BLUEKEEP, il rischio di una nuova ondata di RANSOMWARE !!
ATTENZIONE, Remote Desktop a rischio !!
Una vulnerabilità del sevizio RDP (Remote Desktop Protocol) Microsoft , conosciuto anche come Terminal Services, consentirebbe l’esecuzione di codice remoto, mettendo a GRAVISSIMO rischio i sistemi affetti.
Questa nuova vulnerabilità Microsoft CVE-2019-0708 conosciuta anche con il nome BlueKeep, sebbene Microsoft abbia rilasciato una patch, potenzialmente milioni di macchine sono ancora prive di patch e rimangono vulnerabili e potrebbe presto diventare un vettore per la diffusione di malware, generando un’epidemia di RANSOMWARE simile a quella provocata da WannaCry due anni fa.
I sistemi operativi affetti da questa grave vulnerabilità sono:
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2003
- Windows XP
Se avete PC o SERVER con i suddetti sistemi operativi, effettuate subito un aggiornamento del sistema operativo e verificate che tale patch sia stata correttamente installata.
Dato il potenziale impatto a clienti e alle aziende, MICROSOFT ha preso la decisione per rendere disponibili gli aggiornamenti della protezione per le piattaforme che non sono più nel supporto mainstream (Windows Server 2003 e Windows XP) , per scaricare gli aggiornamenti per risolvere questa vulnerabilità clicca qui.
Allarme Nansh0u: Infettati 50.000 Server MS-SQL e PHPMyAdmin.
Alcuni ricercatodi di una società specializzata in Cyber Security hanno pubblicato un rapporto dettagliato su una diffusa campagna di “Cryptojacking” che attacca server Windows MS-SQL e PHPMyAdmin in tutto il mondo. Soprannominato Nansh0u, l’attacco è stato condotto da un gruppo di hacker che ha già infettato quasi 50.000 server e sta installando un sofisticato “Rootkit” in modalità kernel.
Nansh0u non è il “tipico” attacco crypto-miner, utilizza tecniche spesso viste in “APT”, come certificati falsi e exploit di escalation di privilegi. Mentre gli strumenti di attacco avanzati sono normalmente utilizzati da Criminali Informatici altamente qualificati, questo attacco dimostra che questi strumenti possono ora essere utilizzati da attaccanti di non così alto livello.
Può sembrare impossibile, parlarne ancora oggi, ma come prima tecnica di attacco, anche in questo caso, il primo passo è un attacco utilizzando strumenti di “forza-bruta” per rilevare la password, pertanto l’invito è sempre lo stesso, UTILIZZARE password complesse per aumentare la sicurezza dei sistemi informatici.
L’altro suggerimento, nel caso sia veramente necessario esporre i server database su Internet, è quello, fornito anche dalla guida di Microsoft per SQL server per ridurre al minimo il rischio di compromissione dei database, e abbastanza semplice da implementare, è separare il più possibile i server esposti su Internet, dai server interni segmentando la rete , (magari anche attraverso l’utilizzo di Firewall con sistemi IPS avanzati), limitando così il perimetro di “compromissione” dei dispositivi vulnerabili.
I nostri tecnici sono in grado di accertare se anche i vostri sistemi sono stati compromessi. Non esitate a contattarci per una verifica sui vostri sistemi
RANSOMWARE, ANCORA IN POLE POSITION NELLE STRATEGIE DEI CYBERCRIMINALI.
Nel primo semestre 2018, i “Ransomware” continuano ad essere gli strumenti preferiti dalla criminalità informatica con danni stimati in centinaia di milioni di dollari in tutto il mondo. La criminalità sfrutta questi tipi di malware, rendendo indisponibili i dati del malcapitato, chiedendogli un riscatto che varia mediamente da € 100 a € 500 (ovviamente in cryptovalute) ma possono arrivare anche a € 10.000/ €15.000 per fornire la “chiave” per recuperare i dati. Anche se l’invito è di NON PAGARE alcuna cifra (anche nel caso di cifre esigue), in quanto questo pagamento non solo alimenta di fatto la criminalità ma la spinge a perpetuare questo tipo di reato con strumenti sempre più efficaci, si continuano a registrare numeri sempre costanti di vittime che non avendo altre speranze di recuperare i propri dati, pagano l’importo richiesto con la speranza di ricevere le istruzioni che però spesso non arriveranno mai o comunque inutili perché magari nel frattempo i sever con le chiavi sono stati chiusi.
Fare vittime con i Ransomware per i criminali informatici è molto semplice e non richiede strategie di “Hacking” avanzate come possono invece essere richieste per “attaccare” o “colpire” uno determinato, specifico obiettivo.
Di fatto, per i criminali, non è importante chi si colpisce ma colpire il più alto numero possibile di vittime, non importa se si tratta di un singolo utente magari uno studente o una casalinga, un impresa artigiana, un libero professionista, una multinazionale o un ospedale, quello che conta è il numero delle vittime perché di fatto più sono le vittime colpite più alto sarà il numero di possibili “disperati” che, non vedendo altre possibilità di recuperare i propri dati in quanto il piano di “Disaster Recovery” non ha funzionato o peggio è ASSENTE, pagheranno il riscatto !!
MAI SENTITO PARLARE DI ANTI-TAMPER ?
I malware di oggi sono molto più pericolosi di un tempo anche perché sviluppati sempre più da “professionisti” del crimine.
Niente è più lasciato al caso, per esempio il fatto che un malware, oggi, riesca a “bucare” un sistema di protezione, non garantisce ai criminali che questo possa continuare a lavorare indisturbato anche domani, pertanto, l’evoluzione dei malware più aggressivi e persistenti, tra le prime funzioni che sono programmati a svolgere c’è appunto quella di “DISABILITARE” l’antivirus o il sistema avanzato di protezione.
Ecco, questa è la funzione ANTI TAMPER ovvero ANTI MANOMISSIONE dell’antivirus o del sistema di protezione evitando così che il malware “disabiliti” / “arresti” il sistema di protezione stesso continuando così a lavorare indisturbato !!
ADOBE FLASH PLAYER – NUOVO EXPLOIT – ATTENZIONE !
Una nuova vulnerabilità di Flash Player del tipo “exploit zero-day”.
Il “Team di risposta alle emergenze informatiche della Corea del Sud” KR-CERT, la scorsa settimana ha segnalato questa nuova vulnerabilità che viene sfruttata attivamente dagli hacker nordcoreani per colpire gli utenti Windows in Corea del Sud, ma come spesso accade, purtroppo, si presume che presto possa interessare anche il nostro paese.
Lo scorso 6 febbraio, Adobe, ha riconosciuto l’esistenza della vulnerabilità, per la versione 28.0.0.137 e precedenti.
PRODOTTI ADOBE FLASH PLAYER INTERESSATI:
Per sfruttare la vulnerabilità, tutto ciò che il malintenzionato deve fare, è ingannare le vittime per aprire documenti, pagine Web o messaggi di spam con allegati documenti tipo word o excel, contenenti il file Adobe Flash pericoloso.
Un ricercatore Sudcoreano ha anche pubblicato lo screenshot sotto riportato per mostrare che l’exploit zero-day di Flash Player è stato distribuito tramite file Microsoft Excel dannosi.
La vulnerabilità può essere sfruttata dall’attaccante per assumere il controllo di un computer interessato.
RACCOMANDIAMO di disinstallare Adobe Flash Player o AGGIORNARLO IMMEDIATAMENTE !!!