Articoli

Coronavirus, il malware arriva nelle mail e su siti: l’allarme

Si sta diffondendo velocemente nel mondo una campagna di mail con malware Emotet che sfrutta la paura di massa sul Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) ne segnalano la presenza in Giappone e, da qualche ora, anche nel Regno Unito e negli Stati Uniti.

Al contempo, dice l’informatico forense Paolo dal Checco, “riscontro la nascita di molti siti che dicono di avere informazioni sul Coronavirus ma contengono pericolosi malware”.

Emotet via mail sfrutta il Coronavirus

Le mail si presentano con un mittente istituzionale, di un’organizzazione pubblica sulla salute; dice di contenere informazioni utili sul Coronavirus: la sua mappa di infezione, consigli su come non ammalarsi, ecc. Rinvia a un allegato, testuale o video, per avere tutte le informazioni ma qui si annida il malware Emotet. I formati dell’allegato finora riscontrati sono file pdf, mp4 e docx. Come sempre accade con Emotet, il malware viene lanciato all’apertura e prova a installarsi se l’utente ha attivato le macro sul proprio programma associato.

Non è ancora chiaro se gli attuali antivirus sono in grado di bloccare la minaccia. Al momento non risulterebbero esempi di questa campagna in Italia, “ma credo sia solo questione di tempo perché attacchi anche l’Italia – dice Dal Checco. La minaccia si sta infatti avvicinando, sull’onda della crescente psicosi del Coronavirus, colpendo prima i Paesi più vicini alla Cina e poi via via altri”.

Insomma, laddove arriva il virus biologico – ora anche in Italia, come noto – arriva poi anche quello informatico, perché questo sfrutta la paura delle persone, che le può spingere a cliccare in modo frettoloso su allegati arrivati per mail.

Che danni fa Emotet?

Emotet è un banking trojan modulare e mutevole che si è guadagnato di recente il podio tra i malware più aggressivi e pericolosi degli ultimi anni. Cerca di rubare le credenziali bancarie presenti in memoria sul pc, le password e poi di trasformare il computer vittima in uno strumento per diffondersi ulteriormente, mandando mail simili ad altri destinatari (anche trovati nella rubrica dell’utente).

I consigli contro il malware che sfrutta il Coronavirus

Il consiglio per difendersi, oltre a quello di avere un antivirus aggiornato, è non aprire né cliccare su allegati presenti in email inattese, soprattutto se provenienti da mittenti con cui non avevamo mai avuto un rapporto; non importa se la mail si presenta con un mittente autorevole, di un’azienda nota o di un’istituzione. Anche il testo può essere confezionato, ormai, per essere molto credibile.

Se si ha qualche dubbio sull’autenticità di un allegato e lo si vuole comunque aprire, è possibile farlo in modo sicuro su programmi di visualizzazione documenti online come ViewDocsOnline o farli analizzare ad antivirus online come VirusTotal o Hybrid-Analysis.

Una minaccia multiforme

“Il fine di chi produce malware è incentivare la loro diffusione, per poter fruire dei vantaggi dei PC infettati, in termini economici ma anche tecnici: ogni computer compromesso può infatti essere utilizzato per sferrare attacchi e quindi, indirettamente, portare ulteriori benefici”, commenta dal Checco.

“In questo periodo stanno circolando diverse email che invitano ignare vittime a cliccare su link o aprire allegati, per fortuna gli antivirus spesso riescono a bloccare gli allegati e rendere inoffensivi i link, ma non va sottovalutato un altro fenomeno. Ogni giorno, da quando è scoppiata l’allerta per il Coronavirus, vengono registrati centinaia di domini contenenti la parola coronavirus. Dal monitoraggio che ho in corso proprio su questo fenomeno, posso categorizzare questi domini in siti informativi, siti che vendono mascherine, siti che propongono fantomatiche cure ma anche siti che possono potenzialmente distribuire malware e ai quali è necessario prestare particolare attenzione”.

 

Fonte: CyberSecurity360

Chiavette USB infette: ecco come proteggersi adottando le giuste regole di sicurezza

Le chiavette USB infette rappresentano un problema serio, ma spesso sottovalutato, che le aziende in particolare dovrebbero affrontare e risolvere con attenzione per non mettere a repentaglio il patrimonio informativo aziendale.

Chiavette USB infette: le problematiche

Sicuramente nulla è più comodo di avere con sé i file e i dati che ci necessitano, poterli trasportare con facilità in un oggetto piccolo quanto un portachiavi. Questa caratteristica, però, non sempre rappresenta un vantaggio, ma anzi porta comporta diversi rischi.

La prima problematica a cui penso è dovuta al fatto che, per loro natura, le pendrive USB vengono connesse a differenti computer: ciò le rende un ottimo mezzo di trasporto per la diffusione di malwarespyware e rootkit.

Abbiamo certamente notato che, collegando una chiavetta USB ad un PC, quando questa viene riconosciuta dal sistema operativo, il suo contenuto viene mostrato a schermo; nei sistemi più moderni ci viene quantomeno chiesto di scegliere quale azione intraprendere in merito. In ogni caso è fuor di dubbio che la pendrive viene “letta” dal sistema prima ancora che ci venga mostrato il contenuto.

Di norma i sistemi Microsoft vanno a verificare l’eventuale presenza di un file chiamato Autorun.inf che contiene i comandi atti ad eseguire in automatico i contenuti presenti nella chiavetta USB.

Questa funzionalità può essere utilizzata da malintenzionati per installare ed eseguire sul PC delle loro vittime un qualsivoglia codice malevolo, con conseguenze spesso disastrose.

