l’indirizzo email per il riscatto, esempio: coronaVi2022@protonmail.ch___[NOMEFILE].[ESTENSIONE];
  • lascia inoltre un file di testo con le istruzioni del riscatto.

Come si può vedere dall’immagine, la richiesta di riscatto è di soli 0,008 BitCoin che, al cambio attuale, corrispondono a circa 50$.

Richiesta molto bassa e, in quanto tale, anomala.

Peraltro, la richiesta di riscatto (vedi immagine) sembra essere alquanto “claudicante” poiché mixa termini di varie lingue.

Il Ransomware potrebbe essere sfruttato per nascondere le tracce del PSWStealer KPot che estrae informazioni sugli account da browser web, app di messaggistica, e-mail, VPN, RDP, FTP, cripto valute e software di gioco.

Per ora la diffusione in Italia di questo CoronaRansomware è da considerarsi bassa ma per difendersi i Ricercatori del C.R.A.M di TGSoft hanno:

In questo modo anche un eventuale frettoloso / maldestro click sul link che dovesse portare al sito da dove si scaricano questi software malevoli verrà bloccato preventivamente, ancora prima dell’intervento delle tecnologie euristico-comportamentali già segnalate.

Investigation del MalwareHunterTeam

I ricercatori del MalwareHunterTeam hanno rilevato la diffusione del codice malevolo BlackWater attraverso allegati email denominati: RAR “Important – COVID-19.rar”.

BlackWater è un malware di tipo backdoor e potrebbe essere associato all’APT MuddyWater. 

Il gruppo, infatti, già l’anno scorso ha usato il codice malevolo per colpire obiettivi in diversi paesi, come scoprirono i ricercatori di Cisco Talos.

Una volta che l’allegato alla email viene estratto, viene mostrato un l’eseguibile chiamato“Important – COIVD-18.docx.exe”, con una icona di Word.

Se lanciato, apre un documento che riporta informazioni sul COVID-19. Tuttavia, mentre la vittima è impegnata a leggere il documento, viene rilasciato ed eseguito un ulteriore binario denominato sqltuner.exe che, per ricevere istruzioni, si collega al server di Comando e Controllo (C2) su Cloudflare Workers.

Ciò è dovuto probabilmente alla possibilità bypassare il rilevamento da parte dei sistemi di sicurezza.

CYBER RESILIENZA – Cos’è e come assicurarla al proprio business

Dinanzi a situazioni critiche come il COVID-19 che implicano smart working per tutte le strutture e, come esplicato, minacce cyber sempre più pericolose e devastanti è necessario che tutte le organizzazioni, grandi o piccole che siano, acquisiscano la necessaria cyber resiliency e di conseguenza una resilienza di business.

Devono cioè mettersi in condizioni da poter sopportare il contraccolpo di un attacco informatico e garantire la disponibilità dei servizi erogati grazie alla capacità di anticipare, resistere, superare e adattarsi alle condizioni avverse successive alla compromissione delle risorse informatiche.

Paolo Tarsitano, su CyberSecurity360, spiega dettagliatamente cos’è e come assicurarla con le giuste scelte tecnologiche.

CYBER SECURITY – Stato dell’arte delle certificazioni in Italia e Europa

Concludiamo il secondo appuntamento del TG Crime menzionando questo interessante approfondimento su Agenda Digitale di Luisa Franchina, Presidente Associazione Italiana esperti in Infrastrutture Critiche, e Matteo Taraborelli, analista Hermes Bay.

L’idea sottesa alla creazione di uno schema di certificazione cyber security di un prodotto ICT è quella di controllare un insieme di requisiti basilari di sicurezza, una singola volta, e per tutti i clienti.

È opportuno però specificare che gli schemi di certificazione non sostituiscono la necessità per i clienti di effettuare una propria attività di due-diligence al momento dell’acquisto, ma piuttosto la certificazione è un modo per semplificare tale processo.

Prendendo in esame i più importanti studi di settore, regolamenti nazionali ed europei, gli autori analizzano lo stato di avanzamento delle normative inerenti agli schemi di certificazione cyber, precisamente:

Se ti interessano le nostre tematiche e vuoi entrare a far parte del network, Contattaci.