Volendo evitare questo tipo di rischio è sufficiente, ad esempio su Windows 10, aprire le impostazioni del sistema operativo (dall’icona di Windows in basso a sinistra nella barra delle applicazioni premere sull’icona dell’ingranaggio e poi accedere alla sezione Dispositivi) e da lì disabilitare la funzione di autorun.

Problema risolto? Proprio no.

Software per proteggersi dalle chiavette USB infette

Autorun a parte, copiare file e informazioni da un PC ad un altro comporta, in ogni caso, il rischio di diffondere virus e altro se uno dei computer coinvolti nello scambio dati, o a cui è stata connessa la chiavetta USB, è infetto.

Per questo motivo è d’obbligo avere installato un buon antivirus che, tra le altre cose, al collegamento di una memoria di massa USB, ne esegua la scansione. Molti dei produttori di antivirus, inoltre, propongono gratuitamente un software che “vaccina” le chiavette USB infette, prevenendo l’utilizzo dell’autorun a scopo malevolo.

Un programma che utilizzo a protezione delle chiavette USB infette è USB Security, che consente di criptare con molta semplicità una pendrive utilizzando un pratico wizard. Si riesce così ad ottenere una pendrive con uno spazio di archiviazione in chiaro e uno protetto, quest’ultimo attivabile cliccando sul file eseguibile contenuto all’interno della stessa chiavetta USB e inserendo la keyword di decrittazione.

Chiavette USB infette e furto di dati, alla luce del GDPR

Prendiamo ora in considerazione altre problematiche correlate alle chiavette USB infette.

Poter trasportare molti dati in un oggettino veramente piccolo, come detto, è fantastico; aumenta però a dismisura la quantità di dati che andremo a diffondere in caso di perdita o furto della pendrive.

Immagazzinare e trasportare dati aziendali, dati dei clienti, personali o particolari (dati sensibili), utilizzando questi dispositivi, ci sottopone ad un rischio tutt’altro che accettabile; non solo per il danno diretto che potremmo avere dal perdere disponibilità di quanto depositato all’interno del drive USB, ma anche dal fatto che quanto contenuto potrebbe finire in mani sbagliate o essere semplicemente diffuso.

Teniamo conto che anche la nuova normativa europea sulla protezione dei dati, il GDPR, valuta l’utilizzo delle chiavette USB, ma anche di tutti i dispositivi facilmente sottraibili, soggetti a rottura accidentale o semplicemente soggetti ad essere “persi” (includendo anche i notebook): un comportamento palesemente in contrasto con una policy corretta di protezione dati, se non si applicano accorgimenti idonei.

La prima azione che si potrebbe compiere, per essere “proattivi” e scongiurare una parte di quanto sopra detto, potrebbe essere il criptare il contenuto delle chiavette USB, come si potrebbe fare sull’hard disk di un notebook.

Per farlo, si può ricorrere direttamente al tool Bitlocker integrato in alcune versioni di Windows 10 oppure ricorrere ad altri software di terze parti come il famoso VeraCrypt.

Soluzioni alternative ai dispositivi USB

Quanto sopra suggerito a parte, potrebbe essere una buona idea (e molte aziende lo fanno) non utilizzare affatto gli usb drive, affidandosi piuttosto a sistemi in cloud per rendere disponibili i dati necessari al di fuori dell’azienda, permettendo così un livello di controllo e protezione centralizzato e superiore.

In realtà, la possibilità di accesso fisico alle porte USB delle macchine in uso comporta di per se un problema non trascurabile di sicurezza: qualora il BIOS non fosse correttamente impostato e magari protetto con password, risulterebbe sempre possibile avviare un PC tramite dispositivo USB e magari accedere ai suoi contenuti (esistono software installabili su pendrive che “scavalcano” le password di Windows).

Il rischio su sistemi non Microsoft è in qualche modo ridotto, anche se ciò non vuol dire che si possa trascurare queste criticità.

Nei sistemi Linux e Mac OS, una gran parte dei virus non riesce ad agire, semplicemente perché strutturati per aggredire il sistema attualmente più diffuso, cioè Windows.

Esistono comunque diversi virus che aggrediscono questi sistemi operativi ed alcuni di essi sono già stati trasmessi tramite memorie USB.

Vorrei menzionare alcuni altri aspetti che andrebbero tenuti in conto nella strutturazione e implementazione di best practice relative all’utilizzo delle periferiche USB.

Un aspetto da non trascurare è quello della cancellazione definitiva dei dati da un supporto USB; non è sempre semplice ed immediato rendere permanente la cancellazione dei dati da una pendrive, salvo adottando tecniche di wiping, che comunque non si adattano bene a questo tipo di supporti, andando probabilmente a diminuire la loro esistenza vitale.

Il consiglio, per un utilizzo in azienda, è di adottare criteri di USB Hygiene a partire dall’evitare di adottare l’uso delle pendrive, se non criptate; utilizzare sistemi cloud al loro posto e non sottovalutare l’importanza delle impostazioni di sicurezza dei PC in uso (impostare una password sul BIOS setup, disabilitare il boot da USB, disabilitare l’autorun e utilizzare un buon antivirus).

Conclusioni

È utile, per concludere, fare un cenno ad un recente Proof of Concept (PoC) eseguito da alcuni ricercatori che sono riusciti ad hackerare il firmware di diverse periferiche USB (si parla di tastiere, auricolari e via dicendo, quindi non di memorie), in cui si è riusciti a far eseguire codice malevolo nei computer bersaglio a partire appunto da normali dispositivi USB, non intesi a contenere dati.

Su questo tipo di attacchi, attualmente non esiste una reale difesa, tranne il selezionare le fonti di approvvigionamento di periferiche USB ed il vietare l’utilizzo e la connessione ai PC aziendali di componenti USB non preventivamente autorizzati.

 

 

Fonte: CyberSecurity360